NSIS

Tjenesteudbydere, herunder myndigheder, udstiller og giver adgang til løsninger og data med varierende følsomhed. Derfor skal I som tjenesteudbyder, på baggrund af en risikovurdering beslutte, hvilket NSIS-sikringsniveau der skal kræves ved adgang til jeres tjeneste. Det er den dataansvarlige tjenesteudbyders/myndigheds eneansvar at fastlægge krav til sikringsniveauer for egne tjenester, som aftager identiteter.

Digitaliseringsstyrelsen har udgivet både en vejledning til tjenesteudbydere, som giver et eksempel på gennemførsel af risikovurdering, og et excel-værktøj til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau. Find vejledning og excel-værktøj via linket nedenfor.

Læs mere om NSIS, og find vejledning og excel-værktøj

For at kunne afgøre hvilket NSIS-sikringsniveau jeres tjeneste skal kræve, skal I foretage en risikovurdering. En risikovurdering tager bl.a. højde for risici for tjenesteudbyderen selv og risici for de registrerede (hvis tjenesten udstiller eller på anden måde behandler personoplysninger).

Digitaliseringsstyrelsen har udgivet både en vejledning til tjenesteudbydere, som giver et eksempel på gennemførsel af risikovurdering, og et excel-værktøj til at støtte tjenesteudbydere i vurderingen af behov for sikringsniveau. Find vejledning og excel-værktøj via linket nedenfor. 

Læs mere om NSIS, og find vejledning og excel-værktøj

Alle tjenester skal risikovurderes. Det er den dataansvarlige tjenesteudbyders/myndigheds eneansvar at fastlægge krav til sikringsniveauer for egne tjenester, som aftager identiteter.

Læs mere om NSIS, og find vejledning og excel-værktøj

PID/RID vil fungere parallelt med de nye UUID’er i en længere overgangsperiode.

Ja, men det gør I i jeres tjeneste, i forbindelse med behandling af autentifikationssvaret fra NemLog-in. Man kan ikke forespørge på kombinationen af person/Lav og medarbejder/Betydelig i autentifikationsanmodningen.

I det eksisterende OIOSAML 2.0.9 angives Assurance Level som numerisk værdi, dvs. 3. For NSIS-niveauer i OIOSAML 3, er det en tekstuel værdi, dvs. (Lav/Betydelig/Høj). Værdien I får, afhænger dermed af hvilken snitflade, I er koblet på.

NSIS-niveau Høj er lavet for at give mulighed for at håndtere et øget sikringsniveau, hvor det er være relevant. Hvem der ender med at anvende niveau Høj, afhænger af tjenesteudbydernes risikovurderinger og styres ikke fra Digitaliseringsstyrelsen.

Tænkte eksempler kunne være tjenester, hvor der er mulighed for at tilgå meget store mængder følsomme personoplysninger, eller tjenester, hvor uvedkommende personer kan forrette særlig stor skade.

Det er de enkelte dataansvarliges opgave at lave risikovurdering og fastsætte krævet sikringsniveau. Dog skal man bemærke, at NemID i dag ca. svarer til niveau Betydelig, og at alle borgere får MitID på niveau Betydelig, hvilket i dag vurderes som passende for borgeres adgang til fx egne sundhedsdata.