Det här är ytterligare en kommentar på "e-legitimationsförordningen". För allmänna kommentarer om e-legitimationsförordningen hänvisar jag till mitt anförande på BruCON och min presentation på Bokmässan. Den här bloggposten kommer röra förordningens andra del: den om betrodda tjänster.
"Betrodda tjänster" är ett besvärligt begrepp, mest för att det inte används någon annanstans än i den här förordningen. Det man åsyftar är egentligen utfärdare av kryptografiska certifikat, som i de flesta andra sammanhang kallas "certificate authorities" eller "CAs" [s:i-ejs]. De har vi haft en del problem med globalt sett. Brist på transparens, mygel, dålig säkerhet, och allmän opålitlighet är ett stort problem hos dessa "betrodda tjänster". För en politisk institution som parlamentet är det dock inte lätt att informera sig om sådana tillkortakommanden på en marknad när kommissionen valt en terminologi som är helt väsenskild som den som förekommer i nyhetsflöden om samma marknad. Det går inte att enkelt söka fram nyhetsartiklar om "betrodda tjänster" för det är i stort sett ingen som använder det begreppet. Kommissionen hade kunnat lägga förslaget till rätta betydligt bättre om man inte hade etablerat en usel terminologi som förvirrar alla, inklusive de som berörs av förordningen. Parlamentet har tyvärr inte kunnat åtgärda kommissionens förvirring, för vi är inte en teknisk organisation och är därför normalt sett inte förmögna att åtgärda stora tekniska brister i ett grundförslag.
I europeisk lagstiftning finns det sedan 1990-talet en uppfattning om att det är vi politiker som beslutar vad människor ska kunna lita på och inte. I framför allt napoleonsk rättstradition har man en stark tradition av certifiering och kvalificering. När man överförda viss offentlig administration på elektroniska medier blev det därför viktigt att skapa kvalifikationsprocedurer för elektroniska dokument. Den här processen har beskrivits alldeles utmärkt i en bok av Jean-Francois Blanchette som heter Burdens of Proof.
Eftersom politiker dock är dåliga på att förutsäga olika typer av säkerhetsproblem som kan uppstå i informationssystem är det klumpigt att vi sätter standarderna för vad som är "säkert" och "pålitligt" på internet. Blanchette skriver t ex om franska säkerhetsanordningar att det är olyckligt att man lyckades skapa en presumption av juridisk giltighet för signaturer skapade av vissa typer av utrustning utan att samtidigt ställa krav på att utrustningen skulle vara pålitlig. Vad händer om utrustningen inte är det? Domstolen som ska lösa den resulterande konflikten tvingas utgå ifrån att signaturen ändå är giltig. Inte så bra.
Jag föreslog alltså att ta bort alla typer av politisk säkerhetskvalifikation från förordningen, och argumenterade att det vore bättre med transparens och mekanismer för människor att hantera säkerhetsproblem när de dyker upp. Det är lättare att fixa problem man känner till vilka problemen, ungefär.
Vi hade en väldigt bra diskussion i parlamentet där det blev plågsamt uppenbart att många ledamöter tror att den bästa säkerhetsåtgärden för alla är att vi politiker bestämmer vad som är säkert och sen hemlighåller vi det om vi har fel. Som t ex MSB är ett bevis på återfinns denna felaktiga uppfattning i hanteringen av nätverkssäkerhet i Sverige. Vi kunde ändå nästan ha skapat majoritet för en transparensinriktad linje om det inte hade varit för att jag misslyckades med att förutse en betydelsefull intressegrupp som gjorde sitt intåg i juli 2013: de franska notarierna.
Någon gång veckan innan vi gick på sommarledighet från parlamentets gråa kontor mottog vi ett argsint mejl som menade att mina ändringsyrkanden riskerade att skapa en typ av "auto-kvalifikation" som skulle göra allting giltigt jämt. Min personal bokade ett möte åt mig med de franska notarierna så fort som möjligt, men fick bara träffa en Brysselbaserad assistent. Han hörde inte av sig igen efteråt, även om jag inte upplevde att han på något sätt var fientlig mot min argumentation att fransk beviskvalifikation naturligtvis kan fortsätta gälla i Frankrike även om en EU-lag etablerar vissa marknadsnormer för certifikatutfärdare. Det här handlar inte om att ändra franska bevisföringsregler, utan om att skapa en bra marknadsmodell för certifikatutgivning.
Vid det här laget hade notarierna dock redan infiltrerat de franska konservativa rankerna, för vi tappade i slutändan frågan mot EPP-gruppen som valde en mindre transparent linje. Senare fick jag höra att de franska notarierna också har börjat ge sig in i andra IT-frågor, även om det var ospecificerat exakt vilka.
Franska notarier är en oerhört viktig grupp i Frankrike och de går i god för större delen av den franska administrationen samt avtalsskrivande. Många avtal kan inte slutas annat än i närvaro av en notarie, till exempel, och vissa typer av dokument anses definitivt giltiga inför domstolar om de slutits i närvaron av en notarie. Det vill säga - man kan inte ifrågasätta giltigheten i någonting som en notarie bevittnat. Det ger också notarierna en oerhört stor makt över juridiska processer, och den sortens oantastliga legitimitet är ingenting vi är vana vid att ge tjänstemän i Sverige. I Sverige anser vi istället att alla bevis kan ifrågasättas i domstol, oavsett hur de skapats. Det är en annorlunda rättstradition.
En väldigt underlig grej är dock att notarier i fransk rätt, spansk rätt och i de flesta system där de uppbär en viktigare roll, inte kan tabba sig. De är strikt ansvariga för allt de gör. Om de gör ett misstag så är de alltid juridiskt skyldiga för det misstaget, oavsett om alla omständigheter låg utanför deras egen kontroll. Notarier gör per definition alltid rätt eftersom de är utsedda av staten att göra rätt. I e-legitimationsförordningen kan dock kvalificerade certifikat vara felaktigt utfärdade av misstag: det finns inget motsvarande strikt ansvar för kvalificerade certifikat att vara rätt, som det finns för notarier som verkar i verkligheten. Det är listigt och dumt av de franska notarierna att avsäga sig sitt strikta ansvar på det sättet, och visar att nätet ofta missbrukas av starka intressegrupper för att skaffa sig fördelar gentemot svagare intressegrupper. Olyckligare är att politiker inte agerar mot detta, eftersom vi i slutändan bär ansvaret för att samhällets olika konfliktlösningsmetoder faktiskt fungerar för medborgarna.
Add new comment