Agenda SWAMID Board of Trustees 2024-06-24

Tid

2024-06-24 10.00--11.00

Plats

Videomöte i Zoom, https://sunet.zoom.us/j/67413792369

Kallade

• Zacharias Törnblom (ZT)
• Anders Sjöström
• Ann Amling
• Mauritz Danielsson
• Magnus Höglund
• Jan Nordin
• Hans Wohlfart
• Per-Olov Hammargren

Adjungerade

• Pål Axelsson (PA)

Välkommen (ZT)

Fastställande av dagordning (ZT)

Beslut om extra rutiner för verifiering av användare på AL2-nivå (PA) (PA)

Mobilt BankID har sedan sommaren 2023 haft möjligt att lagra en digital representation av svensk resehandling (pass och nationellt identitetskort). Inläsningen genomförs genom att användaren skannar sin resehandling tillsammans med hjälp av BankID-appen. Vid skanningen måste användaren logga in med sitt BankID för att säkerställa att det kopplas till en unik persons BankID. Vidare krävs att personnumret på resehandlingen stämmer överens med personnumret i BankID:t. Om allt går bra lagras hämtade uppgifter från resehandlingen både lokalt i BankID-appen och hos BankID för att sedan kunna användas för visuell kontroll. Denna digitala representation av resehandlingen går inte att överföra mellan olika mobila enheter (mobiltelefoner och plattor) utan användaren måste genomföra denna inläsning på alla mobila enheter där personen vill kunna använda den digitala representationen.

Det finns tre olika sätt att legitimera sig med hjälp av den digitala representation av resehandlingen: 

1. Visuell kontroll
2. Skanna med hjälp av BankID-appen
3. Styrkt kontroll med skanner

Vid diskussioner i SWAMID Operations har vi funnit att visuell kontroll inte uppfyller kraven för en god legitimering för SWAMID AL2 utan endast de andra två modellerna går att använda för detta. Vidare är styrkt kontroll med skanner att jämställa med genomförd e-legitimering med hjälp av BankID eftersom ett korrekt identitetsintyg ställs ut av BankID och går därför även att använda för SWAMID AL3. För mer information om Digitalt ID-kort i BankID se https://www.bankid.com/foretag/digitalt-id-kort.

Freja eID:s motsvarande model för att visuell legitimering med hjälpa av Freja-appen går inte att använda beroende på att bilden som visas är en egentagen bild, inte bilden från resehandlingen. Vidare har Freja eID endast kontroll via webbsida att det är ett giltigt Freja eID.

Digital representation av resehandling via e-legitimation (Styrkt kontroll)

Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:

1. Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
   • För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
   • Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
2. Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet i personens BankID-app stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen skannar kontohandläggaren den rörliga QR-koden på mobilskärmen med en hårdvaruscanner kopplad till organisationens kontohanteringssystem.
3. Om skanningen går bra skickas QR-kodens värde via kontohanteringssystemet till BankIDs tjänstegränssnitt (API) för kontroll (https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/introduktion).
4. Om BankIDs tjänstegränssnitt godkänner QR-koden skickas användarens personnummer och namn tillsammans med ett identitetsintyg tillbaka till kontohanteringssytemet och därefter är personen bekräftad med det returnerade personnumret.

Om någon av ovanstående punkter inte kan genomföras korrekt avslutas legitimeringen utan att bekräftande av personen har genomförts.

SWAMID Operations rekommenderar Board of Trustees att godkänna denna metod som alternativ metod för att bekräfta en person för SWAMID AL2.

Digital representation av resehandling via e-legitimation (Mobilapp)

Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:

1. Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
   • För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
   • Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
2. Kontohandläggaren skannar den rörliga QR-koden på personens BankID-app med en annan BankID-app.
   • BankID-appen som skannar måste finnas på en mobil enhet som finns i den fysiska disken och ägs av organisationen.
3. Om skanningen går bra skickas QR-kodens värde till BankIDs tjänstegränssnitt (API) för kontroll av den fysiska diskens BankID-app.
4. Om BankIDs API godkänner QR-koden skickas användarens personnummer, namn och foto till den fysiska diskens BankID-app.
5. Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen som ska legitimeras är identifieringen genomförd och personnumret som visas i diskens BankID-app kan användas för att fortsätta processen.

Om någon av ovanstående punkter inte kan genomföras avslutas korrekt legitimeringen utan att bekräftande av personen har genomförts.

SWAMID Operations rekommenderar Board of Trustees att godkänna denna metod som alternativ metod för att bekräfta en person för SWAMID AL2.

Beslut om ansökningar om godkännande av tillitsnivåer (PA)

• Högskolan i Halmstad ansöker om förnyat godkännande för SWAMID AL2
  Högskolan i Halmstad utökar metoderna för bekräftande av individer för SWAMID AL2 till även BankID på tillitsnivå 3, eller högre, samt engångskod skickad till digitala brevlådan Mina meddelanden.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  
• Stockholms konstnärliga högskola ansöker om förnyat godkännande för SWAMID AL2
  Stockholms konstnärliga högskola utökar metoderna för bekräftande av individer för SWAMID AL2 till även eduID på tillitsnivå 2 eller högre.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  
• Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
  Södertörns högskola utökar metoderna för bekräftande av individer med hjälp av digital representation av resehandling via e-legitimation (Styrkt kontroll), se ovan.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.
  
  
• Linköpings universitet ansöker om förnyat godkännande för SWAMID AL3 (FD)
  Linköpings universitet utökar metoderna för bekräftande av individer med hjälp av digital representation av resehandling via e-legitimation (Styrkt kontroll) för SWAMID AL2 och SWAMID AL3 samt digital representation av resehandling via e-legitimation (Mobilapp) för SWAMID AL2, se ovan.
  
  SWAMID Operations rekommenderar Board of Trustees att godkänna deras ansökan.

Övriga frågor

Nästa möte (ZT)

Avslutande (ZT)