Regelverk för identitetsfederationer för Svensk e-legitimation

Relevanta dokument
Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Regelverk för identitetsfederationer för Svensk e-legitimation

Regelverk för identitetsfederationer för Svensk e-legitimation

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Regelverk för identitetsfederationer för Svensk e-legitimation

för identitetsfederationer för Svensk e-legitimation

Ärendenr Regelverk. Valfrihetssystem 2017 E-legitimering. Sida 1 av 18

Regelverk. Valfrihetssystem 2017 E-legitimering

Ärendenr Regelverk. Valfrihetssystem 2018 E-legitimering. Sida 1 av 19

för identitetsfederationer för Svensk e-legitimation

Förvaltningsforum 20 maj maj

Infrastrukturen för Svensk e-legitimation

Svensk e-legitimation

Förfrågningsunderlag

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Anslutningsavtal. inom identitetsfederationen för offentlig sektor. för leverantör av eid-tjänst

Personuppgiftsbiträdesavtal

Svensk e-legitimation Hearing om regelverksremiss

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Överenskommelse om myndighetssamverkan

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Årsrapport Itincidentrapportering

BILAGA 3 Tillitsramverk Version: 1.3

Marknaden år 2012 för elektronisk legitimering och underskrift inom offentlig sektor

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Avtal om Kundens användning av 1177 Vårdguiden på Telefon

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

BILAGA Personuppgiftsbiträdesavtal

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Normativ specifikation

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Finansinspektionens författningssamling

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

(5)

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal

Bilaga 11. Mall för leveransavtal

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Svensk författningssamling

BILAGA 3 - SUPPORT OCH KONTAKTER

Svevac - Beskrivning och tjänstespecifika villkor

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Rutiner för tillämpning av lex Sarah

Lokala rutiner för Lex Sarah Mars 2014

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Policy Underskriftstjänst Svensk e-legitimation

PERSONUPPGIFTSBITRÄDESAVTAL

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

E-legitimationsdagen - Seminariepass - Spår 1

Svensk e-legitimation

PERSONUPPGIFTSBITRÄDESAVTAL

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Bilaga Personuppgiftsbiträdesavtal

Tillägg om Zervants behandling av personuppgifter

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Riktlinjer för hantering av personuppgifter

Anvisningar för behandling av personuppgifter

Kommunal verksamhetsutveckling och e- tjänster, 19 september Verksamhetsutveckling för e-tjänster i kommuner och landsting

AVTAL OM SAMVERKAN. för. gemensam uppföljning inom området för arbetsmarknadsinsatser för unga arbetssökande genom möjlighet att lämna statistik till

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

BILAGA 3 - SUPPORT OCH KONTAKTER

Bilaga 5 Administration och kontroll

BILAGA 3 Tillitsramverk

Informationssäkerhet för samhällsviktiga och digitala tjänster

BILAGA 3 Tillitsramverk Version: 2.02

Bilaga - Personuppgiftsbiträdesavtal

Bilaga 3 Säkerhet Dnr: /

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Utredningen om genomförande av NIS-direktivet

Samverkansmodellen. Samverkansmodellen. Version: 03.00

Tillsyn efter inträffad integritetsincident i fakturasystem

Marknaden år 2011 för elektronisk legitimering och underskrift inom offentlig sektor

BILAGA 3 Tillitsramverk Version: 1.2

Informationssäkerhetspolicy

Lokala rutiner vid hantering av rapporter och anmälningar enligt lex Sarah. En del av kvalitetsarbetet

E. Uppsägning av rapporteringsbehörighet med personligt kort (se anvisningar)

Tekniskt ramverk för Svensk e- legitimation

Högsta förvaltningsdomstolen meddelade den 25 juni 2018 följande dom (mål nr ).

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Ärendet Västra Götalandsregionens läns landsting har ansökt om förnyat tillstånd att bedriva medicinsk röntgenverksamhet.

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Tegehalls revisionsbyrå och dataskyddsförordningen

INFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS

Hjälpmedelstjänsten. - Beskrivning och tjänstespecifika villkor

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Diarienummer Datum Kravspecifikation. Posttjänster för äldre och

Transkript:

1 (7) Regelverk för identitetsfederationer för Svensk e-legitimation Bilaga J Rapporteringsrutiner

2 (7) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till huvudtexten i Regelverk för identitetsfederationer för Svensk e-legitimation (Regelverket). De begrepp som definieras i huvudtexten har samma betydelse i denna bilaga. 1.2 Bilagan redovisar de rutiner som ska gälla avseende rapportering av säkerhetsrelaterade händelser, funktionsfel och övriga störningar samt statistik, prognoser och andra uppgifter enligt vad som framgår av Regelverket för: (c) (d) Federationsoperatörens rapportering, Leverantörer av eid-tjänsts rapportering, Tillhandahållare av e-tjänsts rapportering, samt Federationsoperatörens återkoppling till rapporteringsskyldiga parter. 2. Definitioner I denna bilaga betyder Rapporteringspliktig incident: en oönskad och oplanerad händelse som kan påverka Användare, Tillhandahållare av e-tjänst eller den generella tilltron till Svensk e-legitimation, eller som kan innebära en störning i aktuell Parts förmåga att fullgöra åtaganden enligt Regelverket, Allvarlig driftstörning: Rapporteringspliktig incident som har påverkan på aktuell Parts förmåga att fullgöra de driftrelaterade åtaganden som följer av Regelverket och som kan innebära en betydande störning för Tillhandahållare av e-tjänst, samt Allvarlig säkerhetsincident: Rapporteringspliktig incident med påverkan på säkerhetsskyddet omgärdande hanteringen av e-legitimationer, som kan komma att föranleda omedelbara åtgärder från Federationsoperatörens sida.

3 (7) 3. Kontaktvägar 3.1 Federationsoperatören ska rapportera till Leverantörer av eidtjänst samt till Tillhandahållare av e-tjänst. 3.2 Leverantörer av eid-tjänst och Tillhandahållare av e-tjänst ska rapportera till Federationsoperatören. 3.3 Varje Leverantör av eid-tjänst och Tillhandahållare av e-tjänst ska: etablera och upprätthålla kontaktvägar för rapportering till och från Federationsoperatören, och hålla Federationsoperatören underrättad om aktuella kontaktvägar och kontaktuppgifter för denna rapportering. 3.4 Rapportering och återkoppling ska ske med elektroniska medel. 4. Incidentrapportering 4.1 Part ska utan dröjsmål rapportera Allvarliga driftstörningar och Allvarliga säkerhetsincidenter. 4.2 Så länge en händelse, som är rapporterad enligt punkt 4.1, är pågående ska rapporteringsskyldig Part hålla rapportmottagare uppdaterad om händelsen. 4.3 Incidentrapport enligt 4.1 ska omfatta: (c) (d) (e) (f) (g) (h) den rapporterande Partens namn (rapportör), kort beskrivande benämning på händelsen (namn), unik referens för händelsen (referens), status på händelsen (status), kategorisering av händelsen (kategorisering), när händelsen inträffade eller den uppskattade tidpunkten för den (tidpunkt), när Parten upptäckte händelsen (upptäckt), en översiktlig beskrivning av händelsen (beskrivning), och

4 (7) (i) bedömning av händelsens omfattning och konsekvenser samt annan information som kan vara av värde för övriga Parter (analys). Rapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. Om rapporteringsskyldig Part inte har fullständiga uppgifter i alla delar för rapporten vid rapporteringsögonblicket kan rapporten kompletteras vid senare tillfälle. I vissa fall kan det vara lämpligt eller nödvändigt att lämna begränsat med information i incidentrapporten. Det kan till exempel gälla om händelsen polisanmäls eller för att inte känslig information ur ett informationssäkerhetsperspektiv ska avslöjas. Se även avsnitt 10 om allmän handling. 4.4 På anmodan av Federationsoperatören ska en rapporteringsskyldig Part komplettera inlämnade uppgifter om en Rapporteringspliktig incident med de uppgifter som behövs för att klarlägga hur händelsen kan påverka säkerhetsskyddet omgärdande hanteringen av e-legitimationer. 4.5 En rapporteringsskyldig Part, som använder sig av underleverantör för att utföra del av tjänst, ska genom avtal med underleverantören säkerställa att Rapporteringspliktiga incidenter kan hanteras och rapporteras på det sätt som framgår av denna bilaga. 5. Kvartalsvis rapportering 5.1 Leverantörer av eid-tjänst ska vid slutet av varje kvartal sammanställa en rapport avseende: alla Rapporteringspliktiga incidenter som inträffat under det gångna kvartalet, sammanställt med antal händelser fördelade på kategori och påverkansgrad, och utfall av servicenivåer och avvikelser från i regelverket fastställda servicenivåer i enlighet med Bilaga C Servicenivåer. 5.2 Den kvartalsvisa rapporten ska avse helt kvartal och rapporteras senast i efterföljande månad.

5 (7) 5.3 Den kvartalsvisa rapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 6. Prognoser 6.1 Varje Tillhandahållare av e-tjänst ska senast den 1 september lämna en prognos för kommande år med följande innehåll: (c) (d) (e) (f) beräknat totalt antal begärda Identitetsintyg för legitimering per år (för de tre närmsta åren), beräknat totalt antal begärda Identitetsintyg för underskrifter per år (för de tre närmsta åren), fördelningen av det totala antalet Identitetsintyg över årets månader med angivande av perioder med särskilt hög belastning, antal unika Användare per år (för de tre närmsta åren), antal e-tjänster (för de tre närmsta åren), samt antal nya e-tjänster (ange år när de planeras sättas i drift). 6.2 Prognosen ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 7. Statistik 7.1 Leverantör av eid-tjänst ska varje månad sammanställa och redovisa följande statistik per Tillhandahållare av e-tjänst, fördelat på de e-tjänster som Tillhandahållaren av e-tjänst har representerade i Identitetsfederationens metadaregister: antal utfärdade Identitetsintyg, och antal Användare som intyg utfärdats till. 7.2 Leverantörer av eid-tjänst ska rapportera in statistik till Federationsoperatören månadsvis.

6 (7) 7.3 Statistikrapporten för Leverantör av eid-tjänst ska avse kalendermånad och rapporteras senast den 15:e i efterföljande månad. Av rapporten ska framgå vilken månad som avses för rapporterad statistik. 7.4 Statistikrapporten ska, såvitt avser struktur och format, utformas enligt Federationsoperatörens vid var tid skäligen lämnande instruktioner. 7.5 Rapporterat statistikunderlag ska inte medge att det går att härleda enskilda transaktioner mellan Användare och e-tjänst. 8. Federationsoperatörens återkoppling 8.1 Federationsoperatören ska ge återkoppling till rapporteringsskyldiga Parter vad som framkommit av incidentrapporteringen och operatörens arbete i övrigt avseende säkerhetsfrågor. 8.2 Återkoppling ska ges regelbundet och i övrigt när det behövs för säkerhetsskyddet inom Identitetsfederationen. 9. Övrig rapportering 9.1 Leverantör av eid-tjänst ska till Federationsoperatören rapportera planerade ändringar i tjänst såsom nya eller ändrade funktioner i tjänst eller andra ändringar som kan ha påverkan för Tillhandahållare av e-tjänst eller för användarna av tjänsten. 9.2 Leverantör av eid-tjänst ska rapportera alla väsentliga förändringar i leverantörens utförande av sina åtaganden enligt Regelverket. 9.3 Rapportering av ändringar enligt 9.1 och 9.2 ska ske minst sex (6) månader före det att ändringen träder i kraft, såtillvida ändringen inte är föranledd av allvarliga säkerhetskäl, beslut av domstol eller annan myndighet eller annat särskilt skäl. I sådant fall ska Leverantör av eid-tjänst snarast möjligen rapportera ändringen samt sakligt redogöra för de skäl som föranleder frånsteget. 9.4 Vid rapportering av väsentliga förändringar enligt 9.2 ska Leverantör av eid-tjänst bifoga dokumentation till stöd för Federationsoperatörens bedömning av fortsatt uppfyllelse av krav enligt Regelverket.

7 (7) 9.5 Övriga viktiga händelser som har eller kan ha påverkan på Identitetsfederationen, tjänst eller för användarna av tjänsten ska rapporteras. 10. Allmän handling, sekretess, persondataskydd, etc. 10.1 Information som inkommer till eller lämnas ut av Federationsoperatören blir allmän handling hos myndigheten E-legitimationsnämnden. Allmän handling kan begäras utlämnad. Vid utlämnade ska en sekretessprövning ske. Men även om myndigheten bedömer att handlingen inte kan lämnas ut på grund av att handlingen innehåller uppgifter som omfattas av sekretess kan det inte garanteras att handlingen inte kommer att lämnas ut, eftersom myndighetens beslut kan komma att prövas i domstol. Rapportering till och från Federationsoperatören bör därför inte omfatta information som kan skada säkerhetsskyddet inom Identitetsfederationen eller annat typ av information som kan betraktas som affärshemlig. 10.2 Behandling av personuppgifter regleras av personuppgiftslagen. I Regelverket framgår också hur ansvar för behandling av personuppgifter fördelas mellan Parterna. För det fallet att någon Part lämnar ut personuppgifter till annan Part i samband med rapportering kan den mottagande Parten bli ansvarig gentemot den rapporterande Parten för den vidare behandlingen av personuppgifterna. Personuppgifter bör i så liten omfattning som möjligt ingå i rapporteringen mellan Parterna.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss