Krav på multifaktorsinloggning för Nais

Nais är ett ärendehanteringssystem där studenter med en varaktig funktionsnedsättning kan ansöka om att få särskilt pedagogiskt stöd i sina studier vid svenska universitet och högskolor. Systemet underlättar det administrativa och personalkrävande arbetet för lärosätena kring dokumentation och kommunikation med studenterna. Nais används av 32 lärosäten i Sverige.

Datainspektionen (DI) har i ett tillsynsärende (dnr 2407-2016) kring Nais och BTH bl a konstaterat att Nais ”inte uppfyller säkerhetskraven i 31§ personuppgiftslagen beträffande åtkomst till känsliga personuppgifter över öppet nät”. DI förelägger därför BTH att ”vidta åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av personuppgifter i Nais, exempelvis genom att använda e-legitimation för samtliga användare som har åtkomst till uppgifter som rör studenternas personliga förhållanden via internet.” DI resonerar vidare kring kravet: ”När sådana personuppgifter kommuniceras via internet ska den personuppgiftsansvarige därför använda stark autentisering vid åtkomst till uppgifterna, exempelvis e-legitimation, engångslösenord eller motsvarande.” Observera att detta krav gäller samordnare och administratörer. Studenter omfattas inte av detta krav.

För mer information se utskick till SA- och IT-chefer vid aktuella lärosäten och Tillsyn enligt personuppgiftslagen (1998:204) - angående behandling av personuppgifter i Nais.

Status:

• 2018-03-25: SWAMID har tagit fram en testtjänst för att identitetsutgivare ska kunna testa sin implementation av personverifierad multifaktorinloggning - https://mfa-check.swamid.se/
• 2018-09-12: SWAMID har tagit fram en policy för personverifierad multifaktorinloggning via SWAMID - https://www.sunet.se/swamid/policy/al2mfa/
• 2018-12-03: eduID har driftsatt stöd för personverifierad säkerhetsnyckel som andra faktor vid inloggning.
• 2019-03-13: UHR slog på kravet för personverifierad multifaktorinloggning i Nais.