NYCKELN TILL ER DIGITALA FRAMGÅNG

Här hittar du information om hur du blir kund, våra olika prismodeller och svar på vanliga frågor. Tveka inte att ta kontakt med oss! mikael.emmet.johansson@frejaeid.se

3 SÄTT ATT INTEGRERA MED FREJA eID

För er som företag, myndighet eller annan organisation är det mycket enkelt att koppla på era användare till Freja eID. Allt som behövs är en enkel integration som hanteras av er tekniska personal och att era användare laddar ner appen och registrerar sig. Det finns 3 sätt att bli vår partner.

GENOM VÅRT API

Teckna avtal direkt med Verisec Freja eID AB och få ombord era användare via mobilappen Freja eID. Sänd en intresseanmälan till vårt försäljningsteam med era företagsuppgifter (namn, kontaktperson, tidsram för införande) så att vi kan diskutera hur ni kan komma igång med Freja eID.

Kontakta Oss

VIA VALFRIHETSSYSTEM OCH SWEDEN CONNECT

Offentlig sektor kan erhålla Freja eID genom att teckna avtal med DIGG – Myndigheten för digital förvaltning – valfrihetssystem 2017 E-legitimering och sedan integrera med tjänstefederationen Sweden Connect.

Läs Mer

GENOM EN PARTNER/INTEGRATÖR

Om en partner eller systemintegratör hanterar era ID-tjänster kan ni koppla er via dem. Vi har integrerat med de ledande leverantörerna, läs mer via länken nedan. Via några av dessa partners (CGI, Tieto, HiQ och Chas) kan ni också direktupphandla via Kammarkollegiets Ramavtal: IT och Telekom, Programvaror samt Tjänster – Informationsförsörjning.

BRA SAMARBETE GER BRA RESULTAT

Klicka för att se mer information om och kontaktuppgifter till våra partners nedan.

CGI

CURITY

DEVCODE

FAKTA

MOBILITY GUARD

Nexus

NEXUS

NILSSON
INTERNATONAL

PHENIX ID

Signicat

SIGNICAT

SVENSK E-IDENTITET

Tieto

TIETO

Visma

VISMA

Pulsen

PULSEN

Sefos

SEFOS

RelyIT

RELYIT

VANLIGA FRÅGOR

Hur integrerar vi med Freja eID?

Integrationen kan ske direkt via vårt REST API eller via en systemintegratör. Notera att det finns två separata API:er för integration mot Freja eID för personligt bruk hos användarna och ett annat API för användning av tjänstelegitimation med Organisations eID. Mer teknisk information kring integrationen hittar du här.

Vilka systemintegratörer är ni kopplade till?

Freja eID är i dagsläget kopplade till alla större systemintegratörer som CGI, Tieto och Visma men även till specialister inom identietshantering som Svensk e-Identitet och Signicat. Har vi ingen integration med den leverantör ni använder är det vanligtvis en snabb process för oss att lösa detta. En fullständig lista över de partners vi har avtal med idag finner du här.

Kan man ansluta sig via valfrihetssystem?

Ja, Freja eID kan upphandlas via Valfrihetssystem 2017 E-legitimering som hanteras av DIGG- Myndigheten för digital förvaltning. Avtalet ger upphandlande myndigheter (enligt LOU), tillgång till nya kvalitetsgranskade e-legitimationer. Valfrihetssystem som upphandlingsform förenklar såväl upphandling som avtalshantering. Den tekniska metoden i valfrihetssystemet underlättar även tekniskt för den upphandlande myndighetens införande av utländska e-legitimationer enligt eIDAS-förordningen (nr 910/2014). Observera att Valfrihetssystemet omfattar personligt bruk och inte i dagsläget för tjänstelegitimationer. Det finns inget Valfrihetsystem för detta ändamål i dagsläget.

Läs mer på DIGG:s hemsida.

Vad är Sweden Connect?

Sweden Connect är DIGG:s funktioner för elektronisk identifiering samt anslutningspunkten för eIDAS i Sverige. Genom att ansluta till Sweden Connect får myndigheter, kommuner, landsting och leverantörer till dessa tillgång till utländska e-legitimationer i sina svenska offentliga e-tjänster. Vid anslutning till Freja eID via Valfrihetssystem 2017 sker detta också via IdP:n i Sweden Connect.

I vilka länder finns Freja eID?

Freja eID finns i Sverige, Norge, Finland, Danmark och Storbritannien. Det är dock endast i Sverige vi kan erbjuda en statligt kvalitetsmärkt LOA3. I de övriga länderna gör vi samma ID-kontroll som i Sverige, förutom det sista steget som är ett fysiskt möte – något som i Sverige krävs för att kunna uppnå LOA3. Förutom de länder som anges ovan kan Freja eID användas på BAS-nivån vilket möjliggör tvåfaktorsautentisering och Strong Customer Authenticaion men inte med grundidentifierade användare.

Hur fungerar onboardingen av användare?

En av de stora fördelarna med Freja eID – jämfört med ID-hanteringssystem som ni själva driftar – är att vi står för hela processen att säkert onboarda och grundidentifera användare. Onboardingen sker i appen genom att användaren registrerar ett antal uppgifter, en giltig ID-handling och tar ett ID-foto. Dessa uppgifter kontrolleras sedan i vårt säkerhetscenter innan en e-legitimation utfärdas. För utfärdande av Freja eID Plus – som är den nivå som motsvarar LOA3 – krävs också ett fysiskt besök av användaren hos något av våra Freja eID-ombud runt om i landet. Läs mer om hur man registrerar sig för Freja eID här.

Hur kan vi lita på de identiteter ni utfärdar?

Såväl utgivningen som systemet för Freja eID är granskat och godkänt enligt DIGG:s tillitsramverk för e-legitimering. Det sker även löpande kontroller och revisioner av såväl DIGG som externa revisorer. Läs mer om tillitsramverket här.

Vilket ansvar tar Freja eID?

Freja eID tar ett skadeståndsansvar för den direkta skada som en förlitande part åsamkas på grund av fel i vår tjänst eller våra processer, där den förlitande parten inte haft anledning att misstänka brott, och där förlitande part har förlitat sig på en av oss utfärdad e-legitimation. Det kan exempelvis vara att vi ställt ut en e-legitimation till fel person som sedermera visar sig vara en bedragare som tillskansat sig pengar genom att ta lån i den rättmätige personens namn.

Vilken prismodell tillämpar Freja eID?

I huvudsak finns två olika prismodeller. I den ena modellen debiteras kunden för varje gång en användare identifierar sig med Freja eID, exempelvis loggar in eller gör en elektronisk underskrift. Den andra modellen är en prenumerationsmodell där vi kommer överens om ett fast, månatligt pris för obegränsad användning. Använder ni Freja eID för tjänstelegitimering eller Organisations eID i något annat sammanhang, är det prenumerationsmodellen som gäller. För användning av Freja eID som personlig e-legitimation för era användare kan ni välja mellan den tick-baserade modellen eller en prenumerationsmodell. Freja eID är gratis för slutanvändaren.

Kostar Freja eID något för användaren?

Nej, Freja eID är alltid gratis för användaren. Vi använder inte heller vår användardatabas för att göra reklam till användarna eller på annat sätt kapitalisera på användarbasen förutom de intäkter som vi får från de förlitande parterna för användandet av tjänsten.

Hur lång brukar en avtalsperiod vara?

En avtalsperiod är vanligtvis 24 eller 36 månader. Avtalsperioden vid anslutning via Valfrihetssystem 2017 följer de avtalsvillkor som för var tid är reglerade av DIGG.

Måste jag ha ett avtal med Freja eID även om jag går via en partner?

Ja, det måste finnas ett Förlitande Parts-avtal mellan Freja eID och den förlitande parten, även om det går via en partner eller systemintegratör.

Vilka LOA-nivåer stödjer Freja eID?

Freja eID finns i tre nivåer som motsvarar LOA1, LOA2 och LOA3. Det är dock endast LOA3-nivån som är kvalitetsmärkt av DIGG. Detta beror på att det i Sverige inte finns någon formell möjlighet att certifiera en e-legitimation på LOA1 eller LOA2.

Vad innebär kvalitetsmärket Svensk e-legitimation?

Svensk e-legitimation är statens egna kvalitetsmärke för e-legitimering, baserat på internationella standarder. För att skapa en samsyn i e-legitimeringsfrågan har svenska staten tagit fram kvalitetsmärket Svensk e-legitimation. Det är DIGG som, utifrån nationella och internationella säkerhetskriterier, granskar och godkänner svenska e-legitimationer för kvalitetsmärket.

Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har kvalitetsmärket Svensk e-legitimation, och användare kan känna sig trygga med att det är en säker identitetshandling.

Freja eID är godkänt för Svensk e-legitimation på LOA3 (Freja eID Plus) men även de tjänster som finns tillgängliga på LOA1 och LOA2 ingår i samma system och driftmiljö som den kvalitetsgranskade tjänsten.

Möter Freja eID kraven för SCA i PSD2?

Ja, Freja eID fyller alla de krav som ställs upp i EU:s Payment Services Directive 2 (PSD2) för att säkra onlinebetalningar med säker kundautentisering – Strong Customer Authentication (SCA).

Är Freja eID godkänd inom eIDAS?

Sveriges regering har ännu inte anmält någon e-legitimation till eIDAS och processen för detta är planerad att påbörjas under 2020. Freja eID är utformad i enlighet med de krav som finns inom eIDAS och vi har hemställt till regeringen att vi vill vara en e-legitimation som inkluderas när man påbörjar processen att ansluta till eIDAS.

Hur hanteras användardata?

När utvecklingen av Freja eID påbörjades fanns GDPR-ramverket tillgängligt och hanteringen av personuppgifterna kunde därmed skräddarsys helt i enlighet med det nya regelverket. Läs mer om hur vi hanterar personuppgifter i vår integritetspolicy här.

Viktigt att notera att det finns en skillnad i ansvar och hantering av användardata i den personliga e-legitimationen och i en e-tjänstelegitimation. Läs mer om detta i avsnittet om Organisations eID.

Vilka funktioner finns i Freja eID?

Freja eID kan användas för att identifiera användare vid inloggning och vid andra transaktioner på webben eller i en mobilapp. Vidare kan Freja eID användas för juridiskt bindande elektroniska underskrifter, kundonboarding, GDPR-samtycke, långlivade transaktioner, tvåfaktorsautentisering, tjänstelegitimation och en rad andra funktioner. Läs mer här

Vilka attribut kan Freja eID dela?

En grundläggande idé med Freja eID är att ge användaren kontroll över sitt digitala liv. Detta innebär att användaren alltid måste ge sitt uttryckliga samtycke varje gång en personuppgift delas med en förlitande part. De attribut som – med användarens samtycke – kan delas är personnummer, födelsedata, fysisk adress, e-postadress (1-3 st beroende på vad användaren har registrerat) samt mobiltelefonnummer (0-3 st beroende på vad användaren har registrerat). Detta gäller för Sverige och Norge. I Finland, Danmark och Storbritannien kan inte fysisk adress delas och i Storbritannien kan inte personnummer delas, då det inte finns något sådant.

Har ni även tecknat avtal för Organisations eID kan de attribut som ni adderat för denna tjänst också delas.

Hur skickas attributen?

De följer med i den identifieringsförfrågan ni ställer via vårt API.

Kan vi anpassa vilka attribut en användare väljer att dela?

För närvarande fungerar det så att ni definierar vilka attribut ni vill ha med i identiferingsförfrågan. Användaren måste därför ta ställning till att ge sitt samtycke till att dela samtliga dessa uppgifter eller att neka förfrågan, med konsekvensen att användaren inte kan nå er tjänst.

Vad är Organisations eID?

Det är en rollbaserad identitet, exempelvis en tjänstelegitimation. Det bygger på att användaren har fått ett Freja eID utfärdat med en godkänd ID-handling och till detta utfärdar organisationen ett eget attribut för användarens identifiering inom organisationen. På så sätt separeras den privata och den rollbaserade e-legitimationen.

Hur hanteras personuppgifter i Organisations eID?

Freja eID hanterar användarens personliga uppgifter, exempelvis namn, adress och personnummer, med stöd av samtycke. I en tjänstelegitimation kan dock personuppgifter som inte är hänförliga till användaren komma att hanteras, exempelvis om en tjänsteman hanterar ett beslut som innehåller en medborgares personuppgifter. Dessa personuppgifter kan endast hanteras i Freja eID ifall den förlitande parten som använder Organisations eID har ett personuppgiftsbiträdesavtal med Freja eID.

Hur hanteras och lagras transaktionsdata i Organisations eID?

Vi lagrar transaktionsbevis i 10 år. Detta inkluderar typ av transaktion, tidpunkt samt resultat. Vi lagrar också transaktionsinnehållet. Dock är det alltid den förlitande parten som är personuppgiftsansvarig för de attribut och den transaktionshistorik som uppstår av personuppgifter som de skickar in via Organisations eID. Förlitande parten äger sina attribut, sitt transaktionsinnehåll och historiken samt kan begära att vi raderar transaktionsdata eller att vi överlåter lagrat transaktionsdata.

Vad är skillnaden mellan personligt e-ID och Organisations eID?

I den personliga e-legitimationen ligger användarens samtycke till grund för hanteringen av personuppgifter. Eftersom ett samtycke aldrig kan omfatta någon annans personuppgifter kan därför inte tredjepartsuppgifter hanteras i den personliga e-legitimationen. Detta kan dock göras i Organisations eID eftersom det är den förlitande parten som är personuppgiftsansvarig och Freja eID agerar som personuppgiftsbiträde.

Vad är skillnaden för mig som förlitande part mellan ett personligt e-leg och ett Organisations eID?

Den personliga e-legitimationen utfärdas av Freja eID och vi tar ansvar för att individen är den han eller hon utger sig att vara, samt att de attribut vi samlar in är korrekta.

Ett Organisations eID bygger på attribut som ni som organisation tillhandahåller Freja eID, utöver de attribut vi har samlat in för att grundidentifiera individen. Detta kan vara ett AD-användarnamn, anställningsnummer, arbetsmejl eller någon annat som identifierar individen inom er organisation. Er organisation är därmed utfärdare av dessa attribut och personuppgiftsansvarig för dem samt ansvariga för att informationen som tillhandahålls Freja eID är korrekt.

Vem har kontrollen över ett Organisations eID?

Användning av både personliga och Organisations eID är helt under användarens kontroll, liksom attribut som lagras inom ramen för den personliga e-legitimationen.

Attribut och transaktionshistorik av Organisations eID kontrolleras istället av den förlitande parten. Det är den förlitande parten som adderar det attribut som Organisations eID utfärdas med och det är också den förlitande parten som har kontrollen av att avsluta Organisations eID för användaren. Användaren måste dock ge sitt samtycke till att den förlitande parten adderar ett Organisations eID till dennes Freja eID.

Varför behövs ett personuppgiftsbiträdesavtal för Organisations eID?

Det krävs för att den förlitande parten och dess användare skall kunna hantera transaktioner som innehåller personuppgifter om tredje part, det vill säga uppgifter som saknar laglig grund att hanteras endast baserat på användarens samtycke.

Vem har ansvar för utgivningen av Organisations eID?

Det är den förlitande parten som har ansvaret för utfärdandet och avslutandet av Organisations eID. Det är den förlitande partens ansvar att det attribut som adderas till användarens Organisations eID är korrekt. Freja eID kan inte ta ansvar för det fall att ett attribut i Organisations eID utfärdas till en användare på felaktiga grunder. Freja eID:s ansvar är begränsat till de attribut vi har utfärdat, exempelvis namn, födelsedata och adress.

Hur sker integrationen av Organisations eID?

Den förlitande parten integrerar via Freja eID:s REST API för Organisation eID. Notera att detta är ett separat API från det som hanterar Freja eID för personlig e-legitimering.

Hur sker on- och offboarding av användare?

Till att börja med måste användaren ha skaffat Freja eID och gått igenom processen för att lägga till en ID-handling och bli godkänd i vår utgivningsprocess för den personliga e-legitmationen. Därefter kan den förlitande parten addera ett Organisations eID till användaren innehållande beskrivning av ID:t, logotyp, beskrivning av attributet samt attributets värde. Användaren får därefter ge sitt samtycke att Organisations eID läggs till, genom att göra en digital underskrift med sitt personliga Freja eID. Vid offboarding av en användare raderar den förlitande parten Organisations eID attributet för användaren och således kopplingen mellan förlitande parten och individen.

Vilka attribut kan jag lägga till i ett Organisations eID?

För närvarande stödjer vi tillägg av ett attribut per användare. Till detta kan ni lägga till en beskrivning av attributet, er logotyp samt en beskrivning av vad ni vill kalla ert Organisations eID. Formatet på attributet är valfritt och ni kan också lägga till olika attribut för olika användargrupper, med anpassade beskrivningar för varje attribut.

Vad har användaren för rättigheter kring Organisations eID?

Användaren måste ge sitt samtycke till att det läggs till ett Organisations eID på dennes Freja eID.

Användaren kommer att se transaktionshistoriken från Organisations eID i Mina Sidor så länge den förlitande parten har detta aktivt för den aktuelle användaren. Efter att den förlitande parten har avslutat Organisations eID för användaren raderas transaktionshistoriken från Mina Sidor.

På vilka tillitsnivåer finns Organisations eID?

För närvarande kan Organisations eID utfärdas ifall användaren har genomgått processen för att lägga till ID-handling i Freja eID samt även på tillitsnivå 3, ifall användaren har blivit godkänd för Freja eID Plus.

Ingår Organisations eID automatiskt när man har ett avtal med Freja eID?

Nej, för att använda Organisations eID krävs ett separat avtal inklusive ett personuppgiftsbiträdesavtal.