Vad är ID-växling?

Vi gillar verkligen BankID. Det är ett fantastiskt smidigt sätt att legitimera sig online och det är lätt för företag och organisationer att komma igång med BankID-inloggning via vårt GrandID API. Det finns dock några begränsningar i tjänsten BankID som är viktiga att känna till. Begränsningen gäller det som kallas för ID-växling vilket inte är tillåtet enligt BankIDs egna regler. Många undrar vad det innebär, därför vill vi nu reda ut begreppet.

Man får inte använda BankID för att skapa en ny identitet

Vi brukar förklara ID-växling med att en typ av e-identitet används för att skapa en ny – eller för höja tilliten till en annan redan befintlig – identitet. För att ta ett konkret exempel skulle det kunna innebära att en användare loggar in med BankID för att under inloggningsförfarandet skapa en helt ny identitet. Det skulle exempelvis kunna vara ett användarnamn och lösenord som sedan används vid kommande inloggningar till samma tjänst, eller för den delen en annan tjänst.

Kort och gott får man alltså aldrig skifta e-legitimationer/e-identiteter där BankID är inblandat.

Men om man vill erbjuda fler sätt att logga in då?

När vi förklarar detta för våra kunder, så kommer ofta frågan “Men vad händer om vi vill erbjuda flera olika sätt för våra användare att logga in? Vi kommer ju att beställa både BankID, Freja eID+ och Telia e-legitimation, får vi inte göra det på grund av förbudet mot ID-växling?”

Svaret är “Jo, det får ni absolut!”. Det går nämligen utmärkt att erbjuda flera inloggningsmetoder parallellt, så länge man tar hänsyn till reglerna och inte växlar över till en annan identitet mitt i flödet (när BankID är involverat, vill säga).

Denna information är därför bra för er att ha i planeringen av ert inloggningsförfarande, eftersom konsekvensen av att inte följa BankIDs regler faktiskt kan medfölja att certifikatet blir spärrat med omedelbar verkan.

Nedan följer en mer korrekt förklaring av regeln kring BankIDs förbud av ID-växling:

När Kunden använder BankID för att identifiera E-kunder får denna identifiering inte användas som grund för att utfärda eller använda andra elektroniska identiteter för E-kunderna oavsett form (s.k. ”ID-växling). Brott mot denna föreskrift anses som ett sådant väsentligt kontraktsbrott som ger Banken rätt att säga upp Avtalet

 Om Kunden vill använda andra identifierings- och/eller signeringslösningar än BankID, måste den utgivningsprocessen ske på ett sådant sätt att verifieringen av E-kunden aldrig direkt eller indirekt grundar sig på eller kan kopplas samman med ett BankID.

Bara att höra av er med frågor!

Om ni behöver ett bollplank för planeringen av ert inloggningsflöde är ni varmt välkomna att kontakta oss, vi finns här för er!