Krav på multifaktorsinloggning för Nais

Nais är ett ärendehanteringssystem som underlättar det administrativa och personalkrävande arbetet för lärosätena kring dokumentation och kommunikation med studenter i behov av särskilt pedagogiskt stöd. Systemet används av 32 lärosäten i Sverige.

Datainspektionen (DI) har i ett tillsynsärende (dnr 2407-2016) kring Nais och BTH bl a konstaterat att Nais ”inte uppfyller säkerhetskraven i 31§ personuppgiftslagen beträffande åtkomst till känsliga personuppgifter över öppet nät”. DI förelägger därför BTH att ”vidta åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av personuppgifter i Nais, exempelvis genom att använda e-legitimation för samtliga användare som har åtkomst till uppgifter som rör studenternas personliga förhållanden via internet.” DI resonerar vidare kring kravet: ”När sådana personuppgifter kommuniceras via internet ska den personuppgiftsansvarige därför använda stark autentisering vid åtkomst till uppgifterna, exempelvis e-legitimation, engångslösenord eller motsvarande.” Observera att detta krav gäller samordnare och administratörer. Studenter omfattas inte av detta krav.

För mer information se utskick till SA- och IT-chefer vid aktuella lärosäten.