Agenda för SWAMID BoT 2018-06-20 kl 10.30-12.00

Plats: Videomöte, Zoom på: https://sunet.zoom.us/j/679594307

Agenda

Minnesanteckningar

Deltagare

• Valter Nordh

Adjungerade

• Pål Axelsson
• Fresia Pérez

Ansökningar om att bli godkända för tillitsnivåer

SU ansökan om bli godkänd för tillitsprofilen SWAMID AL2 (PA)

Datainspektionens tillsyn av Nais (PA)

Nais är ett ärendehanteringssystem där studenter med en varaktig funktionsnedsättning kan ansöka om att få särskilt pedagogiskt stöd i sina studier vid svenska universitet och högskolor. Systemet underlättar det administrativa och personalkrävande arbetet för lärosätena kring dokumentation och kommunikation med studenterna. Nais används av 32 lärosäten i Sverige.

Datainspektionen gjorde en tillsyn baserat på PuL mot BTH angående Nais våren 2017 där DI förelägger BTH, och därigenom alla lärosäten som använder Nais, i tre olika punkter; 1) Att upphöra behandla känsliga personuppgifter baserat på samtycke. 2) Att tydliggöra för studenten för den sökande studenten vem som är personuppgiftsansvarig. 3) Att endast mottagande handläggare kan ta del av personuppgifter i Nais. För tredje punkten exemplifierar DI med inloggning med e-legitimation för att säkerställa att det är rätt individ.

UHR tog åt BTH fram en åtgärdsplan för de tre punkterna. När det gäller åtkomst till känsliga personuppgifter för handläggare var svaret att 2-faktorsinloggning ska införas under 2018.

UHR tog i januari kontakt med SWAMID för att få hjälp med att införa 2-faktorsinloggning i inloggning i Nais eftersom Nais använder SWAMID för inloggning. Efterssom behovet av multifaktorinloggning (som är den moderna termen för 2-faktorsinloggning) ökar, bl.a. beroende på den nya Dataskyddsförordningen med komplementlagstiftning, prioriterades detta arbete inom SWAMID Operations.

SWAMID och Nais dokumenterar gemensamt det aktuella arbetet i Sunets wiki på adressen https://wiki.sunet.se/display/MFAiNAIS.

Två utskick om MFA-kravet i Nais har gjots till IT- och SA-chefer på aktuella lärosäten.

Beslut om MFA profilen (PA)

För att möte behovet av multifaktorinloggning i Nais utan att begränsa användningen har SWAMID Operations policygrupp tagit fram en ny multifaktorinloggningsprofil för SWAMID. Den nya profilen är användbar för användare vid svenska lärosäten även för andra tjänster både i Sverige och inom andra akademiska federationer anslutna till eduGAIN.

Den nya profilen består i princip av tre delar:

• Administrativa krav i hanteringen av multifaktorn vid utdelande, utbyte och borttagande
  • En multifaktor får inte kopplas till personens konto endast genom att användaren loggar in och registrerar egen multifaktor utan kopplingen måste ske genom
    • utdelande på samma sätt som lärosätet genomför kontoutdelning när en person får ett konto med tillitsnivå SWAMID AL2 eller
    • utdelande där personen under processen för att få tillgång till multifaktorn uppvisar legitimation (det är denna som är krav för Nais).
  • Användaren måste kunna byta ut sin multifaktor.
  • Lärosätet måste kunna spärra användningen användarens multifaktor om behov finns.
  • Det är möjligt, men inte ett krav, att personen kan samtidigt ha mer än en multifaktor registrerad och aktiv kopplade till sin användare.
• Tekniska krav på multifaktorlösningen
• Tekniska krav för att använda multifaktorinloggning i SWAMID

eduID, framtidsplaner (FP)

eIDAS samarbetet, syfte och mål (VN/FP?)

SWAMID Operations, policy gruppen (PA)

Ladok och AL2, MFA (MD)

Nästa möte (slutet på sept)

Övriga frågor