När Freja lanserades 2017 och ansökte om att bli en statligt godkänd e-legitimation fanns begränsingar kring vilka tillitsnivåer man kunde ansöka om i det statliga tillitsramverket. Det fanns också krav på svenskt personnummer. I takt med att Freja har utvecklats till en internationell e-legitimation har också tillitsramverket anpassats vilket är goda nyheter för den digitala inkluderingen, men gör det samtidigt lite svårt att förklara de olika nivåerna. I denna artikel ska vi försöka reda ut begreppen.
Ett begränsat regelverk 2017
När vi skickade in en ansökan om att bli en godkänd svensk e-legitimation hösten 2017 fanns det endast möjligheten att ansöka på tillitsnivå 3 och 4 (LOA3 & LOA4). Tillitsramverket nämnde LOA1 och LOA2 men hade ingen process för en utfärdare att pröva sig mot för dessa nivåer. Eftersom Freja såg en möjlighet att erbjuda en e-legitimation för olika tillitsnivåer för olika sammanhang byggde vi tjänsten för detta, även om vi då endast kunde ansöka om LOA3.
Freja+ fick det ursprungliga godkännandet
Freja skapades med tre olika tillitsnivåer som kom att kallas Freja Bas, Freja Extended och Freja Plus. Tanken var att de skulle motsvara LOA1, LOA2 och LOA3. Eftersom endast LOA3 gick att ansöka om blev därmed Freja+ den nivå som blev godkänd.
Utökat godkännande för utflyttade
Kraven för att få Freja+ var ursprungligen att användaren hade svenskt personnummer samt var folkbokförd i Statens Personadressregister SPAR. Detta innebar att personer som var utflyttade från Sverige och därmed gallrade från SPAR inte kunde få Freja+. Detta förändrades dock när SPAR gav utökad möjlighet för en användare att återaktivera sig i SPAR och därmed kunna få Freja+.
Utökat godkännande för samordningsnummer
Nästa steg blev att Freja ansökte om att bli godkända för LOA3 för personer med styrkt samordningsnummer vilket Digg godkände 2023. Godkännandet omfattar personer från EU/EES som har ett styrkt samordningsnummer och finns registrerade med en bostadsadress i SPAR. Denna adress behöver inte vara i Sverige. Dessa användare kan få Freja+.
Utländska användare på LOA3
Freja fortsatte med att skapa en internationell e-legitimation och kunde i slutet på 2024 få klart med godkännande på LOA3 för användare från i princip hela värden. Detta godkännande bygger på att användaren registrerar sig med ett biometriskt pass och att Freja kan göra ett antal regulatoriska kontroller. Detta innebär att Freja nu kan utfärda en e-legitimation på LOA3 till användare från 170 länder. Dock kan vi inte kalla denna e-legitimation Freja+ eftersom en kvarleva från det ursprungliga godkännandet för Freja+ kräver personnummer eller samordningsnummer i SPAR. Så den internationella e-legitimationen är på tillitsnivå 3 men på kontonivå Freja Extended, medan den svenska e-legitimationen är på tillitsnivå men kontonivå Freja Plus.
Varför inte en och samma nivå?
I Frejas strävan att skapa en inkluderande och internationellt skalbar e-legitimation har regelverket i viss mån följt med, men inte hela vägen. Detta gör att vi måste skilja på kontonivåer och tillitsnivåer som våra godkännanden ser ut i nuläget. Men för er som har e-tjänster med e-legitimation är det i praktiken inget som hindrar er att ta in användare från samtliga 170 länder på LOA3 med Freja.
Detta förutsätter dock att ni kan hantera användare utan personnummer och samordningsnummer, något som en del myndigheter fortfarande inte har löst. Det gör i sin tur att det inte alltid är e-legitimationen som står i vägen för en användare som vill använda en e-tjänst, utan tillgången till personnummer. Detta kan man bland annat lösa med Freja-attributet UPI (Unik Personlig Identifierare) men så länge man har ett krav på att användaren ska ha svenskt personnummer eller styrkt samordningsnummer, då är det fortfarande Freja+ som gäller.
