Svar från Polismyndigheten om statlig e-legitimation: "det som planeras nu är en mobilapplikation för IOS och Android"
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag? Kommer systemet att baseras på öppna standarder som tidigare statliga utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias
Bra jobbat Elias!
Då fick vi svar på några väsentliga frågor. Men det väcker nya.
Är det verkligen säkerhetsmässigt nödvändigt att knyta personlig identitet till en apps identitet? Och är det ens bra (ur säkerhetssynpunkt)? Och vad gäller "långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden" så är ju låsningen till Google och Apple värd att ifrågasätta.
/Mikael
Den 2026-04-17 kl. 07:44, skrev Elias Rudberg via Eleg-projekt:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag? Kommer systemet att baseras på öppna standarder som tidigare statliga utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Det jag tänkte direkt var att skriva till Kommissionen och fråga om det ens är lagligt.
Och sen kan man ju också undra om EUPL i det här sammanhanget, plus att (gissar jag) appen inte kommer att finnas hos f-droid.
mvh
//Erik
17 apr. 2026 kl. 09:44 skrev Mikael Odhage via Eleg-projekt eleg-projekt@lists.dfri.se:
Bra jobbat Elias!
Då fick vi svar på några väsentliga frågor. Men det väcker nya.
Är det verkligen säkerhetsmässigt nödvändigt att knyta personlig identitet till en apps identitet? Och är det ens bra (ur säkerhetssynpunkt)? Och vad gäller "långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden" så är ju låsningen till Google och Apple värd att ifrågasätta.
/Mikael
Den 2026-04-17 kl. 07:44, skrev Elias Rudberg via Eleg-projekt: Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag? Kommer systemet att baseras på öppna standarder som tidigare statliga utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
-- Vänliga hälsningar Mikael Odhage +46(0)709933651 Jabber/XMPP: odhagemikael@xabber.de Lite Fediversum: Friendica: https://libranet.de/profile/mikaelodhage/profile Bilder på: https://pixelfed.de/OdhageMikael Min publika nyckel hittas på hkp://keys.gnupg.net eller keys.gnupg.net
3 ekologiska grundprinciper (fritt efter Vandana Shiva): 1)Mångfald 2)Cirkularitet 3)Allmänning
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Verifikations grejjerna såsom jag förstått innebär ju att det inte alls fungerar på android. Måste vara android med google påhitt.
Detta är ju nästintill falsk marknadsföring. Googles tillägg i android är ju tekniskt sätt inte en del av android, utan en förlägning av android.
Kommer inte fungera på GrapheneOS eller andra degoogled varianter.
Hej Detta ante mig. Man gör sig alltså beroende av ett företag som står under annat lands kontroll (google och apple), igen! Vad det inte det som var syftet med alltihop, att svenska myndigheter ska ha kontroll och inte bankerna?
En annan viktig aspekt är offentlighetsprincipen, som i praktiken ibland tillämpas mycket strikt och ibland släpphänt. Detta är ett tydligt exempel på den mer släpphänta tillämpningen. Syftet med offentlighetsprincipen är ju att ge insyn i myndigheternas verksamhet, att medborgarna ska kunna förstå och granska vad som görs i deras namn.
I det här fallet utvecklar och distribuerar myndigheten (Polisen) en app vars funktionalitet i praktiken är svår att granska, eftersom de bygger på sluten källkod. Som användare har man begränsad möjlighet att veta vad applikationen faktiskt gör. Det innebär att det i teorin skulle kunna förekomma insamling av data eller annan funktionalitet utan användarnas vetskap. Här tycks offentlighetsprincipens anda inte få fullt genomslag.
Här är det också så att argumentet om öppenhet bör tillämpas även i detta sammanhang. Vad hindrar till exempel att apk-filen görs tillgänglig för installation via en offentligt kontrollerad plattform för nedladdning och granskning istället för Google play? Jag gissar att det beror på att Google egentligen har kontroll över hela Google-android-telefonen. Är inte det en brist i sig? Hela upplägget känns fel!
Mot bakgrund av Googles roll i distributionen via Google Play uppstår dessutom ett beroende som kan ifrågasättas. Kedjan av oberoende i exempelvis Sverige-ID-appen är därmed försvagad i sin grundstruktur.
Polisens utvecklare verkar heller inte förstå skillnaden mellan Android och Google modifierade Android. När dom inte har den insikten kommer nog slutprodukten inte imponera heller, Tyvärr för jag hade hoppats på det.
Kan vi använda argumentet om offentlighetsprincipen här? Alltså öppen källkod och oberoende av Google? Jag får inte till riktigt skarpa argument mer än så jag beskrivit ovan. Finns det någon statsvetare därute som har riktigt god koll på offentlighetsprincipen så det blir rätt från början. /Niclas
Hejsan. Jag tror inte folk bryr sig så mycket om appen gör mer än det som är utlovat. Tyvärr är spionerier inget folk bryr sig om. Kanske om man säger att något parti personen inte stöttar får total övervakning. Det verkar vara det enda som får folk att inte fgilla övervakning. Gillar någon vänsterblocket? Då tar man upp att den hemliga koden skrivs av högerblocket just nu. Gillar någon högerblocket? Då tar man upp att när vänsterblocket får makt så får de kontroll över ID-appen och kan ge uppdateringar de vill. Om det är öppen källkod så kan man granska alla updateringar och inget parti kan "kapa" ID-systemet.
Något som kan få folk att faktiskt förstå vikten av öppen källkod är att, Ska man ha en app för varje land man reser till? När vi reser idag har vi ett enda pass. Om detta ID ska ersätta pass eller någon form av ID inom EU, då måste ju koden vara öppen. Precis såsom Sverige inte litar blint på program som t.ex. Ryssland eller USA skapar, så litar nog inte andra på oss heller. Vill vi kunna resa utan problem och utan att installera en app för varje land man besöker (och mellanlandar i) så måste källkodern vara öppen. Så alla kan se den och verifiera. Då kan man ha en app som alla myndigheter kan acceptera som en form av ID.
Ja, det är kanske lite pessimistiskt men jag tror att det är dit vi är påväg, till en framtid där pass är en app eller liknande. Vi måste se till att tekniken inte är för centralt kontrollerad.
MvH, Emilio Müller
On 2026-04-17 15:53, Name via Eleg-projekt wrote:
Hej Detta ante mig. Man gör sig alltså beroende av ett företag som står under annat lands kontroll (google och apple), igen! Vad det inte det som var syftet med alltihop, att svenska myndigheter ska ha kontroll och inte bankerna?
En annan viktig aspekt är offentlighetsprincipen, som i praktiken ibland tillämpas mycket strikt och ibland släpphänt. Detta är ett tydligt exempel på den mer släpphänta tillämpningen. Syftet med offentlighetsprincipen är ju att ge insyn i myndigheternas verksamhet, att medborgarna ska kunna förstå och granska vad som görs i deras namn.
I det här fallet utvecklar och distribuerar myndigheten (Polisen) en app vars funktionalitet i praktiken är svår att granska, eftersom de bygger på sluten källkod. Som användare har man begränsad möjlighet att veta vad applikationen faktiskt gör. Det innebär att det i teorin skulle kunna förekomma insamling av data eller annan funktionalitet utan användarnas vetskap. Här tycks offentlighetsprincipens anda inte få fullt genomslag.
Här är det också så att argumentet om öppenhet bör tillämpas även i detta sammanhang. Vad hindrar till exempel att apk-filen görs tillgänglig för installation via en offentligt kontrollerad plattform för nedladdning och granskning istället för Google play? Jag gissar att det beror på att Google egentligen har kontroll över hela Google-android-telefonen. Är inte det en brist i sig? Hela upplägget känns fel!
Mot bakgrund av Googles roll i distributionen via Google Play uppstår dessutom ett beroende som kan ifrågasättas. Kedjan av oberoende i exempelvis Sverige-ID-appen är därmed försvagad i sin grundstruktur.
Polisens utvecklare verkar heller inte förstå skillnaden mellan Android och Google modifierade Android. När dom inte har den insikten kommer nog slutprodukten inte imponera heller, Tyvärr för jag hade hoppats på det.
Kan vi använda argumentet om offentlighetsprincipen här? Alltså öppen källkod och oberoende av Google? Jag får inte till riktigt skarpa argument mer än så jag beskrivit ovan. Finns det någon statsvetare därute som har riktigt god koll på offentlighetsprincipen så det blir rätt från början. /Niclas
-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 13:18 av eleg-projekt@lists.dfri.se:
Verifikations grejjerna såsom jag förstått innebär ju att det inte alls fungerar på android. Måste vara android med google påhitt.>
Detta är ju nästintill falsk marknadsföring. Googles tillägg i android är ju tekniskt sätt inte en del av android, utan en förlägning av android. >
Kommer inte fungera på GrapheneOS eller andra degoogled varianter.
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej Jo så är det för de flesta. Jag lät AI skriva mina synpunkter som remiss till Polisen. Detta är resultatet. Har Ni synpunkter? (nu är ju jag inte någon remissinstans men som synpunkt från allmänheten (mig) är det tänkt. Kan det fungera tror Ni? Till: Apputvecklingsteamet, Polismyndigheten Datum: 17 april 2026
Sammanfattning Jag ger här synpunkter avseende val av distributionskanaler och källkodstillgänglighet för den app Polismyndigheten utvecklar. Huvudpunkter: beroendet av Google/Apple, bristande granskbarhet vid sluten källkod, och behovet av distribution via offentligt kontrollerade kanaler för att uppfylla offentlighetsprincipens intention.
Bakgrund och oro
Distribution via Google Play och App Store skapar ett beroende av företag under främmande jurisdiktion, vilket motverkar målet att svenska myndigheter ska ha kontroll över myndighetsapplikationer. Offentlighetsprincipen syftar till insyn i myndigheters verksamhet så att medborgarna kan granska vad som görs i deras namn. I detta fall begränsar sluten källkod och distributionsvägar möjligheten till sådan granskning.
Granskbarhet och sluten källkod
Appens nuvarande tekniska lösning (stängd/källkod ej offentligt tillgänglig) gör det svårt för oberoende granskare och allmänheten att verifiera vilka funktioner som finns och vilken data som hanteras. Detta ökar risken för dolda dataflöden eller funktioner som inte är i linje med myndighetens uppdrag eller integritetskrav.
Distribution och oberoende
Att distribuera appen främst via Google Play innebär praktisk kontroll för Google över installationskedjan på många Android-enheter. Detta skapar ett beroende som försvagar appens oberoende och myndighetens kontroll. Ett alternativ är att göra installationsfiler (t.ex. APK) tillgängliga via en offentligt kontrollerad plattform (myndighetens webbplats eller statlig nedladdningsportal) och tydligt dokumentera verifieringsmetoder (signaturer, checksummor). Detta möjliggör oberoende granskning och installation utan mellanhänder.
Teknisk kompetens och plattformsförståelse
Det är viktigt att utvecklingsteamet visar förståelse för skillnaden mellan AOSP/ren Android och Google-modifierad Android (inklusive Google Play Services) och hur dessa skillnader påverkar säkerhet, integritet och möjligheten till oberoende distribution. Bristande insikt i dessa skillnader riskerar att försämra slutprodukten och öka beroendet av privata aktörer.
Rekommendationer (konkreta åtgärder)
Publicera källkoden under en lämplig öppen licens eller, alternativt, tillhandahåll en verifierbar, uppdaterad och lättillgänglig källkodsförteckning för granskning. Gör installationspaket (APK/IPA) tillgängliga via en myndighetskontrollerad nedladdningsportal med digital signatur och checksummor för verifiering. Dokumentera tydligt vilka tredjepartskomponenter och tjänster som används (inklusive beroenden till Google/Apple) och motiv för dessa val. Säkerställ att appens funktionalitet och datainsamling beskrivs i detalj i publik dokumentation, inklusive dataloggar, behörigheter och lagringsplatser. Inför en oberoende granskning (extern revision eller öppet granskningsprogram) före produktionssättning och vid större uppdateringar. Utbilda utvecklingsteamet i skillnaderna mellan ren Android (AOSP) och Google-modifierad Android samt konsekvenser för distribution och integritet.
Slutsats För att leva upp till offentlighetsprincipens intention och för att minska beroenden av privata aktörer rekommenderas öppnare källkodspraxis, självständig distribution via myndighetskontrollerade kanaler samt tydlig dokumentation och oberoende granskning.
Vänligen bekräfta mottagande.
Råkade skrolla förbi det här:
"EU-app för ålderskontroll ska skydda barn på nätet"
https://commission.europa.eu/news-and-media/news/european-age-verification-a...
"Appen är helt anonym, fungerar på alla slags enheter och bygger helt på öppen källkod så att även andra länder i världen kan använda den."
I ovanstående pressmeddelande länkas till den här texten:
"Third, the app works on any device – phone, tablet, computer, you name it. And, finally, it is fully open source – everyone can check the code. This means that our partner countries can also use it. This is very important that this can be used by our global partners. But more importantly, online platforms can easily rely on our age verification app. So there are no more excuses."
https://ec.europa.eu/commission/presscorner/detail/sv/statement_26_817
mvh
//Erik
2026-04-17 18:28 skrev Name via Eleg-projekt:
Hej Jo så är det för de flesta. Jag lät AI skriva mina synpunkter som remiss till Polisen. Detta är resultatet. Har Ni synpunkter? (nu är ju jag inte någon remissinstans men som synpunkt från allmänheten (mig) är det tänkt. Kan det fungera tror Ni? Till: Apputvecklingsteamet, Polismyndigheten Datum: 17 april 2026
Sammanfattning Jag ger här synpunkter avseende val av distributionskanaler och källkodstillgänglighet för den app Polismyndigheten utvecklar. Huvudpunkter: beroendet av Google/Apple, bristande granskbarhet vid sluten källkod, och behovet av distribution via offentligt kontrollerade kanaler för att uppfylla offentlighetsprincipens intention.
Bakgrund och oro
Distribution via Google Play och App Store skapar ett beroende av företag under främmande jurisdiktion, vilket motverkar målet att svenska myndigheter ska ha kontroll över myndighetsapplikationer. Offentlighetsprincipen syftar till insyn i myndigheters verksamhet så att medborgarna kan granska vad som görs i deras namn. I detta fall begränsar sluten källkod och distributionsvägar möjligheten till sådan granskning.
Granskbarhet och sluten källkod
Appens nuvarande tekniska lösning (stängd/källkod ej offentligt tillgänglig) gör det svårt för oberoende granskare och allmänheten att verifiera vilka funktioner som finns och vilken data som hanteras. Detta ökar risken för dolda dataflöden eller funktioner som inte är i linje med myndighetens uppdrag eller integritetskrav.
Distribution och oberoende
Att distribuera appen främst via Google Play innebär praktisk kontroll för Google över installationskedjan på många Android-enheter. Detta skapar ett beroende som försvagar appens oberoende och myndighetens kontroll. Ett alternativ är att göra installationsfiler (t.ex. APK) tillgängliga via en offentligt kontrollerad plattform (myndighetens webbplats eller statlig nedladdningsportal) och tydligt dokumentera verifieringsmetoder (signaturer, checksummor). Detta möjliggör oberoende granskning och installation utan mellanhänder.
Teknisk kompetens och plattformsförståelse
Det är viktigt att utvecklingsteamet visar förståelse för skillnaden mellan AOSP/ren Android och Google-modifierad Android (inklusive Google Play Services) och hur dessa skillnader påverkar säkerhet, integritet och möjligheten till oberoende distribution. Bristande insikt i dessa skillnader riskerar att försämra slutprodukten och öka beroendet av privata aktörer.
Rekommendationer (konkreta åtgärder)
Publicera källkoden under en lämplig öppen licens eller, alternativt, tillhandahåll en verifierbar, uppdaterad och lättillgänglig källkodsförteckning för granskning. Gör installationspaket (APK/IPA) tillgängliga via en myndighetskontrollerad nedladdningsportal med digital signatur och checksummor för verifiering. Dokumentera tydligt vilka tredjepartskomponenter och tjänster som används (inklusive beroenden till Google/Apple) och motiv för dessa val. Säkerställ att appens funktionalitet och datainsamling beskrivs i detalj i publik dokumentation, inklusive dataloggar, behörigheter och lagringsplatser. Inför en oberoende granskning (extern revision eller öppet granskningsprogram) före produktionssättning och vid större uppdateringar. Utbilda utvecklingsteamet i skillnaderna mellan ren Android (AOSP) och Google-modifierad Android samt konsekvenser för distribution och integritet.
Slutsats För att leva upp till offentlighetsprincipens intention och för att minska beroenden av privata aktörer rekommenderas öppnare källkodspraxis, självständig distribution via myndighetskontrollerade kanaler samt tydlig dokumentation och oberoende granskning.
Vänligen bekräfta mottagande.
-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 18:17 av eleg-projekt@lists.dfri.se:
Hejsan. Jag tror inte folk bryr sig så mycket om appen gör mer än det som är utlovat. Tyvärr är spionerier inget folk bryr sig om. Kanske om man säger att något parti personen inte stöttar får total övervakning. Det verkar vara det enda som får folk att inte fgilla övervakning. Gillar någon vänsterblocket? Då tar man upp att den hemliga koden skrivs av högerblocket just nu. Gillar någon högerblocket? Då tar man upp att när vänsterblocket får makt så får de kontroll över ID-appen och kan ge uppdateringar de vill. Om det är öppen källkod så kan man granska alla updateringar och inget parti kan "kapa" ID-systemet.
Något som kan få folk att faktiskt förstå vikten av öppen källkod är att, Ska man ha en app för varje land man reser till? När vi reser idag har vi ett enda pass. Om detta ID ska ersätta pass eller någon form av ID inom EU, då måste ju koden vara öppen. Precis såsom Sverige inte litar blint på program som t.ex. Ryssland eller USA skapar, så litar nog inte andra på oss heller. Vill vi kunna resa utan problem och utan att installera en app för varje land man besöker (och mellanlandar i) så måste källkodern vara öppen. Så alla kan se den och verifiera. Då kan man ha en app som alla myndigheter kan acceptera som en form av ID.
Ja, det är kanske lite pessimistiskt men jag tror att det är dit vi är påväg, till en framtid där pass är en app eller liknande. Vi måste se till att tekniken inte är för centralt kontrollerad.
MvH, Emilio Müller
On 2026-04-17 15:53, Name via Eleg-projekt wrote:
Hej Detta ante mig. Man gör sig alltså beroende av ett företag som står under annat lands kontroll (google och apple), igen! Vad det inte det som var syftet med alltihop, att svenska myndigheter ska ha kontroll och inte bankerna?
En annan viktig aspekt är offentlighetsprincipen, som i praktiken ibland tillämpas mycket strikt och ibland släpphänt. Detta är ett tydligt exempel på den mer släpphänta tillämpningen. Syftet med offentlighetsprincipen är ju att ge insyn i myndigheternas verksamhet, att medborgarna ska kunna förstå och granska vad som görs i deras namn.
I det här fallet utvecklar och distribuerar myndigheten (Polisen) en app vars funktionalitet i praktiken är svår att granska, eftersom de bygger på sluten källkod. Som användare har man begränsad möjlighet att veta vad applikationen faktiskt gör. Det innebär att det i teorin skulle kunna förekomma insamling av data eller annan funktionalitet utan användarnas vetskap. Här tycks offentlighetsprincipens anda inte få fullt genomslag.
Här är det också så att argumentet om öppenhet bör tillämpas även i detta sammanhang. Vad hindrar till exempel att apk-filen görs tillgänglig för installation via en offentligt kontrollerad plattform för nedladdning och granskning istället för Google play? Jag gissar att det beror på att Google egentligen har kontroll över hela Google-android-telefonen. Är inte det en brist i sig? Hela upplägget känns fel!
Mot bakgrund av Googles roll i distributionen via Google Play uppstår dessutom ett beroende som kan ifrågasättas. Kedjan av oberoende i exempelvis Sverige-ID-appen är därmed försvagad i sin grundstruktur.
Polisens utvecklare verkar heller inte förstå skillnaden mellan Android och Google modifierade Android. När dom inte har den insikten kommer nog slutprodukten inte imponera heller, Tyvärr för jag hade hoppats på det.
Kan vi använda argumentet om offentlighetsprincipen här? Alltså öppen källkod och oberoende av Google? Jag får inte till riktigt skarpa argument mer än så jag beskrivit ovan. Finns det någon statsvetare därute som har riktigt god koll på offentlighetsprincipen så det blir rätt från början. /Niclas
-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 13:18 av eleg-projekt@lists.dfri.se:
Verifikations grejjerna såsom jag förstått innebär ju att det inte alls fungerar på android. Måste vara android med google påhitt.>
Detta är ju nästintill falsk marknadsföring. Googles tillägg i android är ju tekniskt sätt inte en del av android, utan en förlägning av android. >
Kommer inte fungera på GrapheneOS eller andra degoogled varianter.
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Sökte efter ett gammalt paper om Upphandling av fri programvara och hittade det här:
https://interoperable-europe.ec.europa.eu/collection/open-source-observatory...
Kanske nån svensk MEP kan skicka en fråga till Kommissionen om den svenska legitimationen är förankrad i kommissionens ramverk för eID och Regulation (EU) 2024/903 of the European Parliament and of the Council of 13 March 2024 laying down measures for a high level of public sector interoperability across the Union (Interoperable Europe Act)
Förlåt att jag inte har gjort mer efterforskningar, har inte fått i mig nåt kaffe än.
mvh
//Erik
17 apr. 2026 kl. 23:10 skrev ehj--- via Eleg-projekt eleg-projekt@lists.dfri.se:
Råkade skrolla förbi det här:
"EU-app för ålderskontroll ska skydda barn på nätet"
https://commission.europa.eu/news-and-media/news/european-age-verification-a...
"Appen är helt anonym, fungerar på alla slags enheter och bygger helt på öppen källkod så att även andra länder i världen kan använda den."
I ovanstående pressmeddelande länkas till den här texten:
"Third, the app works on any device – phone, tablet, computer, you name it. And, finally, it is fully open source – everyone can check the code. This means that our partner countries can also use it. This is very important that this can be used by our global partners. But more importantly, online platforms can easily rely on our age verification app. So there are no more excuses."
https://ec.europa.eu/commission/presscorner/detail/sv/statement_26_817
mvh
//Erik
2026-04-17 18:28 skrev Name via Eleg-projekt:
Hej Jo så är det för de flesta. Jag lät AI skriva mina synpunkter som remiss till Polisen. Detta är resultatet. Har Ni synpunkter? (nu är ju jag inte någon remissinstans men som synpunkt från allmänheten (mig) är det tänkt. Kan det fungera tror Ni? Till: Apputvecklingsteamet, Polismyndigheten Datum: 17 april 2026 Sammanfattning Jag ger här synpunkter avseende val av distributionskanaler och källkodstillgänglighet för den app Polismyndigheten utvecklar. Huvudpunkter: beroendet av Google/Apple, bristande granskbarhet vid sluten källkod, och behovet av distribution via offentligt kontrollerade kanaler för att uppfylla offentlighetsprincipens intention. Bakgrund och oro Distribution via Google Play och App Store skapar ett beroende av företag under främmande jurisdiktion, vilket motverkar målet att svenska myndigheter ska ha kontroll över myndighetsapplikationer. Offentlighetsprincipen syftar till insyn i myndigheters verksamhet så att medborgarna kan granska vad som görs i deras namn. I detta fall begränsar sluten källkod och distributionsvägar möjligheten till sådan granskning. Granskbarhet och sluten källkod Appens nuvarande tekniska lösning (stängd/källkod ej offentligt tillgänglig) gör det svårt för oberoende granskare och allmänheten att verifiera vilka funktioner som finns och vilken data som hanteras. Detta ökar risken för dolda dataflöden eller funktioner som inte är i linje med myndighetens uppdrag eller integritetskrav. Distribution och oberoende Att distribuera appen främst via Google Play innebär praktisk kontroll för Google över installationskedjan på många Android-enheter. Detta skapar ett beroende som försvagar appens oberoende och myndighetens kontroll. Ett alternativ är att göra installationsfiler (t.ex. APK) tillgängliga via en offentligt kontrollerad plattform (myndighetens webbplats eller statlig nedladdningsportal) och tydligt dokumentera verifieringsmetoder (signaturer, checksummor). Detta möjliggör oberoende granskning och installation utan mellanhänder. Teknisk kompetens och plattformsförståelse Det är viktigt att utvecklingsteamet visar förståelse för skillnaden mellan AOSP/ren Android och Google-modifierad Android (inklusive Google Play Services) och hur dessa skillnader påverkar säkerhet, integritet och möjligheten till oberoende distribution. Bristande insikt i dessa skillnader riskerar att försämra slutprodukten och öka beroendet av privata aktörer. Rekommendationer (konkreta åtgärder) Publicera källkoden under en lämplig öppen licens eller, alternativt, tillhandahåll en verifierbar, uppdaterad och lättillgänglig källkodsförteckning för granskning. Gör installationspaket (APK/IPA) tillgängliga via en myndighetskontrollerad nedladdningsportal med digital signatur och checksummor för verifiering. Dokumentera tydligt vilka tredjepartskomponenter och tjänster som används (inklusive beroenden till Google/Apple) och motiv för dessa val. Säkerställ att appens funktionalitet och datainsamling beskrivs i detalj i publik dokumentation, inklusive dataloggar, behörigheter och lagringsplatser. Inför en oberoende granskning (extern revision eller öppet granskningsprogram) före produktionssättning och vid större uppdateringar. Utbilda utvecklingsteamet i skillnaderna mellan ren Android (AOSP) och Google-modifierad Android samt konsekvenser för distribution och integritet. Slutsats För att leva upp till offentlighetsprincipens intention och för att minska beroenden av privata aktörer rekommenderas öppnare källkodspraxis, självständig distribution via myndighetskontrollerade kanaler samt tydlig dokumentation och oberoende granskning. Vänligen bekräfta mottagande. -- Säkrad med Tuta Mail: https://tuta.com/free-email 17 apr. 2026 18:17 av eleg-projekt@lists.dfri.se:
Hejsan. Jag tror inte folk bryr sig så mycket om appen gör mer än det som är utlovat. Tyvärr är spionerier inget folk bryr sig om. Kanske om man säger att något parti personen inte stöttar får total övervakning. Det verkar vara det enda som får folk att inte fgilla övervakning. Gillar någon vänsterblocket? Då tar man upp att den hemliga koden skrivs av högerblocket just nu. Gillar någon högerblocket? Då tar man upp att när vänsterblocket får makt så får de kontroll över ID-appen och kan ge uppdateringar de vill. Om det är öppen källkod så kan man granska alla updateringar och inget parti kan "kapa" ID-systemet. Något som kan få folk att faktiskt förstå vikten av öppen källkod är att, Ska man ha en app för varje land man reser till? När vi reser idag har vi ett enda pass. Om detta ID ska ersätta pass eller någon form av ID inom EU, då måste ju koden vara öppen. Precis såsom Sverige inte litar blint på program som t.ex. Ryssland eller USA skapar, så litar nog inte andra på oss heller. Vill vi kunna resa utan problem och utan att installera en app för varje land man besöker (och mellanlandar i) så måste källkodern vara öppen. Så alla kan se den och verifiera. Då kan man ha en app som alla myndigheter kan acceptera som en form av ID. Ja, det är kanske lite pessimistiskt men jag tror att det är dit vi är påväg, till en framtid där pass är en app eller liknande. Vi måste se till att tekniken inte är för centralt kontrollerad. MvH, Emilio Müller
On 2026-04-17 15:53, Name via Eleg-projekt wrote:
Hej Detta ante mig. Man gör sig alltså beroende av ett företag som står under annat lands kontroll (google och apple), igen! Vad det inte det som var syftet med alltihop, att svenska myndigheter ska ha kontroll och inte bankerna? En annan viktig aspekt är offentlighetsprincipen, som i praktiken ibland tillämpas mycket strikt och ibland släpphänt. Detta är ett tydligt exempel på den mer släpphänta tillämpningen. Syftet med offentlighetsprincipen är ju att ge insyn i myndigheternas verksamhet, att medborgarna ska kunna förstå och granska vad som görs i deras namn. I det här fallet utvecklar och distribuerar myndigheten (Polisen) en app vars funktionalitet i praktiken är svår att granska, eftersom de bygger på sluten källkod. Som användare har man begränsad möjlighet att veta vad applikationen faktiskt gör. Det innebär att det i teorin skulle kunna förekomma insamling av data eller annan funktionalitet utan användarnas vetskap. Här tycks offentlighetsprincipens anda inte få fullt genomslag. Här är det också så att argumentet om öppenhet bör tillämpas även i detta sammanhang. Vad hindrar till exempel att apk-filen görs tillgänglig för installation via en offentligt kontrollerad plattform för nedladdning och granskning istället för Google play? Jag gissar att det beror på att Google egentligen har kontroll över hela Google-android-telefonen. Är inte det en brist i sig? Hela upplägget känns fel! Mot bakgrund av Googles roll i distributionen via Google Play uppstår dessutom ett beroende som kan ifrågasättas. Kedjan av oberoende i exempelvis Sverige-ID-appen är därmed försvagad i sin grundstruktur. Polisens utvecklare verkar heller inte förstå skillnaden mellan Android och Google modifierade Android. När dom inte har den insikten kommer nog slutprodukten inte imponera heller, Tyvärr för jag hade hoppats på det. Kan vi använda argumentet om offentlighetsprincipen här? Alltså öppen källkod och oberoende av Google? Jag får inte till riktigt skarpa argument mer än så jag beskrivit ovan. Finns det någon statsvetare därute som har riktigt god koll på offentlighetsprincipen så det blir rätt från början. /Niclas -- Säkrad med Tuta Mail: https://tuta.com/free-email 17 apr. 2026 13:18 av eleg-projekt@lists.dfri.se:
Verifikations grejjerna såsom jag förstått innebär ju att det inte alls fungerar på android. Måste vara android med google påhitt.> Detta är ju nästintill falsk marknadsföring. Googles tillägg i android är ju tekniskt sätt inte en del av android, utan en förlägning av android. > Kommer inte fungera på GrapheneOS eller andra degoogled varianter.
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej Erik! Jag tog din fråga om svensk MEP som skulle kunna förmedla våra frågor till Kommissionen på fullt allvar och frågade min Intelligenta Assistent Claude som svarade så här: Abir Al-Sahlani 🏆 Abir Al-Sahlani (Centerpartiet / Renew Europe) Detta är förmodligen det mest relevanta kontaktalternativet för DFRI. Hon sitter i LIBE-utskottet (Civil Liberties, Justice and Home Affairs) – det viktigaste utskottet för digitala fri- och rättigheter. Under föregående mandatperiod var hon öppet kritisk mot Chat Control och lämnade in 17 ändringsförslag till ursprungsförslaget, bland annat att "nothing in this Regulation shall be interpreted as a requirement to break cryptography, scan content on users' devices [or] restrict anonymous access to online services". Hon har examen i informationssystemanalys från Mittuniversitetet och Stockholms universitet, vilket ger henne teknisk bakgrund. LIBE är exakt rätt utskott för frågor till kommissionen om öppen källkod, kryptering och integritet.
Mycket tack för synpunkter. Jag har ändrat en hel del, (jag är ju inte en remissinstans :-) Så jag sänder in den omarbetade versionen som privatperson. /Niclas-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 18:28 av njacobsson-f@tutanota.com:
Hej Jo så är det för de flesta. Jag lät AI skriva mina synpunkter som remiss till Polisen. Detta är resultatet. Har Ni synpunkter? (nu är ju jag inte någon remissinstans men som synpunkt från allmänheten (mig) är det tänkt. Kan det fungera tror Ni?
Till:> > Apputvecklingsteamet,> > Polismyndigheten Datum:> > 17> > april> > 2026
Sammanfattning Jag> > ger här > synpunkter> > avseende> > val> > av> > distributionskanaler> > och> > källkodstillgänglighet> > för> > den> > app> > Polismyndigheten> > utvecklar.> > Huvudpunkter:> > beroendet> > av> > Google/Apple,> > bristande> > granskbarhet> > vid> > sluten> > källkod,> > och> > behovet> > av> > distribution> > via> > offentligt> > kontrollerade> > kanaler> > för> > att> > uppfylla> > offentlighetsprincipens> > intention.
Bakgrund> > och> > oro
Distribution> > via> > Google> > Play> > och> > App> > Store> > skapar> > ett> > beroende> > av> > företag> > under> > främmande> > jurisdiktion,> > vilket> > motverkar> > målet> > att> > svenska> > myndigheter> > ska> > ha> > kontroll> > över> > myndighetsapplikationer. Offentlighetsprincipen> > syftar> > till> > insyn> > i> > myndigheters> > verksamhet> > så> > att> > medborgarna> > kan> > granska> > vad> > som> > görs> > i> > deras> > namn.> > I> > detta> > fall> > begränsar> > sluten> > källkod> > och> > distributionsvägar> > möjligheten> > till> > sådan> > granskning.
Granskbarhet> > och> > sluten> > källkod
Appens> > nuvarande> > tekniska> > lösning> > (stängd/källkod> > ej> > offentligt> > tillgänglig)> > gör> > det> > svårt> > för> > oberoende> > granskare> > och> > allmänheten> > att> > verifiera> > vilka> > funktioner> > som> > finns> > och> > vilken> > data> > som> > hanteras. Detta> > ökar> > risken> > för> > dolda> > dataflöden> > eller> > funktioner> > som> > inte> > är> > i> > linje> > med> > myndighetens> > uppdrag> > eller> > integritetskrav.
Distribution> > och> > oberoende
Att> > distribuera> > appen> > främst> > via> > Google> > Play> > innebär> > praktisk> > kontroll> > för> > Google> > över> > installationskedjan> > på> > många> > Android-enheter.> > Detta> > skapar> > ett> > beroende> > som> > försvagar> > appens> > oberoende> > och> > myndighetens> > kontroll. Ett> > alternativ> > är> > att> > göra> > installationsfiler> > (t.ex.> > APK)> > tillgängliga> > via> > en> > offentligt> > kontrollerad> > plattform> > (myndighetens> > webbplats> > eller> > statlig> > nedladdningsportal)> > och> > tydligt> > dokumentera> > verifieringsmetoder> > (signaturer,> > checksummor).> > Detta> > möjliggör> > oberoende> > granskning> > och> > installation> > utan> > mellanhänder.
Teknisk> > kompetens> > och> > plattformsförståelse
Det> > är> > viktigt> > att> > utvecklingsteamet> > visar> > förståelse> > för> > skillnaden> > mellan> > AOSP/ren> > Android> > och> > Google-modifierad> > Android> > (inklusive> > Google> > Play> > Services)> > och> > hur> > dessa> > skillnader> > påverkar> > säkerhet,> > integritet> > och> > möjligheten> > till> > oberoende> > distribution. Bristande> > insikt> > i> > dessa> > skillnader> > riskerar> > att> > försämra> > slutprodukten> > och> > öka> > beroendet> > av> > privata> > aktörer.
Rekommendationer> > (konkreta> > åtgärder)
Publicera> > källkoden> > under> > en> > lämplig> > öppen> > licens> > eller,> > alternativt,> > tillhandahåll> > en> > verifierbar,> > uppdaterad> > och> > lättillgänglig> > källkodsförteckning> > för> > granskning. Gör> > installationspaket> > (APK/IPA)> > tillgängliga> > via> > en> > myndighetskontrollerad> > nedladdningsportal> > med> > digital> > signatur> > och> > checksummor> > för> > verifiering. Dokumentera> > tydligt> > vilka> > tredjepartskomponenter> > och> > tjänster> > som> > används> > (inklusive> > beroenden> > till> > Google/Apple)> > och> > motiv> > för> > dessa> > val. Säkerställ> > att> > appens> > funktionalitet> > och> > datainsamling> > beskrivs> > i> > detalj> > i> > publik> > dokumentation,> > inklusive> > dataloggar,> > behörigheter> > och> > lagringsplatser. Inför> > en> > oberoende> > granskning> > (extern> > revision> > eller> > öppet> > granskningsprogram)> > före> > produktionssättning> > och> > vid> > större> > uppdateringar. Utbilda> > utvecklingsteamet> > i> > skillnaderna> > mellan> > ren> > Android> > (AOSP)> > och> > Google-modifierad> > Android> > samt> > konsekvenser> > för> > distribution> > och> > integritet.
Slutsats För> > att> > leva> > upp> > till> > offentlighetsprincipens> > intention> > och> > för> > att> > minska> > beroenden> > av> > privata> > aktörer> > rekommenderas> > öppnare> > källkodspraxis,> > självständig> > distribution> > via> > myndighetskontrollerade> > kanaler> > samt> > tydlig> > dokumentation> > och> > oberoende> > granskning.
Vänligen> > bekräfta> > mottagande> .>
-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 18:17 av eleg-projekt@lists.dfri.se:
Hejsan. Jag tror inte folk bryr sig så mycket om appen gör mer än det som är utlovat. Tyvärr är spionerier inget folk bryr sig om. Kanske om man säger att något parti personen inte stöttar får total övervakning. Det verkar vara det enda som får folk att inte fgilla övervakning. Gillar någon vänsterblocket? Då tar man upp att den hemliga koden skrivs av högerblocket just nu. Gillar någon högerblocket? Då tar man upp att när vänsterblocket får makt så får de kontroll över ID-appen och kan ge uppdateringar de vill. Om det är öppen källkod så kan man granska alla updateringar och inget parti kan "kapa" ID-systemet.
Något som kan få folk att faktiskt förstå vikten av öppen källkod är att, Ska man ha en app för varje land man reser till? När vi reser idag har vi ett enda pass. Om detta ID ska ersätta pass eller någon form av ID inom EU, då måste ju koden vara öppen. Precis såsom Sverige inte litar blint på program som t.ex. Ryssland eller USA skapar, så litar nog inte andra på oss heller. Vill vi kunna resa utan problem och utan att installera en app för varje land man besöker (och mellanlandar i) så måste källkodern vara öppen. Så alla kan se den och verifiera. Då kan man ha en app som alla myndigheter kan acceptera som en form av ID.
Ja, det är kanske lite pessimistiskt men jag tror att det är dit vi är påväg, till en framtid där pass är en app eller liknande. Vi måste se till att tekniken inte är för centralt kontrollerad.
MvH, Emilio Müller
On 2026-04-17 15:53, Name via Eleg-projekt wrote:
Hej Detta ante mig. Man gör sig alltså beroende av ett företag som står under annat lands kontroll (google och apple), igen! Vad det inte det som var syftet med alltihop, att svenska myndigheter ska ha kontroll och inte bankerna?
En annan viktig aspekt är offentlighetsprincipen, som i praktiken ibland tillämpas mycket strikt och ibland släpphänt. Detta är ett tydligt exempel på den mer släpphänta tillämpningen. Syftet med offentlighetsprincipen är ju att ge insyn i myndigheternas verksamhet, att medborgarna ska kunna förstå och granska vad som görs i deras namn.
I det här fallet utvecklar och distribuerar myndigheten (Polisen) en app vars funktionalitet i praktiken är svår att granska, eftersom de bygger på sluten källkod. Som användare har man begränsad möjlighet att veta vad applikationen faktiskt gör. Det innebär att det i teorin skulle kunna förekomma insamling av data eller annan funktionalitet utan användarnas vetskap. Här tycks offentlighetsprincipens anda inte få fullt genomslag.
Här är det också så att argumentet om öppenhet bör tillämpas även i detta sammanhang. Vad hindrar till exempel att apk-filen görs tillgänglig för installation via en offentligt kontrollerad plattform för nedladdning och granskning istället för Google play? Jag gissar att det beror på att Google egentligen har kontroll över hela Google-android-telefonen. Är inte det en brist i sig? Hela upplägget känns fel!
Mot bakgrund av Googles roll i distributionen via Google Play uppstår dessutom ett beroende som kan ifrågasättas. Kedjan av oberoende i exempelvis Sverige-ID-appen är därmed försvagad i sin grundstruktur.
Polisens utvecklare verkar heller inte förstå skillnaden mellan Android och Google modifierade Android. När dom inte har den insikten kommer nog slutprodukten inte imponera heller, Tyvärr för jag hade hoppats på det.
Kan vi använda argumentet om offentlighetsprincipen här? Alltså öppen källkod och oberoende av Google? Jag får inte till riktigt skarpa argument mer än så jag beskrivit ovan. Finns det någon statsvetare därute som har riktigt god koll på offentlighetsprincipen så det blir rätt från början. /Niclas
-- Säkrad med Tuta Mail: https://tuta.com/free-email
17 apr. 2026 13:18 av eleg-projekt@lists.dfri.se:
Verifikations grejjerna såsom jag förstått innebär ju att det inte alls fungerar på android. Måste vara android med google påhitt.>
Detta är ju nästintill falsk marknadsföring. Googles tillägg i android är ju tekniskt sätt inte en del av android, utan en förlägning av android. >
Kommer inte fungera på GrapheneOS eller andra degoogled varianter.
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
---
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på högsta säkerhetsnivå", https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utv...
Det står att "När man väl fått sitt Sverige-id använder man det genom en app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples iOS eller Googles Android, även om det finns andra mobiloperativsystem. Nedladdning och/eller användande av någon av dessa två typer av appar kräver vanligen att man underkastar sig företagens respektive användarvillkor som är omfattande, för gemene man oöverskådliga och som dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga e-legitimationen utan att tvingas ingå avtal med nämnda företag?
---
Svaret kom i torsdags, den 16 april:
---
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som planeras nu är en mobil app för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
---
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
- att en "kedja av förtroende" behöver se ut just så och
- att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i deras (eventuella) underlag och utan att det leder till en meningslös diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns det kunskaper och lärdomar från E-legprojektet som går att använda som argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag?
Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Hej
Verkligen fantastiskt dumt. Jag tycke mig också ha sett copy-pastan om modifierad kopia eller skript redan i tidigare svar som återpublicerats här. Vad betyder det liksom ens?
Som redan nämnts så är chain-of-trust här primärt inlåsning i oligopolet - "säkerheten" bryts ju allt som oftast (Magisk etc). Dessutom handlar det ju allt som oftast att låsa ute användaren ur sina egna enheter - med förinstallerade spamappar som gömmer sig bakom samma skydd. Jag har haft smartphone sedan 2011, men aldrig Android eller iOS (SailfishOS sedan 2013) och det är väldigt tröttsamt att bli behandlad som någon slags andraklassmedborgare. Detta alltså trots Android-kompatibilitet och att jag gärna skulle ta tjänstledigt och vispa ihop en app om det bara fanns förutsättningar.
En sak som kommit upp där är att attestering inte måste vara google-inlåsande, och Volla Systeme GMBH har gjort ett alternativ: https://uattest.net/ Jag har svårt att bedöma hur tillämpligt det är. Sannolikt finns mer kompetenta personer på listan.
Det här med att gömma sig bakom att "det ju finns andra lösningar" är osnyggt nog när det gäller kommersiella aktörer, men totalt ovärdigt en myndighet. Jag brukar ge liknelsen med vägtullar - ponera att du skulle behöva ha Tesla eller nåt från VAG-gruppen för att kunna passera en vägtull eftersom de är "attesterade". Vill du köra Volvo? Haha, nej, hårt liv! (Här man man göra liknelsen med tåg och stationär dator, men det blir lite rörigt...) Staten behöver ta ansvar för att identifiering fungerar för *alla* medborgare. Vi behöver eID-världens motsvarighet till registreringsskylten, inte någon jäkla plattformsberoende app. Man borde inte heller få gynna vissa specifika företag bara för att de lyckats försätta sig i monopolställning. Hur ska någon någonsin kunna konkurrera då?
Det är hög tid att man slutar behandla digitala lösningar som nån slags best-effort-hobby där tillgänglighet och rättigheter inte spelar någon roll.
/@
Den ons 22 apr. 2026 kl 18:18 skrev Jon Arvid Johnson via Eleg-projekt < eleg-projekt@lists.dfri.se>:
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på högsta säkerhetsnivå",
https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utv...
Det står att "När man väl fått sitt Sverige-id använder man det genom en app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples iOS eller Googles Android, även om det finns andra mobiloperativsystem. Nedladdning och/eller användande av någon av dessa två typer av appar kräver vanligen att man underkastar sig företagens respektive användarvillkor som är omfattande, för gemene man oöverskådliga och som dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga e-legitimationen utan att tvingas ingå avtal med nämnda företag?
Svaret kom i torsdags, den 16 april:
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som planeras nu är en mobil app för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
att en "kedja av förtroende" behöver se ut just så och
att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i deras (eventuella) underlag och utan att det leder till en meningslös diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns det kunskaper och lärdomar från E-legprojektet som går att använda som argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag?
Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Det bästa jag kommer på är att försöka formulera något kring "tillit" och hur Polismyndigheten bedömmer tilliten till Apple och Google. Är det rimligt att bygga/förankra svensk digital legitimation på infrastruktur som inte är svensk, inte ens europeisk infrastruktur?
Ett annat spår är hur riskerna bedöms. Men sådan information brukar hållas hemlig. Vilka risker har diskuterats kring designen och hur hanteras de? Hur är det tänkt att fungera i kris och krig?
Med vänlig hälsning
Är detta relevant:
https://ageverification.dev/av-doc-technical-specification/docs/architecture...
Går det kanske att sammanfläta debattartikel och remiss och trycka på samma saker?
Kan vi ge faktiska alternativ som inte behöver vara kopplade till iOS och Android utan att prata om USA eftersom den är ganska svår i dagsläget med NATO och allt annat som händer.
Det verkar inte vara politiskt korrekt just nu att beskriva Amerikanska techjättar som potentiella hot mot nationens säkerhet, men det är min personliga åsikt.
// Vide
On Wed, Apr 22, 2026 at 7:44 PM Christoffer Holmstedt via Eleg-projekt < eleg-projekt@lists.dfri.se> wrote:
Det bästa jag kommer på är att försöka formulera något kring "tillit" och hur Polismyndigheten bedömmer tilliten till Apple och Google. Är det rimligt att bygga/förankra svensk digital legitimation på infrastruktur som inte är svensk, inte ens europeisk infrastruktur?
Ett annat spår är hur riskerna bedöms. Men sådan information brukar hållas hemlig. Vilka risker har diskuterats kring designen och hur hanteras de? Hur är det tänkt att fungera i kris och krig?
Med vänlig hälsning
Christoffer Holmstedt
Den ons 22 apr. 2026 18:18Jon Arvid Johnson via Eleg-projekt < eleg-projekt@lists.dfri.se> skrev:
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på högsta säkerhetsnivå",
https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utv...
Det står att "När man väl fått sitt Sverige-id använder man det genom en app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples iOS eller Googles Android, även om det finns andra mobiloperativsystem. Nedladdning och/eller användande av någon av dessa två typer av appar kräver vanligen att man underkastar sig företagens respektive användarvillkor som är omfattande, för gemene man oöverskådliga och som dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga e-legitimationen utan att tvingas ingå avtal med nämnda företag?
Svaret kom i torsdags, den 16 april:
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som planeras nu är en mobil app för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
att en "kedja av förtroende" behöver se ut just så och
att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i deras (eventuella) underlag och utan att det leder till en meningslös diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns det kunskaper och lärdomar från E-legprojektet som går att använda som argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag?
Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Det här är väl relevant? The Commission SHALL maintain a list of Age Verification Apps compliant with these specifications on its website.
Förlåt igen om jag fattat ”tekniken” helt fel, men det är väl inte någon principiell skillnad på en .deb-fil och en .apk-fil? Och det borde väl gå att ha en age-verification-app på en laptopp som kör debian?
Så om man får igång ett .deb-paket och får in det i testing och anmäler det till kommissionen så får man veta om det ”duger”.
Har inte hunnit kolla upp vilken säkerhetsklass som åldersappen ska ha. Har för mig eID ska ha klass 4.
Igen, jag kan ha fått allt detta om bakfoten.
mvh
//Erik
25 apr. 2026 kl. 11:45 skrev Vide Krajnc via Eleg-projekt eleg-projekt@lists.dfri.se:
Är detta relevant:
https://ageverification.dev/av-doc-technical-specification/docs/architecture...
Går det kanske att sammanfläta debattartikel och remiss och trycka på samma saker?
Kan vi ge faktiska alternativ som inte behöver vara kopplade till iOS och Android utan att prata om USA eftersom den är ganska svår i dagsläget med NATO och allt annat som händer.
Det verkar inte vara politiskt korrekt just nu att beskriva Amerikanska techjättar som potentiella hot mot nationens säkerhet, men det är min personliga åsikt.
// Vide
On Wed, Apr 22, 2026 at 7:44 PM Christoffer Holmstedt via Eleg-projekt eleg-projekt@lists.dfri.se wrote: Det bästa jag kommer på är att försöka formulera något kring "tillit" och hur Polismyndigheten bedömmer tilliten till Apple och Google. Är det rimligt att bygga/förankra svensk digital legitimation på infrastruktur som inte är svensk, inte ens europeisk infrastruktur?
Ett annat spår är hur riskerna bedöms. Men sådan information brukar hållas hemlig. Vilka risker har diskuterats kring designen och hur hanteras de? Hur är det tänkt att fungera i kris och krig?
Med vänlig hälsning
Christoffer Holmstedt
Den ons 22 apr. 2026 18:18Jon Arvid Johnson via Eleg-projekt eleg-projekt@lists.dfri.se skrev:
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på högsta säkerhetsnivå", https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utv...
Det står att "När man väl fått sitt Sverige-id använder man det genom en app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples iOS eller Googles Android, även om det finns andra mobiloperativsystem. Nedladdning och/eller användande av någon av dessa två typer av appar kräver vanligen att man underkastar sig företagens respektive användarvillkor som är omfattande, för gemene man oöverskådliga och som dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga e-legitimationen utan att tvingas ingå avtal med nämnda företag?
Svaret kom i torsdags, den 16 april:
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som planeras nu är en mobil app för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
att en "kedja av förtroende" behöver se ut just så och
att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i deras (eventuella) underlag och utan att det leder till en meningslös diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns det kunskaper och lärdomar från E-legprojektet som går att använda som argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag?
Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Danmark verkar ha förstått vad medborgarnytta är och fixat ett teknikneutralt alternativ. https://www.mitid.dk/en-gb/get-started-with-mitid/how-to-use-mitid/mitid-cod...
/@
Den lör 25 apr. 2026 kl 12:06 skrev Erik Josefsson via Eleg-projekt < eleg-projekt@lists.dfri.se>:
Det här är väl relevant?
- The Commission SHALL maintain a list of Age Verification Apps
compliant with these specifications on its website.
Förlåt igen om jag fattat ”tekniken” helt fel, men det är väl inte någon principiell skillnad på en .deb-fil och en .apk-fil? Och det borde väl gå att ha en age-verification-app på en laptopp som kör debian?
Så om man får igång ett .deb-paket och får in det i testing och anmäler det till kommissionen så får man veta om det ”duger”.
Har inte hunnit kolla upp vilken säkerhetsklass som åldersappen ska ha. Har för mig eID ska ha klass 4.
Igen, jag kan ha fått allt detta om bakfoten.
mvh
//Erik
25 apr. 2026 kl. 11:45 skrev Vide Krajnc via Eleg-projekt < eleg-projekt@lists.dfri.se>:
Är detta relevant:
https://ageverification.dev/av-doc-technical-specification/docs/architecture...
Går det kanske att sammanfläta debattartikel och remiss och trycka på samma saker?
Kan vi ge faktiska alternativ som inte behöver vara kopplade till iOS och Android utan att prata om USA eftersom den är ganska svår i dagsläget med NATO och allt annat som händer.
Det verkar inte vara politiskt korrekt just nu att beskriva Amerikanska techjättar som potentiella hot mot nationens säkerhet, men det är min personliga åsikt.
// Vide
On Wed, Apr 22, 2026 at 7:44 PM Christoffer Holmstedt via Eleg-projekt < eleg-projekt@lists.dfri.se> wrote:
Det bästa jag kommer på är att försöka formulera något kring "tillit" och hur Polismyndigheten bedömmer tilliten till Apple och Google. Är det rimligt att bygga/förankra svensk digital legitimation på infrastruktur som inte är svensk, inte ens europeisk infrastruktur?
Ett annat spår är hur riskerna bedöms. Men sådan information brukar hållas hemlig. Vilka risker har diskuterats kring designen och hur hanteras de? Hur är det tänkt att fungera i kris och krig?
Med vänlig hälsning
Christoffer Holmstedt
Den ons 22 apr. 2026 18:18Jon Arvid Johnson via Eleg-projekt < eleg-projekt@lists.dfri.se> skrev:
Hej!
Jag hade ställt en liknande fråga och fick ett svar som var till vissa delar copy-paste från ditt, Elias. Frågan som jag ställde den 7 mars var:
Angående artilken "Polismyndigheten utvecklar en ny e-legitimation på högsta säkerhetsnivå",
https://polisen.se/aktuellt/nyheter/nationell/2026/mars/polismyndigheten-utv...
Det står att "När man väl fått sitt Sverige-id använder man det genom en app som laddas ner på mobiltelefonen".
Vanligen när man talar om "appar" menar man appar för antingen Apples iOS eller Googles Android, även om det finns andra mobiloperativsystem. Nedladdning och/eller användande av någon av dessa två typer av appar kräver vanligen att man underkastar sig företagens respektive användarvillkor som är omfattande, för gemene man oöverskådliga och som dessutom när som helst kan ändras.
Om staten förväntar sig att medborgaren godkänner ett sådant avtal med tredje part (dessutom i tredje land) så vore det ett problem.
Därför frågar jag: kommer medborgare att kunna använda den statliga e-legitimationen utan att tvingas ingå avtal med nämnda företag?
Svaret kom i torsdags, den 16 april:
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och Sverige-id. Det som planeras nu är en mobil app för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
Uppdraget är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Jag skulle vilja fråga vad de har för underlag för deras konstateranden:
att en "kedja av förtroende" behöver se ut just så och
att det bara är Apple och Google som kan tillfredsställa det
Dessutom skulle jag vilja veta om de har gjort någon konsekvensutredning för deras val, t.ex. vad gäller digital suveränitet, beroende av mäktiga företag och individer som lämnas utanför.
Jag grubblar över hur jag ska formulera en sådan fråga för att få tag i deras (eventuella) underlag och utan att det leder till en meningslös diskussion där vi har olika ståndpunkter. Har ni några förslag? Finns det kunskaper och lärdomar från E-legprojektet som går att använda som argument?
../jonarvid
On Fri 17 Apr 2026 07:44, Elias Rudberg via Eleg-projekt wrote:
Hej!
Jag fick igår svar från Polismyndigheten på frågor jag ställt om den
kommande statliga e-legitimationen.
Frågorna hade jag skickat 2026-03-30 via "Kontakta registrator på
nationella avdelningar" på polisens hemsida: https://polisen.se/om-polisen/kontakt/polisens-adresser/
Frågorna var:
"Kommer systemet att kunna användas av alla, eller kommer det bara
att fungera för personer som har mobiltelefon? Kommer det att vara så att för att använda er e-legitimation måste man ha en mobiltelefon med operativsystem som kontrolleras av vissa USA-ägda storföretag?
Kommer systemet att baseras på öppna standarder som tidigare statliga
utredningar har föreslagit, eller kommer ni att låsa användningen till vissa operativsystem? Om bara vissa operativsystem kommer att stödjas, vilka är i så fall de operativsystemen?"
Här är svaret från polisen:
----- början på svaret från polisen -----
From: "serviceavdelningen.kansli@polisen.se" Subject: "VB: #Ärendevalslista med E-post#" Date: Thu, 16 Apr 2026 11:45:51 +0000
Hej!
Tack för ditt mejl! Polismyndigheten utvecklar just nu en statlig
e-legitimation på uppdrag av regeringen (JU2025/00740). E-legitimationen heter Sverige-id och är tänkt att komplettera dagens e-legitimationer och bidra till ett mer robust och mindre sårbart system över tid. Om lagstiftning finns på plats så är planen att Sverige-id ska kunna gå att ansöka om den 1 december 2026 på Polisens passexpeditioner.
Sverige-id kommer att ha en mycket hög säkerhetsnivå. Det innebär att
Sverige-id kan få en särskild betydelse i sammanhang där mycket hög säkerhet krävs, i takt med att sådana behov utvecklas. Ambitionen är att Sverige-id ska kunna användas brett, särskilt inom offentlig sektor, samtidigt som införandet i andra delar av samhället i stor utsträckning kommer att ske stegvis och i samspel med marknaden. Sammantaget handlar det om att skapa bättre förutsättningar för långsiktig stabilitet på e-legitimationsområdet och att komplettera andra lösningar på marknaden.
Du har ställt en fråga om vår tekniska miljö och svar på din fråga är
att det som planeras nu är en mobilapplikation för IOS och Android och det innebär att man behöver en smartphone av någon av de typerna för att använda den.
För ett uppfylla en tillräcklig säkerhetsnivå måste appen vid varje
användning kunna bevisa bland annat att det är den äkta appen som körs (inte en modifierad kopia eller ett skript) och att den kör på en enhet som inte är manipulerad. Det förutsätter en kedja av förtroende från hårdvarutvecklare till operativsystem till app, och den kedjan existerar i praktiken bara hos Apple och Google idag. Det är en konsekvens av säkerhetsnivån, inte ett aktivt beslut att exkludera vissa användare.
När det gäller öppna standarder är det viktigt att särskilja på två
saker. Själva innehållet i en e-legitimation, alltså hur identitetsuppgifterna struktureras, hur de signeras kryptografiskt, hur certifikatskedjor verifieras och hur kommunikation mellan en fysisk identitetshandling och en läsande enhet går till bygger på etablerade och publika standarder.
Det som däremot är knutet till Apple och Google är infrastruktur och
driftmiljö för appen. Alltså distributionen via App Store och Google play, och de ovannämnda mekanismer som låter vår server verifiera att det verkligen är den äkta appen som kör på en oförändrad enhet.
Uppdraget Sverige-id är under utveckling och vi hänvisar till
https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-... där vi löpande lägger ut information.
Med vänliga hälsningar
Serviceavdelningen (SE)
Polismyndigheten 106 75 Stockholm Besök: Polhemsgatan 30 Telefon till polisen: 114 14
----- slut på svaret från polisen -----
Bara Apple och Google alltså, inget annat. Den som vill vara fri från
Apple och Google kommer inte att kunna använda den statliga e-legitimationen, om jag förstår rätt vad de skriver nu.
/ Elias _______________________________________________ Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Jag fick ett mer nyanserat svar och de skulle titta på mitt förslag om att kunna ladda ner .apk från exempelvis polisens eller skatteverkets hemsida (vid sidan om techjättarnas). /Niclas
Hej Här får ni ta del av svaret jag fick, men jag tog bort standardtexten som de alltid svarar med så Ni slipper läsa detta än en gång. De frågor jag lyfte var att sluten källkod var förkastligt på grund av vår offentlighetsprincip och att digital kod hör till offentliga handlingar. Vidare lyfte jag frågan om distributionssättet (Google och apple) och föreslog att nedladdningsbar kod kan finnas tillgänglig på skatteverkets eller polisens hemsida. Det skulle i så fall lösa mycket för oss som inte vill ha in kod som kan härja fritt i våra telefoner. Det är en fråga om att staten ska kunna kontrollera statens legitimationskontroll istället för bankerna. Så som är tänkt verkar detta hamna ÄNNU längre bort, Nu är det ju bankerna och i så fall blir det techjättarna, Kan ju inte vara bättre. Så deras svar, förkortat:
- Stort tack för att du tagit dig tid att dela dina synpunkter och reflektioner kring den statliga e-legitimationen. Vi uppskattar verkligen ditt engagemang och de perspektiv du lyfter – de är värdefulla i det fortsatta utvecklingsarbetet.
Arbetet med den statliga e-legitimationen befinner sig i ett skede där mycket handlar om att successivt bygga upp en lösning som möter användarnas behov där de befinner sig idag, samtidigt som vi tar höjd för framtida krav på säkerhet, tillgänglighet och oberoende. Det innebär i praktiken att vi ibland behöver göra avvägningar mellan bred användbarhet på kort sikt och mer långsiktiga mål kring exempelvis teknisk självständighet och öppenhet.
De frågor du lyfter kring distributionsvägar, beroenden till plattformsleverantörer samt öppen källkod är viktiga och är områden som diskuteras inom ramen för utvecklingen. Synpunkter som dina bidrar till att belysa både risker och möjliga förbättringar, vilket är en viktig del i att skapa en robust och hållbar lösning över tid. Vi tar med oss dina inspel i det fortsatta arbetet. Tack igen för ditt bidrag!
/Niclas
On Apr 25, 2026, at 11:44, Vide Krajnc via Eleg-projekt eleg-projekt@lists.dfri.se wrote:
Kan vi ge faktiska alternativ som inte behöver vara kopplade till iOS och Android utan att prata om USA eftersom den är ganska svår i dagsläget med NATO och allt annat som händer.
Jag lärde mig i torsdags att Västtrafik, kollektivtrafik i Göteborg området, kommer att stänga av kontoladdning som betalsätt.
https://www.vasttrafik.se/info/kortlasare-avvecklas/
Man kan betala med app (iOS och Android) eller betalkort - både under amerikansk makt. Det vet vi väl efter att USA stängde av möjligheten för Francesca Albanese att använda Mastercard eller Visa.
För människor som måste betala med kontant (t.ex, flyktningar, nya immigranter från länder utan Visa/MasterCard) eller människor som skulle kunna resa utanför USA:s grepp eller med samma nivå sekretess som förut, är kontantlösningarna bara pappersbiljett köps i Västtrafiks konto eller ombud (om den har öppen) eller periodkort (som är mycket dyrare för en som jag som använder mindre än 200 kronor om månaden).
Jag blir så otrygg med övervakning. Jag är osäkert om min framtid där alla mina resor spåras.
Andrew dalke@dalkescientific.com
On Apr 25, 2026, at 15:02, Andrew Dalke dalke@dalkescientific.com wrote:
Jag lärde mig i torsdags att Västtrafik, kollektivtrafik i Göteborg området, kommer att stänga av kontoladdning som betalsätt.
Jag bekräftade med en S politiker här i Trollhättan att den tas bort eftersom det är för dyrt att ha ett annat sätt för de 1-2% befolkningen som skulle vilja betala med kontoladdning, dvs, inte med bankkort och inte med app.
För han var det självklart att bankkort och app var framtiden, och frågor om integritet, beroendet på USA, och förmågan för hemlösa, ungdomar, nya immigranter, flytningar, utlänning from vissa länder, och andra utan bankkonto samt app, var mindre än vinst till aktiebolaget.
Och beslutet gjordes för flera år sen, när den nya tågen beställdes utan kortläsare.
Jag kan väl anta att beslutet kommer att vara likadant i andra område, som eID - för dyrt att stödja den 1% som inte vill höra sirenernas sång från Apple, Google, och Microsoft.
Andrew dalke@dalkescientific.com
Det lät bittert. Men det är ju en form av bekvämlighetens slaveri som vi går mot eller rent av redan är i. Men medvetenheten ökar, något jag sett i minst 20 år tillbaka. Uppvaknandet har ökat hos myndigheterna i takt med USA:s avoga inställning till Europa. Fler använder programvaror och tjänster med större digital hygien än de från de stora techbolagen. Samtidigt ökar trycket på mer övervakning inom delar av EU, jag tänker på chatcontrol och allmänt om ökad avlyssning av hela befolkningar vilket är både demokratihotande och kränkande. Så det är i denna tid det avgörs vad vi ska ha för samhälle. Mitt intryck är att om information lyckas nå den breda allmänheten om hur saker ligger till, hur det görs och varför nuvarande läge inte är något bra för någon. Det bästa vore om alla var tvungna att godta kontanter igen. Men att tjata om detta för varje aktör som endast tillåter app eller kort som betalform blir inte heller rimligt. Bättre att trycka på att alla aktörer i hela landet ska godta kontanter. Jag tog upp detta med riksbanken som hade en förstående attityd.
Jag hade föreslagit att precis som en gång i tiden när butikerna själva tog extrabetalt av för att använda kort (för det var dyrt för handlarna) så förbjöds det då man inte fick göra det dyrare för vissa. Jag tänkte att de kunde upphäva det förbjudet. Riksbanken sa då att man inte får negativt göra det sämre för vissa typer av betalsätt MEN! nämnde då lite oväntat att det inte är förbjudet att ge rabatt till vissa grupper, nämligen de som betalade med kontanter. Fast det har inte handlarna fattat så dom fortsätter i tron att dom måste ha samma pris. Fast nu är vi långt från Eleg-projektet... /Niclas /Niclas
-- Säkrad med Tuta Mail: https://tuta.com/free-email
2 maj 2026 22:48 av eleg-projekt@lists.dfri.se:
On Apr 25, 2026, at 15:02, Andrew Dalke dalke@dalkescientific.com wrote:
Jag lärde mig i torsdags att Västtrafik, kollektivtrafik i Göteborg området, kommer att stänga av kontoladdning som betalsätt.
Jag bekräftade med en S politiker här i Trollhättan att den tas bort eftersom det är för dyrt att ha ett annat sätt för de 1-2% befolkningen som skulle vilja betala med kontoladdning, dvs, inte med bankkort och inte med app.
För han var det självklart att bankkort och app var framtiden, och frågor om integritet, beroendet på USA, och förmågan för hemlösa, ungdomar, nya immigranter, flytningar, utlänning from vissa länder, och andra utan bankkonto samt app, var mindre än vinst till aktiebolaget.
Och beslutet gjordes för flera år sen, när den nya tågen beställdes utan kortläsare.
Jag kan väl anta att beslutet kommer att vara likadant i andra område, som eID - för dyrt att stödja den 1% som inte vill höra sirenernas sång från Apple, Google, och Microsoft.
Andrew dalke@dalkescientific.com
Eleg-projekt mailing list -- eleg-projekt@lists.dfri.se To unsubscribe send an email to eleg-projekt-leave@lists.dfri.se
Skickat från min iPhone
3 maj 2026 kl. 17:55 skrev Name via Eleg-projekt eleg-projekt@lists.dfri.se:
”rabatt till vissa grupper”
Det där lät ju jättespännande! :-)
Finns ju en ruta på deklarationen som heter ”Omfördelning av skattereduktion” : ”Kryssa här om du begär omfördelning av skattereduktion för rot-/rutarbete eller installation av grön teknik”.
Hmmm… återanvändning av gammal kod är väl grönt i något avseende…
Ännu längre bort från ämnet men kunde inte låta bli.
mvh
//Erik
-
Andrew Dalke -
Anton Thomasson -
Christoffer Holmstedt -
ehj@fripost.org -
Elias Rudberg -
Emilio -
emiliomuller@autistici.org
-
Erik Josefsson
-
Folke Hermansson Snickars -
Jon Arvid Johnson -
Mikael Odhage -
Name -
Vide Krajnc