Beskrivelse av tiltak under "Helhetlig tilgangsstyring" hentet fra levert satsningsforslag

Helhetlig tilgangsstyring

Altinn som komplett autorisasjonsløsning for offentlig sektor

Altinn har tilgang til Enhetsregisteret og Folkeregisteret, og har bygget en unik autorisasjonsmodell med basis i roller og rettigheter i norske virksomheter. Rettigheter til tilgang og bruk av offentlige data er hjemlet i ulike lovverk og kjennskapen til dem er spredd på ulike institusjoner. Ved å inkludere autorisasjonsoversikt fra flere kilder vil Altinn kunne tilby både private og offentlige virksomheter en samlet oversikt over autorisasjonstilganger på tvers av mange ulike autorisasjonskilder og dermed være et nav for autorisasjon for det offentlige Norge.

Oppdatering av Altinns autorisasjonskopi av grunndataregistre skjer i dag hovedsakelig en gang hvert døgn. Dette gjør at nyregistreringer og endringer får en forsinkelse fra de blir oppdatert i registrene og til endringen er registrert i Altinn.  Det er viktig at endringer i grunndataregistre som kan påvirke brukeres tilganger til digitale tjenester blir registrert så raskt som mulig i Altinn for å unngå misbruk og potensiell feilautorisert tilgang til sensitiv informasjon. Altinn må derfor videreutvikles med sanntidstilgang til grunndataregistre, og flere grunndataregistre må knyttes til løsningen.

Forbedret autorisasjonsfunksjonalitet

Det er flere aspekter ved dagens autorisasjonsløsning i Altinn som hindrer at ulike bruksscenarier kan utføres, og at behovene for autorisasjon, tilgangsstyring og tilgangskontroll ikke er dekket fullt ut. For å unngå unødig tidsbruk skal det bli enklere å be om å få tildelt en rolle eller rettighet i Altinn fra en overordnet ansatt med slik myndighet. Forespørsler om å få tilgang til en digital tjeneste, vil effektivisere tilgangsstyringen i stor grad, og skal innføres som en sentral del av løsningen for tilgangsstyring.

Det fins flere scenarier der rett til å benytte en digital tjeneste i et avgrenset tidsrom, vil være nyttig (tidsbegrenset tilgangsstyring). Brukerundersøkelser har vist at det er mange brukstilfeller hvor midlertidige rettighetstildelinger etterspørres, spesielt i relasjon til midlertidige ansettelser, vikarer osv.

Brukergrensesnittet for tilgangsstyring er i de siste årene forenklet og har blitt meget brukervennlig for innbyggere og brukere i mindre virksomheter. For brukere i større virksomheter, kommuner og offentlig sektor, som må håndtere et bredt spekter av tilganger, er det fortsatt et stort behov for forbedringer.

Altinn APIer for autorisasjon og tilgangskontroll har på noen områder begrenset funksjonalitet. For at Altinn autorisasjon fullt ut skal dekke behovene må APIene videreutvikles og standardiseres.

Samtykke

Autorisasjonstiltaket Samtykke benytter Altinns modell for autorisasjon som grunnlag. Samtykke er noe en sluttbruker gir andre, enten midlertidig innenfor et gitt tidsrom, eller et antall ganger, eller permanent. Samtykke er en fleksibel måte å samhandle på, siden det kan være hendelsesstyrt og tidsbegrenset.  Det forenkler manuelle prosesser der en tredjepart gis tilgang til en gitt type informasjon eller tjeneste fra en sluttbruker. Informasjonsdelingen skjer i dag i stor grad papirbasert. Samtykke er kort sagt samhandling på brukerens premisser.

Samtykkefunksjonaliteten, slik den er realisert i dag, er en absolutt minimumsløsning som krever videreutvikling for at løsningen skal kunne utnyttes fullt ut og oppnå tillit fra tjenesteeiere og sluttbrukere. Det skal bli mulig å samtykke til deling av data i brukerens meldingsboks, gi forhåndssamtykker og engangssamtykker. Brukere skal kunne forespørre andre parter om å få et samtykke.

Oversikt over data som deles

En viktig faktor da samtykkebasert lånesøknad ble realisert var at Skatteetaten allerede jobbet med å opprette APIer for deling av dine data med sine partnere (for eksempel NAV). Denne delingen var hjemlet i lovverk. Finansnæringen hadde ingen slik hjemmel, men fikk tilgang til de samme APIene med et samtykke. Det finnes mange slike APIer fra flere offentlige aktører, og deling av brukerens data vil altså skje på flere grunnlag.

Arbeidet som pågår med å etablere en felles nasjonal datakatalog (og en satsning på felles nasjonal API katalog) er også viktig i dette bildet. Datakatalogen skal gi en oversikt over data forvaltningen sitter på. I tillegg vil den inneholde felles begrepsbeskrivelser av data og tjenester de ulike virksomhetene forvalter. Dette legger til rette for mer gjenbruk av data og bedre samhandling på tvers av forvaltningen.

Når forvaltningen får oversikt over hvilke data som finnes og som kan deles, så må også brukeren få oversikt over hva som deles, på hvilket grunnlag, og dette må henge sammen. Brukerens profil i Altinn må utvides slik at brukeren kan få en total oversikt over data som deles basert på samtykke og hvilke data som deles hjemlet i lovverk. Tjenester for å logge deling og bruk av data må tilgjengeliggjøres for forvaltningen.