Vedvarende brukeridentifikasjon med eID-er

Digitale plattformer og tjenester er avhengige av vedvarende brukeridentifikasjon for å kunne gjenkjenne brukerne sine på tvers av flere interaksjoner. Vedvarende brukeridentifikasjon baserer seg på å knytte brukerens identitet innenfor applikasjonens domene til en unik identifikator som forblir konstant over tid. Riktig implementering er avgjørende ikke bare for å skape en optimal brukeropplevelse, men også for å sikre samsvar med det europeiske GDPR-regelverket.

I dette blogginnlegget diskuterer vi hvordan krav utstedt av eID-leverandører kan brukes til å implementere vedvarende brukeridentifikasjon i tredjepartsapplikasjoner. Vi foreslår spesifikke krav som kan brukes til dette formålet, og fremhever fordelene ved å bruke permanente pseudonyme identifikatorer som et alternativ til standard personnummer. Vi bruker det danske MitID og det norske BankID som eksempler.

Forståelse av anonyme vs. pseudonyme data

Pseudonymisering og anonymisering er to teknikker som brukes for å redusere personvernrisikoen ved behandling av personopplysninger. De omtales ofte i forbindelse med personvernforordningen.

Anonymisering innebærer å fjerne personidentifikatorer fra dataene på en måte som gjør det umulig å knytte dataene tilbake til en identifiserbar person. Når det gjelder personvern og privatlivets fred, gjør anonymisering personopplysninger ikke-personlige. Ikke-personlige eller anonyme data omfattes ikke av GDPR.

Et eksempel på anonyme data kan være et aggregert datasett som viser gjennomsnittshastigheten til kjøretøy på en bestemt vei, uten noen form for personidentifiserende informasjon.

Pseudonymisering, derimot, er en omforming som gjør personopplysninger uidentifiserbare for en bestemt person uten tilleggsinformasjon. Denne teknikken innebærer vanligvis å erstatte direkte identifiserende informasjon som navn, personnummer eller fødselsdato med et pseudonym: en verdi som ikke direkte avslører den enkeltes identitet.

Et eksempel på pseudonyme data er en persons kjørekort, der navn og førerkortnummer erstattes av en unik identifikator.

Oppsummert kan man si at pseudonymisering gjør personopplysninger uidentifiserbare med mindre supplerende informasjon er tilgjengelig, mens anonymisering helt forhindrer reidentifisering.

Til tross for at pseudonyme data fortsatt klassifiseres som personopplysninger i henhold til den europeiske personvernforordningen, anerkjenner personvernforordningen pseudonymisering som en egnet personverngaranti som reduserer risikoen for misbruk av personopplysninger. Når det er nødvendig å behandle personopplysninger, er pseudonyme identifikatorer derfor å foretrekke fremfor direkte identifiserende informasjon.

Bruk av eID-leverandørers påstander for brukeridentifikasjon

Når en bruker logger seg på en applikasjon med sin nasjonale eID, mottar applikasjonen krav utstedt av eID-leverandøren. Disse påstandene inneholder informasjon om brukerens identitet, for eksempel personnummer, fødselsdato, navn og andre personlige opplysninger.

JWT-påstandene som utstedes av Idura Verify, kan ses i eksemplene nedenfor.

Når applikasjonen mottar disse påstandene, kan den trekke ut brukerinformasjonen fra dem og bruke den til å autentisere brukeren, bestemme tilgangstillatelser og tilpasse brukeropplevelsen.

Eksempel: Dansk MitID JWT Token-innhold:

{
    "identityscheme": "dkmitid",
    "nameidentifier": "0f9960a0d28d4353a3e2ea07f8ffa185",
    "sub": "{0f9960a0-d28d-4353-a3e2-ea07f8ffa185}",
    "uuid": "74ffcd31-fbaf-4c33-bdac-169f25c1e416",
    "cprNumberIdentifier": "2101270087",
    "birthdate": "1927-01-21",
    "age": "93",
    "name": "Severin Poulsen",
    "country": "DK"
}

Eksempel: Norsk BankID JWT Token-innhold:

{
    "identityscheme": "nobankid-oidc",
    "nameidentifier": "ee9b1bb905a6458e9f3b9d068f1a3765",
    "sub": "{ee9b1bb9-05a6-458e-9f3b-9d068f1a3765}",
    "uniqueuserid": "9578-6000-4-351726",
    "birthdate": "1946-03-27",
    "socialno": "27034698436",
    "family_name": "Olsen",
    "given_name": "Ole",
    "name": "Ole Olsen",
    "country": "NO"
}

Velge brukeridentifikatorer

Alle applikasjoner som omfatter brukerinnlogging, vil vanligvis lagre brukerprofiler i en database, der hver bruker er knyttet til en unik og vedvarende ID. Ved eID-pålogging er det et godt alternativ å bruke kravet som mottas fra en eID-leverandør, som denne vedvarende ID-en.

Men hvilket krav skal vi velge?

Det danske CPR-nummeret(cprNumberIdentifier) og det norske personnummeret(socialno) kan ved første øyekast virke som gode alternativer. Det er imidlertid verdt å ta følgende i betraktning:

1. Personnummer kan brukes til å identifisere en person direkte. Disse identifikatorene er ikke pseudonyme, noe som skaper ytterligere GDPR-bekymringer.
2. Disse numrene kan endres i visse situasjoner.

Heldigvis tilbyr de fleste eID-er pseudonyme verdier som kan knyttes til brukerens identitet, og som er vedvarende gjennom hele eID-ens levetid.

• For dansk MitID fungerer uuid-kravet som et vedvarende pseudonym som identifiserer enkeltpersoner på en unik måte. Det er den danske MitID-person-ID-en som brukes av myndighetene til å identifisere borgere og ansatte.
  
  
• For norsk BankID identifiserer verdien bankid_altsub den juridiske personen. I Idura claims er bankid_altsub tilgjengelig som unikbrukerid.

bankid_altsub og uuid er markedsspesifikke, men megleruavhengige permanente pseudonyme personidentifikatorer. Disse verdiene forblir konstante selv om SSN/CPR-nummeret endres, og de anses ikke for å være sensitive data.

• I tillegg tilbyr Idura et sub -krav som er basert på permanente pseudonyme -verdier som oppgis av en eID (for eksempel uuid og bankid_altsub). Det identifiserer en eID-bruker unikt per Idura Verify-bruker. Dette kravet fungerer som et godt alternativ til SSN/CPR-nummer når Idura brukes som eID-leverandør.

sub er derimot en markedsagnostisk, men meglerspesifikk permanent pseudonym personidentifikator.

Siden de fleste eID-er tilbyr pseudonyme verdier som også er mer robuste enn de nasjonale CPR- og SSN-numrene, anbefaler vi at du velger disse identifikatorene eller bruker et Idura-spesifikt sub-krav som brukeridentifikator i søknaden din.

Konklusjon

Det er viktig å understreke at selv pseudonyme data potensielt kan brukes til å reidentifisere enkeltpersoner hvis de kombineres med annen informasjon. Derfor må organisasjoner prioritere å implementere robuste databeskyttelsestiltak når de behandler alle former for personopplysninger.

Når det gjelder bruk av krav fra eID-leverandører for vedvarende brukeridentifikasjon, bør utviklere imidlertid velge pseudonyme identifikatorer i stedet for direkte identifiserende personnummer. Denne tilnærmingen bidrar til å redusere personvernrisikoen og sikre samsvar med GDPR-regelverket.

Har du noen spørsmål? Ikke nøl med å kontakte supportteamet vårt via Slack eller e-post.