HSA attributstjänst
Få åtkomst till HSA-information
HSA attributtjänst möjliggör tillgång till HSA-information i realtid vid inloggning med e-legitimation eller SITHS. Exempel på information kan vara medarbetaruppdrag, yrkestillhörighet, förskrivningsrätt eller kontaktinformation.
Nedan beskriver vi fem steg för att få igång tjänsten.
Steg för steg
HSA attributtjänst – steg 1
I det första steget behöver vi få mer information om ert behov av HSA-informationen. Vi behöver veta:
- Organisationsuppgifter för det företag som ansvarar för den tjänst som ska nyttja informationen från HSA.
- Namn och URL för den tjänst som ska använda informationen.
- Vilken information från HSA som är aktuell.
- Ändamålet med informationen.
- Om det är en systemleverantör som tillhandahåller tjänsten, systemet centralt – eller om kunderna installerar lokalt och ansvarar för den själva.
Ovanstående information skickas till info@e-identitet.se. Underlaget granskas av Svensk e-identitet. Saknas underlag eller om de är bristfälliga kommer kompletterande information att begäras. En rekommendation är att följa standarden ISO/IEC 27001 när det gäller det strukturerade säkerhetsarbetet då vår granskning baseras på den.
Om ni vill få personnummer överfört så krävs att ni:
- Tydligt förklarar ändamålet med hämtning av personnummer.
- Redovisar hur ni tekniskt och administrativt skyddar personuppgifterna.
- Kan uppvisa dokumenterad rutin för att informera användarna om hur personuppgifterna används eller sprids om det är för annat ändamål än för behörighetsstyrning.
- Ställer motsvarande krav på eventuella underleverantörer som gäller för er. Eventuella underleverantörer ska också redovisas.
Personnummer eller samordningsnummer lämnas endast ut i de fall:
- Det behövs för att skapa underlag till e-tjänstelegitimationer (SITHS).
- Det behövs för hantering av behörighetsgrundande information.
- Det behövs för en säker identifiering i IT-system.
- Informationsägande organisation har lämnat sitt medgivande i särskilda fall.
Steg 2
Om vi bedömt att kraven i steg 1 uppfyllts lämnar vi frågan vidare till HSA Policygrupp som gör den slutliga bedömningen. I detta steg kan HSA Policygrupp utfärda unika krav på er hantering av HSA-information.
Steg 3
Om steg 2 godkänns kan tester påbörjas, det innebär att:
- Ni måste ha tillgång till minst ett test-SITHS-kort. Har ni inte test-SITHS-kort kan ni beställa det av oss.
- Vi skapar testdata i HSA-testmiljö och kopplar testanvändarna till HSA-testmiljö.
- En teknisk integration genomförs mellan er tjänst och vår attributstjänst. Anslutning görs via Webservice, SAML eller GrandID API.
Används inte någon av våra inloggningstjänster i kombination med attributstjänsten erbjuds endast anslutning via webservice. - Tester genomförs av er med stöd från oss. Både utvecklare, teknisk supportpersonal och HSA-/SITHS-administratör stöttar.
Steg 4
Vi redovisar resultatet av testerna för Ineras HSA Policygrupp som fattar beslut om ni tillåts använda skarp HSA-information.
Steg 5
Om steg 4 godkänns sker följande:
- Leveransavtal tecknas.
- Ni ansluter till vår skarpa attributstjänst enligt våra instruktioner och tjänsten driftsätts.
- Testmiljön och testkorten fungerar 12 månader från starten av steg tre. Därefter kan testmiljöns tillgänglighet och HSA-posterna för korten förlängas årligen mot en avgift.
Ändringar i tjänsten efter steg 5 faktureras löpande med en timdebitering för de resurser som involveras.
Observera att HSA-information aldrig får lagras samt att ni som systemleverantör måste sätta er in i och förstå den nationella behörighetsmodellen om ni avser använda medarbetaruppdrag för behörighetsstyrning.
Har du frågor om tjänsten?
Kontakta oss gärna så berättar vi mer.