Versions Compared

Version Old Version 12 New Version 13
Changes made by

Stine Granviken

Stine Granviken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Versjon 2.1 2019

Column
width62%

Instruks ved utstedelse og administrasjon av elektroniske IDer (eID)

1     

Versjon 4.0  


1          Innledning

Denne instruksen gjelder i hovedsak for rollene RA-ADMIN

og OPERATØR

og Operatør, men den gir også retningslinjer knyttet til datalagring, oppbevaring og sletting.

 

Rollene RA-ADMIN og Operatør innehas av den eller de som har fått fullmakt til utstedelse og administrasjon av

lokale [1] og, eller kun Buypass kvalifiserte sertifikater [2] hos en virksomhet.

en eller flere av følgende eID-typer hos en virksomhet:

  1. Lokale sertifikater - kun dersom BAS-løsningen* er satt opp og konfigurert for MixedMode
  2. Buypass kvalifiserte sertifikater – BAS-løsningen
  3. Buypass Fido2 Security Key – BpFido2 Identity Service*
  4. Buypass Code – BpFido2 Identity Service

*) Se pkt. 4 Støttesystemer

 

Virksomhet i denne sammenheng er en virksomhet som har inngått avtale med Buypass

- ”Avtale

– «Avtale om utstedelse og administrasjon av Buypass

kvalifiserte sertifikater”.  Avtalen

eID».  Avtalen refereres til som RA-avtalen, og virksomheten som er avtalepart refereres til som Virksomhet.

Rollene er part i den organisasjonen som etableres i virksomheten

 

Rollene RA-ADMIN og Operatør innehas av en eller flere personer som har tilknytning til Virksomhet for å ivareta tillitskjeden for utstedelse og administrasjon av

sertifikater til ansatte og annet personell tilknyttet virksomheten.

RA-ADMIN:

  • Utstedelse og administrasjon av lokale [1] og Buypass kvalifiserte sertifikater [2]
  • Registrere sluttbrukere som kan få Buypass kvalifiserte sertifikater tilknyttet virksomheten
  • Tildele og trekke tilbake fullmakt for personer tilknyttet virksomheten i rollen som Operatør

OPERATØR:

  • Utstedelse og administrasjon av lokale [1] og Buypass kvalifiserte sertifikater [2]

[1] Lokale sertifikater utstedes fra lokal CA, enten virksomhetens egen CA eller fra CA tilknyttet en virksomhet som gjeldende virksomhet samarbeider med.

For lokale sertifikater utpekes RA-ADMIN første gang som del av etablering av virksomhetens CA.

[2]

Buypass eID til personer tilknyttet Virksomhet, også kalt Sluttbrukere.

 

1.1          eID underlagt instruksen

Denne RA-instruksen gjelder utstedelse og administrasjon av Buypass eID. Dersom det er særegne retningslinjer for enkelte typer eID fremkommer det tydelig av instruksen.

 

Avtalens omfang, ref. RA-avtalen pkt. 3 angir hvilke typer Buypass eID-er som skal utstedes og administreres i Virksomhet. RA-ADMIN/Operatør skal følge instruksene kun for eID angitt i RA-avtalen.

 

  1. Buypass eID med kvalifiserte sertifikater
    Buypass er sertifikatutsteder for kvalifiserte sertifikater for elektronisk signatur (QTSP), regulert i
LOV 2018-06-15-44:
  1. Lov om elektroniske tillitstjenester
. Heretter kalt

For Buypass kvalifiserte sertifikater utpekes RA-ADMIN første gang ved inngåelse av «Avtale om utstedelse og administrasjon av Buypass kvalifiserte sertifikater». Avtalen refereres til som RA-avtalen.

For tildeling av fullmakt for de første RA-ADMINene sendes signert fullmaktsskjema sammen med signert RA-avtale. For senere tildelinger eller tilbaketrekkinger av fullmakter benyttes fullmaktsskjemaene alene. Ref RA-avtalens punkt 4.

2      Eierskap og vedlikehold av instruksen

Det er Buypass som er eier av denne
  1. , heretter referert til som Buypass kvalifiserte sertifikater.
Buypass kvalifiserte sertifikater utstedes på smartkort eller er lagret sentralt hos Buypass. Sluttbruker kan aksessere sentralt lagret nøkkel og sertifikat via en tilknyttet mobilenhet.


  1. Buypass tar med dette også rollen som tilbyder av eID-ordninger (CSP) på eID nivå høyt. I tillegg er Buypass tilbyder av autentiseringstjenester (IDP) og signeringstjenester.

    Buypass tilbyr eID i ulike varianter basert på ulike teknologier. En av disse eID-variantene er PKI-basert med kvalifiserte sertifikater for fysiske personer. Dette er en teknologi som har spesielle egenskaper som gjør den attraktiv for mange bruksområder inkludert autentisering, signering og kryptering.

  2. Buypass Fido2 Identity Service med Buypass Fido2 Key og Buypass Code
    Buypass er tilbyder av Buypass eID for sterk autentisering som er eID uten PKI (kvalifiserte sertifikater). Slik eID er regulert i Selvdeklarasjonsforskriften

    Buypass eID for sterk autentisering kan benyttes for autentisering mot virksomhetsinterne, offentlige og private tjenester i Norge. Følgende eID-er inngår i Buypass Fido2 Identity Service: 

    1. Buypass Fido2 Security Key (BpFido2 Key) består av et nøkkelpar som genereres i en enhet/bærer (nøkkelbrikke eller smartkort). Den private nøkkelen forblir i enheten, mens den offentlige nøkkelen knyttes til Sluttbrukers identitetskonto hos Buypass. Sluttbruker kontrollerer selv tilgang til nøklene i enheten med sin personlige PIN-kode. BpFido2 Key leveres som eID på nivåene betydelig og høyt.
    2. Buypass Code (BpCode) er en mobil APP som kobles til Sluttbrukers identitetskonto hos Buypass og koblingen aktiveres med verifiserte mobilnummer. Sluttbruker kontrollerer selv tilgang til sin identitet med bruk av mobilapp og sin personlige PIN-kode eller touch ID/face ID. Buypass Code er en eID som kun brukes sammen med BpFido2 Key på nivå betydelig.


Både Buypass kvalifiserte sertifikater, Buypass Fido2 Key og Buypass Code inngår i begrepet Buypass eID som benyttes videre i denne instruksen.

 

1.2         Eierskap og vedlikehold av instruksen

Buypass er eier av instruksen og derigjennom ansvarlig for å vedlikeholde instruksen

ifht

ift. de oppgaver som instruksen til enhver tid skal dekke.

Buypass skal informere

ansvarlig i virksomheten

Virksomheten ved endringer og oppdateringer av instruksen, ref. RA-avtalen

punkt 6 punkt 4. Ansvarlig for virksomheten har

pkt. 5.1.

Virksomheten ved Virksomhetsansvarlig[1]  har ansvar for å videreformidle slike endringer til

virksomhetens

Virksomhetens RA-ADMIN og Operatører, ref. RA-

avtalens punkt

avtalen pkt. 5.

1 punkt 8.

3     Dokumentreferanser

Følgende dokumenter beskriver nærmere de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA.

  1. Certification Practice Statement (CPS) for Buypass Class 3 Qualified Certificates¹)
  2. PKI Disclosure Statement (PDS)¹)
  3. Kundeavtale med Buypass¹)
  4. Retningslinjer med brukerguide for Buypass Access Manager²)
  5. Instruks for RA-ADMIN og Operatør²)

¹) Gjeldende versjoner av Buypass offisielle dokumenter finnes under CA Dokumentasjon på Buypass nettsider. 
(Lenke: https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk)

²) Gjeldende versjoner av retningslinjer og instrukser finnes under Buypass Access Solutionpå Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview)

4      Oppgaver, ansvar og myndighet

Rolleinnehaverne RA-ADMIN og OPERATØR har det daglige ansvar for, og rett og plikt til:

å

2 underpunkt 10.


[1] Virksomhetsansvarlig er en person som er oppført med signaturrett eller i en annen rolle for Virksomheten slik det fremgår av Enhetsregisteret hos Brønnøysundregistrene, eller vedkommende er gitt fullmakt fra en slik person, ref. RA-avtalens pkt. 2.

2        Roller

2.1         Virksomhet

Virksomhet er den organisasjonen som har inngått RA-avtale med Buypass om utstedelse og administrasjon av Buypass eID.

 

2.2       RA-ADMIN

Rollen som RA-ADMIN utpekes av Virksomhetsansvarlig. En RA-ADMIN får delegert et overordnet operativt ansvar for utstedelse og administrasjon av Buypass eID på vegne av Virksomhet.   

Rollen delegeres til personell tilknyttet Virksomhetens Personalavdeling, HR-avdeling eller andre med tilsvarende oppgaveansvar.

 

2.3       Operatør

Rollen som Operatør utpekes av RA-ADMIN med delegert operativt ansvar for utstedelse og administrasjon av Buypass eID på vegne av Virksomhet. 

Rollen delegeres til personell på et ID-kontor, avdelingskontor, hos Kundeservice, eller andre med tilsvarende oppgaveansvar.


3        Oppgaver, ansvar og myndighet

3.1         Virksomhet

Virksomhet ved Virksomhetsansvarlig har det overordnede ansvaret for alle oppgaver tilknyttet utstedelse og administrasjon av Buypass eID, herunder informasjon som nevnt i punktet over. Virksomhetens ansvar er i sin helhet beskrevet i RA-avtalens pkt. 5.2.

 

All informasjon tilknyttet Buypass kvalifiserte sertifikater lagres og oppbevares hos Buypass. For Buypass eID for sterk autentisering vil informasjon i hovedsak lagres hos Buypass, men dersom Virksomhet i avtale med Buypass tar ansvar for at delprosesser gjennomføres med bruk av Virksomhetens egne systemer vil Virksomhet være ansvarlig for nødvendig informasjon og data.  Retningslinjer for innsamling, oppbevaring og sletting er beskrevet i pkt. 7. 

 

3.2       RA-ADMIN og Operatør

Rolleinnehaverne RA-ADMIN og Operatør har det daglige og operative ansvar for, samt rett og plikt til å:

  1. følge instruks for personell som innehar rollene RA-ADMIN og
OPERATØR
  1. Operatør, dvs. denne instruksen
(ref punkt 3
  1. – dokumentreferanse se pkt. 5
)
  1. underpunkt 2
å

  2. utstede
og administrere sertifikater
  1. , administrere og tilbaketrekke Buypass eID for Sluttbrukere tilknyttet Virksomhet etter gjeldende krav og retningslinjer
-
  1. gitt i
Retningslinjer med brukerguide for BAM (ref punkt 3.4)å benytte BAM-klienten (Buypass Access Manager)
  1. Brukerguide og retningslinjer – dokumentreferanse se pkt. 5 underpunkt 5 og/eller 6

  2. benytte relevant applikasjon fra Buypass ved utstedelse og administrasjon av
elektroniske ID (
  1. Buypass eID
),
  1. og sørge for at de innebygde rutinestegene
i denne
  1. blir fulgt
. RA-ADMIN / OPERATØR må for å kunne utstede Buypass kvalifiserte sertifikater logge på og identifisere seg med sitt eget kvalifisert sertifikat og sin personlige PIN-kode for å få tildelt korrekte rettigheter til systemet
  • å sørge for at sluttbruker får informasjon om virksomhetens lokale sertifikater og Buypass kvalifiserte sertifikater, herunder
    • innhenting, behandling og oppbevaring av nødvendig informasjon og persondata
    • eventuelle vilkår for bruk av virksomhetens lokale sertifikater
    • Buypass Kundeavtale for Buypass kvalifiserte sertifikater (ref punkt 3.3)
    • å bistå sluttbruker ifbm ulike administrasjonsoppgaver, herunder:
  • førstegangsutstedelse av sertifikater på smartkort og/eller lagret sentralt hos Buypass
  • utstede erstatningskort med sertifikater
    • fornyelse av smartkort og/eller
    1. . Se pkt. 4.
    2. informere Sluttbruker om Buypass eID og materiell utarbeidet, herunder
      1. Buypass Kundeavtale – dokumentreferanse se pkt. 5 underpunkt 1
      2. krav til identitetskontroll ved utstedelse og administrasjon
      3. oppbevaring og sikring av informasjon ihht Personopplysningsloven
      4. bruk og eventuelle begrensninger i bruk av Buypass eID
      5. sluttbrukers ansvar for at eID og tilgang til private nøkler holdes under ene-kontroll og ikke misbrukes eller utleveres til andre
      6. sluttbrukers ansvar for å melde tap eller mistanke om misbruk

    3. bistå Sluttbruker ifbm. ulike administrasjonsoppgaver, herunder:
      1. utstedelse av Buypass eID inkludert identitetskontroll gjennom å
        1. ansvarlig for identitetskontroll av Sluttbruker gjennom operatørassistert og manuell kontroll hvor Operatør har ansvar for at informasjon om fremvist identitetsdokument registreres i relevant applikasjon.
        2. bistå Sluttbruker ved identitetskontroll i form av assistanse dersom Sluttbruker gjennomføre selvbetjent digital verifisering av identitet basert på maskinell lesing av ID-dokument og biometrisk ansiktsgjenkjenning
      2. utstedelse av erstatnings eID dersom eID er glemt/tapt/stjålet
      3. fornyelse av smartkort og/eller sertifikater dersom Sluttbruker har eID med lokale og/eller kvalifiserte sertifikater
      4. utstedelse av midlertidige smartkort med
    sertifikater
      1. lokalt sertifikat (Lånekort)
    endring
      1. dersom Virksomhet har slik løsning
      2. å bistå ved administrering av PIN-koder (glemt eller blokkert)

    2. bistå Sluttbruker med å
    tilbakekalle (sperre) lokale og Buypass kvalifiserte sertifikater
    1. sperre/revokere Buypass eID når det er nødvendig

    Tillegg for RA-ADMIN:

    • Registrere sluttbrukere som skal få utstedt Buypass kvalifiserte sertifikater med tilknytning til virksomheten gjennom en preregistrering i BAM hvor det sjekkes at vedkommende er registrert i Folkeregisteret (FREG) og at FNR/DNR og navn matcher
    • Utnevne OPERATØRER gjennom registrering i BAM. RA-ADMIN må påse at det er innhentet fullmakt og om nødvendig signaturer fra aktuelle personer. RA-ADMIN må holde oversikt over registrerte og aktive OPERATØRER
    • Ansvar for at OPERATØRER får opplæring i henhold til fastlagt opplæringsopplegg og gjeldende retningslinjer
    • Slette OPERATØRER gjennom registrering i BAM. RA-ADMIN må påse at det er utstedt tilbaketrekking av fullmakt og om nødvendig underskrifter fra aktuelle personer

    Gjeldende krav og retningslinjer for utstedelse av Buypass kvalifiserte sertifikater er nedfelt på Buypass Eksterne Dokumentsenter - se Retningslinjer med brukerguide for BAM (ref punkt 3.4).

    Brukerguiden gir informasjon om operatørrollene, bruk av BAM-klienten med pålogging
    1. å registrere, melde inn og ut, hvilke personer som kan få Buypass eID med tilknytning til Virksomhet, også kalt provisjonering. Data overføres mellom Virksomhet og Buypass på en av følgende måter:
      1. I BAM-klienten, ref. pkt. 1, med egen funksjon for registrering og oppdatering av Sluttbrukere enten en og en eller som batch-kjøring med filer på XML eller JSON-format
      2. Automatisk fra Virksomhetens IAM/HR-system ol. ved bruk av API for administrasjon av identiteter, ref. pkt. 2

        Som en del av klargjøringen før eller ifbm selve overføringen blir Sluttbrukers identitet (FNR/DNR) sjekket opp mot Folkeregisteret (FREG).

    2. å registrere, melde inn og ut, hvilke personer som skal tildeles rollen Operatør i Virksomhet. Data overføres mellom Virksomhet og Buypass på en av følgende måter:
      1. I BAM-klienten, ref. pkt. 1, med egne funksjoner for registrering eller tilbaketrekking av rollen Operatør
      2. Automatisk fra Virksomhetens IAM/HR-system ol. ved bruk av API for administrasjon av identiteter, ref. pkt. 2

    3. å tilse at Operatører får opplæring i henhold til opplæringsopplegg og gjeldende retningslinjer, ref. pkt. 6

    4. holde oppdatert oversikt over personell med fullmakt som Operatør og kunne forevise denne til Buypass på forespørsel. RA-ADMIN er ansvarlig for at det gjennomføres periodisk kontroll av rollen Operatør

     

    4       Støttesystemer

    Personell som utpekes i rollene RA-ADMIN og Operatør skal benytte støttesystem stilt til rådighet av Buypass ved utstedelse og administrasjon av Buypass eID.

    4.1        Buypass kvalifiserte sertifikater – eID under bilag 1

    Buypass Access Solution (BAS) består av følgende komponenter:  

    • BuypassAccess Manager (BAM) - Local Registration Authority (LRA). En administrasjonsklient for utstedelse og administrasjon av både/og eller enten/eller lokale sertifikater fra lokal Microsoft CA og kvalifiserte sertifikater fra Buypass CA

    • Buypass Smartkort(SC) - smartkort med chip som kan inneholde begge typer sertifikater i tillegg til fysiske egenskaper som magnetstripe og RFID

    • Buypass Access Enterprise(NetID) - klientprogramvare for installasjon på den enkeltes PC eller på terminalserver. Programvaren sørger for kommunikasjon med programmer som skal ha tilgang til å benytte sertifikatene på smartkortet

     

    RA-ADMIN / Operatør må for å kunne utstede Buypass eID med kvalifiserte sertifikater logge på og identifisere seg med sin egen eID med kvalifisert sertifikat og personlige PIN-kode for å få tildelt korrekte rettigheter til BAM.

     

    4.2       Buypass eID for sterk autentisering – eID under bilag 2

    Buypass Fido2 Identity Service består av følgende komponenter:  

    • Provisioning – api for administrasjon av Sluttbrukere og Operatører til UserStore hos Buypass
    • Key Registration – Selvbetjeningsklient for Sluttbrukere for registrering av Buypass Fido2 Keys
    • Phone Registration – Selvbetjeningsklient for Sluttbrukere for registrering / endring av mobilnr
    • ID-proofing – Operatørklient – klient for å gjennomføre identitetskontroll av Sluttbrukere og/eller generere Engangspassord (OTP) for Sluttbruker som alternativ autentiseringsmetode på Selvbetjeningsklienten for nøkkelregistrering
    • OIDC authentication client – grensesnitt mot Buypass autentiseringstjeneste for bruk av Buypass Fido2 Keys og/eller Buypass Code

     

    RA-ADMIN / Operatør må, for å kunne gjennomføre identitetskontroll og utstede Engangspassord (OTP), logge på og autentisere seg med sin egen Fido2 Key og personlige PIN-kode for å få tildelt korrekte rettigheter til Operatørklienten.

     

    5        Dokumentreferanser

    Buypass har flere dokumenter som beskriver nærmere de krav, ansvar og forpliktelser som gjelder for Virksomhet i rollen som Buypass RA.


    Felles for alle Buypass eID-er:

    1. Kundeavtale med Buypass¹)
    2. RA-instruks²)

      Spesielt for Buypass eID med kvalifiserte sertifikater gjelder: 

    3. Certification Practice Statement (CPS) for Buypass Class 3 Qualified Certificates¹) 
    4. PKI Disclosure Statement (PDS)¹) 
    5. Brukerguide og retningslinjer for Buypass Access Manager²) – Buypass kvalifiserte sertifikater

      Spesielt for Buypass eID for sterk autentisering gjelder: 

    6. Brukerguider og retningslinjer for Buypass Fido2 Identity Service ²)

    ¹) Gjeldende versjon av Buypass Kundeavtale publiseres på Buypass nettsider
    ²) Gjeldende versjoner av Instruks og Brukerguide publiseres på Buypass Eksterne Dokumentsenter og oversendes Virksomhet i PDF-dokument.

     

    Brukerguidene gir retningslinjer, informasjon og tips for gjennomføring av oppgavene for RA-ADMIN og Operatør. Brukerguidene inneholder beskrivelse av oppgavene steg for steg med bruk av relevante applikasjoner fra Buypass, skjermbilder, søk, PIN-koder etc.

    Viktig for utstedelse og administrasjon av Buypass kvalifiserte sertifikater er:ID-kort - nytt, erstatning, fornyelse Legitimasjonskontroll

    De viktigste prosessene er:

    Buypass eID med kvalifiserte sertifikater

    Opprette og avslutte

     

    5      Kompetanse

    Rolleinnehaverne


    Buypass eID for sterk autentisering

    • Informasjon til ansatte ved utstedelse av eID
    • Identitetskontroll
    • Registrering av BpFido2 Key – første gang og senere
    • Registrering av BpCode – første gang og senere
    • PIN-administrasjon
    • Sperring/revokering
    • Inn- og utmelding av Sluttbrukere (RA-ADMIN)
    • Inn- og utmelding av Operatører (RA-ADMIN)

    6       Kompetanse

    Personell som innehar rollene RA-ADMIN og Operatør skal ha gjennomgått opplæring tilpasset rollen slik at alle krav, rutiner og forpliktelser gitt i denne instruksen etterleves i praktisering av rollen.

     

    Buypass stiller ikke med eget opplæringsmateriell utover denne instruksen og tilhørende Brukerguide – dokumentreferanser pkt. 5 underpunkt 5 og/eller 6.

     

    Virksomhet kan selv utarbeide materiell i form av guider og e-læringsprogrammer tilpasset sin Virksomhet.

     

    Behov for ytterligere opplæring vurderes og planlegges i forbindelse med en eventuell oppdatering av instruksen

    , fortrinnsvis som del av en årlig medarbeidersamtale. Column
    width2%
    Column
    width26%
    Div
    classright-navigation

    Tilbake til hovedsiden Etablering av et BAS Brukersted

    Innhold  

    Page Tree
    root@parent
    startDepth2

    Include PageINCLIB:_right_navigation_styleINCLIB:_right_navigation_style Column
    width10%
    Section Column
    width62%
    Include PageINCLIB:_bottom_barINCLIB:_bottom_bar Column
    width2%
    Column
    width26%
     
    Column
    width10%
    Include PageINCLIB:_navigation_buttons_styleINCLIB:_navigation_buttons_style Include PageINCLIB:doc_center_styleINCLIB:doc_center_style  Include PageINCLIB:_template_styleINCLIB:_template_style 

    eller retningslinjene, når rolleinnehaverne selv ber om det, eller når denne opplæringen inngår i et eget program for opplæring og kursing i Virksomhet.

     

    7        Datainnsamling, oppbevaring og sletting

    Dette punktet vil kun være gjeldende dersom Virksomheten i avtale tar ansvar for at delprosesser gjennomføres med bruk av Virksomhetens egne systemer.

    7.1         Datainnsamling

    Data knyttet til registrering av Sluttbruker, identitetsprosesser og utstedelse og bruk av eID skal samles inn og lagres i User Stores og operasjonene logges i audit- og eventlogger når regelverket krever det.


    Dersom Virksomhet benytter applikasjoner og tjenester fra Buypass blir dataene samlet inn, lagret og oppbevart av og hos Buypass. Dersom Virksomheten i avtale med Buypass selv tar ansvar for en eller flere av delprosessene, vil Virksomheten være ansvarlig for datainnsamling, oppbevaring og senere sletting.

    Data samles inn for følgende delprosesser:

    1. Provisjonering - registrering av Sluttbrukere inkludert validering mot Folkeregisteret (FREG)
    2. Identitetskontroll – informasjon om ID-dokument fremvist av Sluttbruker
    3. Registrering og kobling av autentikator til Sluttbrukers identitetskonto - utstedelse eID
    4. Bruk av eID - når Sluttbruker autentiserer, dvs. når ID-token utstedes
    5. Administrasjon - endringer av Sluttbruker- eller eID-informasjon (livssyklusadministrasjon)


    Virksomhet kan ta ansvar for innsamling, lagring, oppbevaring og senere sletting av data tilknyttet punktene 1, 2 og 5 i listen over. Buypass vil alltid være ansvarlig for data tilknyttet punktene 3 og 4.

    7.1.1          Datainnsamling – Sluttbrukerinformasjon ifbm provisjonering

    En Sluttbrukers norske identitetsnummer (FNR / DNR) og mobilnummer er det minste settet med brukerattributter som samles inn, verifiseres og lagres i tillegg til valgfrie virksomhetsspesifikke data.

     

    Andre Sluttbrukerattributter kan innhentes fra FREG når det er nødvendig for å lette verifisering og kommunikasjon uten at de nødvendigvis lagres. Det kan være Sluttbrukerens navn (for-, mellom- og etternavn) og fødselsdato.

     

    Overvåking av endringer av det norske identitetsnummeret og statusen til de registrerte Sluttbrukerne skal gjøres på regulær basis, minimum ukentlig. Slike porteføljeoppdateringer kan føre til tilbakekalling av eID-er, for eksempel hvis status i FREG er satt til død, forsvunnet og utvandret.

     

    7.1.2         Datainnsamling – ID dokument informasjon ifbm identitetskontroll

    For identitetskontroll-prosessen er det behov for å samle og registrere et sett med dataelementer koblet til fremvist ID-dokument. Enten vil dataene samles inn og registreres manuelt av RA-ADMIN/Operatør eller elektronisk hvis elektroniske metoder brukes som Nets Passport Reader og Buypass eID.

     

    Følgende dataelementer samles inn, registreres og lagres:

    1. Dokumenttype - type ID-dokument

    2. Dokumentnummer - identitetsnummeret for selve ID-dokumentet, dvs. Passnr/Passport No i et pass, Kortnummer/Card No i et nasjonalt ID-kort, Førerkortnummer/Driving Licence No i et norsk førerkort eller Kontrollnr i et norsk Bank-kort

    3. Dokumentets utløpsdato - utløpsdatoen/expiry date for selve ID-dokumentet

    4. Utstedelsesland - landskode for hvilket land ID-dokumentet er utstedt (ISO 3166-1 landskode med tre bokstaver) 

      I tillegg lagres følgende når registrering og kontroll er fullført: 

    5. Dato og tid for identitetskontroll 

    6. Referanse til instans for gjennomført identitetskontroll – det vil være en av følgende:
      1. Operatøren som har utført manuell ansikt-til ansikt identitetskontroll
      2. ID-token fra NETS ved bruk av Nets Passport Reader og PDF med opplysninger fra chip i identitetsdokumentet
      3. ID-token fra Buypass og sertifikat serienummer ved bruk av Buypass eID med kvalifisert sertifikat på smartkort eller Buypass ID i mobil

     

    NB! Apotek1 benytter kun Operatør assistert identitetskontroll, så kun punkt 6a gjelder.

    7.2        Oppbevaring og sletting

    Informasjon og data som samles inn og registreres som beskrevet i de foregående punktene skal lagres og oppbevares for å gi bevis på prosessene tilknyttet en eID’s livssyklus.

    Ansvarlig, Buypass og/eller Virksomhet, må ha etablerte og dokumenterte rutiner som sikrer integriteten, tilgjengeligheten og konfidensialiteten til personopplysningene i henhold til Personopplysningsloven.

     

    Personopplysninger og data beskrevet i de foregående punktene skal ikke oppbevares lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. 

     

    For eID-er på nivå betydelig må dataene oppbevares i 5 år etter at Sluttbruker ikke lenger har aktive eID-er tilknyttet Virksomheten. For eID-er på nivå høyt er oppbevaringstiden 10 år.

     

    7.3        Tilgang for Buypass - revisjon

    Virksomhet som i avtale har påtatt seg et ansvar skal på forespørsel gi tilgang for Buypass nøkkelpersonell til data innsamlet, registrert og lagret tilknyttet provisjonering og identitetskontroll for Buypass eID-er, dvs. tilknyttet punkt om sluttbrukerinformasjon og ID-dokument informasjon beskrevet de foregående punktene.

    Forespørsel om tilgang vil komme som del av Buypass internrevisjon av Buypass Fido2 Identity Service.

     


    Innhold:

    Table of Contents