ISRN LIU-IEI-FIL-A--11/01066—SE
E-delegationen och studenter
- En studie om eID nu och i framtiden
E-delegation and students
- A study on eID present and future
Karl Eriksson
Tommy Talén
Vårterminen 2011
Handledare
Ulf Melin
Informatik/Masterprogrammet i IT och Management
Institutionen för ekonomisk och industriell utveckling
Sammanfattning
E-delegationen har tagit fram ett förslag på framtidens e-legitimationer (SOU 2010:104). Detta förslag
handlar om övergripande infrastruktur och ramavtal för framtida eID-lösningar (e-legitimation
hädanefter kallat eID) och är utgångspunkten för vår rapport.
Denna uppsats är en kvalitativ studie av studenters syn på eID där vi sett att abduktion passar studien
bäst.
Genom fokusgrupper innehållande studenter från blandade utbildningar vid Linköpings universitet har vi
tagit reda på hur de använder eID i dagsläget, samt hur de ser på eID i relation till användbarhet,
säkerhet och förtroende. Dessa två frågeställningar relateras och jämförs i första hand med relevant
teori för att få reda på skillnader och likheter.
Den tredje frågeställningen handlar om hur studenternas syn på framtida eID skiljer sig från den vision
som e-delegationen har angående detta. Vi försöker här komplettera och kontrastera e-delegationens
förslag med hjälp av studenternas tankar och idéer.
Denna studie visar på att e-delegationens förslag är relativt övergripande och odetaljerat. Våra
slutsatser handlar således om hur studenter använder eID rent praktiskt i dagsläget, samt hur de ser på
användbarhet, säkerhet och förtroende i sitt användande av eID. De kompletterande och
kontrasterande slutsatser vi dragit handlar om hur studenter ser på framtiden när det gäller eID, vilka
tjänster de skulle vilja se, på ett mer detaljerat plan än vad som beskrivs i förslaget.
Förord
Efter totalt sett fyra års studier, tre av dessa på det systemvetenskapliga kandidatprogrammet och det
sista på IT och management på magisternivå är det nu dags att vända blad i och med denna studie.
Vi valde detta ämne av två anledningar. Den första handlar om ett intresse för denna typ av tjänster.
Den andra anledningen har att göra med att svenskt eID är inne i en intressant förändringsfas med ny
infrastruktur, ramverk tjänster och aktörer. Med anledning av detta tycker vi att det är intressant att ta
reda på hur studenter ser på detta ämne, kanske också för att se hur våra personliga åsikter står sig mot
övriga studenter.
Denna uppsats har satt vårt förstående på prov ett flertal gånger, särskilt i början när vi skulle reda ut
diverse byråkratiska begrepp samt nedlagda och omstrukturerade nämnder med mera. I slutskedet
tycker vi dock att vi fått en klarare bild över ämnet och vad studenter egentligen tycker och tänker om
eID. Kontrasten mellan e-delegationens tankar om framtiden och studenterna är bitvis ganska tydlig,
men ibland också sammanflätad.
Vi vill här också passa på att tacka alla som på något sätt hjälpt till under studiens gång. Särskilt vill vi
tacka vår handledare Ulf Melin för värdefulla synpunkter, vägvisning och handledning under arbetets
gång. Vi ser också att Fredrik Söderström förtjänar ett tack för initiala förslag på riktningar denna studie
skulle kunna ta. Vi vill även tacka de studenter som ställde upp som respondenter i våra fokusgrupper.
Utan er hade denna studie blivit betydligt grundare och inte bidragit till en särskilt bra förståelse.
Linköping, juni 2011
Karl Eriksson & Tommy Talén
Innehåll
1 Inledning .................................................................................................................................................... 1
1.1
Bakgrund ......................................................................................................................................... 1
1.2 Frågeställningar................................................................................................................................... 2
1.3 Syfte .................................................................................................................................................... 3
1.4 Avgränsning......................................................................................................................................... 3
1.5 Målgrupp ............................................................................................................................................. 3
1.6 Disposition .......................................................................................................................................... 4
1.7 Källhantering ....................................................................................................................................... 5
2 Ansats ......................................................................................................................................................... 7
2.1 Filosofiska grundantaganden .............................................................................................................. 7
2.1.1 Positivism ..................................................................................................................................... 7
2.1.2 Hermeneutik ................................................................................................................................ 8
2.2 Förförståelse ....................................................................................................................................... 9
2.3 Forskning ........................................................................................................................................... 10
2.3.1 Kvalitativ metod ......................................................................................................................... 10
2.3.2 Kvantitativ metod ...................................................................................................................... 10
2.3.3 Jämförelse av kvalitativ och kvantitativ metod ......................................................................... 11
2.4 Reliabilitet och validitet .................................................................................................................... 12
2.4.1 Explorativ metod ........................................................................................................................ 12
2.5 Förståelse- och förklaringsansatser .................................................................................................. 13
2.5.1 Deduktion................................................................................................................................... 13
2.5.2 Induktion .................................................................................................................................... 13
2.5.3 Abduktion................................................................................................................................... 13
2.6 Teorins roll ........................................................................................................................................ 14
2.7 Datainsamlingstekniker..................................................................................................................... 15
2.7.1 Fokusgrupper ............................................................................................................................. 15
2.8 Ansats för dataanalys ........................................................................................................................ 17
2.8.1 Vår förförståelse ........................................................................................................................ 17
2.8.2 Val av forskningsmetoder .......................................................................................................... 18
2.8.3 Val av vetenskapligt teoretiskt perspektiv ................................................................................. 18
2.8.4 Metodval .................................................................................................................................... 19
2.8.5 Vår anpassning av reliabilitet och validitet ................................................................................ 19
2.8.6 Val av datainsamlingsteknik ....................................................................................................... 20
2.9 Kritik .................................................................................................................................................. 22
2.9.1 Metodkritik ................................................................................................................................ 22
2.9.2 Källkritik...................................................................................................................................... 22
2.9.3 Fokusgruppskritik ....................................................................................................................... 22
3 Teoretisk referensram.............................................................................................................................. 26
3.1 Användbarhet ................................................................................................................................... 26
3.1.1 Synen på användbarhet ............................................................................................................. 26
3.1.2 Praktisk användning av begreppet............................................................................................. 28
3.1.3 Plattformsoberoende ................................................................................................................. 30
3.1.4 E-tjänsteutvecklarens fokus på användbarhet .......................................................................... 31
3.1.5 Aktörers behov av e-tjänster ..................................................................................................... 32
3.2 Signaturens historia .......................................................................................................................... 33
3.3 eID idag ............................................................................................................................................. 34
3.3.1 Användning ................................................................................................................................ 34
3.4 Säkerhet ............................................................................................................................................ 37
3.4.1 Public key infrastructure ............................................................................................................ 37
3.4.2 Regelverk.................................................................................................................................... 38
3.4.3 Autentisering/identifiering ........................................................................................................ 38
3.4.4 Signering..................................................................................................................................... 41
3.4.5 Kryptering................................................................................................................................... 42
3.5 Förtroende ........................................................................................................................................ 44
3.5.1 Förtroende över Internet ........................................................................................................... 45
3.5.2 Lagrum ....................................................................................................................................... 46
4 Empiri ....................................................................................................................................................... 51
4.1 Framtida eID-lösningar...................................................................................................................... 51
4.1.1 Bakgrund .................................................................................................................................... 51
4.1.2 Förslaget..................................................................................................................................... 52
4.1.3 Identitetsutfärdare..................................................................................................................... 53
4.1.4 Anvisningstjänster ...................................................................................................................... 54
4.1.5 Signeringstjänster ...................................................................................................................... 55
4.1.6 Tillitsramverk.............................................................................................................................. 55
4.1.7 Personuppgifter inom infrastrukturen....................................................................................... 55
4.2 Fokusgruppsintervjuer ...................................................................................................................... 58
4.2.1 Användbarhet ............................................................................................................................ 59
4.2.2 Säkerhet ..................................................................................................................................... 65
4.2.3 Förtroende ................................................................................................................................. 67
4.2.4 Framtid ....................................................................................................................................... 70
5 Analys ....................................................................................................................................................... 73
5.1 Användbarhet ................................................................................................................................... 74
5.1.1 Det första intrycket .................................................................................................................... 74
5.1.2 ISO-standard .............................................................................................................................. 74
5.1.3 Flexibilitet................................................................................................................................... 75
5.1.4 Attityd ........................................................................................................................................ 77
5.1.5 Användningsfrekvens ................................................................................................................. 78
5.1.6 Elektronisk eller traditionell inmatning?.................................................................................... 79
5.1.7 Byta utfärdare? .......................................................................................................................... 80
5.2 Säkerhet ............................................................................................................................................ 82
5.2.1 Hårda eller mjuka certifikat?...................................................................................................... 82
5.2.2 Utbredd användning? ................................................................................................................ 85
5.2.3 Elektronisk kontra analog signering ........................................................................................... 85
5.3 Förtroende ........................................................................................................................................ 88
5.4 Framtiden .......................................................................................................................................... 91
5.4.1 En eller flera aktörer? ................................................................................................................ 91
5.4.2 Framtida tjänster ....................................................................................................................... 93
6 Slutsats ..................................................................................................................................................... 97
6.1 Hur använder studenter eID i dag? ................................................................................................... 97
6.1.1 Användningsfrekvens ................................................................................................................. 97
6.1.2 Hårda och mjuka certifikat ......................................................................................................... 98
6.1.3 Plattformar ................................................................................................................................. 99
6.2 Hur tycker studenter att eID fungerar idag med tanke på användbarhet, säkerhet och förtroende?
.............................................................................................................................................................. 101
6.2.1 Användbarhet .......................................................................................................................... 101
6.2.2 Säkerhet ................................................................................................................................... 104
6.2.3 Förtroende ............................................................................................................................... 106
6.3 Hur kan e-delegationens syn på framtida eID kompletteras och kontrasteras utifrån studenters syn
på eID enligt ovan? ............................................................................................................................... 107
6.3.1 Aktörer ..................................................................................................................................... 108
6.3.2 Tjänster .................................................................................................................................... 109
6.3.3 Användbarhet .......................................................................................................................... 109
6.3.4 Säkerhet ................................................................................................................................... 110
6.3.5 Förtroende ............................................................................................................................... 110
6.4 Huvudpunkter ................................................................................................................................. 110
7 Reflektion ............................................................................................................................................... 112
7.1 Resultaten ....................................................................................................................................... 112
7.2 Genomförande ................................................................................................................................ 112
7.3 Fortsatt forskning ............................................................................................................................ 113
Referenser ................................................................................................................................................. 115
Bilaga ......................................................................................................................................................... 123
Figurer:
Figur 1. Studiens disposition ......................................................................................................................... 4
Figur 2. Hermeneutisk spiral (Fritt från Eriksson & Wiedersheim-Paul, 1997) ............................................. 9
Figur 3. Abduktion (Fritt från Alvesson & Sköldberg, 2008) ....................................................................... 14
Figur 4. Beskrivning av komponenter i ISO 9241-11 (Santai.nu) ................................................................ 27
Figur 5. Plattformsberoende mjuka certifikat (Fritt från bankid.com, 2011) ............................................. 30
Figur 6. Plattformsberoende hårda certifikat (Fritt från bankid.com, 2011) .............................................. 31
Figur 7. eID ärende inom en myndighet (Verva, 2008)............................................................................... 36
Figur 8. Grunderna i PKI (Fritt från Tallberg & Vilhelmsson, 2010) ............................................................ 37
Figur 9. Certifikathantering (Fritt från Nätverk och kommunikation, 2001) .............................................. 44
Figur 10. Flöde av uppgifter och handlingar (SOU 2010:104)..................................................................... 56
Figur 11. Disposition för analys ................................................................................................................... 73
Tabeller:
Tabell 1. Jämförelse kvalitativ/kvantitativ metod (Fritt från Gunneng, 2006) ........................................... 11
Tabell 2. Skillnad mellan fysisk och elektronisk ID-handling (Fritt från Halvarsson & Morin, 2000) .......... 39
Tabell 3. Skillnader mellan elektroniska och digitala signatur (Fritt från Halvarsson & Morin, 2000) ....... 41
Tabell 4. Definitioner enligt lagen. (Fritt från Lagen.se, 2001) ................................................................... 48
Tabell 5. Fokusgrupp blandade utbildningar .............................................................................................. 58
Tabell 6. Fokusgrupp IT-relaterad utbildning.............................................................................................. 58
Tabell 7. Fokusgrupp icke IT-relaterad utbildning ...................................................................................... 58
Ordlista:
CA - Certification Authority
Chrome – En webbläsare (se webbläsare)
CSN – Centrala Studiestöds Nämnden
E-delegationen – Tagit fram förslaget om framtidens eID (SOU 2010:104)
eID – Elektronisk legitimation
E-legitimationsnämnden – Har övergripande ansvar att implementera förslaget om framtidens eID
m.m.
Firefox - En webbläsare (se webbläsare)
IEC - International electrotechnical commission
Internet Explorer - En webbläsare (se webbläsare)
Jailbreaka - ”Låsa upp” en iPhone
Nexus Personal – Mjukvara/säkerhetsprogram ihop med eID-tjänsten, kan användas ihop med kortläsare
Net iD - Mjukvara/säkerhetsprogram för eID ihop med kortläsare
OS - Operativsystem
PKI - Public Key Infrastructure
PuL - Personuppgiftslagen
Pricerunner – Prisjämförelse-tjänst på Internet
Prisjakt – Prisjämförelse-tjänst på Internet
Hash-funktion - En algoritm eller matematisk funktion som gör om data till ett relativt litet heltal för att
fungera som index till en array
Roota – ”Låsa upp” en Android-telefon
Safari - En webbläsare (se webbläsare)
Smartcard – Kort (liknande kreditkort) där ett certifikat är lagrat
Smartphone - Datorlik mobiltelefon
Visa secure - Webbaserad verifiering av kortbetalningar över Internet
Webbläsare – Mjukvara för att kunna surfa på Internet
Zoovillage - Klädkedja
1 Inledning
I detta inledande kapitel kommer uppsatsens utgångspunkter klargöras. Här ska läsaren få en förståelse
för bakgrunden till studien samt dess syfte. Här presenteras även studiens frågeställningar, som
besvaras i resultatdelen.
1.1 Bakgrund
Denna studie tar sin grund i ett forskningsprojekt som utförs av Institutionen för ekonomisk och
industriell utveckling på Linköpings universitet, angående framtidens säkra elektroniska identifiering, där
denna studie ingår. Projektet och delar av studien finansieras av Myndigheten för samhällsskydd och
beredskap med start i mars 2011. Studien utgår också från det förslag e-delegationen (SOU 2101:104)
tagit fram angående framtida eID i Sverige.
Många svenskar använder idag privata och offentliga e-tjänster för att uträtta diverse ärenden på
Internet. Det kan han handla om att deklarera eller att söka studiebidrag. Många av dessa e-tjänster
kräver någon form av identifiering för att komma åt vissa funktioner. Det är här eID kommer in i bilden.
eID är ett sätt att identifiera sig på Internet, det är den elektroniska versionen av ID-kort eller körkort.
Kända lösningar på eID är hårda och mjuka certifikat. De hårda certifikaten är sådana som bygger på en
fysisk lösning, till exempel ett smartcard. Ett mjukt certifikat är en fil som installeras på en dator. Enligt
den av regeringen tillsatta e-delegationens utredning (SOU 2010:104, om bildandet av en elegitimationsnämnd) så fungerar den lösning som finns idag relativt bra och i en internationell
jämförelse är det förhållandevis många svenskar som kan utföra legitimering och underskrift i en
elektronisk miljö. Enligt utredningen (SOU 2010:104) finns det dock en del brister, där en av de främsta
är avsaknad av en gemensam infrastruktur för identifiering, vilket försvårar och hämmar utvecklingen av
e-tjänster, till exempel att dagens modell är ett system som inte öppnar upp för nya möjliga aktörer att
komma in på marknaden och därigenom bidra till en mångfald. Vidare bygger dagens modell på
upphandlingar, där den nuvarande går ut i mitten av 2012 utan möjlighet att förlängas. (SOU 2010:104)
Vissa spekulationer finns dock om att dessa upphandlingar skulle kunna förlängas till år 2016.
(Söderström, 2011)
1
Det är detta som är upptakten till vår studie. Vi inleder med en relativt bred allmän syn på eID, för att få
en grundläggande bild av ämnet, för att sedan smalna av det hela. Huvudperspektiven användbarhet,
säkerhet och förtroende kopplas till relevant teori av bland andra Nielsen (2001), Halvarsson & Morin
(2000) och Soltesz & Lundblad (1998). Genom fokusgrupper försöker vi ta reda på vad studenter vid
Linköpings universitet tycker om eID och hur de använder det. Även här gör vi kopplingar till de
ovanstående perspektiven. Detta anser vi som relevant med tanke på att majoriteten av studenterna på
ett eller annat sätt kommer i kontakt med CSN (Centrala Studiestödsnämnden) under sin studietid. CSN
har till uppgift att besluta om – och betala ut studiestöd i Sverige. För vissa av CSN:s e-tjänster krävs
inloggning med hjälp av eID, till exempel för att lämna studieförsäkran. Just CSN är en relativt
framstående aktör inom offentlighetens leverans av säkra e-tjänster till framför allt studenter. Vi känner
att denna aktör är en naturlig motpart till studenter när det handlar om eID och är därför intressant att
ha som utgångspunkt i vår fokusgruppsundersökning.
I och med att e-delegationen har tagit fram ett förslag på hur de tänker sig att eID ska se ut och fungera i
framtiden (SOU 2010:104) så ser vi det också relevant att göra en jämförelse mellan hur studenter och
e-delegationen ser på detta framtidsscenario.
1.2 Frågeställningar
Utifrån ovanstående resonemang är det följande frågor inom området eID vi tänker besvara i denna
studie. Vi öppnar med en relativt bred frågeställning om studenternas allmänna användning av eID för
att sedan smalna av dessa genom våra tre huvudperspektiv.
●
Hur använder studenter eID idag?
●
Hur tycker studenter att eID fungerar i dag med tanke på användbarhet, säkerhet och
förtroende?
●
Hur kan e-delegationens syn på framtida eID kompletteras och kontrasteras utifrån
studenternas syn på eID enligt ovan?
2
1.3 Syfte
Utifrån perspektiven användbarhet, säkerhet och förtroende är syftet med denna studie är att
undersöka hur studenter vid Linköpings universitet använder eID i sin vardag. Vi vill också veta hur de
ser på framtiden när det gäller eID. Vidare syfte är att jämföra studenternas syn på eID med den syn som
e-delegationen har om detta ämne, med anledning av e-delegationens förslag om framtidens eID. Vi vill
veta hur eventuella skiljaktigheter förhåller sig mellan dessa parter. Vi vill få reda på vad studenter anser
om användbarhet, säkerhet och förtroende inom detta område och jämföra detta med relevant teori. Vi
vill också undersöka skillnader mellan de fokusgruppsundersökningar vi gjort (blandade utbildningar, ITrelaterad utbildning och icke IT-relaterad utbildning), vilket kommer att bidra till en mer nyanserad bild
av hur studenter använder sig av – och anser om eID.
1.4 Avgränsning
E-delegationens förslag på ny eID behandlar övergripande infrastruktur och ramverk. Detta är något vi
avgränsar oss från i den mån att vi inte undersöker övergripande aspekter, utan koncentrerar oss på
användande av eID. Vi kommer också att begränsa denna studie till eID i Sverige. Urvalsgruppen när det
gäller eID kommer att begränsas till studenter vid Linköpings universitet, antalet fokusgrupper har vi
begränsat till tre stycken, då vi anser att vi fått tillräcklig spridning med dessa tre. Djupare tekniska
frågor om eID kommer vi inte att behandla i studien, till exempel vilka plattformar eID är uppbyggda på.
Relevanta lagar i relation till eID kommer att behandlas, men då enbart på ett ytligt plan. Vi kommer
heller inte att undersöka politiska/rättsliga aspekter inom eID.
1.5 Målgrupp
Vi tänker oss att målgruppen för magisteruppsatsen är studenter (särskilt de som har lån/bidrag från
CSN), men även andra som kan ha intresse av hur eID egentligen fungerar. Det kan vara politiker,
offentligt anställda eller “vanliga” människor som använder eID privat. Då denna uppsats ingår i ett
större forskningsprojekt på Linköpings universitet, anser vi dels att vår uppdragsgivare och dels
forskningens målgrupp, till viss del är vår målgrupp också. Här ser vi till exempel e-delegationen, elegitimationsnämnden, eID-utfärdare och e-tjänsteleverantörer.
3
1.6 Disposition
Figur 1. Studiens disposition
Inledningskapitlet behandlar studiens bakgrund till området eID, samt det syfte som leder fram till de
frågeställningar vi ämnar besvara. I det andra kapitlet, metod, presenteras grundläggande metodteori,
datainsamling och ansats, samt hur vi förhåller oss till dessa. I teorikapitlet presenterar vi relevant teori
om ämnena användbarhet, säkerhet och förtroende. Empirikapitlet behandlar e-delegationens förslag
4
på ny eID och de fokusgruppsintervjuer vi genomfört. I analyskapitlet jämför vi den information vi fått
fram i våra fokusgruppsundersökningar med teorin och e-delegationens förslag på framtidens eID.
I slutsatskapitlet ger vi svar på de frågor vi ställde i inledningskapitlet. I sista kapitlet reflekterar vi över
slutsatsen och lärdomar från arbetet med uppsatsen. Här ger vi även förslag på framtida forskning inom
området eID.
1.7 Källhantering
Att vara noggrann i källhanteringen är en grundläggande förutsättning för att läsaren ska kunna sätta sig
in i ämnet, hitta källorna och kontrollera sakuppgifter. Allt som är av saklig betydelse ska beläggas om de
inte är författarens egna tankegångar. Det får inte råda någon tvekan om vad som hämtats från andra
författare och vad som är författarens egna omdömen och slutsatser. Om denna hänvisning saknas så
har läsaren rätt att utgå från att det är författarens egen analys och tolkning. (lu.se, 2009)
De två vanligaste referenssystemen i modern forskning är Harvard-systemet och Oxford-systemet.
 Harvard-systemet går ut på att författaren sätter hänvisningar inom parantes i den löpande texten.
 Oxford-systemet utnyttjar noter, som antingen placeras längst ned under texten på varje sida eller
efter varje kapitel. (lu.se, 2009)
Vi har i denna studie valt att använda oss av Harvard-systemet. Detta har vi gjort på grund av att vi
tycker det är lättare att hänga med i texten när det går att veta vem författaren har refererat till, direkt i
texten i stället för att bläddra ner till slutet på sidan för att får reda på vad källan är.
5
6
2 Ansats
I detta kapitel presenterar vi ett antal förhållningssätt till forskning samt hur vi förhåller oss till de teorier
och metoder som finns inom området. Här beskrivs också de instrument och tekniker som vi använt oss
av vid insamling och analys av data.
2.1 Filosofiska grundantaganden
I teorin om kunskap, metoder och validitet finns bland annat två teoretiska vetenskapliga plattformar:
Positivism och hermeneutik (Svenning, 2003). Dessa två presenteras som antagonister till varandra, då
positivismen beskrivs som grunden för det vetenskapliga idealet inom forskning, medan hermeneutik
ligger till grund för ett alternativt forskningsideal. (Lundahl & Skärvad, 1999).
2.1.1 Positivism
Positivism, som även kallas för den logiska positivismen, strävar efter att nå absolut kunskap. Detta
innebär att vetenskapen måste bygga på säker kunskap. För att uppnå denna säkra kunskap måste
forskningen baseras på fakta och är antingen empirisk eller logisk. (Thurén, 2007). Alla påståenden som
faller utanför det accepterade förnuftet och som är baserad på erfarenhet, som positivismen, är
kognitivt meningslös. Kognitivt meningslös innebär att ett påstående inte nödvändigtvis behöver vara
falskt, det är bara inte värdeskapande. (Gilje & Grimen, 1992)
Positivismen grundar sig huvudsakligen på fem principer som måste vara uppfyllda för att metoden ska
anses vara vetenskaplig. (Gilje & Grimen, 1992)
●
Bara det som kan bekräftas genom sunt förnuft kan senare betraktas som kunskap.
●
Forskningen måste också vara deduktiv, så det är möjligt att generera hypoteser som sedan kan
undersökas.
●
Kunskap uppnås genom att samla in data som grund till att hitta regelbundenheter.
●
Använd det mest objektiva tillvägagångssättet som möjligt.
●
Den femte och sista principen handlar om de tydliga skillnaderna mellan vetenskapliga och
normativa påståenden. Enligt positivisterna är det vetenskapliga påståendet det enda av värde.
7
2.1.2 Hermeneutik
Hermeneutik bygger på idén att alla tänker, känner och uppfattar saker annorlunda. (Thurén, 2007)
Människor tolkar saker från kulturella och sociala förutsättningar, vilket ofta innebär att slutsatser
baseras på förförståelse. Det finns inga behov av tydliga svar, då svar på frågor kommer från
betraktarens synvinkel. (Gilje & Grimen, 1992)
Thurén (2007) menar att betydelsen av att sätta tolkningen i rätt sammanhang är viktig, då andra
människor inte alltid har samma upplevelser som forskaren själv. Författaren beskriver den här
tolkningen som två problem inom den hermeneutiska ansatsen där projektion och kontext ingår.
Projektion där det oreflekterade antagandet ingår och kontext där andra människors upplevelse
innefattas.
Den positivistiska kritikern skulle kunna hävda att den hermeneutisktiska tolkningen enbart gäller i
kontexten, då det är där den upptäcks. Ifrån hermeneutikens synvinkel skulle tolkningen istället ses som
förståelsen och därför betecknas som en kunskapskälla. (Thurén, 2007)
Hermeneutik används utifrån empirism, logik och empati. Vissa fenomen kan inte förklaras med logik
och empirism, vilket ibland beror på att rätt bakgrundsinformation saknas för att uppnå förståelse.
Hermeneutik syftar till att skapa en meningsfull bild av verkligheten där kärnan i hermeneutiken handlar
om att försöka härleda och analysera resultatet från samma perspektiv som källan hade. (Thurén, 2007)
En text bör i åtanke därför läsas utifrån författarens perspektiv. (Bryman, 2002)
2.1.2.1 Den hermeneutistiska spiralen
För att skapa en helhetsförståelse inom ett undersökningsområde vid hermeneutistiska tillvägagångssätt
finns det en modell som beskriver hur tolkningen från text till bild ser ut, se figur 2 nedan.
Utgångspunkten är att forskaren förstår en annan persons handlingar, vilket skiljer sig ifrån positivismen,
som har ett objektivt synsätt, där hermeneutiken istället har ett subjektivt synsätt. (Thurén, 2007) Detta
kan vara en fördel då de ”mjuka” faktorerna ska räknas in i undersökningen, men kan också ställa till det
vid sanningsvärdet av undersökningen, då förutfattade meningar och neutraliteten inom ett
hermeneutistiskt förhållningssätt kan ifrågasättas.
8
Figur 2. Hermeneutisk spiral (Fritt från Eriksson & Wiedersheim-Paul, 1997. s.220)
2.2 Förförståelse
Langefors (1995) beskriver förförståelse som de data människor tolkar olika utifrån ett
informationssystem. Det finns ett problem när två människor läser samma text ändå tolkar texten olika.
Detta har att göra med den förförståelse som finns hos människor. Langefors (1995) menar också att en
viss typ av data kan vara relevant för endast en viss typ av människor som exempelvis jobbar inom
samma verksamhet eller avdelning (lokalt). Denna grupp har då en typ av förförståelse som kan skilja sig
från en person som ska tolka samma information utanför den lokala verksamheten eller avdelningen.
En förförståelse krävs för att vi ska förstå den beskrivna situationen i fråga. Langemar (2008) beskriver
vidare att det är en förutsättning att förförståelse finns samtidigt som det sätter gränser för vad vi kan
förstå. Hon menar att allt vi tror och vet om vårt ämne före undersökningen ingår i vår förförståelse.
Teoretisk kunskap, språkkunskap, förutfattade meningar och egna erfarenheter. Rent språkligt måste vi
förstå varandra vid exempelvis intervjuer om det ska ge ett givande resultat för forskaren. Även att
språket är en del av kulturen och innefattar individens sätt att se på verkligheten spelar in i
förförståelsen.
Fler synsätt på förförståelse är förståelsen människan har innan denne försöker förstå ämnet i fråga,
oavsett rådande miljö eller situation. Förförståelsen kan däremot med olika bemärkelser kallas både för
sunt förnuft eller fördomar beroende på situation. Förförståelsen finns alltid med oss hur än begreppet
9
förklaras och är sammankopplat till det perspektiv forskaren medvetet eller omedvetet förhåller sig till.
(Gummesson, 1985)
2.3 Forskning
Vi kommer här presentera några forskningsmetoder som vi anser vara relevanta till det undersökta
ämnet. Val av metod kommer vi senare presentera under rubriken ansats för dataanalys.
2.3.1 Kvalitativ metod
Inom samhällsvetenskapen har den kvantitativa metoden varit dominerande fram till 1970-talet, då den
kvalitativa metoden istället blev mer meningsfull. (Bryman, 2002). Målsättningen med den kvalitativa
metoden är att skapa en djupare förståelse kopplat till det ämnet som ska studeras. (Holme & Solvang,
1997) Detta innebär att en bild av studiens ämnesområde skapas istället för att försöka kvantifiera det,
vilket innebär att denna metod är mer tolkande än den kvantitativa metoden. Exempelvis om en
organisation ska studeras och forskaren vill ta reda på de sociala aspekterna och samspelet inom
verksamheten, är den kvalitativa metoden att föredra, eftersom till exempel intervjuer kan användas i
forskningen (Bryman, 2002).
2.3.2 Kvantitativ metod
Inom den kvantitativa forskningen används en hypotetisk-deduktiv metod där en hypotes ställs upp som
sedan testas emot de observationer som görs under kontrollerade former. Vanliga typer av
undersökning i detta fall kan vara experiment och enkäter. De fenomen som undersöks är mätbara
alternativt definieras på ett sätt som gör dem mätbara. De data som samlas in analyseras statistiskt för
att sedan sammanställas i kvantitativt resultat. (Gunneng, 2006)
Syftet med den kvantitativa metoden är alltså att göra olika mätningar. Det finns tre huvudsakliga skäl
till varför detta är intressant:

Förmågan att beskriva små skillnader inom en grupp: Vanligtvis ses skillnaderna
mellan de grövre kategoriseringar, men det är mycket svårare att hitta små skillnader.
10

Mätningen fungerar som ett mått på hur stora eller små skillnaderna är inom en kategori: Det är
viktigt att använda en mätmetod som inte förändras med
tiden, detta eftersom den också bör kunna användas av en annan person.

Mätningarna används också för att skapa mer tillförlitliga och detaljerade uppskattningar mellan
olika anslutningar, för att bättre se relationen mellan de olika kategorier och vilka faktorer som
kan påverka. (Bryman, 2002)
2.3.3 Jämförelse av kvalitativ och kvantitativ metod
Den stora skillnaden är mellan de båda metoderna är att den kvantitativa metoden är deduktiv och den
kvalitativa är induktiv. En annan stor skillnad är att den kvalitativa metoden fokuserar på tolkningar av
situationer, som kan jämföras med den kvantitativa metoden som mer används för att ta reda på det
genomsnittliga i situationen, sådant som är mätbart. Fokuseringen i den kvalitativa metoden ligger
istället på att skapa en förståelse för hur de studerade objekten tolkar sin omgivning samt vad de
studerade objekten från undersökningen innebär för forskaren ur ett tolkande perspektiv. Genom den
kvalitativa metoden ses sociala egenskaper som kan resulterar i en interaktion mellan individer. Den
kvantitativa metoden har istället ett bredare omfång, vilket ofta innebär mindre information om många
istället för mer information om färre, se tabell 1 nedan. (Bryman, 2002)
Tabell 1. Jämförelse kvalitativ/kvantitativ metod (Fritt från text av Gunneng, 2006)
Jämförelse mellan kvalitativ och kvantitativ metod
Kvalitativ
Kvantitativ
Induktion
Deduktion
Utifrån empiri undersöks begrepp.
Empiri studeras utifrån begrepp.
Ostrukturerad
Strukturerad
Proceduren, datainsamlingen och frågeställningen Datainsamlingen och frågeställningen revideras
kan revideras under arbetets gång.
inte efter det att arbetet påbörjats.
Flexibel datainsamling som kan anpassas under
Strukturerad datainsamling.
arbetets gång.
Djup
Bredd
Ofta mycket information om få människor.
Ofta lite information om många människor.
Variation
Likhet
Teoretiskt eller strategiskt urval.
Representativt urval.
Det unika
Det genomsnittliga
Målet är att beskriva de observationer forskaren
Målet är att beskriva genomsnittet av
har.
observationerna.
11
2.4 Reliabilitet och validitet
Validitet har att göra med tolkningen av det som observeras, vilket handlar om att kalla saker för dess
rätta namn, samt studera det som från början var avsett att studeras. Grupptryck är en faktor som kan
påverka trovärdigheten, det kan handla om människor i grupp som inte säger vad de verkligen tänker
och tycker på grund av andra deltagare i gruppen som påverkar. Även utelämning av information kan
sänka trovärdigheten. I de fall icke socialt accepterade ämnen utelämnas och deltagare bara säger saker
som är social accepterade, undanhålls information för vad deltagarna egentligen tycker och tänker. Det
kan vara av skäl som artighet, rädsla eller att inte vilja genera de andra deltagarna i ett känsligt ämne.
(Wibeck, 2000)
Hög reliabilitet innebär att olika forskare oberoende av varandra har kommit fram till samma resultat då
de gör en studie inom samma ämne. Det är alltså viktigt att samma resultat vid upprepade mätningar
ska stämma överens med varandra för att få en god reliabilitet. (Wibeck, 2000)
2.4.1 Explorativ metod
Den explorativa forskningsmetoden tillämpas till studien då det fattas kunskap om det berörda ämnet.
Insamling av data som anses relevant sker då för att kunna studera problemet och gå vidare i studien. Så
mycket kunskap som möjligt hämtas in inom ett bestämt problemområde för att senare kunna belysa
problemområdet mer allsidigt. (Wallén, 1996)
Områden där ingen, eller bara begränsad forskning finns att tillgå, studeras området genom att hitta
relevanta frågeställningar om ämnet. Den explorativa metoden fungerar som en utforskande förstudie
till fortsatt forskning. (Langemar, 2008)
12
2.5 Förståelse- och förklaringsansatser
För att beskriva hur diskussioner om förklaringsmodeller förhåller sig till en akademisk skriven uppsats,
presenterar vi under denna rubrik hur begrepp inom forskning kan vara relevanta för denna uppsats.
2.5.1 Deduktion
Den deduktiva metoden fungerar omvänt till induktion som behandlas nedan. Teori undersöks först för
valt ämne för att sedan samla in empiri och hitta jämförelser med de observationer som gjorts. Detta
görs för att kunna jämföra om det observerade stämmer överens med teorin. (Jacobsen, 2002)
2.5.2 Induktion
Den induktiva metoden bygger på idén att först börja med observation för att ta reda på vetenskaplig
fakta där observationen inte ska var styrd av någon förutfattad mening eller teori. Vid analysen av det
observerade söks sedan samband. Det är då de organiserade erfarenheterna sedan ska leda till teori.
(Jacobsen, 2002)
2.5.3 Abduktion
Vid fallstudiebaserade undersökningar är abduktion en metod som ofta används. Metoden kan beskrivas
som växelvis granskning mellan empiri och teori enligt figur 3 nedan. Deduktion och induktion är med
andra ord två metoder som båda förekommer i den abduktiva metoden. Ett enskilt fall tolkas utifrån ett
hypotetiskt övergripande mönster som om det vore riktigt. Tolkningen bör efter det bestyrkas genom
nya fall (iakttagelser). Viktigt att klargöra med den abduktiva metoden är att den inte ska användas som
en mix av deduktion och induktion, utan som tidigare nämnts, användas som ett växelvis arbetsredskap
mellan dessa metoder. (Alvesson & Sköldberg, 2008)
13
Figur 3. Abduktion (Fritt från text av Alvesson & Sköldberg, 2008)
2.6 Teorins roll
Det finns tre olika användningssätt för teorins roll i en fallstudie enligt Eisenhardt (1989): Teorin som
vägledande och skapande av teoretisk referensram, teorin som en del av en iterativ process samt teori
som den slutliga produkten av en undersökning.
Teorin som används vägledande och skapande av teoretisk referensram:
Om teorin används bildas en teoretisk grund som forskarna kan hänvisa till. Det kan dock uppstå
nackdelar i avseendet att forskaren motvilligt måste ändra i befintlig teori och initiala utgångspunkter.
(Walsham, 1995 & Eisenhardt, 1989)
Teorin som del av an iterativ process:
Om teorin används kan den användas som en medelväg mellan teori som startpunkt/mål och en iterativ
process. Med denna medelväg kan forskaren revidera teori, frågeställning och metod vartefter
fallstudiens fynd ifrågasätter utgångspunkterna. Då ett iterativt användningssätt används av forskaren
har denne också möjligheten att behålla teori som startpunkt utan att fastna i dess antaganden. Ett stöd
finns för forskaren i och med denna teori då inhämtning av empiri även är möjlig. (Eisenhardt, 1989)
Teori som den slutliga produkten av en undersökning:
Vid denna teori kan testbarhet samt empirisk validitet grundas på den aktuella fallstudien. Enligt
Eisenhardt (1989) har detta flera fördelar då forskaren bland annat kan göra empirin onödigt komplex i
och med att den kan försöka få all data att passa in i teorin. Att teorin kan bli för snäv genom
14
avgränsningar är en risk som kan uppkomma då forskaren endast grundar teorin på endast en fallstudie.
(Walsham, 1995)
För att visa på att stringens mellan teori, empiri och analys finns anser Walsham (2006) att valet av teori
är viktig. Likaså för att skapa en grundläggande förståelse samt legitimitet hos forskaren i fråga.
2.7 Datainsamlingstekniker
För att ge en inblick i hur användning av intervjuer i fokusgrupper kan anpassas till vår uppsats, väljer vi
här att närmare förklara denna datainsamlingsteknik.
2.7.1 Fokusgrupper
Fokusgrupper har på senare tid använts mer och mer i publika sammanhang för att ”lyssna på folket”.
De används också som en forskningsmetod, som huvudsakligen används i sociala studier. Fokusgrupper
definieras som ett sätt att utföra gruppintervjuer, även om en fokusgrupp inte enbart kan sägas vara en
intervjuteknik. (Axelsson & Melin, 2007)
Metoden har ett antal fördelar, exempelvis att se hur människor reagerar på varandras åsikter och på så
sätt skaffa en bild av det samspel som äger rum i gruppen. Fokusgrupper stimulerar interaktionen i
gruppen och ger mer nyanserade och djupgående svar än vid traditionella intervjuer. (Andersen, 1998)
I fokusgrupper finns också en möjlighet för deltagarna att utforska varandras skäl till att ha en viss åsikt i
interaktionen med varandra. Personen i fråga kan också hålla med om något som hon eller han inte
skulle ha tänkt på utan att höra de andras uppfattningar. (Bryman & Bell, 2005)
2.7.1.1 Urval
Bryman & Bell (2005) menar att det bör finnas minst fyra personer i varje fokusgrupp och högst åtta. Ett
högre antal deltagare anses inte lämpligt då engagemanget från deltagarna kan vara lågt, på grund av
15
att det kan vara svårt att få igång en diskussion. Det kan även bli så att tillbakadragna personer inte
medverkar alls i diskussionen.
2.7.1.2 Genomförande
Den som leder fokusgruppen kallas för moderator. Till dennes hjälp bör en assistent vara närvarande.
Assistentens uppgift är att till exempel övervaka eventuell videoinspelningen eller ljudupptagning, samt
bistå moderatorn med anteckningar under intervjun. Dessa anteckningar kan behandla ämnen som av
en eller annan anledning missats, eller inte undersökts väl nog. (Bryman & Bell, 2005)
På samma sätt som när det gäller traditionella intervjuer så finns det ett antal olika utformningar. Ett bra
sätt att urskilja olika intervjutyper är att kolla på graden av standardisering. (Myers, 2009) Det finns
enligt Repstad (2007) och Myers (2009) tre stycken olika typer av intervjuer:
●
Semi-strukturerad
●
Strukturerad
●
Ostrukturerad
En semi-strukturerad intervju är en slags kombination av de två andra typer av intervju forskaren kan
använda sig av (strukturerad och ostrukturerad). I denna typ av intervju utgår intervjuaren från ett antal
för-formulerade frågor. Det finns här inga krav på att dessa frågor ska följas till punkt och pricka, inte
heller dess ordning är av större vikt, i motsats till strukturerade intervjuer, där frågorna ska följas. Denna
intervju typ är dock lite striktare än ostrukturerade intervjuer, som gränsar mer till ett regelrätt samtal
eller diskussion. (Myers, 2009)
Repstad (2007) har en liknande bild av det hela men använder sig av standardiseringar i stället.
Intervjuer med en hög grad av standardisering är ofta formella och hårt strukturerade (strukturerade
intervjuer). Dessa kan lämpa sig när forskaren vill samla in data som inte har med respondentens
tyckande och åsikter att göra. Intervjuer som innehåller en lägre grad av standardisering är oformella
och mer fritt strukturerade (ostrukturerade intervjuer). Dessa intervjuer har en tendens att bli mer som
ett samtal där respondenten ges mer utrymme att svara fritt. Denna typ av intervju är bra att använda
när forskaren vill få fram respondentens tyckande och åsikter.
16
Som Wibeck (2000) beskriver kan en skillnad göras mellan strukturerade och ostrukturerade intervjuer
vid fokusgruppsundersökningar. Det skiljer sig beroende på hur pass mycket moderatorn styr intervjun.
Ju mer eller mindre denne styr samtalet desto mer eller mindre strukturerad blir också intervjun.
Wibeck (2000) ser detta som bra om något positivt då ämnet i fråga är känsligt eller om syftet är att göra
en marknadsundersökning, utvärdering.
2.8 Ansats för dataanalys
I detta stycke presenteras och motiveras valet av de forskningsmetoder som vi tidigare presenterat, samt
varför vi anser dessa är bäst lämpade till just vår uppsats.
2.8.1 Vår förförståelse
Då kvalitativa analyser är språkliga (Langemar, 2008), kommer också vår individuella tolkning av språket
att påverka analysen. Beroende på när vi förstår något nytt så kommer detta också ingå i vår
förförståelse. Den förändrade förståelsen blir sedan utgångspunkt för ytterligare förståelse. Det här är
något som kommer ge vidare uttryck till den kvalitativa analysen tillsammans med vår empiri.
I vårt fall har vi gjort fokusgruppsintervjuer angående studenters syn kring användbarhet, säkerhet och
förtroende när det handlar om eID. Vi får på så sätt fram tankar och erfarenheter som då ökar vår
förståelse till undersökningen i fråga. Utifrån studiens start kan förförståelsen då ses utifrån den
hermeneutistiska spiralen där förförståelse, dialog, tolkning slutligen leder till nyförståelse. Till en början
består den förförståelse till viss del av den teori som finns kring ämnet men också egna erfarenheter
spelar in i förförståelsen då vi själva är användare av dessa tjänster. Ur ett explorativt perspektiv
kombinerat med hermeneutiken får en allt bättre förståelse kring ämnet ju fler intryck, reflektioner och
så vidare som vi får ta del av genom fokusgrupperna. Den här förståelsen behövs för att vi slutligen ska
kunna skapa oss en nyförståelse.
17
2.8.2 Val av forskningsmetoder
Valet vi gjort mellan de två forskningsmetoderna; kvalitativ- och kvantitativ metod har gjorts i huvudsak
utifrån uppsatsens syfte. Det vill säga att undersöka hur studenter vid Linköpings universitet använder
eID i sin vardag i förhållande till användbarhet, säkerhet och förtroende.
Tanken är att skapa en djupare förståelse i ämnet för att ta reda på studenters tankar, åsikter och
erfarenheter för att ställa dessa mot förslaget om framtidens eID. Utifrån den djupgående förståelse vi
avser att behandla i denna uppsats vill vi få fram en bild av studiens område. Enligt oss krävs därför en
kvalitativ metod då vår avsikt inte är att kvantifiera ämnet i fråga.
Om vi istället hade valt en kvantitativ metod för att ta reda på förståelse om ämnet hade vi inte fått
fram de tankar hos fokusgrupperna huruvida upplevd användbarhet, säkerhet och förtroende förhåller
sig. Vi hade då troligtvis fått reda på vad majoriteten tycker om en viss typ av fråga, och inte vad som gör
att de tycker just så.
2.8.3 Val av vetenskapligt teoretiskt perspektiv
Den här studien passar delvis in under positivism för att sedan övergå till hermeneutik. Eftersom
positivism är en uppfattning som går ut på att komma fram till grundläggande sanningar ska
naturvetenskapliga metoder användas hop med synen på den sociala verkligheten. (Giddens, 1990)
Vi vill samtidigt, som teorin om hermeneutik bland annat bygger på, skildra idéer, tankar och
uppfattningar bland de personer vi har intervjuat. Att utgå ifrån positivism för att sedan växla till
hermeneutik passar in på vår uppsats eftersom vi genom de data som framkommit i fokusgrupperna vill
framställa flera olika åsikter, då inget rätt eller fel finns på de frågor vi har ställt. För att få ett kvalitativt
intryck på de data som vi sammanställt har vi tagit hänsyn till urvalet och antal personer i varje grupp.
Det innebär att positivismen inte ser känslor, åsikter etc. på det sätt vi vill skildra. Däremot beskriver den
verkligheten så som den är. Hermeneutiken ser till strävan efter förståelse av människans livsvärld.
(Hartman, 1998) Med dessa vetenskapliga teoretiska perspektiv tror vi oss kunna skildra hur synen på
eID är samt hur den uppfattas.
18
2.8.4 Metodval
I denna studie använder vi oss av fokusgruppsintervjuer och e-delegationens förslag på framtidens eID
som empiriskt material, här har vi också författat fördefinierade frågor till fokusgrupperna (Se bilaga).
För att ska kunna ställa relevanta frågor till respondenten måste vi själva vara pålästa. Vi har därför
innan intervjuerna studerat teorier kring ämnet, därefter samlat in empirin och slutligen jämfört om
detta stämmer överens med teorin och förslaget. Vid metodval som passar oss, ligger det induktiva
synsättet oss nära i de avseenden där vi sökt samband mellan observation och vetenskaplig fakta som vi
tidigare nämnt. Utifrån att vi först undersökt teori för vårt ämne, sedan samlat in empiri vid
fokusgruppsintervjuerna har vi också använt oss av deduktion då vi efter datainsamlingen har försökt
hitta jämförelser med de observationer som gjorts.
Vi har med hänvisning till föregående stycke därför kommit fram till att ett abduktivt metodval passar
oss bäst då vi inte vill låsa in oss på en metod. Vi vill istället frambringa möjligheten att kunna växla
mellan de båda metoderna (deduktion och induktion) efter situation. Vi anser att, som Alvesson &
Sköldberg (2008) menar, är svårt att dela in all forskning i deduktion och induktion. Att istället använda
oss av abduktion ger oss en chans att successivt justera och förfina teorin för en bättre övergripande
läsning samt ger ett mer rättvist samband till analysen. Vi har också sökt ny och fördjupad teori efter
hand, när den empiriska studien har fortskridit vilket passar in under den explorativa
forskningsmetoden..
2.8.5 Vår anpassning av reliabilitet och validitet
Då vi innan intervjuerna i fokusgrupperna inte visste hur resultatet skulle se ut, var vår tanke att jämföra
resultaten med varandra ur ett reliabilitetsperspektiv. Wibeck (2000) beskriver hög reliabilitet med
forskare oberoende kommit fram till samma resultat vid studie inom samma ämne. Med hänvisning till
detta jämförande, har vi utgått ifrån att se om skillnader eller likheter skulle finnas inom de tre
fokusgrupper vi intervjuat. Vår tanke är främst att tolka det som observeras i grupperna eftersom vi är
intresserade av att få individers åsikter. Vi anser därför att genom användning av endast ett kvantitativt
mätinstrument, så som reliabilitet, skulle det ge en låg tillförlitlighet då det kopplas till våra
frågeställningar. Vi har därför gjort valet att försöka komplettera de kvantitativa mätinstrumenten med
ett kvalitativt. Tanken från början var att om ett mönster för samma resultat ges från de olika
19
fokusgrupperna, tror vi det kan öka tillförlitligheten i studien. Alltså menar vi att grupperna är
sammansatta för att ge variation. Detta ur ett perspektiv att de olika grupperna ger liknande svar trots
att de är oberoende av varandra.
2.8.6 Val av datainsamlingsteknik
Vi har valt att använda oss av flera datainsamlingsmetoder med syfte att få information från alla de
områden vi avsett granska inom ämnet eID. Till största delen har vi använt oss av litteratur, så som
artiklar, böcker, tidskrifter etc. samt utredningsrapporter och semistrukturerade fokusgrupper. De
utredningsrapporter som vi främst använt oss av kommer ifrån e-delegationen, vilket går att läsa mer
om under kapitlet litteraturgenomgång.
Vi har valt att använda oss av fokusgrupper som undersökningsmetod då vi i huvudsak vill samla in
uppfattningar och tankar kring vårt valda ämne. Att använda fokusgrupper anser vi potentiellt sett vara
ett mycket bra datainsamlingsverktyg. Det förutsätter att de fokusgrupper vi utgått ifrån vid
datainsamlingen har gett oss tillfredsställande svar som vi har kunnat arbeta vidare med vid
teoriskrivningen, vilket vi anser är fallet. Innebörden av detta är bland annat att vi fått svar på de frågor
som vi utformat till dessa fokusgrupper. Valet av struktur för hur intervjun med dessa grupper har
hanterats samt hur vi har planerat att vara semi-strukturerad, har vi valt med tanke på de förformulerade frågorna som har använts. Även innebörden att vi inte vill ha några krav på hur dessa frågor
ska följas i någon speciell ordning spelar in. Detta med anledningar av att vi bland annat velat skapa en
öppen diskussion bland respondenterna.
2.8.6.1 Genomförande av fokusgruppsintervjuer
Som moderator och assistent till de sammanlagt tre fokusgrupperna som vi genomfört, har rollerna
skiftat för att vi båda ska få en bra lärdom av genomförandet. Moderatorns roll har i vårt fall bestått av
att leda diskussionen, ställa frågor samt agera bollplank för det tankar som framkommer från
deltagarnas sida. Assistentens roll i våra fokusgrupper har bestått i att föra dokumentation, skriva ner
frågor som framkommer under diskussionen samt påminna eller stödja moderatorn i de frågor som ska
ställs.
20
När vi genomfört fokusgruppsintervjuerna har vi använt oss av fördefinierade frågor med anledning av
att hålla samma typ av intervju för alla tre fokusgrupper (se bilaga). Dessa frågor har vi utgått ifrån för
att också få stöd till en diskussion mellan deltagare i varje fokusgrupp.
Med hänsyn till att återge ett så korrekt datamaterial som möjligt har vi också gjort valet att spela in
intervjuerna för inte missa något. Tanken med detta är också att vi som forskare ska kunna gå tillbaka
och kontrollera intervjumaterialet med teorin i vår uppsats, för att på så sätt skapa en högre validitet. Vi
anser det skapar en högre grad av validitet än om vi istället skulle förlita oss på vårt minne och
anteckningar. Bryman & Bell (2005) anser dessutom att fokusgruppsintervjuer fungerar bäst om de
spelas in för att sedan transkriberas. Då det kan vara svårt att anteckna vad deltagarna säger och gör
under diskussionen så är det en fördel att videofilma. Som i traditionella intervjuer så är forskaren då
intresserade av vad människor säger och hur de säger det. Det finns en stor risk att språkliga nyanser går
förlorade om forskaren måste förlita sig helt på anteckningar.
Med start av två stycken uppgifter som gruppdeltagarna ska lösa som kräver eID-inloggning på
webbplatsen CSN.se följde därefter deltagarnas tankar, åsikter etc. för hur de upplevde användbarhet,
förtroende och säkerhet. Detta med hjälp av frågor som moderatorn ställde. Valet av CSN.se togs med
tanke på den närhet studenter troligtvis har till de e-tjänster som där erbjuds, vilket främst är studielån.
Vi ville ha en e-tjänst som är relevant till den grupp vi valt att koncentrera oss på och som studenter
mest troligt ofta kommer i kontakt med.
Efter genomförd diskussion kring de ämnen vi ville ha belysa, hade vi som ett sista moment i
fokusgruppsintervjun att få återkoppling på vad vi som fokusgruppsledare kunde ändra på till nästa
gång. Återkopplingen innefattar saker som: Vad som var bra, kunde bli bättre och liknande. Detta
moment är mycket värdefullt för oss för att kunna veta hur nästa fokusgruppsintervju kan bli ännu
bättre.
Intervjuade grupper:
Fokusgrupp 1: Studenter från blandade utbildningar
Fokusgrupp 2: Studenter från en IT-relaterad utbildning
Fokusgrupp 3: Studenter från en icke IT-relaterad utbildning
21
2.9 Kritik
Under denna punkt presenterar vi vår metodkritik, källkritik och fokusgruppskritik.
2.9.1 Metodkritik
Beroende på hur metoder tolkas och behandlas i ett uppsatsskrivande anser vi att resultatet också kan
se olika ut, beroende på hur vi har valt att utforma den här uppsatsen. I en kvalitativ uppsats som
denna, spelar med hög sannolikhet påverkan också in. Den här påverkan tror vi kan vara exempelvis
kulturell, relaterad till det program vi läser, fakultet och så vidare. Utifrån den nyförståelse vi har fått
genom vår utbildning här på Linköpings universitet spelar den här kunskapen givetvis in för vilken metod
som anses passa det syfte som vi avser uppnå med uppsatsen. På andra skolor, fakulteter och även i
andra länder ser den här kunskapen högst troligt olika ut beroende av just deras påverkan inom sin
utbildning. Även kulturellt tror vi den här påverkan kan se olika ut i olika delar av världen.
Olika synsätt kring metodval finns, men vi väljer det synsätt som vi genom vår utbildning anser vara det
rätta, kan ses som kritiskt. De metoder vi valt för vår uppsats anser vi dock är relevanta så länge vi kan
ange erkända källor samt motiverar vårt val, vilket vi också gjort. Att ange erkända källor är självklart
också en tolkningsfråga för vad som är relevant. Vi återkommer därför till det under kapitlet källkritik.
2.9.2 Källkritik
Vi har till den här uppsatsen kritiskt försökt bedöma källornas innehåll till vad som är relevant och
väsentligt för våra frågeställningar har vi försökt vara selektiva vid valet av dessa källor. Eftersom
samhället hela tiden förändras är det viktigt att bedöma om en källa från exempelvis 2001 som beskriver
ämnet säkerhet är lika relevant som en källa från 2011 vilket också behandlar säkerhet. Den här
bedömningen görs av oss beroende på om vissa tekniker ändras med tiden eller inte.
2.9.3 Fokusgruppskritik
Enligt Kvale (2009) saknar den kvalitativa forskningsintervjun objektivitet. Enligt honom grundar det sig
främst i att det mänskliga samspelet mellan respondenter och intervjuare är en del av
22
intervjusituationen. Enligt oss kommer dock användningen av fokusgrupper att öka objektiviteten då vi
som intervjuare i fokusgrupperna enbart agerar som moderatorer och assistent. Det som kan ses
problematiskt i detta fall är hur moderatorn ställer frågorna. Att inte ställa ledande frågor utan istället
ställa frågor som bidrar till egna tankar för fokusdeltagaren anser vi är viktigt för att få ett ärligt svar. Det
finns självklart en risk för att ställa en ledande fråga då diskussion pågår. Dock är det en av
anledningarna till att vi också spelar in varje intervju för att kunna granska frågor och svar. I de fall som
eventuellt ledande frågor uppstår, väljer vi att hålla oss kritiska till eftersom vårt syfte med uppsatsen
bland annat avser att hålla en hög tillförlitlighet i förhållande till den faktiska situationen.
Tillförlitligheten ger i sin tur en mer rättvis bild av det vi kommit fram till i slutsatsen. Till vår hjälp att
minska risken för ledande frågor har vi dessutom förberett författade frågor att ställa till deltagarna,
vilket håller ämnet inom de ramar som vi tänkt besvara i vår uppsats.
Som tidigare nämnt har vi valt att spela in varje intervju. Det kan då enligt Wibeck (2010) uppstå
metodproblem då det inspelade materialet ska analyseras. Författaren kan lätt bli färgad av de analyser
som redan gjort inom studien och de mönster som börjat framträda. Kritiken som Wibeck (2010)
nämner kan mycket väl vara valid för oss. Vi är dock medvetna om att risken för påverkan finns och
anser att vi också är medvetna om detta i analyseringen av materialet. Dels att vi är två stycken som kan
”granska” varandra gör att en annan medvetenhet finns, än om vi hade varit ensamma. Vi utgår
dessutom ifrån transkribering av intervjuer som vi själva har varit med i rollen som moderator och
assistent. Att ha transkriberingen som ett ”råmaterial” att utgå ifrån, samtidigt som vi själva har närvarat
i varje fokusgrupp gör att tolkningen av detta material blir mer sanningsenligt enligt oss.
Den sista fokusgruppsintervjun vi hade kom in relativt sent i uppsatsskrivandets tidsplanering. Den här
intervjun kan ha bidragit med en viss stress från vår sida då materialet skulle hinnas transkriberas
samtidigt som analysen skulle göras ihop med den teori vi har. Denna stress skulle mycket väl kunna
bidragit till en mindre noggrann materialinsamling och sämre kvalitet på uppsatsen i slutändan. Dock
anser i efterhand, då vi jämför genomförandet av de tre fokusgrupperna, att genomförandet av alla
intervjuerna var likvärdiga. En bidragande orsak till detta tror vi beror på den ram vi sedan tidigare
planerat att ligga inom. Det vill säga författade frågor, praktiska detaljer som inspelning, vad som ska
skrivas på tavlan av moderator och vilken roll assistenten har och så vidare.
23
Enligt Bryman & Bell (2005) är det viktigt att de som håller i intervjun har samma roller i samtliga
fokusgrupper om det genomförs fler än en fokusgruppsintervju. Om dessa roller ändras mellan olika
intervjuer så kan diskussionerna i fokusgruppen påverkas och på så sätt också resultatet. Vid våra
fokusgruppsintervjuer har vi bytt roller mellan att vara moderator och assistent med syfte att få en
lärdom att ingå i båda rollerna. Även om Bryman & Bell (2005) anser att diskussionerna kan bli
påverkade av detta val anser vi inte att så är fallet för oss då vi håller oss inom ramen för
semistrukturerade intervjuer där fördefinierade frågor är skrivna för att hålla samma struktur alla
fokusgrupper igenom.
3.9.3.1 Urvalskritik
I det urval av studenter till fokusgrupperna som vi har gjort ligger frågeställningarna till grund för det vi
vill besvara. Vi har valt att ha tre olika grupper för de tre intervjuer vi haft, med anledning att belysa våra
frågor ur olika synvinklar. Ur de två första fokusgrupperna som medverkade kände vi deltagarna relativt
väl redan från början, vilket beror på det urval av grupper vi valt att intervjua. Då vi själva läser ett
program med IT-inriktning, föll det sig naturligt att söka deltagare ur vår egen klass samt även utnyttja
de kontakter vi har på skolan inom andra program. Kontakter som resulterade i ett uppfyllt mål för de
grupper vi vill ha. När det gällde fokusgrupp tre var det svårare för oss att få ihop till sex personer som
det utsatta målet från början var. Ingen av oss hade något kontaktnät med studenter från icke ITrelaterade utbildningar utan fick istället ta hjälp av en administratör för den avdelningen, för att skicka
ut en allmän förfrågan via e-post. Det resulterade i fyra stycken för oss ej bekanta studenter.
Som Kvale (2009) menar kan det mänskliga samspelet mellan intervjuobjekt och intervjuare här påverka
hur intervjun utspelar sig. Det är något vi håller med om till den grad att ingen struktur för en intervju
finns. Då vi hela tiden har haft en plan att förhålla oss till har vår uppfattning varit att samma typ av
samspel har funnit vid så väl bekanta som obekanta deltagare. Att vår sista intervju sedan inte uppfyllde
målet med sex stycken deltagare skulle ha kunnat blivit problem om deltagarna inte var med i
diskussionerna och gav uttryck för sina åsikter. Så som situationen dock förhöll sig var det ett likvärdigt
antal åsikter från alla deltagare vilket gjorde att fyra deltagare fungerade bra. Ett viktigt krav som vi
hade för att kunna genomföra denna fokusgruppsintervju var att vi två skulle vara i minoritet sett till
gruppantal. Vi ville inte få deltagarna att känna sig obekväma i att de var färre till antal än vi som leder
diskussionen var.
24
25
3 Teoretisk referensram
I detta kapitel kommer vi att gå igenom de olika teorier vi förknippar med området. Användbarhet,
säkerhet och förtroende är de huvudpunkter vi här koncentrerar oss på. Viss teori i detta kapitel är av
rent beskrivande karaktär, för att få en förståelse för ämnet.
3.1 Användbarhet
Under denna rubrik presenterar vi teorier rörande användbarhet, kopplat till eID och e-tjänster.
3.1.1 Synen på användbarhet
Användbarhet ses till en början som ett första försök till formulering gjorts av Miller (1971). Han beskrev
då användbarhet som ett system vilket är ”enkelt att använda”. I fyra olika kravfaktorer av Shackel
(1990) samt Faulkner (2000) har sedan vidareutveckling av begreppet gjorts:
Effektivitet, lärbarhet, flexibilitet samt attityd.
Detta förklaras vidare med effektivitet som ska låta användaren utföra en uppgift inom en viss tidsram.
Lärbarhet är då användaren kan nå en viss typ av kunskap inom en viss tid från systemet. Flexibilitet
räknas som den grad av variation systemet tillåter att uppgiften utförs på. Attityd är då systemet
tidsmässigt påfrestande ger respons till användaren. Det kan handla om trötthet, frustration och så
vidare. En liknande syn finns även hos Nielsen (1993). Han använder dock andra termer och utelämnar
flexibilitet till förmån till en annan faktor; Fel. Det innebär med andra ord i vilken utsträckning systemet
minskar risken för att fel uppkommer.
Senare har andra synsätt kring användbarhet uppkommit vilket, då i form av att standardiseringar
definierats, se figur 4 nedan. Detta av Internationella standardiseringsorganisationen (ISO). De definierar
användbarhet så som följande:
”Den grad i vilken användare i ett givet sammanhang kan bruka en produkt för att uppnå specifika mål
på ett ändamålsenligt, effektivt och för användaren tillfredsställande sätt.”
(ISO 9241-11:1998, s. 2)
26
Figur 4. Beskrivning av komponenter i ISO 9241-11 (Santai.nu, 2011)
Här handlar det alltså om tre aspekter:
●
Ändamålsenlighet (Kraftfullhet) - Att produkten gör det användaren vill att den ska göra
●
Effektivitet - Att resursåtgången definieras till exempel i tid.
●
Tillfredsställelse - Att användaren upplever produkten på ett positivt sätt
Dessa faktorer påverkas i sin tur av:
●
Användarna - Vilka använder produkten? Är det nybörjare eller erfarna användare?
●
Deras mål (Uppgift) - Vad vill användaren göra med produkten - Stödjer den vad användaren vill
●
Utrustning - Det material som behövs beskrivs här
●
Sammanhang (Miljö) - Hur och var används produkten
När det gäller teori inom systemutveckling har begreppet användbarhet diskuterats av ett flertal
forskare, bland annat Chi (2004) som menar att utformningen av ett system inte bara ska se bra ut, utan
även tillgodose användarens behov och att webbkontexten baseras på den kognitiva förståelsen av just
dessa behov. Nielsen (1993) menar att ett system kan anses vara användbart när det är stabilt, det vill
säga inte kraschar, samt erbjuda användarna den funktionalitet de efterfrågar.
27
Enligt Nielsen (2001) så finns det ett antal kriterier för användarorienterad gränssnittsdesign. Ett
användarvänligt system är konstruerat så att den omfattar bland annat följande egenskaper:
●
Systemet ska vara lätt att lära, användaren ska kunna utföra sina vanligaste uppgifter på ett
enkelt sätt.
●
Det ska vara konsekvent och lätt att minnas, det vill säga användaren behöver inte lära sig olika
konventioner varje gång denne ska använda systemet, vilket i sin tur gynnar effektiviteten.
●
Användaren ska lätt kunna se vart i systemet denne befinner sig. Navigering kan underlättas
bland annat genom enkla och tydliga menyer.
●
Systemet tillhandahåller effektiv felhantering. Det ska tydligt framgå om en uppgift är utförd
eller har misslyckats. Det ges direktiv om att systemets arbete fortgår. De fel som uppstår ska
kunna rättas till och fel med katastrofala följder ska inte kunna tillåtas.
●
Systemet är tilltalande för användaren. Det uppfyller dennes förväntningar för de olika
funktionerna som erbjuds och ger denne möjlighet att arbeta snabbt och effektivt.
●
Systemet är flexibelt och förutsätter att alla användare är olika. Det är anpassat för olika typer
av handikapp. Användaren erbjuds att välja teknik för navigering i systemet. Denne har
möjlighet att välja mellan mus och tangentbord. Sökfunktion ska tillhandahållas (Nielsen, 2001).
Det går med definition inte att säga om någon av dessa ovanstående beskrivningar på användbarhet
stämmer bäst överens med verkligheten. Däremot går det att säga att alla dessa begrepp som tas upp
pekar åt ungefär samma riktning. Det vill säga vad användbarhet går ut på för att användaren ska känna
tillfredsställelse med användningen. Vilket handlar om att göra användaren produktiv och glad enligt
(Dumas & Redish, 1999).
3.1.2 Praktisk användning av begreppet
Norman (1988), Faulkner (2000), Cooper & Reimann (2003) menar att det kan vara idé att lämna
definitionerna för att istället se vad som kännetecknar ett användbarhetsperspektiv på teknik. Det är då
viktigt att användaren hamnar i fokus. Författarna menar att det inte går att utveckla användbara
system utan att användaren är med i utvecklingsarbetet. Göransson & Gulliksen (2000) menar dessutom
att användarens involvering innefattar en helt formaliserad användare i modellbaserad design till att
användaren mer eller mindre konstruerar systemet i deltagande design. Det krävs också att hänsyn till
28
hur människan fungerar då väl fokus vridits ifrån tekniken till användaren enligt Norman (1988). Vilket
också Cooper & Reimann (2003) samtycker då de anser att personers mål hänger ihop med de
handlingar de utför i världen, vilket vidare påverkar resultatet av handlingarna för de fortsatta
handlingarna Med det menas vad som sätter igång systemet är vad användaren har för mål som denne
vill uppfylla genom att utföra handlingar. Har dessa handlingar fått önskat resultat första gången, utgår
användaren ifrån detta när denne ska utföra nästa handling enligt författarna.
24-timmarsmyndigheten rekommendation 14.1 säger att “Webbplatsen skall följa Web Content
Accessibility Guidelines 1.0” (W3C, 2011) (Dessa rekommendationer gäller i första hand webbplatser,
men vi som författare anser att de går/bör appliceras på till exempel eID-applikationer också). Denna
rekommendation påpekar att även människor med olika handikapp ska kunna använda dessa system
och att det är skaparens ansvar att se till att det blir tillgängligt för alla (Lynch & Horton, 2002).
Det är lätt att blanda ihop användbarhet med funktionalitet. Funktionalitet är dock endast kopplat till
produktens funktioner och finesser, men tar inte hänsyn till om användaren kan använda den eller inte.
Större funktionalitet betyder inte förbättrad användbarhet. (statskontoret.se, 2005)
För till exempel synskadade kan det innebära att bilder och annan grafik förses med “alttexter” som en
skärmläsare försedd med till exempel talsyntes. För personer med rörelsehinder, som ofta sitter långt
från skärmen, kan det betyda att storleken på typsnitt inte är låst. Om dyslexi är fallet så bör denne
kunna påverka färger och kontrast så att texten syns tydligare (Lynch & Horton, 2002), (Nielsen, 2001).
Personer med funktionsnedsättning blir oftast mycket lojala kunder då de hittar någon som ger dem god
service, vilket innebär att deras speciella behov uppfylls. I takt med att den idag icke
funktionsnedsättande generationens användare blir äldre, kommer dessa också behöva tjänster i ett
större utbud i framtiden som stödjer åldersrelaterade funktionsnedsättningar. I och med detta kommer
stödet för detta att öka, då dagens dominerande Internet-användare blir äldre. (Nielsen, 2001)
29
3.1.3 Plattformsoberoende
Inom ämnet användbarhet för hårda och mjuka certifikat ingår systemkrav som måste uppfyllas av
användaren för att kunna bruka tjänsten. En användare som ligger utanför de krav som anges av
tjänsteleverantören kan då inte använda tjänsten utan att först installera ”rätt” OS samt webbläsare.
Då det finns två varianter av certifikat finns det också två stycken hänvisningar till systemkrav. Vid mjukt
certifikat, se figur 5 nedan, krävs ett säkerhetsprogram, till exempel Net iD eller Nexus Personal,
beroende på utfärdare. Programmet i kombination med det certifikat som laddas ner till hårddisken
krävs för att kunna använda tjänsten. Utöver detta finns det systemkrav som måste uppfyllas för att
slippa eventuella konflikter. Dessa systemkrav innefattar operativsystem samt webbläsare. (bankid.com,
2011)
Figur 5. Plattformsberoende mjuka certifikat (Fritt från bankid.com, 2011)
Den stora skillnaden mellan hårda och mjuka certifikat är att det krävs hårdvara i form av en kortläsare
då certifikatet redan finns på ett smartcard. Det behövs med andra ord varken installeras något
säkerhetsprogram eller finnas något certifikat på hårddisken för att kunna nyttja tjänsten. Det som
30
däremot krävs för att kunna använda kortläsaren ihop med dator är drivrutiner. I och med detta är det
viktigt att installera de drivrutiner som operativsystemet kräver, se figur 6. (bankid.com, 2011)
Figur 6. Plattformsberoende hårda certifikat (Fritt från bankid.com, 2011)
3.1.4 E-tjänsteutvecklarens fokus på användbarhet
Gällande kommunala e-tjänster kan det för medborgaren vara önskvärt att exempelvis kunna publicera
enklare information på Internet, ladda ner ett dokument för utskrift till att ansöka om bygglov eller
ekonomiskt bistånd. Detta gör begreppet e-tjänst till ett brett serviceverktyg. (Åström, 2004) Hur ska då
ett bra bemötande för användaren av denna önskan bli tillgodosett? Som Sorensen (2002) menar, finns
det en rad olika medel för guidning i utvecklandet där till exempel bedömning, acceptans samt
efterfrågan spelar in för att användbara tjänster ska finnas på den tänkta webbplatsen. Sorensen (2002)
skriver vidare att dessa medel kräver bättre kontakt med sina användare än bara en länk till marknaden.
Med detta menar författaren att användarundersökningar, fokusgrupper och pilotprojekt som testas på
den specifika målgruppen är några exempel på en bättre kontakt. Något som enligt författaren själv kan
ses som negativt med detta är att utvecklaren kan förlora kontrollen över på vilket sätt produkten är
31
tänkt att användas. Men som Sorensen (2002) vidare skriver, är det viktigt vid introduceringen av den
nya tekniken som i detta fall handlar om hur tekniken ska användas. Beroende på hur pass bra tekniken
presenteras varierar framgången av e-tjänster stort från fall till fall enligt författaren.
För att gå tillbaka till de verktyg som Sorensen (2002) presenter, så finns det en önskan från
kommunerna att engagera medborgarna i utvecklingsprocessen enligt Lindblad-Gidlund et al. (2010)
Detta genom att kommunerna planerar att införa användardeltagande i utvecklingsprocessen för etjänster.
Det inte är kvantiteten som avgör hur pass framgångsrik en e-tjänst kommer bli. Det är istället genom de
verktyg som används, samt hur verktygen används för hur utvecklandet av e-tjänsten kommer arbetas
fram i rätt riktning. (Sorensen, 2002) Som Cronholm & Goldkuhl (2010) beskriver att IT-system där etjänster som är sammankopplade till Internet ställs ännu högre krav på att vara användarvänliga. Detta
då kunderna inte nöjer sig med dåliga gränssnitt, utan istället klickar sig vidare till andra leverantörer
som har bättre IT-system att interagera med e-tjänsterna. Så som Åström (2004) är det inte bara
tekniskt komplicerat att utveckla vissa tjänster. Det kan också ha en stor inverkan på vilket sätt vi i
framtiden kommer leva våra liv och hur samhället kommer se ut. Författaren menar att det beror just på
grund av utformningen av e-tjänster.
3.1.5 Aktörers behov av e-tjänster
Att anpassa webbplatsen och innehållet efter målgrupper är a och o för hur e-tjänsteleverantören vill
locka till sig rätt målgrupp enligt Burell (2005). Det beskrivs i detta beslut för hur ”Att vara en del av
informationssamhället” ska integrera alla individer med informationssamhället. I och med att kraven
inte ser likadana ut för privata verksamheter och statliga myndigheter finns det även här anpassning
efter olika förutsättningar och situationer, till vilket utvecklaren måste väva in i den tilltänka e-tjänsten.
(Burell, 2005) Dessa olika förutsättningar uppkommer eftersom den offentliga e-tjänsten måste passa
alla medborgare, då en myndighet har en skyldighet att kunna tillgodose alla Sveriges medborgare.
Detta för att inte diskriminera någon specifik grupp, vilket beskrivs i Europeiska gemenskapernas
kommission (2007). Det beskrivs i detta beslut hur informationssamhället ska integrera alla individer
med informationssamhället.
32
I och med att kraven inte ser likadana ut för kommuner och statliga myndigheter som båda ryms inom
de offentliga e-tjänsterna, finns även anpassning efter olika förutsättningar och situationer. Detta måste
utvecklaren väva in i den tilltänka e-tjänsten. Begreppet målgrupp bör därför inte stanna på
slutanvändaren som den enda aktören i sammanhanget, vilket Lindblad-Gidlund et al. (2010) beskriver,
skiljer sig behoven mellan kommun och statlig myndighet. Dock krävs fortfarande samverkan och
samarbete aktörerna emellan.
3.2 Signaturens historia
Under vår livstid hinner vi skriva signaturer tusentals gånger. Vi skriver under låneansökningar,
vigselbevis, mobilabonnemang, listan kan göras lång. Pennans makt är stor, draget till sin spets hittar vi
människor i maktposition som kan legitimera en annan persons existens genom att signera ett
födelsebevis, eller avsluta den genom att signera en dödsattest. (Halvarsson & Morin, 2000)
Att använda skriften av vårt eget namn som ett äkthetsbevis (signatur) har använts på liknande sätt i
urminnes tider. Fortfarande skrivs en ansenlig mängd av digitalt producerade dokument ut för en sista,
manuell bearbetning. Under senare år har informationsteknologin möjliggjort nya sätt att signera. (ibid)
Att kontrollera ett dokuments äkthet genom en handskriven signatur daterar sig tillbaka till det
romerska riket - “subscripto”, en kortfattad handskriven mening i slutet av ett dokument. Bruket att
fästa dessa signaturer på dokument spred sig snabbt och denna form av signatur var i stort sätt
oförändrad i 1400 år. Denna grundläggande romerska tradition har behållit sin betydande ställning och
är en viktig del i västvärldens legala tradition. (ibid)
År 1844 introducerade Samuel Morse (1791-1872) telegrafen och skapade då för första gången behovet
att av att kunna garantera äktheten i meddelanden som sändes på elektronisk väg. År 1878 slog ett
domstolsbeslut (Trevor v. Wood, 36 N.Y. 307) fast att “signaturer” som telegraferats mötte samma krav
som en handskriven signatur. Detta räknas som en av de första milstolparna i e-handelns historia. (ibid)
Under 1960-talet började användandet av datorer i nätverk på allvar att breda ut sig. Från början
uteslutande för att för att flytta data inom organisationer och företag. På den tiden kunde de inte förse
33
elektroniska dokument med elektroniska signaturer. Här fick gemene man i stället förlita sig på skriftliga
avtal i pappersform som upprättades mellan parterna. Globaliseringen av handel och Internets spridning
gör att denna typ av skriftliga analoga uppgörelser ter sig mer och mer omöjliga. Den nya tekniken för
att kunna signera elektroniska dokument exploderar. (ibid)
3.3 eID idag
E-legitimationen är en elektronisk ID-handling som kan hjälpa personer att legitimera sig på Internet.
Dessa eID innehåller ofta de uppgifter som behövs för att identifiera en individ elektronisk, till exempel
personnummer, namn och legitimationens giltighetstid. Dessa uppgifter behöver dock inte lagras i den
elektroniska id-handlingen utan kan levereras av utgivaren på förfrågan om vem en viss unik ID-handling
tillhör. I detta fall så innehåller ID-handlingen en unik beteckning som på ett säkert sätt kan knytas till en
viss person (24-timmarsdelegationen, 2005).
3.3.1 Användning
Enligt Verva (2008) används eID i första hand för att elektroniskt identifiera sig mot kommuner,
myndigheter, landsting, organisationer och företag via Internet. Den kan också användas för att ersätta
traditionella underskrifter så länge det är möjligt med tanke på lagstiftning. Genom att använda eID i
kommunikationen mellan två parter är det möjligt att:
●
Vara säker på vem som skickat ett meddelande
●
Skydda informationen från insyn
●
Kontrollera att informationen inte har förändrats under kommunikationen
●
Kunna bevisa att ett meddelande skapats, skickats och tagits emot
Figur-er 7 nedan visar ett exempel på hur ett ärende initieras av en medborgare och hanteras inom en
myndighet. Dessa illustrationer visar de olika funktioner och moment som ett elektroniskt ärende går
igenom. Avsikten med detta är att tydliggöra hur funktioner i den elektroniska ärendeprocessen hänger
ihop samt vad varje funktion har för betydelse för att hantera ärenden tillförlitligt och säkert.
(Verva, 2008)
34
1. Här illustreras myndighetens
informationssystem, uppdelat på dess publika
webbplats och dess interna informationssystem.
2. Här behöver en medborgare hjälp i ett
personligt myndighetsärende.
3. Medborgaren initierar sin fråga via till
exempel sin mobiltelefon, som ett samtal eller
en fråga via SMS, mail eller genom att besöka
myndighetens webbplats.
4. Här förutsätts att ärendet hanteras via
myndighetens webbplats. På grund av att
ärendet är personligt har myndigheten bedömt
att ärendet kräver identifikation. Medborgaren
använder här sitt publika eID för identifiering.
35
5. Medborgaren loggar in på sin ”personliga”
webbplats, exempelvis ”mina sidor”, med hjälp
av sitt eID. I funktionen ”mina sidor” kan medborgaren utföra relevanta uppgifter eller begära
de myndighetsuppgifter som finns i olika
register.
6. I myndighetens interna informationssystem
tas frågan om hand med hjälp av funktionen
”mottagning/ utskick” som ger ärendet en
ankomsttid och ett ärendenummer. Därefter
skickas ärendet vidare för handläggning i
myndighetens ärendehanteringssystem och
eventuellt andra myndigheter med förfrågan om
register- information från exempelvis
Skatteverket.
7. När processen i myndighetens interna
informationssystem är avslutad, presenteras
ärendet i form av ett beslut på ”mina sidor”. Nu
kan medborgaren hämta beslutet. Medborgaren
kan genom notifikation via exempelvis ett SMS
eller mail meddelas att beslutet finns tillgängligt.
Figurer-er 7. eID ärende inom en myndighet (Verva, 2008. s.14)
36
3.4 Säkerhet
När det handlar om att använda elektroniska signaturer i ett öppet system där parterna i förhand inte
känner varandra, till exempel genom Internet, måste parterna kunna hämta information om kopplingen
mellan en elektronisk signatur och en bestämd person. För att kunna kommunicera säkert på Internet
krävs identifiering, signering och kryptering. Denna teori används till viss del för att analysera vad som
kommit fram i fokusgrupperna och till viss del för att beskriva dessa säkerhetsaspekter för läsaren.
3.4.1 Public key infrastructure
Plattformen för identifiering, signering och kryptering är PKI (Public Key Infrastructure). PKI är
samlingsnamnet för lösningar, där det med hjälp av en speciell krypteringsteknologi går att skapa olika
system för identifiering, kryptering och integritetskontroll. Dessa system kombinerar avancerad
säkerhetsteknik med olika regelverk, anpassade för specifika användningsområden. Det kan handla om
elektroniska signaturer for olika typer av avtal, säkra elektroniska transaktioner, säker e-post,
identifiering av användare och olika typer av säker kommunikation över publika nätverk. (Halvarsson &
Morin, 2000)
PKI innehåller framför allt tre viktiga funktioner:
Certifiering – Att skapa ett certifikat, verifiering – Att kontrollera ett certifikat för att se giltighetstiden
och att det inte är indraget och revokering – Att återta ett certifikat. Detta kan göras då exempelvis en
anställd slutar. (ibid)
Figur 8. Grunderna i PKI (Fritt från Tallberg & Vilhelmsson, 2010. s.6)
37
3.4.2 Regelverk
PKI är en kombination av teknik och regelverk. Regelverken styr hur och när elektroniska signaturer ska
användas inom exempelvis en organisation för alla användningsområden. Det kan handla om i vilka
kontrakt och avtal som elektroniska signaturer ska förekomma eller hur transaktioner ska säkras mellan
organisationens kunder. PKI står för hela den tekniska och juridiska struktur som möjliggör
användningen av elektroniska signaturer. (ibid)
3.4.3 Autentisering/identifiering
Kontroll av uppgiven identitet till exempel vid inloggning vid kommunikation mellan två system eller vid
utväxling av meddelande mellan användare.
Begreppen innebär att bevisa sin identitet. För att få tillgång till sin elektroniska identitet, är identifiering
ett krav. Med identifiering menas framställandet av en identitet eller verifierandet av en identitet,
exempelvis när en systemanvändares identitet ska fastställas. Identifiering är en del av den kedja som
har till uppgift att fastställa att inte fel person får tillträde till systemet. Autentisering kan vara unik för
varje enskild person. Detta innebär att de data eller de fakta som identifieringen bygger på också måste
vara unik. Autentisering bygger i huvudsak på tre olika principer; har, vet och är. En säkerhetsdosa för
inloggning till en bank är något användaren har. Till denna säkerhetsdosa finns en PIN-kod, vilket är
något användaren vet (förhoppningsvis). På vissa flygplatser går det att checka in med unika
fingeravtryck, vilket då är något användaren är. (ibid)
3.4.3.1 Fysisk/elektronisk identifiering
Identifiering är något vi upplever dagligen i den fysiska världen. Arbetskamrater, kända personer och
företag känns igen. Det kan vara nödvändigt att visa upp en ID-handling vid till exempel kortköp, för att
visa att individen är den rättmätiga innehavaren till kortet. Vid resor kan pass eller körkort behövas visas
upp för att bevisa att individen är just den person som denne utger sig för att vara genom en
fotojämförelse. Den vanligaste individuella identifieringen sker med hjälp av en underskrift, när ett
paket hämtas ut på ett postkontor eller skriver under ett kontrakt. (ibid)
38
Halvarsson & Morin (2000) menar att identifiering på Internet är grundläggande, men en visuell
identifiering är inte gångbar. Tabellen nedan visualiserar skillnaden mellan en fysisk och en elektronisk
ID-handling.
Tabell 2. Skillnad mellan fysisk och elektronisk ID-handling (Fritt från Halvarsson & Morin, 2000. s.41)
Fysisk ID-handling
Elektronisk ID-handling
Informationssäkring
Säkerhetstryck
Digital signatur (CA)
ID-uppgifter
Namn, PNR (Land)
Namn, PNR (Land)
Utfärdare
Kortutfärdare
Certifikatutfärdare
Kvalitetsmärkning
SIS
Certifikatpolicy
Unikt kännetecken
Foto, namnteckning
Publik nyckel
Fysisk karakteristisk
Ex. Elektroniskt ID-kort
Utseende och förmåga att skriva
namnteckning
Förmåga att använda rätt privat
nyckel
Verifiering av
innehavaren
Det som skiljer dessa två metoder åt är alltså sättet att verifiera innehavaren, att kontrollera att denne
verkligen än den som ID-handlingen är utfärdad för. Det fysiska ID-kortet verifieras genom ett foto och
förmågan att skriva en korrekt namnteckning, medan det elektroniska ID-kortet verifieras genom att
användaren har den privata nyckeln som hör ihop med den publika. Eftersom att den privata nyckeln
endast finns i den privata elektroniska ID-handlingen (ex. smartcard, mobiltelefon) är det alltså
certifikatet som är just den elektroniska ID-handlingen.
Den elektroniska ID-handlingen uppgift är alltså att skydda innehavarens privata nyckel. Detta kan ske
genom till exempel en PIN-kod eller ett lösenord som endast innehavaren känner till. (Pts.se, 2011)
39
3.4.3.2 Certification Authority
En CA (Certification Authority) är en betrodd part, till exempel TeliaSonera, Swedbank och Nordea, som
flera användare litar på. Denna CA utfärdar publika nycklar och är ansvarig för dessa under hela dess
livstid. Innehållet i det elektroniska certifikatet säkras genom att utfärdaren elektroniskt signerar
certifikatet. Med andra ord är ett certifikat en signerad digital handling utfärdad av en betrodd tredje
part. En CA lagrar exempelvis namn, personnummer, giltighetstid, utfärdare och den publika nyckeln.
Certifikatet görs också tillgängligt i en databas som CA:n ansvarar för. CA:n tillhandahåller också
uppgifter om spärrade certifikat, vilket är en förutsättning för att kunna skydda en användare som
förlorar sitt certifikat.
En CA tillhandahåller de element som krävs för att i samverkan hantera de publika och privata nycklarna
som är lagrade i certifikatet och som möjliggör identifiering, kryptering och elektroniska signaturer över
Internet. Genom att använda denna infrastruktur garanteras:
1.
Ingen kan ändra eller läsa exempelvis en blankett under överföring.
2.
Att endast de som har rättighet att ta del av innehållet får tillgång till det.
3.
Avsändaren är identifierad och fastställd.
4.
När avsändaren elektroniskt signerat till exempel en blankett godkänner hon eller han
innehållet. Signeringen och godkännandet blir då juridiskt bindande. (Halvarsson & Morin, 2000)
3.4.3.3 Hårda och mjuka certifikat
Det vanligaste sättet att identifiera sig elektroniskt har varit genom ett elektroniskt ID-kort. Detta kort
har antingen varit ett eget kort, eller kombinerat med det ”vanliga” ID-kortet (exempelvis körkortet). På
senare tid har det dock blivit vanligare med mjuka certifikat och alternativa lösningar till hårda certifikat,
exempelvis mobiltelefoner. Hårda och mjuka certifikat har i grunden samma funktionalitet. Ett hårt
certifikat kan vara ett elektronisk ID-kort eller en mobiltelefon, till exempel en Android-baserad telefon
eller Apples iPhone. Skillnaden med ett mjukt certifikat är här att certifikatet lagras fysiskt i chippet på
det elektroniska ID-kortet eller på SIM-kortet i mobiltelefonen (Halvarsson & Morin, 2000).
40
En ”mjuk” filbaserad lösning innehåller samma säkerhetsfunktioner som ett elektroniskt ID-kort.
Skillnaden är att det mjuka certifikatet lagras i en fil på hårddisken eller på ett USB-minne, och låter
denna fil ersätta själva kortet (Pts.se, 2011).
3.4.4 Signering
Elektronisk signering gör det möjligt för en avsändare av information att signera denna så att
mottagaren kan avgöra vart informationen kommer ifrån. Avsändaren kan vara en programvara, dator
eller person, fysisk eller juridisk. Det är här viktigt att skilja på elektroniska signaturer och digitala
signaturer enligt tabellen nedan. (Halvarsson & Morin, 2000)
Tabell 3. Skillnader mellan elektroniska och digitala signaturer (Fritt från Halvarsson & Morin, 2000. s.44)
Elektronisk signatur
Digital signatur
En elektronisk signatur är den lösning
Digital signatur är en teknologi som används i ett flertal olika
som ska vara bindande vid en
områden, exempelvis elektronisk signatur men även till
underskrift på exempelvis ett avtal. Med nätverkssäkerhet för att skapa identifikation och
andra ord: Elektronisk underskrift.
konfidentialitet mellan två olika datorer i ett nätverk.
Signering sker av en datamängd, exempelvis text eller bild och börjar med att datamängden
förbehandlas med ett så kallat hash-värde, vilket kan liknas vid ett fingeravtryck av datamängden. Det är
inte möjligt att omvända hash-värdet, vilket innebär att datamängden inte kan beräknas utifrån detta
värde.
Dessa data ska också krypteras. Datamängden omvandlas genom en bestämd metod, en algoritm. Vid
signering används i allmänhet asymmetrisk kryptering (beskrivs senare) med användare av ett nyckelpar.
Den första delen av nyckelparet är en hemlig nyckel och används av den som undertecknar och därmed
skapar signaturen. Denna måste skyddas mot obehörig åtkomst. (Pts.se, 2011)
Det vanligaste skyddet har länge varit så kallade smartcards, men har under senare år ersatts mer och
mer av mjuka certifikat och alternativa ”hårda” lösningar, till exempel mobiltelefoner. En
41
informationsmassa signeras och krypteras med användarens privata nyckel. Mottagarens programvara
kan sedan räkna ut en egen kontrollsumma på de mottagna data för jämförelse med den checksumma
som fås genom att dekryptera den krypterade checksumman i signaturen med hjälp av avsändarens
publika nyckel. (Halvarsson & Morin, 2000 & Eriksson, 2010)
3.4.5 Kryptering
Kryptering används idag för två olika syften. Dels för att skydda exempelvis dokument från insyn
(konfidentialitet) och dels för att säkerställa att innehållet i en datamängd inte har förändrats eller
rubbats (dataintegritet). Detta innebär en förhöjning av datas kvalitet och är en förutsättning för att
kunna skapa elektroniskt signerade dokument.
Syftet med kryptering är att på ett kontrollerat och väldefinierat sätt manipulera information i
exempelvis ett dokument, så att inte obehöriga ska kunna ta del av informationen när den sänds eller
lagras. Vid en kryptering tas utgångspunkt från de data som ska krypteras och tar sedan hjälp av två
komponenter; en matematisk krypteringsalgoritm och en krypteringsnyckel. Krypteringen sker genom
att informationen i exempelvis en blankett bearbetas av den matematiska krypteringsalgoritmen och
krypteringsnyckeln. Blanketten får då ett nytt utseende. Om samma blankett krypteras med samma
krypteringsalgoritm men med en annan krypteringsnyckel får den ett helt annat utseende.
(Halvarsson & Morin, 2000 & Pts.se, 2011)
3.4.5.1 Asymmetrisk kryptering
Asymmetrisk kryptering är publika nycklar, som är tillgängliga för alla, används. I detta system har varje
användare två olika nycklar, ett så kallat nyckelpar. Den ena nyckeln (den publika) finns tillgänglig för
alla men den andra (privata) hålls hemlig. Den ena används för att kryptera exempelvis en blankett och
den andra för att dekryptera den. Dessa båda nycklar är starkt sammankopplade med varandra och de
kan enbart användas tillsammans. Detta innebär att de använder samma krypteringsalgoritmer, men
olika krypteringsnycklar vid kryptering och dekryptering. De asymmetriska krypteringsalgoritmerna är
utformade så att det finns ett matchande nyckelpar bestående av en publik (öppen) nyckel och en privat
(hemlig) nyckel. Publika nycklar distribueras som regel via öppna publikt tillgängliga elektroniska
42
kataloger medan privata nycklar måste lagras på ett skyddat sätt, till exempel i mjuka certifikat på
hårddisken eller i hårda certifikat på till exempel ett smartcard eller en mobiltelefon. (Halvarsson &
Morin, 2000)
Den asymmetriska algoritmen har den unika egenskapen att då information krypteras med den ena
nyckeln i det matchade nyckelparet, kan den endast dekrypteras till sin ursprungliga form med den
andra nyckeln i nyckelparet. På grund av detta system kan avsändaren vara säker på att bara
mottagaren (och ingen annan) kan dekryptera meddelandet. (CS.se, 2011)
På Internet är det avgörande för myndigheter eller företag innan någon form av ärende uträttas,
behöver känna sin motpart. I och med att vem som helst genom de publika nyckelkatalogerna har
tillgång till respektive parts nyckel, behöver inte parterna känna varandra innan själva ärendet uträttas.
(CS.se, 2011)
3.4.5.2 Hashfunktioner
Den elektroniska signaturens funktion garanterar äktheten och innehållet i det elektroniska
dokumentet. Detta kan uppnås genom en kombination asymmetrisk kryptering och en
hashfunktionsteknik enligt figur 9 nedan. Denna teknik används för att skapa en komprimerad mängd av
den elektroniska handlingen som gör den hårt bunden till ursprungsmeddelandet. (ibid)
43
Figur 9. Certifikathantering (Fritt från Nätverk och kommunikation, 2001. S.11)
3.5 Förtroende
I denna del av uppsatsen går vi igenom förtroende, både grundläggande och i relation till Internet.
När det handlar om förtroende är det ett begrepp som i sin komplexitet relaterar till sanningsenlighet,
ärlighet, behörighet och påtaglighet av den förtrodda tjänsten eller personen. Det finns ingen
gemensam standardbild över hur förtroende definieras i litteraturen, även om många forskare påvisar
dess betydelse. (Grandison & Sloman, 2002) Definitionerna varierar också beroende på forskarens
livssyn, bakgrund samt inom vilket område förtroendebegreppet ska användas. (Grandison, 2003)
44
3.5.1 Förtroende över Internet
Det sker en beteendetransformation när vi börjar utföra personliga och ekonomiska aktiviteter i en
elektronisk miljö, det vill säga en förändring av vårt beteende till den nya miljön. Detta beror på att
förutsättningarna för våra handlingar i den elektroniska miljön ofta skiljer sig totalt från de traditionella
fysiska motsvarigheterna som vi känner igen och är vana vid. I och med detta så förändras vårt sätt att
agera, mer eller mindre, beroende på vilket beteende det gäller eller hur den nya tekniken fungerar. Det
som utmärker övergången från den fysiska till den elektroniska miljön är framför allt försämringen av
kontroll. De handlingar som utförs i en elektronisk miljö ses ofta som oåterkalleliga och okontrollerbara
abstraktioner. Om ett fel begås i en fysisk vanlig handling vet vi generellt sätt hur skadan ska repareras.
Om däremot fel begås på Internet är det inte lika säkert att vi vet hur vi ska korrigera felet. Just
avsaknaden av kontroll skapar ofta en osäkerhetskänsla hos en individ, vilket i sin tur påverkar dennes
sätt att agera och ta beslut i denna virtuella värld (Soltesz & Lundblad, 1998).
Det är här också viktigt att klargöra att motsatsen till förtroende inte är misstro, utan avsaknad av både
misstro och förtroende. När både misstro och förtroende saknas hänvisas en individ till att göra
riskbedömningar som ofta är både felaktiga och osäkra (Huemer, 1998).
Många användare ser också Internet som något kaotiskt, där både hot och möjligheter är påtagliga.
Dilemmat här när det gäller förtroende och Internet är att användare sällan vill tillkännage sina
personliga uppgifter, eftersom att de inte vet vad informationen kommer att användas till. Villigheten
att börja använda e-tjänster (exempelvis eID) kommer först när användarna känner sig säkra med att
använda sin personliga information i denna elektroniska miljö (Cheskin Research, 1999).
Luhmann (2005) menar att förtroende ska ses i relation till risk, på grund av att förtroende krävs för att
välja ett kritiskt alternativ där konsekvensen av denna handling kan “kosta mer än den smakar”.
Förtroende är dock inte ovillkorligt, det finns gränser och de står i proportion till rationella
förväntningar. För att bygga ett förtroende krävs också en bakgrund, den som förlitar sig på något bör
vara förtrogen med viss bakgrundsfakta även om detta bara ger en begränsad del av bilden. Förtroende i
en affärsrelation är speciellt viktig och för att ett förtroende ska finnas måste vissa villkor vara uppfyllda.
De två villkor som anses viktigast är risk och osäkerhet, där konsekvensen blir sårbarhet. Ju större skada
en part har möjlighet att vålla en annan i en affärsrelation, desto större förtroende krävs. När relationer
av denna typ sker i en elektronisk miljö, såsom Internet, krävs ett större förtroende.
45
Förtroende är något som kan ses som grundläggande i våra liv. Det mesta av vad vi gör varje dag har
någon del förtroende inblandat i sig. Att ligga i en säng innebär att vi har förtroende för att sängen inte
ska gå sönder. Första gången vi lade oss i sängen hade vi ingen aning om hur väl tillverkad och hållbar
sängen var. Vid återkommande användning byggs vårt förtroende upp och vi börjar lita på att sängen
fyller sin funktion och inte går sönder. (Grandison & Sloman, 2002)
3.5.2 Lagrum
Här går vi igenom de olika lagar som är relevanta när det gäller informationssäkerhet.
3.5.2.1 Personuppgiftslagen
Syftet med PuL (personuppgiftslagen, 1998:204) är att skydda enskilda personer mot att deras
personliga integritet kränks genom behandling av personuppgifter. Denna lag är huvudsakligen tillämplig
på behandling av personuppgifter som helt eller delvis utförts med hjälp av datorer. I lagen finns en del
grundläggande krav på den som behandlar personuppgifter, till exempel att dessa uppgifter bara får
samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Här anges även när behandling av
personuppgifter överhuvudtaget är tillåtet. Utgångspunkten är att personuppgifter bara får behandlas
om den registrerade har lämnat sitt samtycke till behandling, till exempel via eID. Utan detta samtycke
får uppgifterna bara behandlas när behandlingen är nödvändig i vissa situationer som anges i lagen
(Datainspektionen, 2010).
Utvecklingen av e-tjänster innebär en ökad datoriserad behandling av personuppgifter. Denna
behandling måste särskilt följa registerlagstiftningen och sekretesslagstiftningen följa PuL. För
myndigheter och företag som inför e-tjänster (särskilt de som innefattar eID) är det viktigt att säkerställa
att personuppgifter skyddas på ett tillförlitligt sätt. (ibid)
Ett företag eller en myndighet är personuppgiftsansvarig för den behandling av personuppgifter som
sker inom den egna verksamheten. Detta innebär exempelvis att myndigheten oftast även är ansvarig
för den behandling av personuppgifter som sker genom e-tjänster, till exempel när myndigheten i fråga
behandlar uppgifter som lämnas till myndigheten eller när sådana e-tjänster som “mina sidor” erbjuder
möjligheter för medborgare att registrera uppgifter. Verksamheten har ansvar för att upprätthålla ett
46
gott skydd för de personuppgifter som behandlas. Om verksamheten till exempel outsourcar
databearbetningen så kan det företaget bli så kallat personuppgiftsbiträde. I sådana fall krävs ett
skriftligt avtal som reglerar hur biträdet ska behandla uppgifterna och vilka säkerhetsåtgärder som ska
vidtas. (ibid)
Vidare är verksamheten skyldig att vidta säkerhetsåtgärder, såväl tekniska som organisatoriska, för att
skydda de personuppgifter som behandlas. För att skapa ett lämpligt skydd för personuppgifterna gäller
det att göra en samlad bedömning som tar hänsyn till:
●
Hur pass känsliga de behandlade personuppgifterna är.
●
De risker som finns med behandlingen av dessa personuppgifter. En behandling av uppgifter
med många personer kan exempelvis leda till mer omfattande skador vid ett angrepp på
säkerheten.
●
De tekniska möjligheter som finns tillgängliga på marknaden.
●
Vad det kostar att genomföra åtgärderna.
Generellt sett gäller att ju känsligare personuppgifterna är och ju större riskerna är med behandlingen av
uppgifterna, desto mer omfattande bör säkerhetsåtgärderna vara. (ibid)
När det handlar om e-tjänster är det framför allt tre säkerhetsaspekter som är viktiga:
●
Att säkerställa identiteten hos användaren av en e-tjänst (ex. med eID) i de fall det är
nödvändigt.
●
Att skydda personuppgifter som förs över i öppna nät så att obehöriga inte kan ta del av dem.
●
Att skydda personuppgifter som samlats in, genom till exempel av redundant lagring av
uppgifterna. (ibid)
Enligt personuppgiftslagens definition är känsliga personuppgifter sådana som avslöjar:
●
Ras eller etniskt ursprung.
●
Religiös eller filosofisk övertygelse.
●
Politiska åsikter.
●
Medlemskap i fackförening.
●
Personuppgifter som rör hälsa eller sexualliv. (ibid)
47
Denna behandling av känsliga personuppgifter kräver säkra metoder för autentisering, till exempel eID,
som vi tidigare gick igenom. I dessa fall räcker det inte med exempelvis användarnamn och lösenord
eller pinkod för autentisering. De uppgifter som omfattas av sekretess samt uppgifter om
lagöverträdelse bör jämföras med känsliga personuppgifter när det gäller säkerhet. Även
personuppgifter vilka enligt PuL inte definieras som känsliga kan sammantaget vara integritetskänsliga
och bör därmed skyddas av säkrare typer av autentisering. (ibid)
3.5.2.2 Skydd av personuppgifter
Skydd av personuppgifter som samlats in via en e-tjänst, till exempel med hjälp v eID, måste inte bara
skyddas när de skickas via Internet, utan även när de lagras. För att åstadkomma ett bra skydd krävs
både tekniska lösningar och administrativa rutiner. Det är viktigt att det här finns fungerande rutiner för
behörighetsdelning och tydliga riktlinjer för när det är tillåtet för personalen att ta del av
personuppgifter. En grundläggande princip är att anställda endast har tillgång till den information de
behöver för sitt arbete. Tekniska säkerhetslösningar är inte effektiva om personalen inte vet hur de får
hantera lagrade personuppgifter. När känsliga uppgifter behandlas är det viktigt att det finns en
behandlingshistorik eller logg som löpande registrerar användaridentitet, tidpunkt och vilka uppgifter
användaren har haft åtkomst till eller bearbetat. (ibid)
3.5.2.3 Lag om kvalificerade elektroniska signaturer
Syftet med denna lag är att underlätta användningen av elektroniska signaturer, genom bestämmelser
av säkra anordningar för signaturframställning enligt tabell 4 nedan. Lagen gäller certifikatutfärdare som
är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten (Lagen.nu, 2001).
Tabell 4. Definitioner enligt lagen. (Fritt från Lagen.nu, 2001)
Elektronisk signatur
Avancerad elektronisk
signatur
Data i elektronisk form som är fogade till eller logiskt knutna till andra
elektroniska data och som används för att kontrollera att innehållet härrör
från den som framstår som utställare och att det inte har förvanskats.
Elektronisk signatur som är knuten uteslutande till en användare och gör
det möjligt att identifiera denne. Den elektroniska signaturen ska också vara
skapad med hjälpmedel som endast undertecknaren kontrollerar och är
knuten till andra elektroniska data på ett sådant sätt att förvanskningar av
dessa data kan upptäckas.
48
Kvalificerad elektronisk
signatur
Undertecknare
Signaturverifieringsdata
Certifikat
Certifikatutfärdare
Avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat
och som är skapad av en säker anordning för signaturframställning.
Fysisk person som behörigen innehar en anordning för signaturframställning.
Data, såsom koder eller öppna krypteringsnycklar, som används för att
verifiera en elektronisk signatur.
Intyg i elektronisk form som kopplar ihop signatur-verifieringsdata med en
undertecknare och bekräftar dennes identitet.
Den som utfärdar certifikat eller som garanterar att någon annans certifikat
uppfyller vissa krav.
49
50
4 Empiri
I empirikapitlet går vi genom det förslag som framlagts angående framtidens eID. Kapitlet kommer
också att behandla information från de fokusgruppsintervjuer vi genomfört.
4.1 Framtida eID-lösningar
I denna första del i empiri-kapitlet kommer vi att presentera en sammanfattning av e-delegationens
förslag på framtida eID-lösningar. Detta är en sammanfattning av SOU (Statens Offentliga utredningar)
2010:104 – E-legitimationsnämnden och Svenskt eID.
4.1.1 Bakgrund
Den eID-lösning som finns idag fungerar relativt bra och i en internationell jämförelse är det relativt högt
antal medborgare i Sverige som kan utföra legitimering och underskrift i en elektronisk miljö. Landsting,
myndigheter och kommuner har också, i samverkan med utfärdare av eID, infört dialoger och
användargränssnitt för eID som fungerar. En samsyn har här vuxit fram kring bland annat rätts – och
administrativa frågor.
Detta system har dock en del brister. Det finns i dagens system ingen enhetlig och sammanhållen
infrastruktur för identifiering vilket hämmar och försvårar utvecklingen av e-tjänster. En samordnad och
gemensam infrastruktur underlättar och förenklar för den offentliga sektorn och främjar utvecklingen av
olika e-tjänster. Dagens modell är inte heller öppen för nya möjliga aktörer att komma in på marknaden
och därigenom bidra till en mångfald. Dagens modell bygger också på en upphandling som går ut i juni
2012. Denna upphandling kan enligt förslaget inte förlängas. Söderström (2011) menar dock att denna
deadline inte kan betecknas som realistisk, utan att gällande avtal kan förlängas fram till år 2016.
E-delegationens övergripande målsättning är att skapa förutsättningar för en väl fungerande eID som
kan skapa stark förtroende till verksamheten såväl i Sverige som internationellt. svensk eID ska
möjliggöra får såväl användare som offentlig sektor att på ett effektivt sätt etablera och nyttja e-tjänster
som kräver eID och eller signering. För att förverkliga detta gäller det att skapa en affärsmodell för e51
legitimation som bygger på ett antal aktörer I samverkan; e-legitimationsnämnden (som har ansvaret att
skapa och förvalta denna infrastruktur), användare I form av privatpersoner och anställda I
organisationer, identitetsutfärdare, e-tjänsteleverantörer samt utfärdare.
4.1.2 Förslaget
Enligt den föreslagna modellen för Svensk eID ska en sammanhållen och förenklad infrastruktur skapas,
med syfte att bidra till en fortsatt utveckling av eID i Sverige på ett antal områden. Denna infrastruktur
ska inte heller förhindra existerande identitetslösningar, utan att skapa förutsättningar, regelverk med
mera för användning av existerande och tillkommande lösningar för identifiering. Inom denna
infrastruktur ska alla eID som uppfyller uppställda krav kunna användas av medborgare för åtkomst till
olika förvaltningars – och myndigheters e-tjänster.
E-legitimationsnämnden ska fastställa reglerna för infrastrukturen, men det är olika aktörer på
marknaden som ska ta fram och erbjuda identifieringstjänster och andra tjänster, till exempel eID. Här
antas det att inom ramen för eID i Sverige kommer att erbjudas olika alternativ av eID och det är
väsentligt att användarna får en valmöjlighet mellan olika alternativ. Denna förslagna infrastruktur för
identifiering bör ta sin utgångspunkt i ett tillitsramverk byggt på internationell standard (ISO/IEC) och
medge den flexibilitet som den föreslagna infrastrukturen kräver.
Som ett led i att skapa en långsiktig, teknikneutral och hållbar grund för identifiering har utredningen
valt att inte reglera hur bärare skall utforma eller på annat sätt peka på någon särskild teknik för själva
eID-handlingen, utan tar fasta på att säkerställa att identifieringen sker på ett betryggande sätt. Detta
abstraktionslager gör det möjligt för utfärdare av eID att helt fritt utforma och utveckla lösningar, så
länge de uppfyller säkerhetskraven i tillitsramverket. E-legitimationsnämnden ska genom sin verksamhet
skapa och utveckla modellen för eID baserat på ett antal utgångspunkter. Här nedan redovisas några av
dessa punkter:

Det ska vara enkelt för landsting, statlig myndighet eller kommun att få tillgång till tjänster för
elektronisk identifiering och signering. Dessa ska, genom e-legitimationsnämnden, få tillgång till
alla tjänster som omfattas av modellen.

Ett landsting, statlig myndighet eller kommun ska i så liten utsträckning som möjligt själv behöva
ha kompetens och funktioner för att kunna använda tjänster för elektronisk identifiering och
52
signering i sin verksamhet.

Modellen bör, om det med hänsyn till övriga förutsättningar är möjligt, stödja teknikneutralitet
samt bygga på lösningar som utvecklats av marknaden. Befintlig eID bör fungera i den nya
modellen.

Alla aktörer på marknaden som uppfyller relevanta krav ska kunna bli leverantörer i den nya
modellen.
Inom svenskt eID finns det ett antal grundläggande tjänster, där vissa upphandlas och vissa
tillhandahålls via e-legitimationsnämnden och andra tillhandahålls från godkända medlemmar i
modellen. Dessa tjänster kan delas in i följande grupper: Registertjänster, eID, anvisningstjänster,
attributsintygstjänster och signeringstjänster.
Denna verksamhetsplan för e-legitimationsnämnden omfattar perioden 2011 – 2013, vilket motsvarar
den period då nämndens verksamhet samt infrastruktur ska byggas upp. Målsättningen är att senast i
slutet av juni år 2012 ha infrastrukturen för eID i drift. För att uppnå detta krävs en genomförandeplan
som innefattar en lång rad aktiviteter, där några av de mer väsentliga är framtagande av avtal,
utveckling av teknisk infrastruktur och tjänster, inrättande av en säkerhets – och tillitsramverk samt
genomförande av säkerhets – och andra kontroller. Denna övergångsplan är kritisk för att få en smidig
övergång från dagens modell till den framtida modellen.
En annan aspekt i nämndens arbete är att genomföra ett stort antal samverkans – och
förankringsaktiviteter med såväl offentliga som privata e-tjänsteleverantörer, identitetsutfärdare,
attributsutfärdare samt andra viktiga intressenter för att på bästa möjliga sätt vidareutveckla och bygga
önskad modell för eID. Denna affärsmodell har till syfte att skapa en modell som fungerar effektivt med
nyttor och incitament för aktörerna. Det är också viktigt att modellen är utvecklingsbar och kan anpassas
efter nya förutsättningar.
4.1.3 Identitetsutfärdare
De identitetsutfärdare som ansluts till infrastrukturen ska utfärda dels eID till medborgare, anställda och
uppdragstagare, dels identitetsintyg till e-tjänsteleverantörer inom offentlig sektor. Avsikten med detta
53
är att alla utfärdare som når upp till de krav som ställs för deltagande i infrastrukturen ska ha rätt att bli
anslutna.
4.1.3.1 Identitetsutfärdarens relation till användaren
En användare som ska identifiera sig väljer via anvisningstjänsten vilken identitetsutfärdare som ska
användas. Identifieringen sker sedan direkt mellan användaren och den valda identitetsutfärdaren. Det
är här viktigt att identitetsutfärdaren är en part som användaren känner igen och har en direkt relation
till, till exempel som kund eller medlem. Det är särskilt viktigt att beakta i de fall där själva bäraren av
eID utfärdas av någon annan, exempelvis en underleverantör till utfärdaren, som inte nödvändigtvis
användaren har en relation till. En av de vanligaste utfärdarna är idag olika banker. Dessa banker kan
enligt förslaget fortsätta att utfärda eID, förutsatt att kraven uppfylls.
4.1.4 Anvisningstjänster
I samband med användarens utnyttjande av e-tjänster ska en anvisningstjänst införas för att underlätta
användarens val av eID. En av anvisningstjänstens viktigaste funktioner är att hantera användarens
tidigare val av eID, så att användaren vid nästa tillfälle får upp sina tidigare val som förval. Denna
anvisningstjänst föreslås också tillhandahålla två alternativa tjänster. Det första alternativet medger en
enklare integration för e-tjänsteleverantören i deras e-tjänster, medan det andra alternativet ska
möjliggöra mera avancerade och användarvänliga gränssnitt för dess användare.
Om e-tjänsteleverantören väljer det första alternativet överförs användaren till anvisningstjänsten som
tillhandahåller gränssnitt för användarens val av eID. Anvisningstjänsten anpassar gränssnittet efter
tillgänglig information om användarens tidigare val av eID. När användaren gjort sitt val överförs denne
tillbaka till e-tjänsten med information om vilken identitetsutfärdare denne vill använda för att
legitimera sig.
Om e-tjänsteleverantören väljer det andra alternativet kan denne föra in ett eget gränssnitt mot
användaren som innehåller instruktioner till aktuell webbläsare om att hämta hem relevant
anvisningsinformation från aviseringstjänsten. Detta innebär att användaren upplever att denne aldrig
lämnar e-tjänsten.
54
4.1.5 Signeringstjänster
För att den beskrivna infrastrukturen ska bli fullständig krävs att en central tjänst för elektroniska
underskrifter inrättas. Tanken med detta är att infrastrukturen ska kunna innefatta nya typer av eID
såsom kod-dosor eller liknande, som inte faller inom ramen för en sådan publik nyckelstruktur som
dagens användning förutsätter.
4.1.6 Tillitsramverk
I förslaget ingår också att inrätta ett tillitsramverk. Detta tillitsramverk innebär att utgivare av eID ska ha
dokumenterade och fungerande ledningssystem för informationssäkerhet i enlighet med erkända
standarder, att innehavarens identiteter verifieras på ett ändamålsenligt sätt, att metoden för
legitimering baseras på starkt kryptografiska mekanismer och utgivaren ska kunna påvisa att de når upp
till och följer dessa krav. Detta nämns också i teorikapitlet under förtroende.
Detta tillitsramverk ligger också i nivå med de utgivna eID som finns idag. Ramverket öppnar dock upp
för nya typer av legitimationer som inte är certifikatbaserade. Detta förväntas leda till en högre
användbarhet och större spridning inom fler samhällsgrupper.
E-legitimationsnämnden ska agera kontrollant och utöva tillsyn över utfärdare av eID så att
tillgänglighet, kvalitet och informationssäkerhet blir säkerställda. Nämnden ska vidare kunna ingripa mot
missförhållanden och avveckla en utfärdare om omständigheterna är sådana att de riskerar att leda till
oacceptabla konsekvenser för användare, e-tjänsteleverantörer eller andra eller rubba förtroendet för
infrastrukturen.
4.1.7 Personuppgifter inom infrastrukturen
Inom infrastrukturen för identifiering ska eID och identitets- och attributsintyg utfärdas och brukas så att
e-tjänsteleverantörer kan göra de kontroller som behövs. Det flöde av uppgifter och handlingar som
därmed uppkommer kan något förenklat beskrivas i figur 10:
55
Figur 10. Flöde av uppgifter och handlingar (SOU 2010:104. s.82)
1. En användare ansöker om eID och lämnar de uppgifter som behövs till en utfärdare som
kontrollerar uppgifterna och förser sina användare med privata eID.
2. Utfärdaren besvarar uppgifter om den sökande i en elektronisk akt, håller dem uppdaterade och
registrerar de uppgifter som behövs om spärr.
3. Utöver det system som utfärdaren behöver för att hantera eID behövs ett system för att utfärda
identitetsintyg. När användaren loggar in till en e-tjänst som begär identifiering styrs
användaren till rätt utfärdare och legitimerar sig, varefter ett identitetsintyg skapas i dennes
system för att utfärda identitetsintyg och överförs till e-tjänsten.
4. Om det behövs attribut i tjänsten, tillexempel uppgifter från aktiebolagsregistret om juridisk
behörighet, sänder e-tjänsten en begäran till bolagsverket via infrastrukturen för identifiering.
5. Hos attributsutfärdaren finns ett system för utfärdande av attributsintyg där utfärdaren skapar
ett intyg och skickar det till e-tjänsteleverantören.
I ovan beskrivna steg behandlas personuppgifter. Hela denna hantering har som mål att knyta uppgifter
till en viss individ och att på ett tillräckligt säkert sätt se till att intyg är utfärdade av angiven utställare
(identitets- eller attributsutfärdare) och att säkerställa en sådan hantering att mottagaren kan lita på att
uppgifterna stämmer.
56
Vidare är det centralt att respektive utfärdares system för att utfärda intyg inte utformas så att de kan
bli en samlingsplats för nya och gamla identitetsintyg eller för att exempelvis loggar som kan användas
för att kartlägga en eller flera användare. På detta sätt undviks att personuppgifter samlas in när det inte
är nödvändigt och att känsliga personuppgiftssamlingar uppkommer hos identitets – och
attributsutfärdare. Dessa effekter skulle bli särskilt kännbara om till exempel en utfärdare blir helt
dominerande på marknaden eller att dessa funktioner utkontrakteras till en och samma
underleverantör. Om sådana system utformas olämpligt skulle det kunna skapa en närmast komplett
bild av användares kontakter och kommunikationsvägar i en elektronisk miljö.
57
4.2 Fokusgruppsintervjuer
I denna andra del i empirikapitlet redovisar vi våra fokusgruppsundersökningar i beskrivande form.
Empirin presenteras i reviderad form, då vi valt att plocka bort delar som inte är relevanta för uppsatsen.
Vi väljer här att dela upp detta empirikapitel i de tre genomgående huvudperspektiven i denna studie;
användbarhet, säkerhet och förtroende. Gemensamt för de tre fokusgrupperna är att de initialt fick två
uppgifter att lösa. Anledningen till detta är att vi är intresserade av hur respondenterna hanterar
uppgifterna, samt att få igång en diskussion om eID.
Tabell 5. Fokusgrupp blandade utbildningar
Respondent
Respondent 1
Respondent 2
Respondent 3
Respondent 4
Respondent 5
Respondent 6
Fokusgrupp 1 – Studenter från blandade utbildningar (BL)
Benämning
Program
Årskurs
Kön
Certifikat Dator
BL1
Industriell ekonomi
5
Man
Mjukt
PC
BL2
Industriell ekonomi
1
Man
Mjukt
PC
BL3
Systemvetenskap
1
Kvinna
Mjukt
PC
BL4
Civilekonom
4
Kvinna
Hårt
Mac
BL5
Systemvetenskap
2
Man
Hårt
PC
BL6
Industriell ekonomi
1
Man
Mjukt
PC
Tabell 6. Fokusgrupp IT-relaterad utbildning
Fokusgrupp 2 – Studenter från IT och Management (IT)
Respondent
Benämning
Program
Årskurs
Kön
Certifikat Dator
Respondent 7
IT1
IT och management
4
Man
Mjukt
Mac
Respondent 8
IT2
IT och management
4
Man
Mjukt
PC
Respondent 9
IT3
IT och management
4
Man
Mjukt
PC
Respondent 10
IT4
IT och management
4
Man
Mjukt
Mac
Respondent 11
IT5
IT och management
4
Man
Mjukt
Mac
Respondent 12
IT6
IT och management
4
Kvinna
Mjukt
PC
Tabell 7. Fokusgrupp icke IT-relaterad utbildning
Respondent
Respondent 13
Respondent 14
Respondent 15
Respondent 16
Fokusgrupp 3 – Studenter från kulturvetenskap (KV)
Benämning
Program
Årskurs
Kön
Certifikat
KV1
Kulturvetenskap
3
Man
Mjukt
KV2
Kulturvetenskap
1
Man
Hårt
KV3
Kulturvetenskap
4
Kvinna
Mjukt
KV4
Kulturvetenskap
4
Kvinna
Mjukt
Dator
PC
PC
PC
PC
58
4.2.1 Användbarhet
Anta att ni glömt lösenordet till ert eID, hur löser ni det?
BL1 och BL4 har hårda certifikat på kort och har en separat pinkod till sina eID. De har inte haft problem
med bortglömd kod och har således ingen aning om hur det går till att skaffa en ny kod. KV2 har också
hårt certifikat. Han skulle nog gå till banken om det skulle bli problem med lösenordet eller något annat.
BL2, IT3 och KV4 har råkat ut för detta. Efter lite letande insåg de att de inte kunde få ett nytt lösenord
och de var tvungna att gå in på sin banks hemsida för att ladda ner ett nytt certifikat, avinstallera det
gamla och installera det nya. KV1 skulle kolla om det gick att få ett nytt lösenord. Skulle det vara för
krångligt skulle han nog ladda ned ett nytt i stället. IT3 Tror att det går och lägga det nedladdade
certifikatet på ett USB minne också, för att alltid ha det med sig, men tycker efter lite betänketid att det
inte är en hållbar lösning. IT3 är inne på samma spår, IT1 och IT4 håller med när han säger:
”Det är så pass få saker eID används till, så den kraft och energi jag lägger ned på att ladda ned
certifikat och lägga på ett USB-minne som jag har med mig, väger inte upp behovet. Det är enklare att
bara ladda ned ett nytt.”
KV1 tycker att det fungerar bra att flytta med sitt certifikat på ett USB minne. BL3 har aldrig glömt sitt
lösenord, men har varit med om att certifikatet gått ut. Detta upptäckte hon när hon skulle lämna
studieförsäkran hos CSN.se. Hon tycker att det är märkligt att hon inte fått info om detta, varken innan
det gick ut eller vid användning. Det stod bara att hon inte hade något aktivt eID, utan återkoppling till
varför, eller hur hon skulle gå tillväga för att skaffa ett nytt. När hon väl laddat ned ett nytt certifikat
framgick det att hon hade ett gammalt som gått ut. KV1 håller med och tycker att det skulle gå att
reglera eller uppdatera giltighetstiden själv. BL5 har ett hårt certifikat och har råkat ut för samma sak.
Inte heller han fick någon förklaring på vad problemet var. BL6 tycker att det inte borde vara så svårt för
utfärdaren att lösa detta problem. Utfärdaren har ju uppenbarligen de kontaktuppgifter som behövs för
att kunna informera om att ett eID håller på att gå ut.
BL2, BL3 och BL6 Tycker att det är omständligt att behöva sin bankdosa för att logga in till sin bank, för
att sedan ladda ned ett nytt eID-certifikat med ett nytt lösenord. De menar att det skulle vara bättre att
kunna legitimera sig direkt med sin bankdosa i stället för att ha ett separat eID, som ändå kräver
inloggning med hjälp av en bankdosa. IT5 håller med och tycker att det är konstigt att varje gång han ska
ladda ned ett nytt certifikat så måste han ha sin bankdosa för att kunna göra det. Han menar då att han
59
lika gärna kan legitimera sig med bankdosan, på samma sätt som när han betalar sina räkningar över
internet.
Hur skulle ni beskriva denna process?
BL4 menar att förutom att hon måste ha kort, dosa och sladd med sig varje gång hos ska legitimera sig
elektroniskt, så är det väldigt enkelt och fungerar bra. BL4 hade ett mjukt certifikat i sin dator, innan hon
var tvungen att byta till sin nuvarande lösning. Det var hennes bank som införde denna hårda lösning.
Samtliga fokusgrupper använder eID relativt sällan, vilket gör att de kan ”leva” med de eventuella
användbarhetsrelaterade svårigheter som finns. IT4 tycker att användbarheten är bra, och att den måste
vara bra. Är det inte användbart kommer han inte att använda det över huvud taget. Då spelar det ingen
roll att det är säkert eller att jag har förtroende för tjänsten. KV3 håller med om detta och säger:
”Är det inte användbart kan jag lika gärna sitta med pappersblanketter och penna.”
IT6 Använder inte heller eID särskilt ofta. När hon nu skulle logga in på CSN:s hemsida med sitt eID
fungerade det inte till en början. BL1, BL2 och BL3 tycker att processen är väldigt smidig, bara att skriva
in lösenordet så är det klart. Samtliga respondenter i KV-gruppen tycket processen är väldigt smidig, hur
enkelt som helst. KV3 har varit tvungen att ladda ned ett nytt certifikat en gång, men tycker i övrigt att
det fungerar bra. BL6 Håller med om att processen är smidig… tills nu. BL6 har dock problem med sitt
eID under de initiala uppgifterna vi gett respondenterna. Det är framför allt webbläsaren som strular,
vilket gör att BL6 var tvungen att byta webbläsare för att kunna utföra uppgifterna. BL2 och IT2 är inne
på samma spår och upplever att han relativt ofta har haft problem med webbläsaren Chrome när det
gäller eID. IT3 håller med och kommer ihåg att han för något år sedan var tvungen att byta till
webbläsaren IE (Internet Explorer) för att kunna använda sitt eID. IE hade han då inte använt på cirka
fem år och var då tvungen att uppdatera IE, vilket gjorde hela processen för omständlig. KV3 har fått
felmeddelande i sin webbläsare (Firefox) någon gång och blev då lite orolig. Det stod att eID inte
fungerade i denna webbläsare, men hon hade bråttom och körde på. Det hela fungerade men hela
processen kändes ”olustig”.
KV1 trodde att det skulle vara krångligt att använda eID innan han började använda det. När han väl
installerat sitt eID så upplevde han inga problem. KV1 brukar dra sig för att använda nya lösningar över
60
lag. KV4 tycker att själva användandet inte är särskilt krångligt, däremot tycker hon att det är svårt att
hitta på sin utfärdares hemsida då hon måste ladda hem ett nytt certifikat. IT5 tycker att processen är
väldigt smidig, så länge han kommer ihåg lösenordet och att programvaran är installerad i datorn. KV1
håller med om detta. IT3 spinner vidare på detta och menar att lösenordet till hans eID måste vara
utformat på ett visst sätt med bokstäver och siffror av en viss längd. Detta gör att han inte kan använda
sitt ”vanliga” lösenord, vilket gör att han lätt glömmer bort det och måste ladda ned ett nytt certifikat.
Övriga respondenter i fokusgrupp två håller med om detta. IT1 tycker också han att det är omständligt
med den speciella lösenordsutformningen. Han menar att han måste ha någon form av minnesramsa för
att komma ihåg sitt lösenord.
BL5 har innan de utdelade uppgifterna problem med drivrutiner till sitt hårda certifikat. När han
kopplade in sin dosa fick han uppmaningen att ladda hem drivrutiner, trots att han nyligen använt denna
dosa på samma dator utan problem. Tre till fyra klick senare så fungerar dosan utan problem. BL5 tycker
att det är lite omständligt, men tänker inte så mycket på det. BL6 tycker att användbarheten blir lidande
när han måste ladda hem ett nytt certifikat om han byter dator. BL2 funderar på hur användarvänligt
eID-handhavandet egentligen är om en person är novis inom IT i allmänhet och Internet i synnerhet. Han
menar att det troligtvis skulle vara krångligare att använda dessa tjänster om personen i fråga inte
använder Internet så ofta. BL3 instämmer och säger:
”Vi är ju så vana, bara att ladda ner. Jag tänker på äldre som kanske inte fattar varför de ska ladda ner
säkerhetsprogram och certifikat.”
BL5 instämmer också och tror att det här kan bli problem efter installationen av säkerhetsprogram,
nedladdning av certifikat och omstart av datorn. Fokusgrupp BL och IT känner sig bundna till en dator
när det gäller sitt eID. De menar att användbarheten blir lidande när de måste ha med sin egen dator
när de ska utföra eID-relaterade uppgifter. De menar att som studenter så måste de ha med sin dator till
skolan för att kunna legitimera sig elektroniskt. Detta är inget de kan göra på skolans datorer (varken
med hårt eller med mjukt certifikat). Med hårt certifikat måste drivrutiner till dosan installeras, vilket
skolans datorer inte tillåter. Samma sak gäller för mjuka certifikat, där ett säkerhetsprogram måste
installeras.
KV-gruppen har inte lika stort problem med detta. De håller med om att det kan bli problem om de sitter
vid en ”publik” dator, men över lag så ser de inga större problem med att de är bundna till en dator.
61
Vad anser ni om skillnaderna mellan ”traditionella” underskrifter på papper och elektroniska
underskrifter?
BL3 skriver under på papper bara om det är absolut nödvändigt, hon anser att det är mycket smidigare
att skriva under via Internet kontra att göra det på papper. Hon tycker också att det är mindre
omständligt att skriva under elektroniskt, till exempel när hon söker bostadsbidrag. Här menar hon att
hon slipper fylla i blanketter, hitta frimärken och kuvert och ta sig till en brevlåda. Det är då mycket
smidigare att bara fylla i ett formulär och skicka iväg över Internet. BL1 håller med om detta och säger
att så fort han fick chansen så gick han över till det elektroniska alternativet och säger:
”När jag ska skicka brev så har jag aldrig kuvert hemma, har jag det så har jag inga frimärken.”
BL5 menar att det också tar längre tid att skicka ett brev samt att denne inte vet att brevet kommer
fram. Skickas ett dokument över Internet så visas direkt ett ”kvitto” på att den kommit fram. BL6 flikar in
och tror att handläggningstiden är längre när det gäller dokument inskickade per post, bland annat
beroende på hur mycket handläggarna har att göra. BL6 tror vidare att det säkert är en bättre
automatisering när det handlar om elektroniska dokument och underskrifter. IT3 och IT6 menar att de
”slipper” den mänskliga faktorn när de signerar över Internet. Det kan handla om att dokumentet tappas
bort eller att:
”…handläggaren öppnar brevet och sen spiller kaffe över hela dokumentet”
KV3 anser att det beror på vilka underskrifter det gäller, hon ser inga problem med att skriva under på
papper. KV4 flikar in och menar att det känns säkrare att skriva under pappersdokument. Detta på grund
av att hon vet då hur processen går till och att hon är säker på att dokumentet kommer fram. Hon
menar också att trots att hon vid elektroniska underskrifter får ett ”kvitto” på att det är underskrivet, är
hon inte säker på att det kommit till rätt mottagare, om alls. Hon säger här att det beror på att hon inte
vet hur den bakomliggande processen går till. IT4 är inne på att det är lättare att signera dokument på
Internet, men att det inte känns lika seriöst då det inte är lika mycket jobb bakom. ”Är det mer jobb så
känns det seriösare.” KV3 anser också att det känns mer seriöst. IT1 känner att det är säkrare att skriva
under något över Internet än att göra det på papper. Om någon har tillgång till hans ”analoga”
namnteckning och skriver den 1000 gånger så kan de ju den. De behöver säkert inte ens kunna den. Om
62
en handläggare får in ett fysiskt dokument med en underskrift på, lär ju denne knappast reflektera över
hur den ser ut. IT5 menar att: ”Posten är ju inte krypterad”
KV2 tycker att eID har underlättat till exempel kontakten med CSN:
”CSN har ju blivit härligare att umgås med.”
Vad anser ni om relationen användbarhet – säkerhet?
BL2 anser att användbarheten är viktigare än säkerheten på grund av att eID inte används till
pengatransaktioner. Han menar också att det inte känns som att säkerheten måste vara högst
prioriterad när dokument skrivs under elektroniskt till CSN. BL4 har samma hårda certifikat för att logga
in till sin bank som hon har till sitt eID. Hon tycker att det känns säkert, men att användbarheten blir
sämre ju fler tillbehör hon måste använda (smartcard, kortläsare och USB-kabel). KV2 har också hårt
certifikat, men ser inte att användbarheten blir sämre när, vad han anser, är en säkrare lösning. ”Det är
ju bara en kod och ett klick.”
BL5, som också har hårt certifikat, håller med och anser att använda sitt eID för att logga in till banken
också. När han kopplar in sitt smartcard (där certifikatet ligger) till sin dator, behöver han bara knappa in
sin vanliga pinkod, vilket han tycker är användarvänligt, men kanske inte så säkert. BL1 tycker att det
vore bäst om både användbarhet och säkerhet legat i toppen av listan, men anser att det kan vara svårt.
BL1 värderar användbarhet över säkerhet och tror att det kan ha att göra med att han inte blivit ”blåst”
på Internet. Han tror vidare att detta skulle ändra sig om han skulle bli lurad på Internet, att då i stället
värdera säkerhet högre. BL6 menar att han inte har några problem med att ”krångla till det lite” och
föredrar därför säkerhet framför användbarhet. KV3 tycker att eID känns säkert, men tycker inte att
användbarheten är låg. Hon tycker dock att om det är för krångligt så skulle hon inte använda det. IT2
känner att vid hög säkerhet så sjunker användbarheten. Han menar också att säkerheten kan vara
bristande när användbarheten är låg, då det kan vara lättare att göra fel saker. KV4 är inne på samma
sak och menar att det är lättare att göra fel när användbarheten är låg. Hon blir lätt osäker på vad det är
hon klickat på och vad det klicket innebär. Vidare anser hon att ju fler val i kombination med ovana det
finns, kan handhavandet kännas osäkert. IT6 tycker att säkerheten känns högre när användbarheten är
bättre, i och med att risken att göra fel är mindre. Vidare menar IT6 att rent elektroniskt har säkerheten
inget med handhavandet att göra, det handlar bara om krypteringar och hur data lagras. Om
63
användbarheten då är bra kommer handhavandet att bli lättare, men säkerheten blir inte bristande på
grund av det. Om någon kommer över ens lösenord så spelar det ingen roll hur bra den övriga
säkerheten är. IT1 menar:
”Vi tillhör ju Wikipedia-generationen, ett knapptryck sen ska det vara klart.”
64
4.2.2 Säkerhet
Vad anser ni om säkerheten när det gäller eID?
IT6 tycker eID känns säkert och vill känna sig säker och trygg när hon legitimerar sig elektroniskt.
”Hade jag inte känt att det var säkert hade jag inte använt det.”
IT1 säger att säkerheten är relativt låg, eller att han i alla fall inte har någon koll på hur hög säkerheten
är. Han menar också att på grund av att han laddar ned ett nytt certifikat varje gång han glömmer sitt
lösenord känns det hela osäkert. IT3 tycker att säkerheten är så pass hög att den blir omständlig och på
så sätt låg. Ett exempel på detta är att lösenordet är så pass krångligt att man måste skriva ned det på
en lapp för att komma ihåg det. Enligt IT3 resulterar detta i att säkerheten blir lägre. BL4 anser att det
känns säkert, i och med att hon måste ha kort, kod och kortläsare till sin dator för att kunna identifiera
sig elektroniskt. BL3 och IT6 menar, precis som IT6 att det känns säkert, annars skulle de inte använda
det.
”Det ända jag behöver göra är att skriva in ett lösenord och sen är det klart.”
BL1 håller med om detta och har aldrig känt att det inte skulle vara säkert, i och med att han bara har
det på sin dator hemma. Han tror vidare att någon knappast skulle signera något i hans namn hos CSN
eller Skatteverket. KV1 känner en viss oro över att hans eID inte är säkert, att någon kan hacka det eller
komma åt det från en annan dator. Han anser att det känns ganska abstrakt då han egentligen inte har
någon aning alls om säkerheten. Denna oro känner han dock inte varje gång, men tanken slår honom
ibland. KV4 känner att hon inte har så mycket val när det gäller säkerheten. Hon har eID via sin bank, där
det bara finns ett säkerhetsprogram att välja på. ”Man tar ju vad man får och antar att det är säkert.”
KV3 menar att säkerhetskänslan säkert blir mer påtagande om hon vet allt om säkerheten, eller om hon
känner att hon behöver veta allt om den. BL3 har även eID via en annan utfärdare (en bank) där hon
initialt behöver ett lösenord och sedan en kod som kommer fram i bankdosan när hon ska legitimera sig.
Detta anser hon känns lite säkrare än bara ett mjukt certifikat med ett lösenord. KV2 är inne på samma
spår och känner nästan att det är för säkert i och med att han måste ha kort, dosa och sladd. Att han
måste använda dessa tre saker gör inte att användbarheten blir sämre, utan snarare att säkerheten
känns bättre. BL6 kan känna att bara ett lösenord kan kännas lite osäkert, men så länge han har koll på
65
sin dator så anser han att det känns säkert. BL6 menar vidare att om någon ”kom över” hans dator eller
lösenordet, bör det inte vara särskilt svårt för denne någon att verifiera och skriva under saker i hans
namn, ”vilket kanske inte är jättebra”
IT2, IT3 och IT6 är inne på samma spår. De tycker att det är omständligt med det speciellt utformade
lösenord som krävs, men tycker samtidigt att det är bra ur säkerhetssynpunkt. De menar här att det
känns säkrare att ha ett separat lösenord till sitt eID, än ett ”standardlösenord.” IT4 håller inte med. Han
menar att eID används så pass sällan att det vore bra att ha sitt ”standardlösenord” så han inte glömmer
bort det. BL5 har sitt eID ”inbakat” i sitt vanliga VISA-kort och använder sin vanliga pinkod för att
identifiera sig elektroniskt. Denna process tycker han känns säker i och med att det bara är han själv som
känner till pinkoden. BL6 ifrågasätter detta med argumentet att:
”…någon kan ju stå bakom dig i Hemköpskön och se dig knappa in koden.” BL5 menar då att det är
”smällar man får ta.”
BL2 tycker att hårda certifikat känns säkrare, men menar vidare att det inte handlar om rena pengar,
som till exempel hos en bank. Detta anser han kräver en högre säkerhet.
”Det är ju inte hela världen om någon annan signerar mitt namn på CSN”
Vidare menar BL2 att om det kommer fler tjänster som kräver eID kanske han skulle vilja ha en lösning
som känns säkrare.
66
4.2.3 Förtroende
IT5 anser att förtroendet är viktigare än både säkerhet och användbarhet när det gäller eID. Han menar
att förtroendet redan finns till den bank som utfärdar hans eID. Banken kan då garantera säkerheten om
något skulle bli fel. IT2 håller med och menar att han har förtroende till sin bank och tycker därför att
den behandlar hans eID med hög säkerhet. IT1 menar i stället att om säkerhetsnivån är hög så skapar
det ett förtroende. Han menar också att om något går fel så är det ändå den som skrivit under som står
som ansvarig.
Moderator: I förslaget från e-legitimationsnämnden så ska i stort sätt vem som helst kunna bli utfärdare
av eID om de uppfyller vissa fastställda krav.
KV2 menar att om den organisation som utfärdar eID blivit utvärderad och rankad som den med bäst
säkerhet, så kan ett förtroende byggas utefter detta. KV1 misstänker att han skulle använda en tjänst
med låg användbarhet, bara han har förtroende för utfärdaren. Här menar han att även om tjänsten är
svår att använda så känner han ett förtroende till utfärdaren, vilket gör att han står ut med det svåra för
han känner sig säker över lag.
Om ett okänt mindre företag uppfyller dessa krav och erbjuder er eID, vad anser ni om det?
BL3 anser att det för henne är av stor vikt att det är en erkänd aktör (helst en bank) som har hand om
hennes eID. Hon menar vidare att även om den okände aktören uppfyller samma krav som en bank,
skulle hon ändå välja banken. KV4 är inne på samma spår och känner att banker ”har större koll.” Hon
ser att banker och polisen skulle kunna vara seriösa utfärdare. BL2, KV3 och KV4 tror att det handlar om
vad den okände aktören gör för något. Om samma förtroende finns för denna aktör som det gör för en
bank eller myndighet.
BL6 anser att banker känns säkra i och med att de redan hanterar många saker. De tar hand om ens
pengar, då kan de lika gärna ha hand om ens eID, det är det naturliga steget. KV-gruppen håller med om
detta. IT3 skulle känna en viss oro om ett okänt företag skulle ”strula till det” genom att till exempel
läcka personuppgifter. Han tror att det okända företaget inte skulle bry sig lika mycket som en bank
skulle göra. Här tror han att det okända företaget inte skulle förlora så mycket förtroende på detta,
medan det för banken skulle vara någon form av skandal. Han tror att folk skulle bli mer förvånade om
detta skulle hända med banken än med det okända företaget. KV1 menar att om det okända företagets
67
tjänster är enkla och säkra, så har han egentligen inga problem med att byta utfärdare. Det blir ju då i
stället en utvärderingsfråga. IT4 känner att han har större förtroende till banker än företag som bara är
ute efter att tjäna pengar. KV2 tycker att det känns säkrare att ha sitt eID hos sin bank. Detta beror på
att banker har längre erfarenhet av dessa tjänster och borde således vara säkrare. KV4 tror att bankerna
är så pass riskmedvetna att de vet att säkerhetsläget ändras i snabb takt med hackare och andra hot.
Hon tror också att banker lever mycket på förtroende, men för att behålla det förtroendet så måste de
se till att hålla sina tjänster säkra. IT6 tycker att hon känner förtroende till sin bank som varumärke och
menar att det inte spelar någon roll om banken till exempel har det okända företaget som
underleverantör av eID. Det är fortfarande bankens namn som syns mot kunden, vilket innebär att
banken ”går i god” för tjänsten. BL4 tycker att det beror på vilken tillsyn det skulle finnas på denna
okända utfärdare. Hon menar att om tillsynen är hård skulle det vara bättre. Hon anser också att så inte
är fallet. BL2 anser att om bankerna har hand om eID så finns redan förtroendet och tillsyn skulle då inte
behövas. Om ett okänt företag skulle ha hand om eID så skulle han först undersöka förtroendet, sen
säkerhet och användbarhet.
IT5 menar att kompensation eller någon form av bättre erbjudande krävs för att han ska byta bank. Om
den nya utfärdaren kan erbjuda ett bättre alternativ till min nuvarande bank skulle jag gå med på det.
IT3 flikar in med att för han ska flytta hela sin ”verksamhet” vill han ha bättre ränta på lån samt att den
nya utfärdaren kan ge honom en bättre eID.
IT3 - ”Eftersom jag använder tjänsten så sällan kan jag nog ta det strulet när det kommer: Utfärdare:
Hej, vi har lättare eID här. Kund: Ja du, jag kan nog fortsätta med min krångliga.”
KV3 funderar på vad som skulle hända om det okända företaget skulle ta betalt för sin eID-tjänst. Hon
menar att detta är något som över lag är gratis idag. Om det okända företaget skulle erbjuda en eIDtjänst som kostar pengar tror hon att den kanske skulle kännas säkrare. Hon drar här paralleller till
mjukvara:
”Gratisversionen av en viss mjukvara saknar ofta en del funktionalitet som betalversionen har.”
Går det att undersöka sig till förtroende?
BL2 – ”Nja, det får i så falla vara någon form av magkänsla”
68
BL5 drar parallellen till att handla kläder:
”Jag handlar ju kläder på Zoovillage (klädkedja, förf. anm.), men kanske inte på Karlssons kläder (okänt
företag).”
BL1 kan här tänka sig en typ av Pricerunner-tjänst (prisjämförelse på Internet förf. anm.) där användare
får sätta betyg på sin eID utfärdare. BL1 menar här att om en utfärdare fått 78 minus i betyg, så kanske
han inte skulle välja den utfärdaren. IT1 och IT6 håller med. BL3 säger att även om det fanns ett antal
utfärdare att välja på, skulle hon ändå välja sin bank för att hon känner större förtroende till den, även
om andra företag har lika bra säkerhet.
Säkerhet för era pengar, innebär det en automatisk säkerhet för er elektroniska identitet?
BL6 tycker inte att det automatiskt innebär samma säkerhet, men att det i alla fall skapar ett förtroende.
Banken hade inte fått ta hand om hans pengar om han inte trodde att de tog hand om dem på ett bra
sätt. BL3 håller med och menar att merparten av alla pengatransaktioner sker elektroniskt, bör bankerna
ha bra koll på den biten. Enligt BL3 så innebär detta att hon får förtroende för banken och att de då lika
gärna kan ha hand om hennes eID också, vem skulle annars göra det? BL2 påpekar här att han
egentligen inte vet om säkerheten är bra eller inte, oavsett om hårt eller mjukt certifikat används.
– Övriga håller med.
BL2 fortsätter och tror nog att det är säkert, mycket på grund av att han litar på sin bank. IT4 är uppväxt
med sin bank och har varit kund där från början. Detta menar han har gett honom ett förtroende för
denna bank, och att det inte är aktuellt att byta. BL6 menar att när han skulle skaffa eID så var inte
konkurrensen så stor; ”det fanns bara banker att välja på” och då tog han den som verkade smidigast.
BL5 menar att bankerna kan ha underleverantörer som sköter själva eID-tjänsten. Han menar också att
detta inte spelar någon roll för honom, i och med att det fortfarande är banken som valt ut denna
underleverantör. Har han förtroende för banken, har han ett förtroende för de tjänster banken erbjuder,
oavsett om det är banken själva eller en underleverantör som levererar dem.
69
4.2.4 Framtid
Som det ser ut idag så finns ett antal olika utfärdare, föredrar ni att ha det så i framtiden också, eller
skulle det vara bättre men en utfärdare, till exempel en myndighet?
BL3 tycker att det vore bättre att det är bara bankerna som har hand om eID i framtiden. Detta på grund
av att hon har allt på ett och samma ställe (pengar, aktier, eID mm). BL6 håller till viss del med, men tror
att säkerheten skulle bli lidande om bara banker tilläts ha kontroll över eID. Han menar att det är bättre
ur konkurrenssynpunkt att flera aktörer kan ”tävla” med varandra för att ta fram bättre och säkrare
tjänster. KV3 håller med om detta och tror att det skulle bli bättre för användarna om de har ett antal
leverantörer att välja mellan. Hon tror dock att det skulle vara sämre för oerfarna användare. IT5 anser
att det beror på om användbarheten är tillräckligt bra att det inte behövs någon konkurrens. Om så är
fallet så är lösningen med bara en utfärdare en bra idé. Han menar vidare att det skulle innebära att det
är en standard som gäller och att han skulle slippa växla mellan hundra olika företag. Å andra sidan säger
IT5 att om den enda aktören är en katastrof så vill han ha konkurrens i stället. IT2 ser en form av
monopol framför sig och menar att den enda aktören har ett stort samhällsansvar att ta fram
användarvänliga och säkra tjänster till allmänheten och inte bara lansera tjänster för att tjäna pengar.
KV1 tror att det kan bli problem om bara en organisation har hand om eID. Han menar att om
konkurrens saknas så kan utvecklingen stanna av. Konkurrens behövs för att driva denna framåt. BL4
tror att det kommer att bli förvirrande med en massa olika aktörer som erbjuder dessa tjänster med en
viss typ av marknadsföring. Hon tror att folk lättare kan bli lurade när de har en uppsjö olika dosor och
koder att hålla reda på. BL1 tror att om bara en aktör skulle ha hand om eID skulle denna aktörs
inflytande bli för stort. Att aktören kan göra som den vill i och med att den sitter på all information. IT3
tycker att om en aktör ska ha hand om eID så bör det vara en myndighet, som han tror har mindre
vinstintresse än privata företag. För IT2 spelar det mindre roll vilka som har hand om hans eID, bara det
fungerar. Som tidigare nämnts så tycker han att eID ska fungera i samtliga webbläsare.
Framtida lösningar?
BL3 ser gärna att eID i framtiden finns i ens mobiltelefon, något hon alltid har med sig. Detta förutsätter
dock att denna lösning är säker, på grund av att det är betydligt lättare att bli av med sin mobiltelefon än
sin dator. BL1 tycker att utbudet för eID är för litet för att skapa en bättre/smidigare lösning för eID. Han
menar dock att om utbudet kulle öka så skulle han gärna se en smidigare lösning. IT3 håller med om
detta och tycker att gränsen är hårfin. Han ser säkerheten i mobilen som sämre, men att han använder
70
eID tjänster så pass sällan att han här är villig att tumma på säkerheten. Om eID tjänsterna i framtiden
blir flera så tycker han att användbarheten ökar dramatiskt om det finns en mobiltelefon-baserad
lösning. KV-gruppen håller med.
BL6, KV3 och KV4 tror att mobiltelefoner kommer att bli ett större mål för hackare i framtiden just för
att allt fler information och identifieringslösningar flyttar in i just mobiltelefonen. De tror att det
kommer att gå samma väg som det gjort för datorer. Att ju fler lösningar det kommer till en viss
plattform, ju mer utsatt kommer denna att bli. IT1 skulle gärna se en mobiltelefonlösning i framtiden,
men menar också han att säkerheten är ett problem. De populärare smartphone-modellerna kanske är
ganska säkra från början, men så fort du ”rootar” eller ”jailbreakar” dem, så sjunker säkerheten
markant. BL4 tycker att det över lag fungerar bra som det gör. Däremot tycker hon att de hårda
certifikaten skulle fungera trådlöst i stället för med sladd; ”det känns omodernt och 90-tal med sladd.”
BL4 känner idag inte till så många ställen hon kan använda eID på. Banken, Skatteverket och Apoteket är
de som hon känner till. Skulle det bli många fler tjänster skulle kanske också efterfrågan bli större och en
lösning skulle då också förmodligen tas fram även för mobiltelefon. IT5, KV1 och KV2 vill se en
webbaserad lösning för eID i framtiden. KV1 tycker, som de många andra i fokusgrupperna, att det är
omständligt att ladda ned säkerhetsprogram och certifikat till varje dator. Om det i stället skulle bygga
på en webbaserad lösning skulle dessa problem i stort sett elimineras. Tjänsterna skulle också bli mer
plattformsoberoende och lättillgängliga. Övriga deltagare håller med.
71
72
5 Analys
Tanken med denna analys är att jämföra vår insamlade empiri (fokusgruppsintervjuerna): Användbarhet,
säkerhet och förtroende med de teorier vi anser är relevanta. E-delegationens förslag om framtida eID
kommer också jämföras med framför allt våra fokusgruppsintervjuer, men med vissa inslag av vår teori.
Figur 11. Disposition för analys
73
5.1 Användbarhet
5.1.1 Det första intrycket
I ett första försök att beskriva användbarhet skriver Miller (1971) att: användbarhet som ett system
vilket är ”enkelt att använda”. I fokusgruppsintervjuerna frågade vi just därför om de upplever
användbarheten som enkel eller om det finns problem: ”Jag tycker att det är väldigt lätt, det är bara att
skriva in lösenordet sen så är det klart.” Det som framkommer här är den första allmänna åsikten.
Gruppen kommer senare att komma in på andra tankar kring användbarhet i takt med att de frågor vi
ställer kopplas djupare till teori kring ämnet.
5.1.2 ISO-standard
För att gå tillbaka till hur användbarhet tolkas ihop med de fokusgrupper som vi har intervjuat, kommer
vi jämföra deras tankar med den framtagna ISO-standarden:
”Den grad i vilken användare i ett givet sammanhang kan bruka en produkt för att uppnå specifika mål
på ett ändamålsenligt, effektivt och för användaren tillfredsställande sätt.”
(ISO 9241-11:1998, s. 2)
Genom denna standard finns tre aspekter som ska bemötas:

Ändamålsenlighet - Att produkten gör det användaren vill att den ska göra
●
Effektivitet - Att resursåtgången definieras till exempel i tid.

Tillfredsställelse - Att användaren upplever produkten på ett positivt sätt
Vi anser att utefter vad vi belyst under rubriken användbarhet här ovan, uppfyller eID-tjänsten inte
dessa tre krav helt och hållet. Det finns med andra ord mer eller mindre missnöje på alla tre punkter. Vi
upplever dock en skillnad mellan de tre grupper vi intervjuat vilket vi anser kan ha med följande att göra:
●
Användarna - Vilka använder produkten? Är det nybörjare eller erfarna användare?
●
Deras mål - Vad vill användaren göra med produkten - Stödjer den vad användaren vill
●
Utrustning – Det material som behövs beskrivs här
74
●
Sammanhang – Hur och var används produkten
De fyra punkterna här ovan beskriver faktorer som inverkar på de tre tidigare aspekterna enligt ISO:n.
För att ansluta dessa fyra punkter till de fokusgrupper som vi har valt att intervjua har vi gjort en
koppling enligt nedan:
Användarna: Vi har valt tre olika typer av fokusgrupper där inte nybörjare och erfarna användare direkt
passade in. Vi har istället valt att titta på fokusering kring IT inom den utbildning studenterna går, vilket
innebär en IT-fokuserad fokusgrupp, en icke IT-fokuserad grupp och en tredje grupp med blandad ITfokus finns.
Deras mål: Användarnas mål i det här fallet var att kunna använda eID för att logga in för vald tjänst som
kräver det. Det förelåg vissa problem främst ur flexibilitet och attitydsperspektiv. Dessa problem störde
dock inte processen att kunna logga in och utföra uppgiften som krävde eID. Utifrån alla tre
fokusgrupper är detta målet uppfyllt då alla lyckades logga in och utföra den uppgift vi bad dem göra.
Utrustning: Det material som krävdes för att logga in och utföra uppgiften vi bad om var en dator med
internetuppkoppling, hårt eller mjukt certifikat.
Sammanhang: Produkten används i sammanhang där användaren behöver deklarera om denne vill göra
det elektroniskt eller som vår målgrupp främst använder eID för att signera elektroniskt om studiemedel
på CSN.se. Tjänsten kan utföras det de sammanhang där rätt utrustning finns tillgänglig (se punkt
utrustning).
5.1.3 Flexibilitet
Shackel (1990) samt Faulkner (2000) beskriver processen med fyra olika kravfaktorer angående
effektivitet, lärbarhet, flexibilitet samt attityd.
Baserat på fokusgruppsundersökningarna, har vi fått intrycket att främst två av Shackel (1990) och
Faulkners (2000) fyra ”kriterier” inte är uppfyllda. Den ena av dessa två faktorer som inte håller måttet
enligt fokusgrupperna BL och IT är just flexibilitetsfaktorn. Denna faktor ihop med eID har utifrån
75
diskussion från BL och IT ansetts vara sämre, medan KV-gruppen inte har lika stora problem med detta,
även om de håller med om att det kan bli problem om det sitter vid en publik dator. Det här anser vi är
intressant ur den synvinkeln att de två grupper som delvis och helt har fokusering på IT inom sin
utbildning anser att flexibiliteten är viktigare än den grupp som inte går en IT-fokuserad utbildning. Vår
tanke om detta skulle kunna vara att KV-gruppen inte har samma krav på flexibilitet som BL och IT, utan
istället fokuserar på att kunna utföra tjänsten i lugnt och ro, vilket också diskuterades av KV4 vid
tjänsten underskrift digitalt.
Utefter vår egen erfarenhet av användarvänlighet ihop med flexibilitet är det något som mer och mer
blir aktuellt ju större efterfrågan blir på att kunna använda tjänster i ”farten”. Om en process är flexibel
men inte är användarvänlig eller tvärtom kan det bli problem för oss som användare om inte tjänsten
fungerar så som vi har föreställt oss.
”Jag tycker jag är låst till en dator, det är inte så användbart att jag måste ha min egen dator för att
kunna göra sådana här saker.” (BL & IT)
Vid mjukt certifikat upplevs det att användaren känner sig låst och måste använda sin egen dator. Vi
som moderatorer påpekade då att det går att flytta över certifikatet genom USB-minne. Detta var det
några av deltagarna som hade testat men upplevde det inte som en smidig process i grupperna BL och
IT: ”Det är inte så att jag går omkring med ett USB-minne med filen på”. I KV-gruppen är det en
deltagare som testat detta (KV1) och tycker det dessutom är väldigt smidigt. KV1 säger att han brukar
flytta över certifikatet mellan olika USB-minnen. Intrycket vi fått av detta är att många deltagare i
fokusgrupperna inte kände till att möjligheten finns, medan andra kände till det fast inte har haft någon
anledning till att använda sig utav detta. De få som har testat från fokusgrupp BL och IT tyckte det var
mycket smidigare att ladda certifikatet igen istället om det skulle vara aktuellt.
Även de som använde hårt certifikat känner en viss begränsning då flexibilitet och flytt av certifikat
kommer på tal. BL4 säger: ”Med dosa kan du väl bara koppla in den? Jag måste ju ändå ha program och
drivrutiner på datorn, det kan jag ju inte ha i skolans datorer, det kanske är av säkerhetsskäl.”. Att ändå
behöva leta upp drivrutiner till dosan samt installera säkerhetsprogrammet på en ny dator ses inte som
flexibelt. Vi får uppfattningen av användning utanför sin egen dator inte erhåller samma användbarhet
som på sin egen dator. Att dessutom publika datorer oftast är spärrade av administratören av
76
säkerhetsskäl, då drivrutiner och säkerhetsprogram ska installeras gör situationen ännu mindre
användbar och flexibel. Begränsad flexibilitet på publika datorer är något som också alla grupper
nämner. Enligt oss kan detta vara individuellt för hur varje person upplever flexibilitet, eftersom det
endast var några få som testat att flytta över certifikaten.
För att koppla fokusgruppernas tankar angående flexibilitet med vad Åström (2004) menar, är det inte
bara tekniskt komplicerat att utveckla vissa tjänster. Det kan också ha en stor inverkan på vilket sätt vi i
framtiden kommer leva våra liv och hur samhället kommer se ut. Författaren menar att det beror just på
grund av utformningen av e-tjänster. Vi ser den här inverkan tydligt för att ta exemplet med deklaration,
där vi idag (i de flesta fall) inte behöver resa oss ur fåtöljen för att skicka iväg deklarationen då
alternativet med SMS-deklaration finns.
5.1.4 Attityd
Den andra faktorn som respondenterna i fokusgrupp BL och IT inte upplever helt tillfredställande är
attityd. Tjänsten kan många gånger vara påfrestande och tidsmässigt handla om tröghet och frustration
för användaren. IT4 beskriver frustrationen som följande:
”Det känns som jag aldrig har haft en riktigt bra upplevelse med eID ihop med webbläsare det är alltid
något. Visst det funkar ju men det kanske inte är optimalt.”
Med detta menar IT4 att webbläsarstödet har varit det största problemet i och med att många
tjänsteleverantörer av eID inte erbjuder användaren att använda sig av vilken webbläsare som helst. Det
håller alla i grupp BL och IT med om.
Vi kan förstå problematiken från leverantörens sida att inte tillåta alla webbläsare utan att först att
säkerställt att dessa fungerar optimalt ihop med tjänsten. Dock leder detta enligt oss till ett
plattformsberoende hos användare som då kan få en försämrad användbarhet. Så som IT5 i menar, är
det inte realistiskt att behöva installera om ett operativsystem från exempelvis Linux till Windows för att
dels uppfylla operativsystemskraven samt också kunna installera Internet Explorer som webbläsare.
Speciellt om användaren inte känner ett stort förtroende eller säkerhetstilltro till den webbläsaren eller
operativsystemet. Att friheten i ett plattformsoberoende måste begränsas anser vi dock vara realistiskt.
77
Resurser att testa alla webbläsare och operativsystem till en tjänst som eID kostar givetvis pengar och
tar tid enligt vad vi förmodar. Att då tjänsten ska passa ihop med de allra största aktörerna eller de
aktörer som folk använder sig mest av är en viktig fråga enligt oss att titta på i förslaget från edelegationen. Detta är något som inte behandlas i förslaget (SOU 2010-104).
IT3 beskrev en händelse som han råkade ut för genom sin bank vid användning av Chrome som
webbläsare. Han hade då loggat in, fyllt i flera uppgifter som tog cirka 20 minuter. Då han på slutet
skulle signera via sitt eID, dök det först då upp ett meddelande som förklarade att den webbläsare han
hade inte gav stöd för tjänsten han skulle utföra. Hans reaktion på detta: Frustration och tidsmässigt
påfrestande. Att inte från första steg förklara att webbläsaren ej stöds då ett moment med eID senare
kommer ske, är enligt vår uppfattning ett tecken på avsaknad användbarhet genom attityd.
5.1.5 Användningsfrekvens
I stort sett alla respondenter förutom BL2 och KV2 använder sitt eID relativt sällan. Det handlar om att
lämna studieförsäkran två gånger per år samt att deklarera. BL2 och KV2 använder sina eID mer frekvent
i och med att de även använder eID för att logga in till sin internetbank.
Om, eller när det kommer fler tjänster som kräver eID tror vi också att studenter och människor över
lag, kommer att sätta in sig i ämnet mer. Som framkommit i våra fokusgrupper är eID inget som
studenterna reflekterat särskilt mycket över. Om till exempel passage vid dörrar inom sjukvården etc.
kopplas ihop med eID, kommer detta att få en större samhällsviktig roll. Ämnet togs upp i fokusgruppen
IT där säkerhet ihop med användbarhet kopplades:
”Sen tycker jag det lite är hur ofta jag använder det här. Är det så att det kommer en massa
användningsområden för eID att jag ska använda den mer än vad jag gör nu då kanske jag skulle tumma
lite på säkerheten”. (IT2)
De flesta respondenter i fokusgrupperna använder alltså den här tjänsten bara några få gånger per år.
Dessa användningsområden som kommer på tal är CSN, Skatteverket och Apoteket. Eftersom eIDtjänster endast används några få gånger per år av studenterna har tänker vi att användaren inte heller
har vanan inne. Om då ett icke användarvänligt intryck finns, bör användningen av tjänsten gå mycket
78
trögare än om användaren skulle ha en större vana av tjänsten. Även om eID används varje vecka skulle
ha en låg användbarhet tror vi att användarna skulle lära sig hur processen går till.
En viktig del i att ”få igång” eID i Sverige anser vi har att göra med att få medborgare att använda dessa
tjänster oftare. Vi ser CSN och Skatteverket som utmärkta exempel att gå ifrån traditionella blanketter
och underskrifter till elektroniska. Ju mer människor använder eID kommer de att inse fördelarna och på
så sätt öka sitt användande av eID. Detta förutsätter, som nämndes tidigare, att det är viktigt att lansera
fler e-tjänster där det finns elektroniska alternativ till dagens traditionella tjänster.
5.1.6 Elektronisk eller traditionell inmatning?
En intressant syn på den upplevda användbarheten för eID kontra manuell inmatning i form av
pappersblanketter och liknande som ska postas, är att deltagarna från alla tre fokusgrupperna ser klara
nackdelar med att skriva under på papper. De anser att det är mindre tidskrävande på elektronisk väg
att utföra tjänsten även om problem med eID uppstår som IT5 beskriver det att han tar hellre dessa
problem som då finns:
”Man ska ju ändå komma ihåg att det uppväger bra mycket mer än att skriva det manuellt per post. Jag
skulle aldrig fått för mig att göra detta per post.”
Då KV-gruppen inte har upplevt några liknande problem alls med olika webbläsare, ser de bara den här
övergången som positiv. Att legitimera sig över Internet anser användarna i IT-gruppen är mer
användarvänlig jämfört med den traditionella motsvarigheten. De förklarar att det tillkommer mer
arbete att köpa brev och frimärken för att kunna skicka iväg en ansökan om studiemedel exempelvis till
CSN. Dessutom går det mycket fortare anser deltagarna från IT, då handlingen oftast bekräftas på en
gång. Deltagarna i IT och BL anser att tjänsten för eID fungerar förhållandevis bra kontra att göra samma
sak manuellt. Gruppen KV anser att några problem aldrig har funnits mer än att vissa steg i processen för
handhavandet kunde ha varit mer användarvänliga. De pratar då om processen att skaffa eID ifrån sin
bank.
”Gå och köpa brev och frimärken, sådant det vet jag ju knappt hur jag gör längre”
79
Det som vi tycker är intressant i den här frågan är att BL & IT, är de som anser att användbarheten inte
är helt tillfredställande, medan KV mer gillar läget och försöker anpassa sig därefter. Som IT5 beskriver
försöker han istället hitta en smidigare lösning runt problemet i första hand om det är möjligt i form av
någon inställning eller liknande. Den stora skillnaden här är att fokusgruppen KV istället kan tycka
användbarhet och säkerheten går i hand i de fall som fler steg krävs. Det förklarar de med att den
upplevda säkerheten ökar om det krävs mer steg i processen på grund av att säkerheten kräver det. Vi
upplever den här synen mycket intressant då vi anser att båda förklaringarna är helt logiska i förhållande
till hur frågan är ställd. Vi tänker oss frågan varför det är nödvändigt med så många steg för att kunna
skaffa en eID, om det behövs för att hålla hög säkerhet. Samtidigt skulle vi gärna önska att tiden går att
korta ner med de antal steg som krävs. Vi anser att den här processen mycket väl kan bidra med en viss
tröghet och frustration som i värsta fall kan skrämma användaren att skaffa eID.
5.1.7 Byta utfärdare?
Vi ställde frågan om deltagarna i de tre fokusgrupperna skulle kunna tänka sig att byta utfärdare och vad
skälen för det skulle vara. Alla fokusgruppsdeltagare är överens om att de gärna vill samla allt på samma
ställe. Eftersom pengar och bankärenden sker från banken känns det mest naturligt och smidigt att
också ha eID genom banken menar exempelvis BL3. Att ha en utfärdare från ännu ett företag är inte ur
ett användarperspektiv alls smidigt flikar BL4 in då eventuella dosor samt nya lösenord förmodligen
behövs för denna utfärdare anser han. Antagligen innebär det att ännu ett lösenord ska kommas ihåg
och så vidare enligt vad hon tror. IT4 menar också att det känns mest naturligt att fortsätta med samma
bank på grund av att denne är uppväxt med den banken och det fungerar bra i dagsläget.
En anledning till att byta utfärdare skulle kunna vara av konkurrensskäl enligt oss. Det är något som
också samtliga deltagare i de tre grupperna håller med om. Om jag ska byta måste det ju finnas
anledning till det anser IT5. Det ska vara så pass mycket värt att byta annars finns det ingen anledning
anser han. Det skulle kunna vara någon form av kompensation, eller som IT3 beskriver det, en bättre
ränta på lån plus ett bättre eID vilket innebär bättre användbarhet, säkerhet och förtroende.
”Eftersom jag använder tjänsten så sällan kan jag nog ta det strulet när det kommer: Utfärdare: Hej, vi
har lättare eID här. Kund: Ja du, jag kan nog fortsätta med min krångliga.” (IT3)
80
Vi anser att det troligtvis inte kommer vara aktuellt för byte av utfärdare så länge som det inte finns
tillräckliga skäl för det. Att så som IT5 menar så måste det finnas en bra anledning till detta byta, något
vi fullständigt håller med om. Vi tror att inte att majoriteten av användare vill krångla i onödan, utan
håller sig kvar vid det som fungerar vilket skulle kunna jämföras med elavtal, vilken bank användaren har
och så vidare. Många gånger går det att få bättre ränta i en annan bank om användaren flyttar över sina
pengar, samma sak med elavtalet. Det går att få billigare el om jämförelser görs. Men många gör ändå
inte det av bekvämlighetsskäl, utan kör vidare på det som fungerar.
Enligt Burell (2005) är det a och o att lyckas anpassa webbplatsen och innehållet för att locka till sig rätt
målgrupp, vilket i detta fall handlar om studenters användarupplevelse angående eID.
Vi anser att målgruppen är en mycket viktig del i hur pass väl e-tjänsten kommer lyckas. För att ta den
målgrupp vi tittat på (studenter) har vi fått intrycket av den har en hög användning då det allra flesta
studenter ansöker om studiemedel genom sitt eID från CSN.se. För att få en hög användbarhet även
inom andra målgrupper tror vi som Burell (2005) beskriver beror på hur pass väl aktören lyckas anpassa
webbplatsen inom de tre områden vi valt att titta på (användbarhet, säkerhet och förtroende). Vi tror
också att det är skillnad på tjänster som förvaltas av myndigheter jämfört med privata företag. En viss
skillnad finns här anser vi för hur pass långt de olika aktörerna (myndigheter och privata) kan gå för att
locka till sig kunder. Den här skillnaden uppkommer då den en myndighets e-tjänst måste passa alla
medborgare ur den aspekten att en myndighet har en skyldighet att kunna tillgodose alla grupper av
medborgare i landet. Detta för att inte diskriminera någon specifik grupp vilket beskrivs i Europiska
kommissionen (2007)
Så som Sorensen (2002) skriver krävs det en bättre kontakt än bara en länk till marknaden när det gäller
användare och marknad. Han menar att fokusgrupper, användarundersökningar och pilotprojekt som
testas på den specifika målgruppen är några exempel på bättre kontakt. Något som författaren kan se
som negativt med någon av dessa metoder är att utvecklaren själv kan tappa kontrollen över på vilket
sätt produkten är tänkt att användas.
Då vi själva har gjort fokusgrupper för att ta redan på studenters uppfattning, har vi också märkt det
positiva i att låta målgruppen svara, berätta och diskutera de tankar som finns angående ämnet i fråga. I
de fokusgrupper som vi intervjuade kom det också mycket riktigt fram förslag på hur
81
användarupplevelsen skulle kunna se ut i stället för hur det är idag. Risken att förlora kontrollen över
hur produkten är tänkt att användas anser vi vara låg om en stark ledning finns för hur projektet ska
framskrida ur ledningsgrupp. I vårt fall är denna ledning e-delegationen och deras förslag på hur
användbarhet ska komma se ut. Enligt vår tanke bör utvecklaren eller e-delegationen i det här fallet få
en bättre förståelse för användarnas behov genom någon utav Sorensens (2002) kontaktmetoder. Om
en bättre förståelse inte eftersträvas kan användaren enligt vår mening bli lidande i en missgynnsam
eller i värsta fall obrukbar tjänst.
Vi anser också att användbarheten kommer ökan i slutändan om olika typer av målgrupper för detta
användardeltagande sker. För risken om inte vissa grupper i användardeltagandet uteblir förmodar vi att
slutresultatet för den tilltänkta e-tjänsten inte når ett tillfredsställt resultat, detta med stöd för vad
Sorensen (2002) menar med att förlora kontrollen för hur produkten är tänkt att användas.
5.2 Säkerhet
5.2.1 Hårda eller mjuka certifikat?
Majoriteten av respondenterna i fokusgruppen använder sig av mjuka certifikat och endast ett fåtal har
en lösning som innefattar hårda certifikat. Enligt Halvarsson och Morin (2000) så har just de hårda
certifikaten i form av smartcards varit den vanligaste lösningen, men fokusgrupperna visar att så inte
längre är fallet, det är endast BL4, BL5 och KV5 som använder hårda certifikat. Bland dessa visar det sig
att det finns olika typer av hårda certifikat representerade, både separata eID-kort och kombinerat betal
– och eID-kort. Till dessa hårda certifikat används en separat kortläsare, som kan sägas vara den ”hårda”
motsvarigheten till det ”mjuka” säkerhetsprogram som måste installeras på datorn när ett mjukt
certifikat ska användas.
Av de få respondenter som använder hårda certifikat har BL4 varit tvungen att byta på grund av sin
bank, som bytt från mjuka till hårda certifikat. De med hårda certifikat upplever dessa som säkrare, att
de fysiskt måste sätta in sitt kort i en kortläsare och knappa in sin kod. Detta tror vi kan vara en valid
känsla, jämfört med den mer abstrakta proceduren att ha ett mjukt certifikat någonstans i sin dator.
82
”Jag hade mitt eID installerat i datorn förut men bytte till dosa, vilket jag var tvungen att göra enligt
banken.” (BL4)
De respondenter som använder sig av mjuka certifikat är relativt delade när det gäller den upplevda
säkerheten. IT1 sammanfattar detta:
”Man har ju definitivt ingen koll på hu hög säkerheten är, och eftersom att jag slänger in certifikat lite
hur som helst känns det som ganska låg säkerhet.”
Vid mjuka certifikat handlar diskussionerna till stor del om säkerhet kontra användbarhet. De
respondenter som har mjuka certifikat tycker både att det är smidigt och enkelt att använda dessa,
tillsammans med ett lösenord, men har vissa restriktioner när det gäller säkerheten. Det lösenord som
måste användas här är längre och kräver både bokstäver och siffror, vilket vi förutsätter har med
säkerheten att göra. Enligt Halvarsson & Morin (2000) så är detta en form av autentisering med hjälp av
något det finns kännedom om, i detta fall ett lösenord. Problemet enligt vissa respondenter är just
utformningen på detta lösenord, att det inte går att använda sitt ”standardlösenord” tillsammans med
sitt eID. Vi tycker att just detta är ett bra system, i och med att ”standardlösenordet” troligen också
används på webbplatser med lägre säkerhet. Skulle någon ”bryta sig in” på en sådan webbplats och
komma över lösenord, så skulle de teoretiskt sett kunna använda ett eID som inte är deras. Nu krävs det
ju ett certifikat också, men som KV1 påpekar, att risken att bli av med sin dator också finns (där
certifikatet finns) eller om någon ”hackar” sig in i denna dator.
Enligt Halvarsson & Morin (2000) så innehåller de mjuka certifikaten som installeras i datorn
elektroniska motsvarigheter till de som finns på fysiska ID-kort. Det lösenord som krävs för att använda
sitt eID sparas inte, vilket innebär att om lösenordet glöms bort så krävs det att användaren laddar ned
ett nytt certifikat från en utfärdare (Certification Authority) som enligt Halvarsson & Morin (2000) är en
betrodd part, till exempel en bank. Enligt några respondenter är detta ganska omständligt. De menar att
på grund av att lösenordet inte sparas och de är så pass krångliga att de inte kommer ihåg det, krävs att
lösenordet skrivs upp på en lapp eller liknande, vilket i sin tur sänker den totala säkerheten.
Här ser vi en skillnad mellan de som säger sig vara vana användare, kontra de som anser sig vara ovana
användare. De vana användarna tycker, som framgår ovan, att lösenordet är så pass krångligt att de inte
83
kommer ihåg det, medan ovana användarna inte ens reflekterat över detta eventuella problem. Vi tror
att detta har att göra med kunnande, eller upplevt kunnande. Om en användare är insatt i säkerheten
reflekterar denne säkert mer över just säkerheten, än en ovan användare gör. Vi tror att de ovana
användarna bara accepterar att lösenordet ska vara utformat på ett visst sätt.
När det gäller mjuka certifikat finns också ett allmänt missnöje bland våra respondenter när det handlar
om att använda sin eID på flera/nya datorer. I och med att ett certifikat och ett säkerhetsprogram krävs
för varje dator tycker respondenterna att det är omständligt att installera dessa på varje dator de
använder. Det kan till exempel handla om datorer på publika stället, till exempel internetcafé eller en
dator på skolan/jobbet. IT5, KV1 och KV2 tycker att en dynamisk webbaserad lösning vore att föredra,
liknande VISA-secure (webbaserad verifiering av kortbetalningar över Internet). Enligt Halvarsson &
Morin (2000) så kan användaren bära med sig sitt mjuka certifikat på ett USB-minne för att lösa
problemet att ladda ned ett nytt certifikat till varje ny dator som används. Vissa av våra respondenter
har provat detta men inte fått det att fungera (Förutom KV1). Vi tycker att USB-lösningen i grund och
botten är bra, främst ur ett användarvänligt perspektiv, men ur säkerhetsperspektiv tror vi inte att det
är en optimal lösning. Om USB-minnet tappas bort så ökar risken markant att någon obehörig kan
komma över certifikatet. Om denna person också kommer över lösenordet tillhörande detta så kan
denna person teoretiskt signera saker i en annans namn, vilket i sin tur kan vara förödande när det
exempelvis handlar om deklarationen.
Över lag tycker dock våra respondenter med mjuka certifikat att det känns som en säker lösning. För att
citera IT6; ”Hade jag inte känt att det var säkert hade jag inte använt det.”
Den enda egentliga nackdelen med mjuka certifikat enligt respondenterna är om någon skulle komma
över ens lösenord. De flesta i grupperna tycker som sagt att bara lösenordet känns lite osäkert, men att
om de har koll på sin dator så känns det säkert.
Vi håller i stort med om detta resonemang men tror inte att detta är ett stort problem i och med att det
är ett antal saker som måste ”gå fel” för att bli av med sin elektroniska identitet. Först måste någon, på
ett eller annat sätt, klura ut ens personnummer och lösenord, sen måste denne få tag i ens mjuka
certifikat med ens publika nyckel. Halvarsson & Morin (2000) menar här att en asymmetrisk kryptering
ska sätta käppar i hjulen för de obehöriga som vill kamma åt en användares eID.
84
I dagsläget är antalet eID-tjänster också förhållandevis få, så vi ser två scenarier varför någon skulle vilja
göra detta: För egen vinning och för att sabotera för innehavaren. I och med att antalet tjänster är
relativt få i dagsläget så tror vi inte att detta är ett stort problem.
5.2.2 Utbredd användning?
Det som framkommit i våra fokusgrupper när det handlar om säkerhet är främst att det inte handlar om
rena pengar, utom om studiemedel via CSN och deklaration via Skatteverket. Det har framkommit att
om eID använts i större utsträckning till bankärenden, till exempel betala räkningar eller överföra
pengar, så skulle säkerhetsfrågan varit en annan. Många av respondenterna menar att det de använder
eID till idag inte kräver samma säkerhet som pengatransaktioner av olika slag.
Vi tycker att detta är ett logiskt resonemang i dagsläget, men vi förutsätter också att fler och fler tjänster
som kräver eID kommer att komma i framtiden. Vi menar här tjänster som har en mer direkt anknytning
till en individs pengar kommer att behöva ha en bättre (kanske upplevd) säkerhet för att tillfredsställa
individens krav. Här tror vi att utfärdare måste bli bättre på att informera om säkerheten till sina
användare. Det som framkommit i fokusgrupperna är att de har förtroende till sin utfärdare (sin bank),
vilket kommer att bli ännu viktigare i framtiden om det kommer fler eID tjänster som rör användarnas
pengar på ett mer direkt sätt. Här ligger ett otroligt stort ansvar hos utfärdarna att verkligen hänga med
i utvecklingen av säkerhetslösningar som matchar ”hackarnas” kreativitet. Vi tror att det är ganska
naturligt för studenter att inte se lika allvarligt på en studieförsäkran (som kräver eID) som att lönen
kommer till rätt konto.
5.2.3 Elektronisk kontra analog signering
Alla respondenter i BL och IT-fokusgrupperna anser att det är smidigare att signera saker elektroniskt
över Internet än att göra det den traditionella vägen med papper, kuvert, frimärken och Posten. En av
de största anledningarna till detta är säkerheten. När signering sker på papper så finns alltid risken att
Posten tappar bort pappret, eller som en respondent uttryckte det: ”Posten är ju inte krypterad.”
85
Eller att aktuell handläggare tar emot detta papper och sen spiller kaffe på det. När detta görs
elektroniskt så får sändaren direkt en konfirmation på att dokumentet skickats, vilket eliminerar alla
eventuella problem med borttappade papper.
Det framkommer också i dessa två grupper att en elektronisk signatur känns säkrare i sig, detta på grund
av bland annat den asymmetriska krypteringen. (Halvarsson & Morin, 2000) En namnteckning är inga
större problem att förfalska och troligtvis känner inte mottagaren igen en namnteckning. Om någon
skriver under med Rune Karlsson, men kanske med en annan handstil än den ”riktiga” Rune Karlsson, så
är det svårt för handläggaren att notera detta. Om detta i stället görs elektronisk ska det inte råda någon
tvekan om att det är just Rune Karlsson som skrivit under. Detta bekräftas av Halvarsson & Morin (2000)
som menar att meddelandet krypteras av en hash-funktion som är en beräkningsalgoritm som fungerar
som ett fingeravtryck av meddelandet. Detta fingeravtryck binder också sändaren till dokumentet som
skickats.
Grupperna BL och IT menar också att det troligtvis är svårare att förfalska någons eID, till skillnad från en
fysisk legitimation. Detta på grund av att lösenorden är relativt långa och krångliga och dels för att ett
certifikat också behövs. Om detta ändå skulle hända så registreras ju den aktuella IP-adressen, vilket
innebär att förövaren troligtvis är spårbar. Detta är något som gör att säkerheten känns högre på eID än
den fysiska motsvarigheten. Enligt 24-timmarsdelegationen (2005) så säkerställer eID just detta i och
med att denna är utformad för att kunna säkerställa vem som skickat meddelandet samt kunna bevisa
att det skapats, skickats och mottagits. Detta hänger också ihop med exemplet Rune Karlsson.
Detta ser vi som en valid poäng. Det är teoretiskt sätt lättare att spåra en elektronisk underskrift än en
traditionell underskrift på papper. Även om en obehörig person skulle komma över Rune Karlssons eID
och signera något i hans namn så skulle det teoretiskt sätt gå att spåra via dennes IP-adress. Om någon
däremot förfalskar Runes ”manuella” underskrift bör det vara betydligt svårare att kontrollera detta. Vi
kan också se ett problem med detta. I och med att 24-timmarsdelegationen (2005) menar att eID ska
säkerställa vem som skickat meddelandet så kanske det finns en för stor tilltro till detta system, att eID
inte ska gå att förfalska. Vi tror att detta kan få vissa negativa effekter när detta system ska vara säkert.
Här antas säkert att uppgifterna ska vara korrekta, vilket inte är fallet om ett eID är ”förfalskat”.
86
Alla i KV-gruppen förutom KV2 anser dock att pappersunderskrifter känns säkrare och med seriöst. Detta
grundar de på att de vet hur Postens process fungerar. Till skillnad från övriga grupper så tycker de att
den elektroniska underskriften känns osäker på grund av att de inte vet hur processen fungerar. Även
om de direkt får ett ”kvitto” på att den elektroniska underskriften kommit fram så känner de sig inte
säkra på att den gjort det. De vet helt enkelt inte vad som händer när det elektroniska dokumentet
tagits emot.
Detta har enligt oss att göra med okunskap, oerfarenhet och rädsla. Om okunskap och rädsla står i vägen
för nya saker är det också svårt att skaffa erfarenhet. Vi håller med om att kan vara svårt att ”ta steget”
från analog till digital signering. Halvarsson & Morin (2000) hävdar att signaturer dateras tillbaka till det
romerska riket. Detta är ett ganska långsökt exempel, men det vi vill få fram är att människor har skrivit
sin signatur på papper under en väldigt lång tid. Detta är en rutin som kan vara svår att bryta, särskilt om
okunskap, oerfarenhet och rädsla för alternativet (elektronisk underskrift) finns. Soltesz & Lundblad
(1998) menar att övergången från den fysiska till den elektroniska miljön ofta ses som en försämring av
kontroll.
Den mänskliga faktorn i dessa fall tror vi kan vara både positiva och negativa. Vid manuell bearbetning
av manuella underskrifter kan en människa troligtvis upptäcka oegentligheter som kanske ett
elektroniskt system inte kan. Å andra sidan bör ett elektroniskt system vara snabbare och mer korrekt i
hanteringen av majoriteten av uppgifterna, men kanske inte har samma analytiska förmåga som en
människa kan ha.
Grupperna BL och IT är som sagt relativt enhetliga när det gäller elektroniska kontra manuella
underskrifter. Snabbheten och säkerheten i form av att ett ”kvitto” levereras vid underskrift väger över
till den elektroniska underskriftens fördel. Tre av fyra i KV-gruppen tycker dock tvärt om och anser att
traditionella underskrifter känns säkrare och mer tillförlitligt.
IT4 menar också att människor kanske kan känna en viss säkerhet att skriva på saker om det är mer
fysiskt ”Jag håller i pappret jag skriver på, till skillnad från att göra det på Internet, jag kan tänka mig att
folk har den känslan. Det är nog en stor anledning till att folk fortfarande gör det.”
87
BL1 menar att dennes totala säkerhetsupplevelse på Internet spelar en viktig roll i dennes beslut att
skriva under så mycket som möjligt på elektronisk väg. Respondenten har ”aldrig blivit lurad” på
Internet, vilket gör att denne litar mer på elektroniska underskrifter än dess manuella motsvarighet. En
större del av de övriga grupperna håller med om detta.
Vi tror att detta kan vara en av anledningarna till att fler och fler till exempel deklarerar över Internet
med sitt eID. Vi tror dock tyvärr att det bara är en tidsfråga innan de flesta på ett eller annat sätt råkar ut
för någon form av bedrägeri på Internet. Detta kan jämföras med att en person upplever att denne blivit
lurad av exempelvis sin bank. Det innebär troligtvis att personen i fråga blir mer misstänksam mot
samtliga bankärenden, oavsett bank.
Relaterat till detta så framkom det också i BL och IT-grupperna att detta troligtvis har att göra med hur
van Internetanvändare personen i fråga är. En ovan Internetanvändare har troligtvis en lägre tilltro till
säkerheten över Internet, medan vana användare känner sig mer säkra. Om en person utför
säkerhetsrelaterade uppgifter över Internet på daglig basis känner sig denne troligtvis säkrare att lämna
ut sina kontokorts uppgifter eller använda sitt eID. En ovan användare känner troligen en större skepsis
och är mer restriktiv när det handlar om att lämna ut personliga uppgifter över Internet. KV-gruppen
tror dock att ju mer kunskap en användare har om säkerheten, ju mer reflekterar användaren över den.
Om kunskapen inte finns verkar acceptansen vara högre.
5.3 Förtroende
IT5 menar att förtroende är viktigare än både säkerhet och användbarhet när det gäller eID. Han menar
att förtroendet redan finns till den utfärdare som har hand om hans eID (sin bank). Han menar då att
banken kan garantera säkerheten om något skulle gå fel. Luhmann (2005) menar att förtroende bygger
på bakgrund, att den som förlitar sig på något bör vara förtrogen med viss bakgrundsfakta, även om
detta ger en begränsad del av bilden.
Att många av våra respondenter har ett förtroende till sin utfärdare (alla har sin bank som utfärdare)
tror vi har just med detta att göra. Om användaren varit kund hos sin bank en längre tid och inte varit
med om några problem så har ett förtroende för banken byggts upp. När så denna bank börjar utfärda
88
eID tror vi att det är naturligt för användaren att acceptera banken som en pålitlig och säker aktör. Vi
tror också att användaren känner förtroende för att banken ska ha koll på de olika lagar som måste
följas när det gäller eID. Lagen.nu (2001) & Datainspektionen (2010) säger att personuppgiftslagen och
lagen om kvalificerade elektroniska signaturer måste följas när det gäller hanteringen av eID och
personuppgifter. Särskilt personuppgiftslagen är något banker har handskats med under en längre tid,
vilket innebär att det redan finns i bakgrunden. Detta leder således troligtvis till att förtroendet stärkts.
De flesta av respondenterna tycker att banker är bra utfärdare av eID, på grund av det vi gick igenom
ovan. Vissa respondenter, exempelvis KV2, menar att andra leverantörer också skulle fungera bra. Han
menar att om en ny eID-aktör blivit utvärderad och rankad som den med bäst säkerhet, så får denna
aktör en form av sekundärt förtroende.
KV1 tror att han ändå skulle använda ett eID med låg användbarhet, bara han känner ett förtroende för
utfärdaren. Han kan här ”stå ut” med låg användbarhet i och med att han känner ett förtroende för
utfärdaren att denne totalt sätt har en hög säkerhet.
Vi håller med KV2 om att banker fungerar bra som utfärdare idag och kommer så också att göra i
framtiden. Vi ser också vissa problem med enbart banker som utfärdare. Som vi gått igenom tidigare
handlar det om konkurrens. När det gäller förtroende så handlar det kanske mer om företaget i sig, än
deras tjänster. Om ett välkänt företag eller organisation skulle uppfylla de uppställda kraven och börja
utfärda eID skulle de troligtvis ha det betydligt lättare att få kunder, än ett okänt företag, just på grund
av att ett känt företag redan har ett förtroende hos ett antal människor. Ett okänt företag skulle behöva
börja från grunden med att bygga ett varumärke, skaffa och behålla kunder för att på så sätt bygga ett
förtroende.
BL2, KV3 och KV4 menar att det handlar om vad företaget i fråga sysslar med. Ett ganska extremt
exempel kan vara att en avdelning i företaget i fråga säljer vapen. Här handlar det kanske mer om
moraliska värden, men vi tror att det totala förtroendet för företaget skulle vara lågt, även om de erbjöd
säkra och användarvänliga tjänster.
Soltesz & Lundblad (1998) menar att de handlingar som utförs i en elektronisk miljö ofta ses som
oåterkalleliga och okontrollerbara. IT3 känner en viss oro om vad som skulle hända om en ny aktör
89
skulle ”strula till det” genom att till exempel läcka personuppgifter. Han tror här att detta företag inte
skulle bry sig lika mycket som en bank skulle göra. Företaget har troligtvis inte lika många kunder som en
bank och säkerligen inte en lika lång historia heller. För den etablerade banken skulle detta bli en
skandal, medan IT3 tror att folk kanske väntar sig att något sådant skulle kunna hända med företaget
som inte är lika etablerat.
BL4 anser att det hela handlar om tillsyn. Om en ny aktör skulle börja erbjuda eID så handlar det om
vilken tillsyn som skulle finnas på en sådan aktör. Till syn på etablerade banker är enligt henne inte lika
viktigt, just för att de är etablerade aktörer. Hon menar här att någon oberoende part måste kolla så att
de nya aktörerna verkligen uppfyller och efterföljer de krav som ställts upp. Hon menar också att så inte
alltid är fallet.
Vi håller fullt med om att kontroller måste ske på de aktörer som utfärdar eID, men inte bara på nya
aktörer utan på alla. SOU 2010:104 (2010) har tagit fasta på detta och menar att elegitimationsnämnden kommer att agera kontrollant och utöva tillsyn över utfärdare.
Många människor kommer troligtvis att välja en utfärdare som tilltalar dem personligen, det kan handla
om vissa tjänster som personen i fråga vill ha. Den stora majoriteten av människor kommer att fortsätta
med sin bank som utfärdare, just för att förtroendet redan finns. Som bekant tar det tid att bygga upp
ett förtroende och människor har i grund och botten varken tid eller lust att lägga energi på att byta bort
något som redan fungerar.
BL1 ser en form av Pricerunner-tjänst framför sig, där användare får sätta betyg på sin utfärdare. Detta
är ett ganska vanligt och bra sätt att skaffa en uppfattning av ett företag utan att själv ha direkt
erfarenhet. Detta tror vi är en bra lösning för användare att få upp ögonen för alternativa utfärdare. Vi
tror också att detta kommer att ske ganska omgående om det visar sig att det kommer ut fler utfärdare
på marknaden. Det kan ju naturligtvis också vara så att dessa betyg kan luta at ett visst håll utan att det i
verkligheten behöver vara så. Företaget i fråga kan till exempel anlita folk att skriva bra omdömen. Som
sagt kan detta vara ett bra sätt att få upp ögonen för en ny aktör och kanske till och med byta. Det är
dock här företaget verkligen måste jobba för att skapa och behålla dessa kunders förtroende.
90
5.4 Framtiden
Här analyseras det som framkommit i fokusgrupperna angående eID och framtiden.
5.4.1 En eller flera aktörer?
Enligt SOU 2010:104 (2010) så ska alla utfärdare av eID, förutsatt att de uppfyller de uppställda kraven,
kunna leverera eID till medborgare. Här är det främst förtroendet till en bank, som idag är den vanligast
förekommande utfärdaren enligt Halvarsson & Morin (2000), och dess säkerhet. SOU 2010:104 (2010)
säger också att användare kommer att erbjudas fler alternativ av eID vilket ger en större valmöjlighet än
idag. Förslaget säger dock att det är viktigt att utfärdaren är en part som användaren känner igen.
När det gäller frågan om respondenterna i fokusgrupperna föredrar en eller flera certifikatutfärdare är
det en blandade känslor bland respondenterna. BL3 tycker till exempel att det vore bättre om bara en
aktör (banker) har hand om eID, på grund av att pengar, aktier, eID mm. Då finns på samma ställe.
IT2 har dock en annan åsikt och ser en form av monopol framför sig. Om det bara finns en aktör så har
denne ett stort samhällsansvar att ta fram säkra och användbara tjänster till allmänheten och inte bara
lansera tjänster för att tjäna pengar.
Att en del av respondenterna vill ha kvar eID hos sin bank tror vi har att göra med att när en bank har
hand om en individs pengar, så litar denna person, per automatik, på att banken ska ta hand om dennes
eID på samma säkra sätt. Detta är också något som styrks av respondenterna.
Trots att respondenterna inte vet vem som egentligen har hand om den elektroniska säkerheten i en
bank (kan exempelvis vara en underleverantör) så har de förtroende till bankens säkerhet. De menar att
om banken sätter sitt namn på säkerheten så spelar det ingen roll vem som egentligen har hand om den,
utan det är bankens ”varumärke” som går i god för den eventuella externa säkerheten.
De flesta respondenter menar dock att de egentligen inte har någon koll alls på säkerheten, men att den
känns säker just för att det är en bank som har hand om den. Detta har också enligt en respondent att
göra med den bristande konkurrensen. I dagsläget är det i till största del banker som utfärdar dessa
certifikat. När till exempel BL6 skulle införskaffa ett eID så fanns det bara banker att välja mellan. Då
handlade det i stort sätt bara om smidigheten och de flesta valde sin bank som utfärdare. Ingen direkt
91
jämförelse av till exempel säkerhet gjordes mellan de olika alternativen, utan det var det smidigaste
alternativet vägde tyngst.
Detta misstänker vi är ett relativt vanligt scenario, att en individ väljer det alternativ som kräver minst
jobb. Vi tror också att människor vill ha ”allt i samma påse”, att de samlar alla sina bankaffärer och eID
på samma ställe. Om detta ställe håller en hög säkerhet och tar hand om sina kunder på ett bra sätt, så
ser vi inga problem med denna lösning. Vi misstänker dock att om detta ställe håller en hög säkerhet och
har bra tjänster, men har ett krångligt användargränssnitt ut mot kund, så skulle många kunder överge
detta säkra alternativ för ett med bättre användbarhet, men som kanske tummar mer på säkerheten.
I grund och botten tror vi att den stora majoriteten av Internetanvändare i allmänhet och de som utför
transaktioner/identifikationer i synnerhet inte har någon större koll på säkerheten hos en tjänst. De har
troligtvis en upplevd säkerhet, men vad säkerheten egentligen innebär har de ingen större koll på. Vi
tror här att det i stället handlar om hur användbara dessa tjänster är. Om tjänsterna är enkla att
använda samt att de är levererade av en trovärdig aktör så tror vi att det räcker för de flesta användare.
Vad som händer säkerhetsmässigt bakom kulisserna hos denna aktör är av mindre intresse för
användaren.
”Även om banken har en underleverantör som har hand om säkerheten så är det ju ändå banken som
valt ut dem. Om banken sätter sitt namn på en säker tjänst så känner man förtroende för den.” (IT5)
KV3 funderar på vad som skulle hända om ett företag som utfärdar eID skulle ta betalt för denna tjänst.
Här menar hon att denna betaltjänst kanske skulle kännas säkrare än dess gratisalternativ, på samma
sätt som att gratis mjukvara inte innehåller samma funktionalitet som dess betal-alternativ.
Detta är en intressant poäng, vi tror att det hela handlar om konkurrens på samma sätt som inom vilken
marknad som helst. Om ett företag erbjuder en tjänst som kostar pengar så måste den vara så pass
mycket bättre än konkurrenternas gratistjänster. Sen kommer ju frågan om folk är villiga att betala för
något som andra ger bort gratis.
För att återgå till konkurrensen så tror vi att en sådan är nödvändig för att föra utvecklingen framåt. Om
bara en utfärdare skulle finnas så har denne inga direkta krav på sig att utveckla nya tjänster och
92
funktioner. Om detta företag skulle få konkurrens så skulle de vara tvungna att utveckla nya tjänster för
att över huvud taget överleva.
Ur ett grundligt användarperspektiv vore det smidigt att ha ”allt i samma påse” med ett lösenord, men
resonerar vi ett steg längre så tror vi att detta skulle hemma utvecklingen av nya och potentiellt bättre
tjänster, både ur säkerhets – och användbarhetsperspektiv.
5.4.2 Framtida tjänster
Majoriteten av respondenterna i fokusgrupperna tycker att framtida lösningar innefattar
mobiltelefoner. BL3 till exempel tycker att eID skulle flytta in i mobiltelefonen, något som de flesta har
med sig hela tiden. Detta skulle resultera i att många av de problem som respondenterna ser med att
exempelvis använda eID i publika datorer. Respondenterna är i grund och botten för detta förslag, men
anser att de eID-tjänster som finns idag är för få för att det skulle bli en välanvänd lösning. Enligt SOU
2010:104 (2010) så hämmar dagens modell av eID utveckling och stänger för nya aktörer på marknaden.
Förslaget säger också att detta problem ska lösas i den förslagna framtida lösningen, vilket vi tror är ett
måste för att kunna implementera lösningar av denna typ.
BL3, KV3 och KV4 tror också att mobiltelefoner kommer att bli ett större mål för hackare i framtiden,
vilket innebär att säkerhetsfrågan blir än mer relevant. ”Rootning” och ”Jailbreaking” tas också upp som
potentiella problem av IT1.
Vi ställde frågan hur intresset skulle vara för att skriva under med signatur genom sin mobiltelefon. KV4
menar då att hon likväl kan göra det hemma i stället då hon i lugn och ro först kan läsa igenom för att
sedan skriva under. Hon föredrar det istället för att exempelvis skriva under hafsigt på bussen. Hon
säger att det dessutom känns mer seriöst att gå tillväga på det här sättet. Med det menar hon att det i
alla fall är så hon själv skulle föredra att göra om det var någon som var tvungen att skriva under med
henne.
Vi anser att utbudet mobila tjänster är inne i en mycket expansiv period och det är tveksamt att denna
kommer att avta. Vi tycker därför att respondenternas poäng är valid, att en mobillösning för eID är ett
naturligt steg i utvecklingen. Leverantörernas säkerhetsmedvetande är då också något som blir otroligt
93
viktigt, särskilt med tanke på alla mobila operativsystem som finns idag (ex. Android, iOS och Symbian).
Sen tror vi, precis som exempelvis IT1, att säkerheten kan vara bra nog från början, men så fort
användare börjar göra egna ändringar i dessa telefoners grundinställningar så sänks säkerheten
markant. Detta kan vi tänka oss blir ett dilemma för mobiltelefontillverkare. Att tillverka produkter som
ska vara säkra, men samtidigt vara så pass öppna att användare kan konfigurera dem till eget tycke, om
än ej på laglig väg.
SOU 2010:104 (2010) säger också att utredningen inte valt att reglera vilka tekniker utfärdare ska
använda sig av, utan att de själva får utforma tjänsterna som uppfyller vissa säkerhetskrav. Vi tror att
denna ”frihet” kommer att möjliggöra exempelvis dessa mobila tjänster på ett sätt som ger en bra
valfrihet för användarna. Vi tror dock att dessa eventuella mobila tjänster inte kommer att nyttjas av
majoriteten av användarna. Det kommer alltid att finnas människor som tycker att dessa tjänster
fungerar bra idag och inte ser någon anledning att byta. Samma sak gäller de som idag tycker att eID
känns osäkert, steget till en mobil lösning här är ganska stort.
Vi känner dock att denna typ av tjänst kan komma att bli ett bra komplement till idag existerande
tjänster och som kan komma att skapa konkurrensfördelar för de utfärdare som implementerar en
sådan lösning. Denna konkurrens tror vi i sin tur kommer att trigga övriga utfärdare att driva sin
utveckling framåt.
IT5, KV1 och KV2 vill i framtiden se en webbaserad eID-lösning som är oberoende av operativsystem
eller webbläsare. I stället för att ladda ned ett säkerhetsprogram och certifikat till sin dator vill de kunna
gå in på en specifik webbsida på vilken Internetuppkopplad dator som helst för att elektroniskt
identifiera sig. Övriga deltagare i fokusgrupperna håller med om att detta skulle vara en bra lösning. SOU
2010:104 (2010) säger att det är viktigt för den framtida modellen för svenskt eID att den är
utvecklingsbar och kan anpassas efter nya förutsättningar.
Detta tolkar vi som att nya lösningar, till exempel en webbaserad sådan, teoretiskt sätt ska kunna
implementeras. Problemet vi ser med detta handlar återigen om säkerheten, att hitta en lösning som
fungerar över allt men samtidigt är säker nog.
94
Vi förutsätter att det finns en valid anledning till att säkerhetsprogram och certifikat måste laddas ned,
men i och med att användare skriver under dokument och skickar dessa elektroniskt över Internet så bör
detta problem gå att lösa.
En webbaserad lösning skulle lösa de flesta problem som våra fokusgrupper såg med eID, när det gäller
plattformsoberoende och att de är ”bundna” till en dator.
95
96
6 Slutsats
I detta slutsatskapitel presenteras studiens resultat. Vi kommer här att besvara studiens frågeställningar
som formulerades i inledningskapitlet. En viss jämförelse mellan de olika fokus-grupperna kommer också
ske i samband med slutsatsen.
6.1 Hur använder studenter eID i dag?
En del av syftet med denna studie var att undersöka hur studenter vid Linköpings universitet använder
eID i sin vardag. Här framkommer det att de studenter som går en IT-relaterad eller en utbildning med
blandade utbildningar hellre skriver under dokument elektroniskt med hjälp av sitt eID, än att skriva
under på traditionellt sätt på papper. Majoriteten av den fokusgrupp bestående av studenter som inte
läser en IT-relaterad utbildning är mer restriktivt inställda till elektroniska underskrifter och menar att
det känns säkrare att skicka med post, då de vet hur den processen går till.
Vi ser här en distinkt skillnad mellan de fokusgrupper som innehåller respondenter från mer ITrelaterade utbildningar jämfört med fokusgrupper innehållande kulturvetare. Det har bland
kulturvetarna framkommit att traditionella underskrifter på papper känns säkrare i och med att de inte
känner sig säkra med den bakomliggande processen vid elektroniska underskrifter. BL och IT grupperna
känner tvärt om och menar att elektroniska underskrifter känns säkrare, mycket på grund av att de
direkt får ett kvitto på att dokumentet ”kommit fram”. De litar heller inte fullt ut på Posten och den
mänskliga faktorn när det gäller traditionella underskrifter.
6.1.1 Användningsfrekvens
Alla respondenter förutom BL2 och KV2 använder sitt eID relativt sällan. De tjänster respondenterna
använder sitt eID till är främst CSN och Skatteverket, där det handlar om att lämna studieförsäkran och
deklarera. Respondenterna menar här att de troligtvis skulle använda sitt eID mer frekvent om det skulle
komma fler eID-tjänster som ersätter traditionella alternativ.
97
BL2 och KV2 använder sina eID i alla fall en gång i veckan i och med att de även använder eID för att
logga in till sin bank. Det framkom också i fokusgrupperna att eID inte är något de egentligen reflekterat
över. De använder sitt eID just när de lämnar studieförsäkran och deklarerar, men tänker i övrigt inte
särskilt mycket på eID användning.
Enligt vår tolkning är e-delegationens förslag om framtida eID ett försök att öka användningsfrekvensen
av eID-tjänster genom att skapa en bättre infrastruktur för bland andra utfärdare av certifikat och etjänsteleverantörer. En central del i detta är att få medborgare att inse fördelarna med eID, jämfört med
dess traditionella motsvarighet. Baserat på den relativt låga användningsfrekvensen i våra fokusgruppsundersökningar anser vi att, framför allt den offentliga sektorn, måste bli bättre på att informera
medborgare om att dessa tjänster existerar. Säkerhet och smidighet är också något vi anser måste
förmedlas, till exempel att en ansökan om studielån hos CSN kommer att gå fortare när det signeras
med eID, än om en pappersblankett skrivs under och skickas in per post.
Vi anser att en ökan användning av eID ligger i mångas intresse (eventuellt med Posten som undantag).
Den offentliga sektorn och dess e-tjänster får en högre grad av automatisering när blanketter och
underskrifter sköts elektroniskt, vilket innebär mindre manuell hantering och troligtvis lägre kostnad.
Fördelarna för medborgarna är enligt oss att hantering av blanketter och underskrifter går fortare, samt
att ett ”kvitto” direkt ges vid denna typ av kontakt med myndighet.
Vi är dock medvetna om att ett antal människor (som också framkom i KV-gruppen) föredrar att hantera
och skriva under till exempel blanketter på traditionell väg av en eller annan anledning. Vi menar inte att
eID-baserade tjänster ska ersätta de traditionella, utan att eID-tjänster ska vara den primära vägen att
gå. De traditionella tjänsterna, till exempel post och ”face-to-face möten” bör finnas kvar som ett
sekundärt alternativ till de elektroniska tjänsterna.
6.1.2 Hårda och mjuka certifikat
Tretton av sexton respondenter i våra fokusgrupper använder mjuka certifikat från sin bank. De
resterande tre använder hårda certifikat från sin bank. Respondenterna har gjort en form av aktivt val
när de skulle skaffa eID. Samtliga valde sin bank som utfärdare. En av respondenterna (BL4) hade ett
mjukt certifikat från början, men tvingades byta när hennes bank bytte från mjuka till hårda certifikat.
98
En diskussion som uppkom i fokusgrupperna, framför allt när det gäller mjuka certifikat, handlar om
lösenordets utformning med ett visst antal bokstäver och siffror. Fokusgrupperna BL och IT har en hel
del åsikter om dessa lösenord, framför allt att de är krångliga att komma ihåg och att de inte kan
använda sina ”standardlösenord”. Här ser vi en skillnad mellan grupperna, då KV-gruppen inte
reflekterat över detta alls. De accepterar i stället att lösenordet måste se ut på ett visst sätt, utan vidare
eftertanke.
Majoriteten av respondenterna i fokusgrupperna BL och IT anser att användningen är begränsad när de
är låsta till en dator. För att kunna använda ett mjukt certifikat krävs att ett säkerhetsprogram ladda ned
till den dator där certifikatet ska användas. BL och IT-grupperna menar här att detta inte fungerar på
publika datorer, eller de som finns i universitets datasalar. Detta gör att de känner sig begränsade till sin
egen dator. Majoriteten av gruppen KV menar dock att detta inte är något de reflekterat över, vilket
också innebär en intressant skillnad till de mer IT-inriktade utbildningarna.
6.1.3 Plattformar
Tolv av de sexton studenter som var med i fokusgrupperna använder PC med Windows som
operativsystem, övriga fyra använder Mac-datorer med dess operativsystem OS X. Det visar sig här att
de respondenter som har en PC över lag har med problem med kompatibla webbläsare. I BL och ITgrupperna används framför allt Chrome och Firefox som webbläsare, medan KV-gruppen uteslutande
använder Firefox som sin primära webbläsare.
Det framkom som sagt att BL och IT anser sig ibland ha problem med till exempel Chrome, när det
kommer nya uppdateringar eller liknande. De måste då använda sig av Internet Explorer för att vara
”säkra” på att eID ska fungera tillförlitligt. Här ser vi också en skillnad mellan de IT-relaterade
programmen och kulturvetarna. KV-gruppen, som alla använder Firefox upplever inte att de haft dessa
problem i samma utsträckning som övriga grupper. De respondenter som använder Mac har inte heller
haft några egentliga problem med webbläsare kontra eID.
När vi tittar på hur studenter använder eID idag så ser vi en distinkt skillnad mellan de studenter som går
en IT-relaterad utbildning och de som inte gör det. Studenter i de IT-relaterade utbildningarna verkar
reflektera mer över hur eID används och processen som ligger bakom. Detta ter sig rätt naturligt i och
99
med att de troligtvis är mer frekventa Internetanvändare och har på så sätt skaffat en större erfarenhet
och kunskap om detta område. Kulturvetarna däremot, har inte den kompetensprofil som eventuellt
krävs för att reflektera över eID och dess bakomliggande processer. Här handlar det i stället om att
acceptera att saker och ting är på ett visst sätt, att lösenord måste utformas på ett visst sätt eller att
vissa webbläsare kanske inte stöds.
Här kan vi se ett problem med det förslag som e-delegationen tagit fram. Förslaget tar inte fasta på
någon speciell standard när det gäller säkerheten i eID och dess tjänster. Detta anser vi kan vara ett
problem, baserat på det som kommit fram i fokusgrupperna. Framför allt IT-gruppen ser lösenordet som
ett problem. Vi tror här att detta problem inte kommer att försvinna i framtiden, just på grund av
avsaknaden av en gemensam standard. Detta innebär troligtvis att leverantörer av eID-programvaran
kommer att utforma säkerhetslösningar som de anser är de bästa. Detta leder knappast till en
gemensam standard, vilket är det som förslaget strävar efter.
Vi ser som sagt här skillnader mellan fokusgrupperna i denna fråga. Detta förutsätter vi gäller
medborgare i allmänhet också. Vissa gillar inte att ett lösenord måste vara utformat på ett visst sätt av
säkerhetsskäl, medan vissa bara accepterar det.
Baserat på detta anser vi att en standard när det gäller säkerheten bör finnas med i den framtida eIDstrukturen.
100
6.2 Hur tycker studenter att eID fungerar idag med tanke på
användbarhet, säkerhet och förtroende?
Under frågeställning nummer två drar vi slutsatser om fokusgruppernas syn på användbarhet, säkerhet
och förtroende inom ämnet eID.
6.2.1 Användbarhet
Utifrån analysen lägger vi tyngdpunkten på vilken grad av effektivitet, lärbarhet, flexibilitet samt attityd
det upplevs i de fokusgrupper som vi genomfört. Av dessa fyra faktorer är det främst flexibilitet och
attityd studenterna inte tycker uppfyller krav inom användbarhet. Det intressanta här är att det främst
är studenter med fokusering eller delvis fokusering på IT i sin utbildning som upplever problem med
flexibilitet och attityd. Mest troligt till denna utgång enligt vår tanke är att studenter med IT-inriktning
har en annan typ av förförståelse än studenter utan IT-inriktning i sin utbildning. Förklaringen till det
grundar sig i den utbildning som ges på vardera program. Även om inte utbildning ges i just användande
av eID för de IT-inriktade så ges utbildning i användbarhet av IT-system. Beroende på vilken utbildning
som finns för respektive fokusgrupp, tror vi det har en viktig aspekt att väga in med hänsyn till de svar
som framkommit i fokusgrupperna. Ett exempel inom flexibilitet som stödjer detta tänkande kommer
ifrån gruppen KV som hellre prioriterar att skriva under med eID i lugn och ro hemma istället för att göra
det ”i farten” med exempelvis den bärbara datorn. Dock anser KV-gruppen att möjligheten bör finnas då
valmöjlighet förespråkas.
Majoriteten av deltagarna i fokusgrupperna BL och IT tycker att flexibiliteten inte är tillfredställande i
det avseendet att eID-tjänsten inte går att använda på publika datorer då de oftast är begränsade eller
låsta till att kunna installera säkerhetsprogrammet.
För att koppla till attityd utifrån vad som sagts i fokusgrupperna upplevs en viss tröghet och frustration
vilket till viss del är tidsrelaterat för användaren i fokusgrupp BL och IT. Även under ämnet attityd är alla
i gruppen KV överens om att detta inte är några problem som påverkar deras upplevelse av
användbarhet. Det märks här en intressant skillnad i hur de olika grupperna tänker. Så som IT4 beskriver
har han aldrig haft en riktigt bra upplevelse med eID kopplat till sin webbläsare. Noterbart här är att
101
grupp IT och BL har dessa märkbara problem medan KV inte alls har det. Enligt rimlig förklaring på denna
stora skillnad tror vi har att göra med den webbläsare som gruppdeltagarna använder. I KV-gruppen
används uteslutande webbläsaren Firefox medan det är blandad användning av webbläsare i övriga två
grupper. Koppling till detta kan göras till äldre versioner av webbläsaren Internet Explorer som inte
kompatibel till Mac och vissa typer av Windows.
När vi kommer in på effektivitet inom användbarhet för eID upplever de studenter som har ett hårt
certifikat att dosan på ett sätt är ett hinder ur användbarhetsperspektiv. Det är främst BL-gruppen som
menar att dosan skulle kunna vara mycket smidigare utformad. De synpunkter som diskuteras är
sladden och storleken på dosan. Rent estetiskt menar BL4 att dosan kunde vara mer ”modern” om den
vore trådlös och mindre, något som skulle kunna innebära en trevligare upplevelse vid handhavandet.
Det finns en viktig användbarhetsfråga som vi också kopplar till i säkerhet i slutsatsen (se hårda och
mjuka certifikat). Frågan handlar om det lösenord användaren vanligtvis använder till tjänster på
Internet som kräver lösenordsinloggning. Gruppen IT i det här fallet menar att det uppkommer problem
då lösenordet som de brukar använda inte går att använda vid inloggning av eID. Det beror på att det
lösenord som användarna vanligtvis brukar använda inte innehåller tillräckligt många tecken. I och med
detta måste en ny lösenordskombination göras och memoreras, vilket ytterligare kan ställa till det om
eID-tjänsten dessutom inte används så ofta. Lösenordet glöms då helt enkelt bort, vilket resulterar i att
ett nytt eID-certifikat måste laddas ner varje gång inloggning ska ske. Ur användningssynpunkt är den
här situationen inte alls smidig för användaren.
6.2.1.1 Byta utfärdare?
Baserat på fokusgrupperna anser vi att majoriteten av användare inte vill krångla i onödan. Vi ställde
frågan om deltagarna i de tre fokusgrupperna skulle kunna tänka sig att byta utfärdare och vad skälen
för det skulle vara. Alla fokusgruppsdeltagare är överens om att de gärna vill samla allt på samma ställe.
Eftersom pengar och bankärenden sker från banken känns det mest naturligt och smidigt att också ha
eID genom banken menar exempelvis BL3. Att ha en utfärdare från ännu ett företag är inte ur ett
användarperspektiv alls smidigt tycker BL4 då eventuella dosor samt nya lösenord förmodligen behövs
för denna utfärdare också. Respondenten menar att det kommer bli ännu ett lösenord som ska kommas
ihåg och så vidare. IT4 menar också att det känns mest naturligt att fortsätta med samma bank på grund
av att denne är uppväxt med den banken och det fungerar bra i dagsläget.
102
Fokusgrupp KV tydligt gav utryck för var valmöjlighet en viktig fråga då vi ställde frågan om de kunde
tänka sig att byta utfärdare. Om byte ska vara aktuellt för IT5 och IT3 krävs det bättre ränta eller
liknande för att en övergång ska ske.
6.2.1.2 Standard
Vi anser att en bättre och tydligare utarbetat standard bör finnas med i förslaget för hur framtidens eID
ska utformas.
Utifrån de tre aspekter som ryms inom ISO-standarden (ISO 9241-11:1998): Ändamålsenlighet,
effektivitet och tillfredställelse uppfyller eID-tjänsten inte dessa krav helt och hållet. Det finns ett
missnöje på främst två punkter och delvis en i de fokusgruppsintervjuer vi har gjort. Även om skillnader i
tankegång kring missnöje mellan grupperna finns, håller sig dessa skiljaktigheter inom samma
ämnesområden. Det vill säga flexibilitet, attityd och delvis effektivitet för att koppla till Shackel (1990)
samt Faulkners (2000) kravfaktorer.
Ändamålsenlighet (flexibilitet): Produkten vill inte alltid göra det användaren vill att den ska göra.
Exempelvis felmeddelanden, användbarhet i gränssnitt
Effektivitet: eID-tjänsten resursåtgång skulle kunna vara utformad på ett mer smidigt sätt. Exempelvis
dosan för ett hårt certifikat.
Tillfredställelse (attityd): Användaren upplever inte alltid tjänsten på ett positivt sätt. Exempelvis
webbläsarstödet
E-delegationens definition för vad användbarhet är eller hur användbarhet är tänkt att vara utformad
för användaren finns i dagsläget inte beskrivet i förslaget mer än att det ska finnas. Beskrivningen av att
det ska finnas enligt ISO-standard anser vi vara en vag beskrivning för hur det är tänkt att se ut. Vi anser
att en mycket utförligare beskrivning bör finnas om eID-tjänsten ska fungera i praktiken. En tanke varför
inte användbarhet är utformat är att e-delegationen helt enkelt har tänkt att det ska se ut precis som
det gör idag. Men det är ju ingen som vet eftersom någon beskrivning om ämnet inte finns.
Förslaget saknar en gemensam standard för användbarhet exempelvis så som ISO-standarden. Vi tror att
detta kan vara negativt för slutanvändaren då leverantörerna inte har något krav på sig att följa någon
gemensam standard för användbarhet.
103
6.2.2 Säkerhet
6.2.2.1 Övergripande säkerhet
Den övergripande säkerheten är något som vissa respondenter känner oro över. Det framkommer i
samtliga fokusgrupper att de inte har någon som helst koll på hur säkert eID egentligen är. Samtliga
respondenter förutsätter att utfärdaren av eID sköter säkerheten på ett betryggande sätt. Samtliga
respondenter har eID via sin bank.
I KV-gruppen handlar säkerheten inte direkt om eID utan snarare om den bakomliggande processen. En
osäkerhet finns här om hur hanteringen av elektroniskt signerade dokument sköts. De känner osäkerhet
om att dokumentet kommit dit det ska, de menar att de får ett ”kvitto” på att dokumentet kommit
fram, men är fortfarande oroliga för om det kommit till rätt ställe. Vid traditionellt förfarande känner de
ingen oro att skicka ett brev med Posten och senare behandling av handläggare. BL och IT-grupperna
känner tvärt om och anser att elektroniskt signerade dokument går fortare att skicka, de vet att de
skickats och att det kommit till rätt ställe. Posten känns för dem osäkrare i och med att den ”inte är
krypterad”, samt att de inte litar fullt ut på ”den mänskliga faktorn”.
Samtliga fokusgrupper verkar ta ganska ”lätt” på säkerheten och menar att det har att göra med att det
inte handlar om rena pengar. När studenterna skriver under elektroniskt så handlar det som sagt om
CSN och Skatteverket i första hand, vilka är tjänster som inte direkt berör deras pengar. Respondenterna
menar här att de skulle vara mer oroade över säkerheten om eID skulle användas för penga – eller
aktietransaktioner. BL1 menar att: ”Det inte skulle vara hela världen om någon annan signerade något i
mitt namn hos CSN.”
Här ser vi också en skillnad mellan grupperna, men här är det framför allt IT-gruppen som har åsikter om
säkerheten, med krypteringar och register. BL och KV-grupperna accepterar mer att säkerheten är hög
nog.
Som vi skrev under rubrik 6.6.1 är det viktigt att få upp användningsfrekvensen av eID. Vi förutsätter att
eID-tjänsterna kommer bli fler i framtiden. Baserat på studenternas oro blir det ännu viktigare för
framför allt den offentliga sektorn att informera och övertyga medborgarna att eID är säkert och ett
smidigare alternativ än traditionell pappershantering.
104
6.2.2.2 Hårda och mjuka certifikat
När det handlar om vad studenter tycker om säkerheten vid användning av eID är åsikterna i fokusgrupperna relativt splittrade. De respondenter som använder hårda certifikat tycker att denna lösning
känns säkrare än dess ”mjuka” alternativ. Här är det i stället användbarheten som ibland blir lidande,
som vi gick igenom ovan.
De respondenter som använder mjuka certifikat tycker att dessa är smidiga att använda men har vissa
restriktioner mot säkerheten. Här framkommer det också i de två IT-relaterade fokusgrupperna att det
lösenordet som krävs för mjuka certifikat känns både säkert och osäkert. Här menar de att lösenordet är
så pass krångligt att de inte kommer ihåg det och känner att de måste skriva upp det på en lapp, vilket
sänker den totala säkerheten markant. Att lösenordet är utformat på ett sådant sätt anser de dock
bidrar till en bättre säkerhet i sig. En annan anledning till att dessa lösenord glöms bort tror vi kan ha att
göra med användningsfrekvensen som vi gått igenom tidigare. Om eID används två gånger per år så är
risken stor att lösenord glöms bort, oavsett om det gäller eID eller något annat.
6.2.2.3 Elektroniska kontra traditionella underskrifter
När det gäller säkerheten i samband med elektroniska kontra traditionella underskrifter handlar det till
viss del om just identiteten. BL och IT-grupperna menar att det är lättare att förfalska en
”pappersunderskrift” än det är att förfalska en elektronisk underskrift. De menar att en handläggare hos
exempelvis en myndighet ser att det finns en underskrift på ett inskickat dokument, men inte reflekterar
över om det är ”rätt” individ som skrivit den. BL6 menar till exempel att hans underskrift sällan ser
likadan ut på två dokument. När ett dokument skrivs under elektroniskt är det lättare för systemet att
avgöra att det verkligen är rätt person som signerat. KV- gruppen (förutom KV2) har dock inte
reflekterat över detta och anser att traditionella underskrifter fortfarande är säkra nog.
När det handlar om säkerheten hos eID ser vi även här skillnader mellan de olika fokusgrupperna.
Främst handlar det om hur grupperna ser på elektroniska och traditionella underskrifter. Här menar BL
och IT att elektronisk signering känns säkrare, går snabbare och är smidigare än dess traditionella
motsvarighet. KV-gruppen menar dock att Posten känns säkrare i och med att det är en beprövad
process som de känner till.
105
Grupperna kommer också fram till att mjuka certifikat är smidiga att använda, men att de egentligen
inte har någon koll på säkerheten. BL och IT-grupperna menar att det krångliga lösenordet ställer till
problem för minnet, medan KV-gruppen inte ser detta som ett problem.
6.2.3 Förtroende
Samtliga respondenter i våra fokusgrupper har sin bank som utfärdare av certifikat. En av anledningarna
till detta är att det inte finns särskilt många utfärdare att välja på i dagsläget. Respondenterna känner
också förtroende till sin bank och tror att banken tar hand om deras eID på ett betryggande sätt.
Framför allt KV-gruppen menar att banken har haft deras förtroende under en längre tid utan att ha
gjort något som skulle kunna bryta detta förtroende. Har banken ”skött sig” tidigare så ser de flesta
respondenter ingen anledning att ifrågasätta banken som utfärdare.
Om det kommer nya aktörer på eID-marknaden blir grupperna ganska splittrade om vad de tror är den
bästa utfärdare. Vi anser att det hela handlar till stor del om konkurrens. Flera aktörer på marknaden
skulle innebära en större konkurrens mellan dessa. Detta betyder inte per automatik att det kommer
bättre eller säkrare tjänster, men det skulle betyda en valmöjlighet för användare. De flesta av
respondenterna menar att de inte skulle byta bort sin bank mot en ny aktör, just för att de känner ett så
pass stort förtroende för denne. En del av respondenterna skulle dock inte ha problem med detta,
beroende på aktör.
En av de viktigaste aspekterna enligt majoriteten av våra respondenter, är att de känner förtroende för
sin certifikatutfärdare. De menar också att det är svårt att bygga ett förtroende för en ny aktör. Det
skulle innebära att de måste byta utfärdare till den nya aktören för att på så sätt eventuellt kunna få ett
förtroende för denne.
Om det skulle komma fler aktörer på marknaden så vill vissa respondenter se en typ av Pricerunnertjänst som skulle hjälpa till att guida användare i deras jakt på den perfekta utfärdaren. Detta skulle
innebära att användare skulle få en form av sekundärt förtroende för nya aktörer. Om ett antal
människor skulle ranka en ny aktör högt samt att de fått förtroende för denne, skulle det innebära att de
som läser dessa omdömen skulle kunna bilda sig en uppfattning om aktören i fråga utan att direkt haft
kontakt med denne.
106
BL4 har en poäng när hon säger att det handlar om tillsyn. Om nya aktörer skulle göra intåg på eIDmarknaden är det viktigt att någon hållet koll på dessa. Hör finns ingen historia att basera ett förtroende
på, vilket innebär att det måste finnas någon form av tillsyn på dessa eventuella nya aktörer och de
redan existerande.
För att återgå till konkurrensen så tror vi att en sådan är nödvändig för att utveckla och förbättra
tjänster. Om bara en eller ett fåtal utfärdare existerar så blir utvecklingen lätt stillastående. Det är
framför allt IT-gruppen som är inne på detta spår. De menar att banker fungerar bra som utfärdare idag,
men i och med att fler och fler eID-relaterade tjänster kommer att dyka upp, så krävs konkurrens för att
tillgodose de kommande behoven hos användare. BL och KV-grupperna har inte reflekterat över detta
och menar att banker och eventuellt polisen skulle kunna vara pålitliga utfärdare.
6.3 Hur kan e-delegationens syn på framtida eID kompletteras
och kontrasteras utifrån studenters syn på eID enligt ovan?
Det förslag e-delegationen tagit fram om framtida eID-läsningar behandlar till största delen mer
övergripande frågeställningar om infrastruktur och ramverk. Vi kommer här att komplettera förslaget
107
med studenters åsikter om hur det kan fungera rent praktiskt. En del av studenternas idéer och tankar
kommer även att kontrasteras mot förslaget.
6.3.1 Aktörer
Enligt förslaget ska egentligen vilket företag eller organisation som helst kunna bli utfärdare av eID i
Sverige. Detta är något som vi och studenterna tror kan vara en bra idé. Fördelen är här, som vi tidigare
gått igenom, den konkurrens detta för med sig. Under senare år har varken vi eller respondenterna sett
någon egentlig utveckling av eID. Detta tror vi beror på framför allt två saker. Den första handlar om
utbud av tjänster. Som framgått av våra fokusgruppsundersökningar är användningsfrekvensen på eID
mycket låg bland de flesta av våra respondenter, vilket vi förutsätter har att göra med just det relativt
magra utbudet av tjänster. Det är i stort sätt CSN och Skatteverkets eID-tjänster som används av
studenterna. Den andra huvudsakliga anledningen kan ha att göra med utbudet av utfärdare. I dag är
det i stort sett bara banker som utfärdar eID. Som framgått i fokusgrupperna så är respondenterna
relativt nöjda med detta. Vi tror dock att avsaknaden av konkurrens från andra aktörer gör att bankerna
inte känner någon press att vidareutveckla existerande eID eller att utveckla nya tjänster.
Baserat på detta anser vi att en kombination av fler eID-tjänster och eventuellt fler utfärdare kunna få
igång användandet av eID på allvar i Sverige. I fokusgrupperna framgår dock att utbudet av utfärdare,
det vill säga bankerna, är acceptabla utfärdare som hittills fungerat bra. Studenterna ser inga egentliga
anledningar till att detta skulle komma att förändras i framtiden.
Om nya aktörer skulle dyka upp på marknaden skulle det, enligt respondenterna, krävas ganska mycket
av dessa för att få deras förtroende. Det handlar här framför allt om säkerhet och användbarhet.
Som vi tolkar respondenterna handlar det mycket om hur de kan använda sitt eID, inte vem som
utfärdat det. Detta tror vi kommer att bli tydligare när det kommer fler eID-tjänster som ersätter ett
traditionellt alternativ. Av våra fokusgrupper är det KV-gruppen som är restriktiva när det handlar om
att skriva under på elektronisk väg. Vi anser dock att i och med att utvecklingen går framåt kommer
också de som hellre skriver under på papper kommer att gå över till dess elektroniska alternativ. En
bättre förståelse för dessa elektroniska tjänster kommer troligtvis med tiden att växa fram hos
majoriteten av invånarna.
108
6.3.2 Tjänster
Ramverket i e-delegationens förslag öppnar upp för nya typer av eID som inte är certifikatbaserade, till
skillnad från dagens eID. Detta förväntas, enligt delegationen, leda till en högre användbarhet och en
större spridning bland invånarna. Vissa respondenter skulle gärna se en helt webbaserad eID-lösning
utan certifikat eller säkerhetsprogram, vilket vi förutsätter skulle vara möjligt baserat på ovanstående
förslag. En webbaserad lösning skulle troligtvis eliminera de problem respondenterna ser med
plattformsberoende och publika/flera datorer. Det skulle således inte spela någon roll om en användare
sitter hemma, på bussen eller på ett Internetcafé när denne ska deklarera eller kolla recept hos
Apoteket. Som sagt så tror vi här att säkerheten skulle kunna vara ett problem, men förutsätter också
att utvecklingstakten av säkerhetsteknik kommer att öka i samma omfattning som övrig teknik. En
webbaserad skulle också medföra att eID skulle kunna flytta in i mobiltelefoner på allvar.
Många av respondenterna ser just detta som en bra lösning. De med mjuka certifikat skulle slippa
installera säkerhetsprogram och certifikat i sin dator. De med hårda certifikat skulle slippa en separat
dosa och ett separat kort samt sladd för att kunna identifiera sig elektroniskt. En mobiltelefon-lösning
skulle innebära att de har ett hårt certifikat på SIM-kortet i sin mobiltelefon, men med skillnaden från
dagens hårda certifikat, att telefonen är något de har med sig hela tiden. Denna lösning skulle också vara
ett alternativ till den helt webbaserade lösningen i och med att det skulle gå att elektroniskt legitimera
sig via till exempel publika datorer.
Även här ser vi och respondenterna att säkerheten är det som eventuellt skulle kunna stå i vägen för
denna typ av lösningar, men som sagt ovan, säkerhetstekniken måste också utvecklas. Många av
respondenterna är dock, som sagt, relativt nöjda med sina mjuka och hårda certifikat.
6.3.3 Användbarhet
Enligt förslaget ska e-legitimationsnämnden fastslå regler för den framtida infrastrukturen men det är
olika aktörer som ska ta fram och erbjuda identifieringstjänster och andra tjänster, till exempel eID.
Detta kan vara både positivt och negativt ur användbarhetssynvinkel. Den positiva aspekten innebär att
aktörer kan utforma tjänster som blir just användbara, utan att behöva förhålla sig till en särskild
standard för detta. Den negativa aspekten är således att det saknas en standard. Detta kan innebära att
109
det kommer ut tjänster på marknaden som kan upplevas svåra att använda, vilket kan leda till minskad
användning av eID.
6.3.4 Säkerhet
För att skapa långsiktig, teknikneutral och hållbar grund för eID har utredningen inte valt att lägga sig i
vilken teknik utfärdarna ska använda för eID. De menar i stället att de ska ta fasta på att säkerställa att
identifiering sker på ett betryggande sätt. Detta gör att utfärdare själva fritt kan utforma och utveckla
lösningar, så länge de uppfyller de uppställda säkerhetskraven. Denna teknikneutralitet tror vi också kan
ha både positiva och negativa aspekter. De positiva handlar om friheten att skapa användbara och säkra
tjänster efter eget tycke, vilket skulle vara bra för användarna. Samtidigt kan vi se en negativ aspekt när
det inte finns en fastställd standard för säkerheten, utan bara ett antal punkter som ska vara uppfyllda.
6.3.5 Förtroende
I förslaget framkommer också att i stort sätt vilken aktör som helst ska kunna bli utfärdare, bara de
uppfyller säkerhetskraven. Vidare beskriver förslaget att det är viktigt att utfärdare är en part som
användare känner igen och har någon form av direkt relation till. Detta tycker vi är en bra idé i grund och
botten, men att det kan bli svårt för nya aktörer att etablera sig på marknaden om de inte uppfyller
detta relationskrav.
6.4 Huvudpunkter
Baserat på vår analys av fokusgruppsintervjuerna, teori och e-delegationens förslag anser vi att antalet
utfärdare och tjänster kopplade till eID måste bli fler. En av anledningarna till detta är att den
konkurrens detta skulle medföra skulle skapa fler/bättre tjänster. Detta i sin tur skulle öka
användningsfrekvensen av eID och på så sätt spara tid för medborgarna och tid/pengar för exempelvis
110
myndigheter. Information om eID från den offentliga sektorn är också något vi anser vara centralt för att
öka användningen av eID.
Som vi tolkar förslaget från e-delegationen saknas en gemensam standard för till exempel säkerhet och
användbarhet. Vi anser att dessa standarder är viktiga för att få en enhetlig bild ut mot slutanvändaren.
Om alla utfärdare och e-tjänsteleverantörer använder egna gränssnitt på sina tjänster kan detta skapa
en splittrad bild av eID. För att frekvensen av användningen av eID ska öka anser vi att den
gemensamma standarden behövs för att kunna få medborgare att ”överge” eID:s
traditionella
motsvarighet.
111
7 Reflektion
I detta avslutande reflektionskapitel reflekterar vi över vårt genomförande av denna studie och de
slutsatser vi kom fram till. Vi ger här även förslag på fortsatta studier inom ämnet eID.
7.1 Resultaten
De slutsatser vi anser vara viktigast handlar om användbarhet i form av en gemensam standard samt
användningsfrekvens. För att e-legitimationsnämnden ska kunna realisera förslaget om framtida eID i
Sverige anser vi att dessa slutsatser är extra viktiga att ta i beaktande.
7.2 Genomförande
Vi anser att vårt genomförande av denna studie har varit lärorikt och givande. Vi har fått en bättre
förståelse över både eID och dess användning. Det har också varit intressant att få veta hur
fokusgrupperna resonerade angående de frågeställningar vi har. I och med att detta är den första studie
vi gjort som innefattar just fokusgrupper, har det varit intressant att se hur denna process går till. Vi ser
att det varit mer jobb före, under och efter dessa fokusgrupper jämfört med vanliga intervjuer, men
resultatet har också blivit ett annat.
Den första fokusgruppen bestod av studenter från blandade utbildningar. Detta gjorde att de som hade
en bättre IT-kunskap fick igång en bra diskussion med de som ansåg sig ha en lägre kunskapsnivå om IT. I
slutändan resulterade detta i att det kom fram information som vi från början inte reflekterat över.
Fokusgrupp nummer två bestod av studenter som alla går utbildningen IT och management. Denna
grupp kom (som väntat) in på frågor av mer teknisk karaktär.
Den sista gruppen bestod av studenter som går Kulturvetenskap, som är en utbildning som inte har IT
som inriktning. Denna grupp var den som gav flest överraskningar. Här framkom frågor som vi inte alls
reflekterat över på förhand, som lät mycket logiska när vi väl hörde dem.
112
Vår initiala tanke var att rakt av jämföra det förslag e-delegationen tagit fram, med vad som kom fram i
fokusgrupperna. Denna plan visade sig dock vara något ogenomtänkt när det visade sig att förslaget
fokuserar på övergripande infrastruktur och ramverk. Detta visade sig vara relativt svårt med tanke på
att studenterna inte hade någon direkt kunskap om just dessa områden. Vi reviderade således vår
initiala tanke och kom fram till att studenternas tankar och idéer kunde i stället fungera som
komplement till förslaget. Just detta ser vi som en viss kritik mot oss själva, att vi inte tillräckligt
undersökte förslaget innan vi tog oss an själva jämförelsen. I och med att området eID är mycket stort
har vi haft en del problem med vilka avgränsningar vi skulle hålla oss inom. Exempelvis säkerhet är ett
mycket stort och komplext ämne som säkert skulle gå att utveckla ytterligare. Problemet vi haft här är
att koppla ihop säkerhetsteori med fokusgruppsundersökningarna, som ligger på helt skilda plan när det
gäller den tekniska aspekten. Samma sak gäller med användbarhet och förtroende, som skulle gå att
skriva mängder om.
7.3 Fortsatt forskning
De slutsatser vi dragit av vår undersökning skulle troligtvis se annorlunda ut om vi genomfört fler
fokusgruppsundersökningar med ett annat urval. Fortsatt forskning skulle således kunna vara att
intervjua eller genomföra fokusgruppsundersökningar med andra samhällsgrupper eller yrkesgrupper
för att se om åsikter om eID skiljer sig mellan dessa olika grupper i samhället.
Vidare forskning skulle också kunna innebära att undersöka hur förslaget om framtidens eID egentligen
skulle fungera rent praktiskt. Detta skulle kunna göras när förslaget är implementerat och då göra en
före/efter-jämförelse. Att jämföra svenskt eID med hur eID fungerar i andra länder skulle också kunna
vara en intressant aspekt att studera vidare. Här skulle förslagsvis användarfrekvens kunna undersökas,
samt anledning till hög/låg frekvens.
113
114
Referenser
24-timmarsdelegationen (2005) E-legitimation för säkra e-tjänster
Tillgänglig via: http://www.edelegationen.se/sites/default/files/2005_10_0.pdf
(Hämtad: 2011-05-07)
Alvesson, M & Sköldberg, K (2008) Tolkning och reflektion – Vetenskapsfilosofi och kvalitativ metod
Andra upplagan
Lund, Studentlitteratur
Andersen, I (1998) Den uppenbara verkligheten: val av samhällsvetenskaplig metod
Lund, Studentlitteratur
Axelsson, K & Melin, U (2007) Talking to, not about, Citizens – Experiences of Focus Groups in Public
E-Service Development, in: Wimmer, M.A., Scholl, H.J., and Grönlund, Å. (Eds., 2007): EGOV
2007, LNCS 4656, Springer-Verlag Berlin Heidelberg, pp. 179-190.
BankID (2011) Systemkrav
Tillgänglig via: www.bankid.com
(Hämtad: 2011-06-01)
Bryman, A (2002) Samhällsvetenskapliga metoder
Malmö, Liber
Bryman, A & Bell, E (2005) Företagsekonomiska forskningsmetoder
Malm, Liber
Burell, M (2005) Personas – ett sätt att lyfta fram krav på offentliga e-tjänster utifrån användare med särskilda
behov
Tillgänglig via: http://liu.diva-portal.org/smash/record.jsf?pid=diva2:22309
(Hämtad: 2011-04-07)
Cheskin Research & Studio Archetype/Sapient (1999) eCommerce Trust Study
Tillgänglig via: http://www.cheskin.com/cms/files/i/articles//17__report-eComm%20Trust1999.pdf
(Hämtad: 2011-05-08)
115
Chi, H (2004) Scent of the Web
Palo Alto Research Center, Xerox
Cooper, A. & Reimann, R (2003) About Face 2.0. The Essentials of Interaction Design
Indianapolis, Wiley Publishing Inc.
Cronholm, S & Goldkuhl, G (2010) Handlingsbara IT-system, design och utvärdering
Tillgänglig via: http://www.vits.org/publikationer/dokument/545.pdf
(Hämtad: 2011-05-07)
CS.se (2011) Asymmetrisk kryptering
Tillgänglig via: http://cstjanster.idg.se/sprakwebben/ord.asp?ord=asymmetrisk%20kryptering
(Hämtad: 2011-05-27)
Datainspektionen (2010) Personuppgifter och e-förvaltning
Tillgänglig via: http://www.datainspektionen.se/Documents/vagledning-eforvaltning.pdf
(Hämtad: 2011-05-07)
Datainspektionen (2011) IT-säkerhet och myndigheters e-tjänster
Tillgänglig via: http:www.datainspektionen.se/Documents/faktablad-e-tjanster-sakerhet.pdf
(Hämtad: 2011-05-11)
Eisenhardt, K. M, (1989) Building Theories from Case Study Research
Academy of Management Review, Vol. 14, No 4, p. 532-550.
Eriksson, S (2010) Använd mobilen som legitimation
Tillgänglig via: http://www.logica.se/we-are-logica/media-centre/thought-pieces/anvand-mobilen-somlegitimation
(Hämtad: 2011-04-07)
Eriksson, L.T & Wiedersheim-Paul, F (1997) Att utreda, forska och rapportera
Malmö, Liber Ekonomi
Europiska gemenskapernas kommission (2007) Att vara en del av informationssamhället
116
Tillgänglig via: http://ec.europa.eu/information_society/activities/einclusion/docs/i2010_initiative/
comm_native_com_2007_0694_f_sv_acte.doc
(Hämtad: 2011-04-07)
Faulkner, X (2000) Usability Engineering
New York, Palgrave
Giddens, A (1990) The consequences of Modernity
Cambridge, Polity/Blackwell
Gidlund-Lindbland, K, Ekelin, A, Eriksén, S & Ranerup, A (2010) Förvaltning och medborgarskap i förändring
Lund, Studentlitteratur
Gilje, N & Grimen, H (1992) Samhällsvetenskapernas förutsättningar
Göteborg, Bokförlaget Daidalos
Grandison, T (2003) Trust Management for Internet Applications
University of London, Department of Computing
Dumas, J. S & Redish, J (1999) A practical guide to usability testing
Exete, Intellect Books
Grandison T, Sloman, M (2002) Specifying and Analysing Trust for Internet Applications
University of London, Department of computing
Gummesson, E (1985) Forskare och konsult - om aktionsforskning och fallstudier i företagsekonomin
första upplagan
Lund, Studentlitteratur
Gunneng, V (2006) Kvalitativ metod, vetenskap eller inte?
Tillgänglig via: http://liu.diva-portal.org/smash/get/diva2:23120/FULLTEXT01
(Hämtad: 2011-05-25)
Göransson, B. & Gulliksen, J (2000) Användarcentrerad systemutveckling, version 1.0 (CID-71)
Stockholm, Kungliga tekniska högskolan: Department of numerical analysis and computer science
117
Halvarsson, A & Morin, T (2000) Elektroniska signaturer
Lund, Studentlitteratur
Hartman, J (2004) Vetenskapligt tänkande. Från kunskapsteori till metodteori
Lund, Studentlitteratur
Holme, I.M & Solvang, B.K (1997) Forskningsmetodik - om kvalitativa och kvantitativa metoder
Lund, Studentlitteratur
Huemer, L (1998) Trust in business relations: economic logic or social interaction?
Umeå, Boréa, cop.
ISO 9241-11:1998 (2006) usability
Tillgänglig via: http://www.usabilitynet.org/tools/r_international.htm#9241-11
(Hämtad: 2011-06-01)
Jacobsen, D.I (2002) Vad, hur och varför?
Lund, Studentlitteratur
Kvale, S (2009) Den kvalitativa forskningsintervjun
Lund, Studentlitteratur
Lagen.nu (2001) Lag 2000:832 om kvalificerade elektroniska signaturer
Tillgänglig via: https://lagen.nu/2000:832#P2S3
(Hämtad: 2011-05-07)
Langefors, B (1976) Information and data in systems
New York, Van Nostrand Reinhold
Langefors, B (1995) Essays on Infology
Lund, Studentlitteratur.
Langemar, P (2008) Kvalitativ forskningsmetod i psykologi - att låta en värld öppna sig
Stockholm, Liber
118
Luhmann, N (2005) Förtroende: en mekanism för reduktion av social komplexitet
Göteborg, Daidalos
Lundahl, S & Skärvad P,H (1999) Utredningsmetodik för samhällsvetare och ekonomer
Lund, Studentlitteratur
Lunds Universitet (2009) Tryckta källor
Tillgänglig via: http://www3.ub.lu.se/infokompetens//referens/referensa.html
(Hämtad: 2011-04-19)
Lynch, P. J. & Horton, S. (2002): Web Style Guide
USA, Yale University
Meyers, M (2009) Qualitative research in business & management
London, Sage publications
Miller, R. B (1971) Human ease of use criteria and their trade-offs
IBM report TR 00.2185, 12 April
Poughkeepsie, NY, IBM Corporation
Nielsen, J (1993) Usability Engineering
London, Harcourt Brace & Company
Nielsen J (2001) Användbar webbdesign
Stockholm, Liber
Norman, D. A (1988) The Psychology of Everyday Things
New York, Basic Books Inc.
Nätverk och kommunikation (2001) Certifikathantering
Stockholm, nr. 5, 20 mars
119
Pts.se (2011) Elektroniska signaturer
Tillgänglig via: http://www.pts.se/sv/Bransch/Internet/Elektroniska-signaturer/Fragor-och-svar/Kvalificeradeelektroniska-signaturer/
(Hämtad: 2011-06-08)
Repstad, P (2007) Närhet och distans
Lund, Studentlitteratur
Shackel, B., Preece, J & Keller, L (1990) Human factors and usability in human computer interaction
Hempstead, Prentice Hall.
Soltesz, T & Lundblad, N (1998) Tilliten till den elektroniska marknaden
Kista, SITI
Santai.nu (2011) ISO 9241-11, standarden för användbarhet
Tillgänglig via: http://santai.nu/artiklar/iso.htm
(Hämtad: 2011-06-03)
Sorensen, K.H & Williams, R (2002) Shaping Technology Guiding Policy Concepts, Spaces and Tools
CA, MPG Books Ltd
SOU 2010:104 (2010) Statens Offentliga Utredningar, E-legitimationsnämnden och Svensk e-legitimation
Tillgänglig via: http://www.sweden.gov.se/download/74c79ddf.pdf?major=1&minor=158256&cn=
attachmentPublDuplicator_0_attachment
(Hämtad: 2011-06-01)
Statskontoret (2005) Avropa användbart
Tillgänglig via: http://www.statskontoret.se/upload/publikationer/2005/200506.pdf
(Hämtad: 2011-04-07)
Svenning, C (2003) Metodboken femte upplagan
Eslöv, Lorentz Förlag
Söderström, F (2011) I backspegeln, fordonet och genom vindrutan. En studie om den svenska e-legitimationens
framväxt och nuläge.
Materuppsats
120
Informatik/Masterprogrammet i IT och Management, Institutionen för ekonomisk och industriell utveckling.
Linköpings universitet
Tallberg, C & Vilhelmsson. (2010) Grunderna i PKI
Tillgänglig via: http://www.idt.mdh.se/kurser/ct3620/vt10/seminarium/Rapport-final/24ChristerTallberg%20_PhilipVilhelmsson.pdf
Mälardalens Högskola (Hämtad: 2011-05-07)
Thurén, T (2007) Vetenskapsteori för nybörjare, Andra upplagan
Slovenien, Liber
Verva (2008) Slutrapport om säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar
Stockholm, Verket för förvaltningsutveckling
W3C (2011) Web Content Accessibility Guidelines (WCAG) Overview
Tillgänglig via: http://www.w3.org/WAI/intro/wcag
(Hämtad: 2011-04-07)
Wallén, G (1996) Vetenskapsteori och forskningsmetodik
Studentlitteratur, lund
Walsham, G (1995) Interpretive case studies in IS research: nature and method
European Journal of Information Systems, Vol 4, p. 74-81.
Walsham, G (2006) Doing interpretive research
European Journal of Information Systems, Vol. 15, s. 320-330.
Wibeck, V (2000) Fokusgrupper: om fokuserade gruppintervjuer som undersökningsmetod
Lund, Studentlitteratur
Wibeck, V (2010) Fokusgrupper: om fokuserade gruppintervjuer som undersökningsmetod
Lund, Studentlitteratur
Åström, J (2004) Mot en digital demokrati? Teknik, Politik och institutionell förändring
Örebro, Studies in political science
121
122
Bilaga
FOKUSGRUPPER
Kravlista för deltagande
 “Kund” hos CSN (har ett konto och eID-uppgifter)

Har kunskapen att logga in
Vilka typer av grupper vi ska ha samt hur många
 Tre grupper med olika utbildningsinriktningar (IT/ej IT, blandad IT)
Vilken form på “utförande” av fokusgrupper vi ska ha
 Semistrukturerade, vi har förberett frågor att svara på samt uppgifter att lösa från CSN eIDinloggning, inspelning kommer att ske
Ämnen som vi ska behandla i fokusgrupper
 Upplevd användbarhet, -säkerhet, -förtroende
Frågor vi ska ställa/uppgifter vi ska dela ut till deltagare
Uppgift 1:
 Logga in på CSN.se med ditt eID och räkna ut hur mycket du ska betala tillbaka
(återbetalningsplanen)
Uppgift 2:
 Anta att du glömt lösenordet till ditt eID, hur löser du det?
123
Diskussionsfrågor:
 Vad använder ni för webbläsare och OS? (skriv på tavlan)
 Vad använder ni för typ av certifikat hårt eller mjukt?
 Har alla här eID från sin bank eller har någon via till exempel TeliaSonera?
 Hur skulle ni beskriva den här processen ni just genomförde? Problem, felmeddelanden, gick
smidigt?
 Hur ser ni på användbarheten på det här? Enkelt? Problem? Vad är problemet?
 Säkerheten, det är ju inget vi ser, men vad anser ni om den upplevda säkerheten?
 Hur skulle ni rangordna säkerhet – användbarhet – förtroende skala mest viktigast, andra
viktigast, tredje viktigast? (Skriv på tavlan) (förtroende till banken)
 Hur ser ni på relationen säkerhet - användbarhet för uppgiften ni utförde?
 Hur ser ni på skillnaden mellan ”traditionella” underskrifter på papper och elektroniska
underskrifter?
 I det nya förslaget ska i stort sett vem som helst kunna bli certifikatutfärdare om de uppfyller de
uppställda kraven, om typ Bosses glassbar uppfyller dessa krav, hur ser ni på det?
 Om genom bank: Säkerhet för dina pengar, innebär det en automatisk säkerhet för ditt eID?
 Går det att undersöka sig till förtroende? Så som det exempelvis går att kolla upp en produkt
genom Prisjakt.se?
 Vi kan återkomma till förra frågan här, om det är en bank som ni inte känner någon direkt
jätteförtroende till från början men som har en sån pass bra organisation bakom sig som klarar
av alla OS alla webbläsare som kanske inte Swedbank ex. skulle det då skifta i det här tankarna
för er?
 Men om du är en ovan användare då om du inte har IE förinstallerat exempelvis om ni tänker er
som en ovan användare, det finns ex. en leverantör som funkar ihop med din dator och så finns
det en jättesäker Swedbank som funkar jättedåligt då kommer ju användbarheten in igen?
 Om vi tittar ett steg framåt då. Framtida lösningar, hur vill ni ha det då något ni vill förändra,
förbättra, önskemål, förhoppningar?
 Finns det något i dag som inte fungerar så tillfredställande eller som ni tänkt er att det ska göra,
något ni vill ändra på?
 Om det som idag finns ett gäng olika utfärdare, ser ni det bättre om det skulle finnas EN
utfärdare ex. om en myndighet skulle ha hand om allt det här?
 Det var det vi hade om eID hur det ser ut idag, har ni några egna tankar ni vill delge, som vi inte
tagit upp här?
 Någon speciell händelse som ni mins vid något annat tillfälle, något som fungerade speciellt bra
eller dåligt?
 Vi rundar av här och önskar återkoppling
124