Identifisering
Virksomheter uten registreringsrett som skal identifiseres, må kunne få sin egen identitet, og dette må være en identitet som kan brukes flere ganger, i flere kontekster, systemer og på tvers av sektorer. Å identifisere en virksomhet uten registreringsrett er forskjellig fra å gi den en rolle eller tilgang. Den som skal vurdere om tilgang skal kunne gis, må kunne få vite hvordan identiteten har oppstått, for å vurdere om en kan ha tiltro til påstand om identitet. Det er datasettet knyttet til identiteten andre aktører kan ha tillit til.
Vurderinger ved identifisering
Datakonsument, datatilbyder og forvalter av fellesløsning må vurdere:
- Hva er god tilnærming for god identifisering
- Hvilke løsninger kan benyttes for god identifisering
- Hvilke risiki og sårbarheter må man begrense eller unngå
Beste praksis for god identifisering
Datakonsument, datatilbyder og forvalter av felles/sektor-løsninger bør benytte følgende anbefalinger for god identifisering:
For virksomheter med organisasjonsnummer: Benytt sertifikater utstedt til virksomheten.
For virksomheter uten registreringsrett i Enhetsregisteret:
- Identifiser fysiske personer som har en bemyndiget rolle i virksomheten som er beskrevet i et register autoritativt for virksomheten.
- Bruk sertifikater knyttet til virksomheten på sektor eller hovedenhetsnivå.
For fysiske personer benytt e-ID med anerkjent sikkerhetsnivå:
- Har personen F- eller D-nummer, kan personen identifiseres gjennom ID-porten, med e-ID på nivå betydelig eller høyt.
- Personer fra EU /EØS kan i stor grad identifiseres med eID fra hjemlandet. Benytt eIDAS-knutepunktet i ID-porten. Man mottar et datasett med høy grad av gjenkjennbarhet over tid. Løsningen dekker ikke alle land.
Farer ved identifisering
Unngå utlån og misbruk av ekte identiteter:
- Vær sikker på at personen som står bak innloggingen er den samme som identifiseres
- Sjekk at konsument eller tilbyder ikke fremstår som en annen gyldig virksomhet.
Unngå falske identiteter:
- Unngå at personer kan identifisere seg med en ikke gyldig eller falsk identitet.
- Unngå at konsument eller tilbyder fremstår som en ikke gyldig virksomhet for konteksten datadelingen skjer i.