Samhälle

Sverige redo för digitalt vaccinpass – så fungerar tekniken

Den 1 juni ska ett svenskt digitalt vaccinationsbevis, kallat Gröna beviset, vara klart. Men hur fungerar tekniken och vilka är riskerna? Ny Teknik ger svaren.

Publicerad

I februari fick digitaliseringsmyndigheten Digg uppdraget att ta fram ett vaccinpass som ska underlätta resande mellan olika länder. Lösningen kallas Gröna beviset och är redo för lansering i en första version om en dryg månad.

I beviset finns information om genomförd vaccinering och upplysningen kan vara till nytta för såväl passkontrollanter som exempelvis evenemangsarrangörer eller restaurangägare. Dessutom

Källa: Myndigheten för digital förvaltning Grafik: Jonas Askergren
Källa: Myndigheten för digital förvaltning Grafik: Jonas Askergren

Systemet för det svenska vaccinationsbeviset består enkelt förklarat av tre delar: 

  • Först rapporterar vaccinatören in vaccinationen NVR – det nationella svenska vaccinationsregistret. Det är en databas som Folkhälsomyndigheten ansvarar för.
  • Därefter kan individer begära ett bevis som baseras på uttag av uppgifter från NVR. Utdraget fås i digitalt format, men kan även skrivas ut.
  • Gränskontrollanter eller andra aktörer kan vid behov läsa av beviset, som har en krypterad typ av QR-kod, och få dess äkthet verifierad med hjälp av en verifieringsnyckel.

Mats Snäll är chef för digital utveckling på Dig och den som ansvarar för utvecklingen av det svenska vaccinationspasset. Han lotsar Ny Tekniks läsare rätt genom floden av frågor och svar:

Hur går det med arbetet för er just nu? 

– Det går bra. Vi ser försiktigt positivt på detta även om förutsättningarna är komplexa. Vi räknar med att den svenska tekniska lösningen för vaccinationsbevis kommer att vara redo den 1 juni. Den 26 juni kommer sedan vaccinationsbevis att användas inom hela EU i samband med resande, säger Mats Snäll.

Foto: Fredrik Sandberg/TT
Foto: Fredrik Sandberg/TT

Hur stor är risken för att systemet manipuleras exempelvis genom att någon rapporterar in felaktigheter i systemet, vilket sedan kan få konsekvenser för den som visar upp sitt vaccinationsbevis? 

– Det finns naturligtvis alltid risker med data ifråga om kvalitet och säkerhet. Största risken är nog att data inte rapporteras in eller att den är bristfällig så att en vaccinerad inte får ut sitt vaccinationsbevis. 

Var i hela kedjan från vaccinering till uppvisning av vaccinationsbevis bedömer ni att riskerna för manipulation är som störst?  

– Vi har inte ännu gjort klart riskanalysen och säkerhetsöverväganden och väntar med att ge någon bedömning i frågan. 

Vad behöver göras för att minimera riskerna? 

– Skapa så bra förtroende- och säkerhetslösningar som möjligt och följa de direktiv som gäller i de olika delarna av processen. 

Vilka data ingår i en vaccinationsbevisregistrering, och vilka av dessa delar kommer att visas upp på själva vaccinationsbevisen? 

– I korthet ingår data om given vaccination och om person som ger möjlighet att bedöma om vaccineringen uppfyller de nationella krav som gäller vid en inresa. De svenska vaccinationsbevisen följer EU:s tillitsramverk och de dataset som ska gälla för de olika bevisformerna. 

Vilka data kopplade till vaccinationsbevisen bedömer ni kan kategoriseras som integritetskänsliga? 

– Data om vaccinationer är hälsodata så de är naturligtvis av integritetskänslig karaktär. 

Vilken plattform är basen när individer tar fram sina vaccinationspass? 

– Det är en fristående statlig e-tjänst för utfärdande av vaccinationsbevis som tas fram.  

Hur hanterar man vaccinationspass för de personer som inte har elektroniska id? 

– Det hanteras inte inom ramen för det uppdrag som Digg har just nu. Det finns diskussioner kring dessa behov och det återstår att se om det kommer tilläggsuppdrag eller nya uppdrag i frågan.

Foto: Fredrik Sandberg/TT
Foto: Fredrik Sandberg/TT

Finns det möjlighet för tredjepartsaktörer att, via API:er eller på annat sätt, koppla upp sig mot systemen och erbjuda tjänster? 

– Det kommer inte att gå att koppla upp sig direkt och utfärda egna bevis. Det kommer däremot att gå att se till att bevisen hanteras inom ramen tredjepartsaktörers tjänster.  

Hur verifieras vaccinationsbevisen? 

– Kontrollen av bevisen sker genom läsning av de koder som finns i bevisen. En nyckel för tillgång till den krypterade informationen krävs. 

Hur stor bedömer ni risken är för i ändamålsglidning för vaccinationsbevisen, till exempel att de på sikt börjar användas till annat än vad som det nu planeras för? 

– Det ses som sannolikt att de kommer att användas för andra ändamål än resande. 

Vad blir totalkostnaden för att ta fram vaccinationsbevis? 

– Bedömningen är drygt 30 miljoner kronor, i enlighet med en kostnadsuppskattning som vi lämnade till regeringen den 5 mars i en delrapportering av regeringsuppdraget. 

Hur stor arbetsinsats är detta för er?  

– Det är omkring 50 personer involverade i arbetet. 

Hur samordnar ni verksamheten mellan Digg, E-hälsomyndigheten, Folkhälsomyndigheten, Socialstyrelsen och Sveriges kommuner och regioner - vem gör vad? 

– Digg står för ett projektledarskap och vi fördelar insatser utifrån kapacitet och förmåga hos myndigheterna. Folkhälsomyndigheten ansvarar för att det finns en fungerande tjänst för att ta fram uppgifter ur det nationella vaccinationsregistret till bevisen. E-hälsomyndigheten ansvarar för utveckling och förvaltning av utfärdartjänsten.

Hur länge tror ni att vaccinationsbevisen aktivt kommer att användas i samhället? Ett år? Två år? För alltid? 

– Så länge det bedöms vara en pandemi för det är så länge som EU:s förordning ska gälla. Världshälsoorganisationen WHO bestämmer när pandemin anses vara över.

Vilka är de största riskerna som ni i dagsläget ser för satsningen? 

– Det finns risker med väldigt mycket i denna utveckling då det handlar om så viktiga intressen och så många intressenter på nationell och internationell nivå. Den samverkan som krävs utgör förmodligen den största risken eftersom det krävs att så många utvecklar något som måste fungera ihop på så kort tid.