Nets DanID A/S Lautrupbjerg 10 DK - 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 www.nets.eu CVR-nr. 30808460 INSTRUKS FOR OFFENTLIG RA Februar 2015 P. 1-8
Indholdsfortegnelse 1. Generelt... 4 1.1. RA-hierarki... 4 1.2. Uddannelse og adgang til RA-systemer... 5 2. Registrering af certifikatansøger i systemet... 5 2.1. Kontrol og registrering af forevist legitimation... 5 2.2. Udlevering af Nøglekort og Midlertidigt Adgangskodebrev... 5 2.3. Bestilling af Nøglekort og Adgangskodebreve... 6 2.4. Opbevaring af Nøglekort og Adgangskodebreve... 6 2.5. Svagtseende Borgere... 6 2.6. Blinde Borgere... 6 2.7. Danske statsborgere uden fast bopæl i Danmark eller Grønland og Borgere i Danmark og Grønland med navne- og adressebeskyttelse... 7 2.8. Udenlandske statsborgere... 7 3. Borger support... 7 3.1. Spærring... 7 3.2. Løbende kontrol... 8 Februar 2015 P. 2-8
Versionsfortegnelse 11. maj 2010 Version 1.0 MOBO 14. oktober 2010 Version 2.0 MOBO 10. juni 2012 Version 3.0 PKRIS 17. februar 2015 Version 4.0 LLOUA Februar 2015 P. 3-8
1. Generelt Denne instruks beskriver de opgaver som offentlige myndigheder, der har påtaget sig at være registration authority (RA), varetager i forbindelse med udstedelse af den offentlige digitale signatur NemID på vegne af Nets DanID. Den nærmere beskrivelse af de opgaver, RA skal udføre, fremgår af arbejdsgangsbeskrivelsen i bilag 5. RA har følgende hovedopgaver: 1. Straksudstedelse af NemID - kræver legitimation og bekræftelse af borgerens identitet 2. Registrering af NemID uden bekræftelse af Borgerens identitet, kræver at Nøglekort sendes til folkeregisteradressen 3. Udlevering af Midlertidigt Adgangskodebrev eller pr. sms til personer med navne og adressebeskyttelse 4. Udlevering af Midlertidigt Adgangskodebrev eller pr. sms til danske statsborgere med fast bopæl i udlandet. En række områder i denne instruks uddybes yderligere i procedurer og vejledninger, som Nets DanID stiller til rådighed for RA-medarbejderen. 1.1. RA-hierarki Der er 3 forskellige roller en medarbejder kan have i forbindelse med RA funktionen: RA-medarbejder, som er den, der udfører de fire RA-opgaver, der er beskrevet i afsnittet ovenfor, og som er uddannet af superbrugeren Superbrugeren, som har gennemgået superbrugeruddannelse hos Nets DanID med henblik på at kunne vejlede og stå for undervisningen af RA-medarbejdere. Superbrugeren vil pr. definition også være RA-medarbejder RA-administratoren, som er den, der tildeler rettigheder så RA-medarbejderen kan få adgang til RA-portalen. I det følgende beskrives de særlige krav, der knytter sig til hver af de tre roller. 1.1.1. RA-medarbejder RA-medarbejderen må først efter at have gennemført Nets DanIDs e-learning-program under vejledning af en superbruger registrere Borgere i RA-portalen, sådan som det fremgår af arbejdsgangsbeskrivelser for RA funktion for borgerservice og af denne instruks. 1.1.2. Superbruger Superbruger har gennemført uddannelsesprogram hos Nets DanID og kan efterfølgende træne kommende RA-medarbejdere vha. Nets DanIDs e-learning-program. Hvis superbrugeren ikke er RA-administrator, meddeler superbrugeren RA-administratoren, når en ny medarbejder har gennemført træning via superbrugeren og derfor skal have RAmedarbejderrettigheder. Februar 2015 P. 4-8
1.1.3. RA-administrator RA-administratoren kan tildele RA-medarbejder rettigheder gennem RA portalen, hvorefter medarbejderen kan registrere Borgere i RA-portalen. RA-administratoren kan tildele RAmedarbejder rettigheder til sig selv, men det er ikke påkrævet og må kun ske, hvis RAadministrator tillige opfylder betingelserne for at være RA-medarbejder. RA-administrator kan tildele RA-administrator rettigheder gennem RA-portalen. Vejleding til RA-administratorer skal udleveres til og gennemlæses af nye RA-administratorer. Der udnævnes flere RA-administratorer for eksempel for at sørge for dækning i ferieperioder, ved fratrædelse af nuværende RA-administrator eller lignende. 1.2. Uddannelse og adgang til RA-systemer I forbindelse med indgåelse af en RA-aftale med Nets DanID skal den offentlige RA lade RAmedarbejdere gennemgå en superbruger-uddannelse hos Nets DanID, inden medarbejderne får adgang til den offentlige RA-portal. Hos den offentlige RA vil der være nogle få udpegede RA-administratorer, der kan administrere den enkelte myndigheds RA-medarbejdere. Den første RA administrator oprettes i forbindelse med aftaleindgåelse med Nets DanID. Derudover skal myndigheden udpege et par superbrugere, der skal sikre, at den enkelte RA-medarbejder har gennemført den nødvendige uddannelse, inden der gives adgang til RA-portalen. 2. Registrering af certifikatansøger i systemet RA skal godkende ansøgning om Offentlig digital signatur, når Borgeren har legitimeret sig behørigt, og RA-medarbejderen har gennemført den anviste procedure, jf. arbejdsgangsbeskrivelserne i bilag 5: Udstedelse af NemID og Udstedelse af NemID til blinde Borgere. RA-medarbejderen skal loyalt medvirke til udstedelsen af Offentlig digital signatur. RA forpligter sig jf. RA-aftalen til at sikre, at kun Borgere der opfylder kravene for at få udstedt Offentlig digital signatur, herunder legitimationskravene og kravet om bekræftelse af borgerens identitet, kan indrulleres i systemet. 2.1. Kontrol og registrering af forevist legitimation RA skal kontrollere, at den foreviste legitimation er gyldig og registrere hvilken type legitimation, der har ligget til grund for verifikation af en given Borgers identitet. Den nærmere beskrivelse heraf fremgår af legitimations- og identifikationsafsnittene i arbejdsgangsbeskrivelserne i bilag 5. 2.2. Udlevering af Nøglekort og Midlertidigt Adgangskodebrev Hvis Borgeren fremviser tilstrækkelig legitimation og besvarer kontrolspørgsmål eller stiller med et vitterlighedsvidne i forbindelse med Straksudstedelse, kan RA udlevere Nøglekort og Midlertidigt Adgangskodebrev til Borgeren efter kontrol af legitimation og identitet, samt registrering af oplysningerne i RA-portalen. Februar 2015 P. 5-8
Borgeren har dog mulighed for at få Nøglekort sendt til folkeregisteradressen med posten fra Nets DanID, hvis Borgeren ikke ønsker at besvare kontrolspørgsmål eller at stille med et vitterlighedsvidne.. Den Midlertidige Adgangskode kan også sendes til Borgeren pr. sms, hvis Borgeren ønsker dette. Procedurer for udlevering er beskrevet i arbejdsgangsbeskrivelsen i bilag 5. Hvis Borgeren ikke har fremvist tilstrækkelig legitimation og besvaret kontrolspørgsmål korrekt, eller stillet med et vitterlighedsvidne ved Straksudstedelse, må Nøglekortet ikke udleveres og skal altid sendes til Borgerens folkeregisteradresse. I forbindelse med udleveringen skal RA vejlede Borgere om forsvarlig anvendelse af Offentlig digital signatur, Bruger-id, Nøglekort og Adgangskode, når Borgeren får adgang til at benytte disse, jf. bilag 6 (NemID-Regler), samt sikre at Borgeren har forstået og accepteret NemIDreglerne. 2.3. Bestilling af Nøglekort og Adgangskodebreve Til brug for blandt andet Straksudstedelsen skal RA-medarbejderen selv bestille Nøglekort, Midlertidigt Adgangskodebreve og cd-rom til blindeløsningen igennem RA-portalen. RA bør være opmærksom på at bestille ekstra Nøglekort og Midlertidigt Adgangskodebreve, når den offentlige RA afholder kampagner for Offentlig digital signatur, da der ofte skal bruges særligt mange kort inden for kort tid. 2.4. Opbevaring af Nøglekort og Adgangskodebreve Nøglekort, Midlertidigt Adgangskodebreve og cd-rom til blindeløsningen skal opbevares sikkert i aflåst gemme indtil udlevering, så det ikke er muligt at kopiere eller stjæle materialet. Materialet må under ingen omstændigheder åbnes af andre end den rette rekvirent, dvs. Borgeren der tildeles Midlertidigt Adgangskodebrev, Nøglekort eller cd-rom. 2.5. Svagtseende Borgere RA-medarbejdere skal spørge svagtseende Borgere, om de ønsker at benytte Nøglekort med stor skrift. Nøglekort med stor skrift kan udleveres eller sendes til Borgerens adresse som standard Nøglekort. Borgere kan bede RA-medarbejderen om Nøglekort med stor skrift. RA-medarbejderen registrerer dette i RA-portalen. Der kræves ikke dokumentation for dårligt syn. 2.6. Blinde Borgere Blinde Borgere kan få Offentlig digital signatur, når RA kan dokumentere, at dokumentationskravene i legitimationsafsnittet i arbejdsgangsbeskrivelsen Udstedelse af NemID til blinde Borgere er opfyldt. RA skal registrere den type legitimation, der har ligget Februar 2015 P. 6-8
til grund for verifikation af den givne blinde Borgers identitet, samt hvordan Borgerens identitet er blevet bekræftet (cpr-spørgsmål eller vitterlighedsvidne). RA skal altid registrere Borgerens telefonnummer for at muliggøre udsendelse af nøgler til Borgeren via telefon. Hvis den blinde Borger har legitimeret sig med legitimation og bekræftet sin identitet, kan cd-rom med Midlertidig Adgangskode udleveres. 2.7. Danske statsborgere uden fast bopæl i Danmark eller Grønland og Borgere i Danmark og Grønland med navne- og adressebeskyttelse Danske statsborgere uden fast bopæl i Danmark eller Grønland og Borgere i Danmark og Grønland med navne- og adressebeskyttelse kan bestille Offentlig digital signatur på www.nemid.nu. I den forbindelse har Borgeren, ved at angive en offentlig RA i Danmark eller Grønland som afhentningssted, mulighed for at hente en Midlertidig Adgangskode hos den offentlige RA. For at sikre, at Borgeren har legitimeret sig behørigt, skal RA gennemføre den anviste procedure i arbejdsgangsbeskrivelsen, Udlevering af Midlertidig Adgangskode til danske statsborgere uden fast bopæl i Danmark eller Grønland, Udstedelse af NemID eller Udlevering af Midlertidig Adgangskode til Borgere med navne- og adressebeskyttelse. 2.8. Udenlandske statsborgere Udenlandske statsborgere kan også få NemID med Offentlig digital signatur, hvis de har et dansk CPR-nummer og i øvrigt er i stand til gyldigt at legitimere sig, sådan som det fremgår af legitimationsafsnittene i arbejdsgangsbeskrivelsen i bilag 5. Såfremt cpr-registeret ikke indeholder fornødne oplysninger til, at Borgerens identitet kan verificeres, skal Borgeren stille med et vitterlighedsvidne. 3. Borger support RA skal assistere med genudstedelse af den offentlige digitale signatur, hvis Borgeren har glemt sit kodeord, efter bekræftelse af Borgerens identitet (vha. cpr-spørgsmål eller et vitterlighedsvidne). RA kan udlevere nye Nøglekort til eksisterende Brugere efter tilstrækkelig identifikation af Borgeren. 3.1. Spærring RA skal straks spærre OCES-certifikatet, hvis RA bliver bekendt med, at Borgeren ønsker at spærre sit OCES-certifikat eller afslutte brugen heraf der er vished eller mistanke om, at andre har fået eller kan have fået kendskab til Borgerens Private nøgle Borgerens Private nøgle er ødelagt Februar 2015 P. 7-8
der er konstateret unøjagtighed i OCES-certifikatets indhold eller anden information knyttet til Borgeren Borgeren ikke overholder Regler for NemID med Offentlig digital signatur. RA skal straks anmode Nets DanID om at spærre OCES-certifikatet. 3.2. Løbende kontrol Den offentlige RA skal sikre og dokumentere over for Nets DanID, at RA-medarbejdere ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. Det påhviler RA-administratoren at sikre, at dette er gjort inden en medarbejder tildeles rettigheder som RA-medarbejder. Det påhviler endvidere RA løbende at føre kontrol med, at RA-medarbejdere ikke misbruger sine rettigheder i forbindelse med udførelse af betroede opgaver for Nets DanID. Dette skal dokumenteres over for Nets DanID Nets DanID straks orienteres om evt. brister på sikkerheden i forbindelse med RAopgaverne. Nets DanID stiller krav om, at myndighedens organisation, procedurer og arbejdsgange vedrørende RA opgaverne er skriftligt dokumenterede. Procedurer skal godkendes af Nets DanID inden idriftsættelse. Som anført i RA-vilkårene skal RA etablere en procedure, der sikrer, at en opdateret instruks og arbejdsgangsbeskrivelse fra gyldighedstidspunktet indgår som grundlag for varetagelse af RA s opgaver. Februar 2015 P. 8-8