/
Vägledning för införande - Förenklad Utgivning SITHS Paket 1

Vägledning för införande - Förenklad Utgivning SITHS Paket 1

Inledning

Denna vägledning innehåller sammanfattande information om vad respektive organisation måste göra med anledning av Förenklad Utgivning SITHS Paket 1, som lanserades 29 januari 2026.

Det är viktigt att du som ansvarig utgivare tar ansvar för detta arbete och planerar samtliga aktiviteter inom din organisation. Om inte dessa aktiviteter genomförs, kommer ni inte att kunna använda SITHS eID på tillitsnivå 3 för icke-bofasta, och därmed utesluts dessa användare från att använda e-hälsomyndighetens tjänster.

För allmän information om projektet, vänligen besök denna sida: Förenklad utgivning av SITHS e-ID - Inera

Observera att denna vägledning är ett levande dokument som kommer att uppdateras kontinuerligt.

Innehållsförteckning

Att tänka på

Organisationer måste säkerställa att alla personer i organisationen som ska ha åtkomst till Nationella läkemedelslistan eller andra nationella tjänster som exempelvis Pascal eller NPÖ, har en SITHS e‑legitimation på tillitsnivå 3.

SITHS reservkort – Idag används ofta SITHS reservkort på tillitsnivå 2. Din organisation kan behöva införa nya rutiner för att kunna ge ut reservkort på tillitsnivå 3. Se kapitel 5 i Rutiner för ID-administratörer – SITHS eID Portal.

Giltiga ID-handlingar som stöds vid digital ID-kontroll

I listan nedan kan du se status för vanliga pass per land senast uppdaterad 11 september 2025

Förklaring av kolumnerna i listan:

  • Landsnamn: Landets namn

  • 3-bokstavskod = landskod:

    • Landskoden som visas i MRZ koden är baserat på ICAO 9303-standarden. I den standarden är landskoden MRZ baserad på ISO 3166.

    • Tyskland är det enda undantaget och de använder "D” s stället för ISO 3166.

De statusarna som stöds vid digital ID-kontroll:

  • Läs och verifiera: Alla pass från landet kan verifieras.

  • Läs och verifiera delvis: En del pass från landet kan verifieras, beroende på utfärdandeår.

  • Endast läsning: Passen kan inte verifieras, eftersom nödvändiga signeringscertifikat för landet saknas.

  • Inget chip: Passen kan inte verifieras.

  • Se https://inera.atlassian.net/wiki/spaces/IAM/pages/5274992762

Nya SITHS e-legitimationer

SITHS-anslutna organisationer behöver undersöka sin förmåga att utnyttja de nya möjligheterna med SITHS eID på tillitsnivå 3 för personer som saknar svenskt personnummer eller svensk id-handling.

Samtliga SITHS eID (certifikat) som ges ut inom SITHS:

  • Utfärdas av en CA som i sig indikerar tillitsnivån

  • Utöver detta skrivs också en Object Identifier (OID) i varje certifikat. OID:n ger mer detaljerad information om vilken utfärdandeprocess och variant av tillitsnivå som är aktuell

  • För tjänster som använder Ineras Legitimeringstjänst IdP för medarbetare kommer tillitsnivån att rapporteras olika beroende på vilken IdP tjänsten är ansluten till, se kolumnerna IdP BAS respektive IdP PLUS i tabellen nedan.

Typ av användare

Utfärdande CA

OID

Tillitsnivå

IdP BAS

IdP PLUS

Typ av användare

Utfärdande CA

OID

Tillitsnivå

IdP BAS

IdP PLUS

Person som:

  • saknar svenskt personnummer

  • OCH saknar godkänt samordningsnummer

SITHS e-id Person HSA-id 3 CA v1

1.2.752.74.8.608

3 non-resident

http://id.sambi.se/loa/loa3

http://id.swedenconnect.se/loa/1.0/loa3-nonresident

Person som:

  • saknar svensk personnummer

  • MEN har godkänt samordningsnummer

SITHS e-id Person ID 3 CA v1

1.2.752.74.8.607

3

http://id.sambi.se/loa/loa3

http://id.elegnamnden.se/loa/1.0/loa3

SITHS e-id Person HSA-id 3 CA v1

1.2.752.74.8.607

3

http://id.sambi.se/loa/loa3

http://id.elegnamnden.se/loa/1.0/loa3

För en komplett lista över tillitsnivåer för SITHS eID se https://inera.atlassian.net/wiki/spaces/IAM/pages/358418052

 

Vilken version av SITHS eID appen för Windows som krävs för paket 1.1?

Krävs ingen ny version

Vilken version av SITHS eID för Android som krävs för paket 1.1?

Version 3.1.4

Vilken version av Android krävs för att paket 1.1 ska fungera?

Version 15 eller 16 fungerar bra.

Vilka funktioner måste vara tillgängliga på mobilen för att den digitala id-kontrollen som ska utföras för paket 1.1 ska fungera?

Kamera och NFC.

Kan en icke bofast skaffa ett mobilt SITHS efter att ha fått ett reservkort med LoA3 eller LoA3 non-resident?

Nej. Men inkom gärna med förbättringsförslag till projektet om ni vill ha det. 

 

För tjänster som använder Underskriftstjänsten BAS

Då det samtidigt kommer initieras en flytt av tjänsters anslutningar till IdP BAS mellan två olika driftleverantörer finns det en påverkan kring hur tillitsnivåer rapporteras av IdP för underskrift.

För mer information se migreringsprojektets sida: https://inera.atlassian.net/wiki/spaces/ST/pages/4908744744/Uppgradering+av+IdP-Bas+vintern+2025-2026#Underskriftstj%C3%A4nsten-och-tillitsniv%C3%A5er

Digital id-kontroll vid besök för icke-bofasta

Den digital id-kontrollen används för identifiering av användaren vid ett personligt besök hos ID-administratör, dels för att beställa och aktivera SITHS Reservkort, dels för att hjälpa användaren med upplåsning av ett blockerat SITHS-kort.

Användaren måste presentera ett chip-försett pass eller nationellt id-kort som följer Electronic Machine Readable Travel Documents (eMRTDs) enligt den internationella standarden för resedokument ICAO 9303. Sådana id-handlingar kallas även ePassports eller Biometric passports, och innehåller även fotografi på innehavaren (för mer information se fråga nr. 2 i frågor och svar).

I filen nedan finns utkast på på flödet.

Observera att detta är endast ett utkast som kan komma att förändras innan lanseringen den 29 januari 2026.

Vi behöver hjälp att sprida informationen vidare

Vi vill be dig som är ansvarig utgivare att hjälpa oss att sprida informationen vidare till rätt personer inom din organisation samt till eventuella leverantörer, som informationen i vägledningen riktar sig till. Tänk också på att om din organisation är SITHS-ombud, har ni ett ansvar att informera organisationer som anslutit till SITHS via er organisation. Inera ansvarar endast för information mot sina direktanslutna kunder.

Huvudsakliga målgrupper för checklistan är

·       Ansvariga utgivare

·       Tekniskt ansvariga för SITHS, lokal IdP och tjänster anslutna till Ineras IdP

·       IT-arkitekter

·       IT-säkerhetsansvariga

·       ID-administratörer för SITHS

·       Leverantörer av funktionalitet som gäller SITHS

Målbild

Målbilden är att samtliga kommuner, regioner och andra SITHS-anslutna organisationer som har behov av en SITHS e-legitimation på tillitsnivå 3 till personer som saknar svenskt personnummer eller svensk ID-handling ska kunna utfärda detta till sina användare, och därmed uppfylla kraven i lagen om nationella läkemedelslistan (NLL).

Omfattning

Paket 1

Utgivning av SITHS eID på tillitsnivå 3 till personer som saknar svenskt personnummer eller svensk id-handling.

  • Person som saknar svenskt personnummer eller godkänt samordningsnummer kan få SITHS eID på tillitsnivå 3 för icke-bofasta.

  • Person som har godkänt samordningsnummer kan få SITHS eID på tillitsnivå 3 enligt Svensk e-legitimation.

  • Person som har svenskt personnummer men är utvandrad enligt folkbokföringen kan få SITHS eID på tillitsnivå 3 enligt Svensk e-legitimation.

Notera att grundfunktioner som utvecklas i paket 1 på grund av NLL lagkrav är en förutsättning för att kunna utveckla paket 2

Paket 2 - Arbetet är för närvarande pausat i väntan på beslut om finansiering.

  • Distansutgivning av Mobilt SITHS eID på tillitsnivå 3 med hjälp av svenskt pass eller nationellt id-kort.

  • Distansutgivning av SITHS eID på tillitsnivå 3 till reservkort.

  • Aktivering av SITHS eID på tillitsnivå 3 på ordinarie kort på distans.

   Notera att paket 2 startar sin utveckling när paket 1 har slutförts.

Tidplan

Förenklad Utgivning SITHS Paket 1 delar i tre leveranser enligt nedan.

01ad7975-b5e0-478f-858a-7d1afa12a759.png

 

Frågor och svar

  1. Dispens och villkor från e-Hälsomyndigheten

E-hälsomyndighetens beslut omfattar följande två dispenser och avser åtkomst till E-hälsomyndighetens tjänster:

  • med SITHS-kort enligt tillitsnivå 2 för personer som saknar svenskt personnummer och folkbokföringsadress. Dispensen gäller till och med den 31 mars 2026.

  • med SITHS reservkort enligt tillitsnivå 2. Dispensen gäller till och med den 30 juni 2026 och omfattar endast kort som behöver utfärdas utanför den aktuella verksamhetens ordinarie kontorstid och där giltighetstiden inte överstiger två veckor.

För mer information se nedanstående länkar.

Inera får förlängda dispenser från E-hälsomyndigheten - Inera

Förkortad giltighetstid för reservkort tillitsnivå 2 - Inera

Tillämpningen, kontrollen och uppföljningen av att eHMs villkor uppfylls är inte en del av projektet Förenklad Utgivning SITHS. För att undvika missförstånd ber vi er därför att ställa frågor som rör dispensen direkt till SITHS-förvaltningen via Ineras kundportal: https://www.inera.se/kontaktaoss

  1. Hur fungerar lösningen och hur säkerställs användarens identitet?

Den digital id-kontrollen används för identifiering av användaren vid ett personligt besök hos ID-administratör, dels för att beställa och aktivera SITHS Reservkort, dels för att hjälpa användaren med upplåsning av ett blockerat SITHS-kort.

Användaren måste presentera ett chip-försett pass eller nationellt id-kort som följer Electronic Machine Readable Travel Documents (eMRTDs) enligt den internationella standarden för resedokument ICAO 9303. Sådana id-handlingar kallas även ePassports eller Biometric passports, och innehåller även fotografi på innehavaren.

ID-administratören läser in uppgifter från användarens id-handling med hjälp av SITHS eID-app på en tjänstemobil. Id-handlingens äkthet och de uppgifter som hämtas från dess chip verifieras på kryptografisk väg via komponenter för digital id-kontroll och en verifieringstjänst. Verifieringen omfattar dels att chippet i id-handlingen är äkta, dels att dokumentinformationens signatur stämmer mot utfärdarlandets certifikat.

De verifierade uppgifterna från id-handlingen läses också in till SITHS eID Portal. För personer som har godkända samordningsnummer (eller utvandrad som har svenskt personnummer), kontrolleras uppgifterna kontrolleras mot Personuppgiftstjänsten (Skatteverket). För personer som saknar godkänt samordningsnummer, kontrolleras uppgifterna mot förregistrerade uppgifter om personens id-handling i Katalogtjänst HSA.

I de fall utfärdarlandet publicerar spärrinformation för dess id-handlingar, kontrollerar även ID-administratören att id-handlingen inte är anmäld stulen eller borttappad.

ID-administratören gör slutligen en helhetsbedömning för att godkänna identifieringen.

  1. Vilket tillitsramverk och tillitsnivå följer lösningen?

Lösningen för digital id-kontroll följer Myndigheten för digital förvaltnings tillitsramverk för Svensk e-legitimation samt bilaga C, Utgivning av e-legitimation till icke-bofasta.

Den digital id-kontrollen möjliggör att SITHS eID på reservkort kan utfärdas på nedan tillitsnivåer:

·       tillitsnivå 3 för personer med godkänt samordningsnummer (styrkt, sannolikt)

eller med svenskt personnummer men är utvandrade.

·       tillitsnivå 3 för icke-bofasta för personer som saknar godkänt samordningsnummer

 Värt att nämna är att tillitsnivå 3 i Sverige motsvarande närmast  eIDAS nivån väsentlig.

  1. I vilka länder har lösningen införts?

Motsvarande lösningar har införts i Danmark, Finland och Norge.

Till exempel används samma komponenter för digital ID-kontroll som i Ineras lösning även i den danska nationella e-legitimationen MitID på eIDAS tillitsnivå väsentlig.

  1. Vilka ID-handlingar kommer att användas?

Endast elektroniska nationella ID-kort och pass som följer globala standarden ICAO-9303 kommer att accepteras.

  1. Vilka personuppgifter hanteras i och med den här lösningen?
     
    Från id-handling i samband med digital id-kontroll vid personligt besök hämtas och behandlas information om:

·       Id-handlingens nummer (Document number)

·       Personens fullständiga namn (Name of holder, full name)

·       Födelsedatum (Holder's date of birth)

·       Utfärdarland (Issuing State or organization)

·       Nationalitet (Nationality)

·       Personens foto (Biometric data - Face).

·       Person-id (i förekommande fall)

Id-handlingens nummer och utfärdarland sparas. Övrig information lagras endast den tid som behövs för att genomföra verifiering av id-handlingen.

Personuppgifter inkl. eventuell biometri som inhämtas vid verifiering av id-handling och dess innehavare gallras direkt när uppgifterna inte längre behövs.

Leverantören av tjänsten för ovan verifieringar gallrar personuppgifter inom maximalt 24h.

  1. Är lösningen certifierad av oberoende certifieringsorgan?

Den bakomliggande tekniska lösningen inkl. komponenter för digital id-kontroll och verifieringstjänst genomgår återkommande provningsförfarande utgående från ISO/IEC 30107 via erkänt oberoende provningsorgan.