NemLog-in

Offentlige myndigheder som hører under frikøbsaftalen for NemLog-in, har mulighed for at benytte WAYF som teknisk leverandør af NemLog-in. Med en almindelig teknisk integration til WAYF får organisationen mulighed for at lade brugere identificere sig med NemID via NemLog-in, både borgere og medarbejdere.

En almindelig use case er: nulstilling af adgangskode for oprettede brugere som har glemt deres kodeord: Brugeren kan i stedet logge ind med NemID (via NemLog-in) og blive genkendt ved hjælp af CPR-nummer. På det grundlag kan der gives adgang til at brugeren kan lave et nyt password til sin konto. Dét kan spare meget support-tid eksempelvis for en uddannelsesinstitution med mange brugere.

Men NemLog-in kan også bruges som den primære login-metode ved en webtjeneste med WAYF-integration, hvorved brugerne vil få helt den samme login-oplevelse som ved mange velkendte selvbetjeningsløsninger fra det offentlige.

Hvis en institution eller tjenesteudbyder vil bruge NemLog-in via WAYF, foregår tilslutningen på helt samme måde som når andre webtjenester tilsluttes WAYF: Der skal laves en teknisk integration mellem tjenesten og WAYF, og man skal være indforstået med vilkårene. Læs her om tilslutning af tjenester til WAYF.

Tidligere skulle man indgå en skriftlig aftale med Digitaliseringsstyrelsen for at måtte bruge NemLog-in gennem WAYF; men det skal man ikke længere. Nu skal WAYF blot påse at NemLog-in kun leveres til offentlige myndigheder.

Hvis man er interesseret i at bruge NemLog-in gennem WAYF, skal man henvende sig til WAYF-sekretariatet, som vil afgøre om ens organisation er berettiget. I tvivlstilfælde kan Digitaliseringsstyrelsen blive inddraget.


Vær opmærksom på at vilkårene for brug af NemLog-in gennem WAYF snart ændrer sig – og at WAYF allerede nu også leverer MitID ved siden af NemID. Læs nærmere her. Kommende vilkår (under forhandling med Digitaliseringsstyrelsen) vil formentlig omfatte:

En tjenesteudbyder er ved sin brug af NemLog-in gennem WAYF ved sin tjeneste indforstået med følgende vilkår:

Tilslutning. For at få sin tjeneste tilsluttet NemLog-in gennem WAYF skal tjenesteudbyderen først tilslutte tjenesten til WAYF og være indforstået med vilkårene for tjenesteudbyderes deltagelse i WAYF. Tjenesteudbyderen får så adgang til identity provider'en NemLog-in ved derudover at tiltræde nærværende særlige vilkår, som har forrang for de netop omtalte generelle vilkår for tjenesteudbyderes deltagelse i WAYF.

Kun for offentlige myndigheder. Tjenesteudbyderen indestår over for WAYF for: enten selv at være omfattet af Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer eller: alene at benytte NemLog-in som led i assistance til således omfattede organisationer (de dataansvarlige). Tjenesteudbyderen indestår over for WAYF for alene at bruge NemLog-in gennem WAYF som led i løsningen af myndighedsopgaver i egen eller andre organisationer.

Sikringsniveauer. For hver del af sin tjeneste eller hele tjenesten skal tjenesteudbyderen fastsætte det minimalt nødvendige NSIS-sikringsniveau på grundlag af en risikovurdering. Vejledning og værktøj hertil findes på Digitaliseringsstyrelsens hjemmeside. Tjenesteudbyderen er derudover indforstået med at autentifikationer fra NemLog-in gennem WAYF højst kan svare til NSIS-sikringsniveauet Betydelig og aldrig til niveauet Høj. [bør måske ikke ekspliciteres?] Tjenesteudbyderen må ikke på grundlag af en autentifikation fra NemLog-in gennem WAYF give den autentificerede nogen adgang til sin tjeneste som ifølge Tjenesteudbyderens risikovurdering forudsætter et højere NSIS-sikringsniveau end det som fremgår af autentifikationsbilletten. Tjenesteudbyderen er derfor forpligtet til at kontrollere at sikringsniveauet i enhver autentifikationsbillet er tilstrækkeligt.

Single-sign-on. Tjeneste kun kan opnå single-sign-on med andre tjenester i NemLog-in-føderationen hvis udbyderen for tjenesten har registreret en single logout-URL; WAYFs kald heraf med en logout-forespørgsel skal medføre at brugeren mister sin session ved tjenesten, hvorpå tjenesten skal svare WAYF med et logout-svar.

Krypteringskrav. Tjenesten kan kun modtage autentifikationer fra NemLog-in gennem WAYF hvis dens udbyder har oplyst en offentlig krypteringsnøgle til WAYF. Her menes ikke TLS, men særskilt kryptering af autentifikationer før afsendelse til tjenesten.

Dataansvar. [læs også bilag2!] Tjenesteudbyderen eller hver organisation på hvis vegne han er tilsluttet NemLog-in gennem WAYF, er dataansvarlig for de personhenførbare oplysninger som han modtager i autentifikationsbilletterne fra NemLog-in gennem WAYF. Tjenesteudbyderens indsamling af persondata sker fra WAYF, som er dataansvarlig efter sin modtagelse af hver tilsvarende autentifikationsbillet fra Digitaliseringsstyrelsen.

Formidlingsforbud. Tjenesteudbyderen eller hver organisation på hvis vegne han modtager autentifikationer fra NemLog-in gennem WAYF, må ikke videregive autentifikationerne til andre dataansvarlige.

Omfang af rådighed. WAYF kan kun kan stille NemLog-in til rådighed for tjenesteudbyderen i det omfang Digitaliseringsstyrelsen stiller NemLog-in til rådighed for WAYF. Eksempelvis må tjenesteudbyderen acceptere at NemLog-in gennem WAYF er ude af drift hvis Digitaliseringsstyrelsen har sat NemLog-in ud af drift over for WAYF. Derudover stiller WAYF kun selve autentifikationsløsningen og ikke andre elementer af NemLog-in (såsom digital signering) til rådighed for tjenesteudbyderen.

Ansvarsfraskrivelse. Tjenesteudbyderens brug af NemLog-in gennem WAYF sker på eget ansvar og uden muligt erstatningsansvar for WAYF. Tjenesteudbyderen kan i relation til sin brug af NemLog-in gennem WAYF hellerikke rejse krav mod Digitaliseringsstyrelsen eller nogen af dens leverandører eller samarbejdspartnere medmindre den mulighed skulle følge af lovgivningen.

Vilkårsændringer. Vilkårene her kan ændres uden varsel. Tjenesteudbyderen er forpligtet til løbende at holde sig orienteret om de til enhver tid gældende vilkår som publiceret på www.wayf.dk.

Vederlagsfrihed. Tjenesteudbyderens brug af NemLog-in gennem WAYF sker vederlagsfrit.

Support. WAYF yder så vidt muligt tjenesteudbyderen support, ved tilslutning og løbende, som sigter på at få forbindelsen til NemLog-in til at fungere. Slutbrugerne skal tjenesteudbyderen selv supportere. Ved oplevede driftsforstyrrelser skal tjenesteudbyderen i udgangspunktet orientere sig på Digitaliseringsstyrelsens hjemmeside, kun sekundært på WAYFs.

Interface. WAYF tilbyder, meget fleksibelt, Tjenesteudbyderen at modtage NemLog-in ad de samme protokoller og i de samme formater som WAYF bruger over for enhver anden tjeneste i føderationen.

De identificeredes alder. Autentifikationer modtaget fra NemLog-in kan svare til fysiske personer i alderen 13 år og opefter.

Opkrævningsforbud. Tjenesteudbyderen ikke må opkræve gebyr fra slutbrugere for autentifikationer fra NemLog-in gennem WAYF.

Sikkerhedskrav. (2) [Tjenesteudbydere må ikke fravige de sikkerhedskrav, som Brokeren har videreført over for Tjenesteudbyderen, og] Tjenesteudbyderen må ikke i nogen sammenhæng udsætte NemLog-in og tilknyttede løsninger, herunder MitID-løsningen, for sikkerhedsrisiko med hensyn til ægthed, integritet og fortrolighed. Tjenesteudbyderen er forpligtet til uden ugrundet ophold at underrette slutbrugere og WAYF om eventuelle sikkerhedsbrud. I tilfælde af brud på persondatasikkerheden skal Tjenesteudbyderen delagtiggøre WAYF i al korrespondance han måtte føre med Datatilsynet om bruddet.

Afledte identiteter. Hvis Tjenesteudbyderen benytter en autentifikation fra NemLog-in gennem WAYF til at etablere en afledt identitet med egen autentifikationsmekanisme, må autentifikationer med en sådan mekanisme ikke fremstilles, omtales eller på anden måde gengives som en autentifikation fra NemLog-in eller en autentifikation fra af identifikationsordninger som NemLog-in formidler, herunder MitID. Digitaliseringsstyrelsen eller WAYF kan på ingen måde gøres ansvarlig for sikkerhed eller andre forhold relateret til en sådan lokal autentifikation. Dét indebærer bl.a. at oplysninger om evt. spærring, suspendering af en slutbrugers identifikationsmiddel eller yderligere forhold om identiteten knyttet hertil ikke længere har effekt over for Tjenesteudbyderen. [Tjenesteudbyderen skal i den sammenhæng informeres om sikkerhedsaspekterne vedrørende sådanne autentifikationer,] Tjenesteudbyderen er selv ansvarlig og bærer selv risikoen for sådanne lokale autentifikationers validitet og sikkerhedsmæssige kvalitet.

Sessionsvarighed. Tjenesteudbyderen skal konfigurere sit it-system sådan at evt. brugersessioner udløber efter at slutbrugeren har været inaktiv i en periode. Den samlede sessionslængde for en NemLog-in-autentifikation hos Tjenesteudbyderen må maksimalt have en udstrækning på 8 timer, hvorefter slutbrugeren skal re-autentificeres via NemLog-in gennem WAYF. Tjenesteudbyderen kan dog forlænge sessionen ud over de 8 timer hvis følgende krav er opfyldt:

  • Slutbrugeren er aktiv under hele sessionen, jf. krav om sessionsafslutning ved inaktivitet.
  • Der er et konkret sagligt forretningsbehov for at den pågældende session skal have en sessionslængde på mere end 8 timer, herunder at formålet med slutbrugerens autentifikation og anvendelse af udbyderens tjeneste fortabes hvis sessionen ikke kan opretholdes.
  • Det er ikke muligt med rimelige midler at indrette udbyderens tjeneste sådan at forretningsbehovet fortsat kan opfyldes inden for en maksimale sessionslængde på 8 timer.

WAYF videresender enhver login­forespørgsel fra Tjenesteudbyderen til NemLog-in og har ingen sessionsdata ud over hvad der er nødvendigt for at kunne udføre single loguout.

Kendetegn. Den visuelle identitet og de designkomponenter der stilles til rådighed for NemLog-in infrastrukturen, må alene anvendes i forbindelse med Autentifikation via NemLog-in. Det er ikke tilladt for Tjenesteudbyderen at anvende disse til understøttelse af egne eller tredjeparts services. Tjenesteudbyderen er forpligtiget til at overholde de gældende regler for brug af NemLog-ins og MitIDs kendetegn (herefter blot kendetegn), herunder navne, logoer og domænenavne samt øvrigt materiale med tilknytning til Partnerskabet[?] og MitID. Retningslinjer for UX/UI og kommunikation relateret til NemLog-in og MitID fremgår af Digitaliseringsstyrelsens tjenesteudbydersite. Tjenesteudbydere har en brugsret til kendetegn og er forpligtet til at anvende disse kendetegn i forbindelse med at der tilbydes Autentifikation via NemLog-in-løsningen, og markedsføring heraf. Retningslinjerne kan ændres, og kendetegn kan ændres helt eller delvist. Tjenesteudbyderen er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer. Tjenesteudbyderen er ved ophør af brug af NemLog-in gennem WAYF forpligtet til at fjerne enhver henvisning til kendetegn og ophøre med brugen heraf medmindre anden aftale indgås med en rettighedshaver.

Spærring. WAYF kan spærre Tjenesteudbyderens adgang til at bruge NemLog-in hvis Tjenesteudbyderen i væsentligt omfang ikke overholder nærværende vilkår, Tjenesteudbyderens adfærd i øvrigt udgør en sikkerhedsrisiko, eller Tjenesteudbyderen udviser en adfærd der i væsentligt omfang påvirker eller er egnet til at påvirke Slutbrugernes opfattelse af NemLog-in og tilknyttede løsninger, herunder MitID-løsningen, negativt.


For slutbrugere som tilgår tjenester med NemLog-in gennem WAYF gælder følgende privatlivspolitik:

Privatlivspolitik for brug af NemLog-in gennem WAYF

Herunder finder du oplysninger – ordnet i ni punkter – om dine rettigheder i forbindelse med den behandling af dine personoplysninger som finder sted når du benytter NemLog-in-tjenester gennem WAYF. WAYF v/ Danmarks Tekniske Universitet er dataansvarlig for behandlingen af dine personoplysninger i forbindelse med NemLog-in gennem WAYF.

1. Kontaktoplysninger for den dataansvarlige

DeiC – Danish e-Infrastructure Cooperation
DTU Forskningsnettet
Asmussens Allé
Bygning 305, 3. sal
2800 Kgs. Lyngby
CVR-nr.: 30060946 – P-nr.: 1025571629
Tlf.: 31269288
E-mail: sekretariat@wayf.dk

2. Kontaktoplysninger for databeskyttelsesrådgiveren

DTU
Att. DPO
Asmussens Allé
Bygning 305
2800 Kongens Lyngby
E-mail: dpo@wayf.dk
Tlf: 35888202

3. Formålene med og retsgrundlaget for behandlingen af dine personoplysninger

Formålet med behandlingen at gøre det muligt for dig at identificere dig med NemLog-in i online-tjenester som udbydes af offentlige virksomheder ifm. løsningen af myndighedsopgaver. Behandlingen sker på grundlag af §13 i Lov om MitID og NemLog-in og har derfor hjemmel i Databeskyttelsesforordningen art. 6, stk. 1, litra e – Behandling af personoplysninger kan ske, hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

4. Kategorier af personoplysninger

Vi behandler identifikationsoplysninger, herunder oplysning om for- og efternavn, e-mailadresse, fødselsdato, IP-adresse, PID-nummer, RID-nummer, UUID-nummer, CVR-nr., køn og CPR-nummer.

5. Modtagere eller kategorier af modtagere

Vi overlader dine personoplysninger til WAYFs databehandler NORDUnet A/S, som bistår med drift og administration af vores it-systemer. Og vi videregiver dem til udbyderen af den tjeneste som du ønsker at identificere dig over for, fx en uddannelsesinstitution, hvor du vil tilgå et eksamenssystem.

6. Hvor dine personoplysninger stammer fra

Alle oplysninger vi behandler om dig, indsamler vi fra Digitaliseringsstyrelsen, når du giver dig til kende i NemLog-in, typisk med dit NemID eller MitID.

7. Opbevaring af dine personoplysninger

Når du anvender NemLog-in via WAYF for at få adgang til en tjeneste, opbevarer vi i nogle få sekunder dine personoplysninger i systemet. Af sikkerhedsmæssige årsager logges dine personoplysninger når du bruger NemLog-in. Loggen opbevares i 6 måneder, hvorefter den slettes.

8. Dine rettigheder

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af oplysninger om dig. Hvis du vil gøre brug af dine rettigheder skal du kontakte os. Du har ret til at få indsigt i de oplysninger vi behandler om dig, samt en række yderligere oplysninger. Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne i særlige tilfælde i henhold til databeskyttelsesforordningen. Du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger. Læs mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder på datatilsynet.dk.

9. Klage til Datatilsynet

Du har ret til at indgive en klage til Datatilsynet hvis du er utilfreds med den måde vi behandler dine personoplysninger på. Find Datatilsynets kontaktoplysninger på datatilsynet.dk.