Skaffa e-legitimationer till era medarbetare

Att välja en e-tjänstelegitimation till dina medarbetare

När du skaffar e-tjänstelegitimationer till dina medarbetare och eventuella uppdragstagare rekommenderar vi att ni ställer krav på att de är granskade och godkända av Digg enligt Tillitsramverket för Svensk e-legitimation.

Bedöm förutsättningarna och systemkraven

E-tjänstelegitimationer kan distribueras med olika utföranden, såsom ett smart kort med certifikat, en hårdvarunyckel eller en autentiseringsapp på mobiltelefon. Olika utformningar kan skilja sig i säkerhetsnivå, men också kräva olika typer av förutsättningar, vilka skapar skillnader i investeringskostnad. Exempelvis kräver smarta kort att användaren har en enhet som kan kommunicera med kortet. En autentiseringsapp kan kräva att användaren har en viss typ av mobiltelefon, abonnemang, et cetera. Dessa frågor öppnar upp för mer utforskande om organisationens förutsättningar, vilka användningsfall, vilka typer av anställningsformer och villkor som gäller där förutsättningarna skiljer sig vid val av lösning och leverantör.

Verkligheten för många organisationer är ofta att man har en spann av fast anställda personal, korttidsanställda och inhyrd personal. Därför kan det tänkas att det uppstår kombinerade anskaffningsmodeller, till exempel att de med fast anställning får e-tjänstelegitimation, medan personal som är inhyrda använder personlig e-legitimation eller e-tjänstelegitimation som är anskaffad av deras arbetsgivare. Bedömning av lämplig metod är inte helt okomplicerad då frågorna inbegriper teknikval, säkerhet och arbetsrättsliga frågor utifrån vilka krav man kan ställa på sina medarbetare. Detta är något er organisation behöver analysera och bedöma.

Andra krav att överväga

För att vara säker på att e-tjänstelegitimationerna över tid ska fungera i många externa e-tjänster är det bra att överväga följande krav:

• E-legitimationsutfärdaren ska finnas med i Diggs avtal om förbetald e-legitimering, och därmed erbjuda ersättningslös användning av e-tjänstelegitimationerna.
• E-legitimationsutfärdaren ska erbjuda leverans av identitetsintyg med stöd av Sweden Connect.
• Möjlighet att använda anställningsidentitet i stället för personnummer bör övervägas. Digg stödjer möjligheten i det tekniska ramverket för Sweden Connect och i avtalet om förbetald e-legitimering. Däremot kan e-tjänsterna ha olika krav.
• Möjlighet att använda e-tjänstelegitimationerna för inloggning i e-tjänster hos andra organisationer. I så fall behöver du meddela detta via din leverantör av e-tjänstelegitimation.
• Möjlighet att använda e-tjänstelegitimationerna utomlands kan övervägas som krav.

Attributtjänster

Det kan finnas behov av att precisera i vilken roll eller med vilken befogenhet den anställde agerar. En e-legitimation säger ingenting om detta, utan styrker bara individens identitet. Här kan man behöva lägga till kompletterande uppgifter, i första hand med hjälp av elektroniska tjänster, eller så kallade behörighetsstyrande attribut.

När en e-legitimering görs i tjänsten behöver ibland fler uppgifter hämtas in från ett register för att kunna avgöra vilken behörighet medarbetaren har i den specifika digitala tjänsten. Ni behöver avgöra hur denna information om era medarbetare ska överföras till e-tjänstelegitimationen.

Förstudie om e-tjänstelegitimationer för medarbetare

Digg har publicerat en förstudie om eID för medarbetare, som bland annat tar upp:

• försörjning med e-legitimationer för tjänstemän
• organiserad samverkan (federation)
• avtal om e-legitimering som passar med eID för medarbetare
• medarbetares möjligheter till e-underskrifter.

eID för medarbetare