Kan Digdir levere ut informasjon om SSN til Sluttbrukersystem?

[sivaglen]

I respons på "andre med rettigheter" eller "reportee" så maskerer vi fødselsnummer i svaret som gis til sluttbrukersystem. Dette gir utfordringer for SBS fordi de kan ikke være sikre på hvem dette egentlig er i deres systemer. SBS må da evt slå opp mot partyID for å være sikker på hvem dette er.

Mange SBS har ytret ønske om at vi leverer informasjon om SSN for bruker.

Fnr/dnr er ikke taushetsbelagt informasjon, men er en "begrenset" personopplysning Det kan være mulig å regulere utlevering av denne informasjonen gjennom avtale om bruksvilkår som inngås med SBS.

Skal fortsatt ikke eksponere SSN frontend, men bør vurderes om det kan eksponeres som nevnt ovenfor via API, med inngått avtale med SBS og API-nøkler. Ingen sluttbruker-API krever API-nøkkel på Altinn 3 p.t, kun autentisert brukerpålogging. Sluttbruker-API (disse har tilgang til disse API-ene: sluttbrukersystemløsninger, sluttbruker i form av virksomhet og innbygger)

### Tasks
- [ ] Gjør en analyse på om Digdir kan begynne å levere ut informasjon om brukeres SNN i forbindelse med tilgangsstyring slik at det blir enklere å identifisere hvem som har rettighet for noen og hvem en bruker har rettighet for.
- [ ] Avklar eksisterende avtalegrunnlag med SBS, og vurder endringer evt etablering av bruksvilkår på API (generelt)
- [ ] Det må etableres bruksvilkår for API, på tvers av produktene

Dokumentasjon

• Juridisk vurdering ligger her !NB Under arbeid
• Bruksvilkår
• Personvernerklæring
• Behandlingsprotokoll
• Ekstern dokumentasjon på docs

[jonkjetiloye]

Relatert sak: Ref:: https://altinndevops.slack.com/archives/CE5E06MC7/p1689144367058769

A2 sluttbruker API har i dag også krav om å måtte oppgi etternavn sammen med fødselsnr når dette gis som input til f.eks API for å utføre en ny delegering. Dette for å hindre at APIene kan misbrukes til å fiske etter gyldige f.nr og deretter kunne få ut full navn på person.

Dette antas må videreføres til også i nye APIer evt. som ett eget nytt API tilsvarende dagens ReporteeConversion i A2 hvor man kan slå opp intern PartyId for f.nr og etternavn kombo.

[benedicteos]

Til den relaterte saken i kommentar: Altinns API ikke skal brukes for å finne ut hvilke fnr som er i bruk og hvilke data som er knyttet til et fnr man tilfeldigvis sender inn og får treff på. Vi må fortsette å kreve etternavn sammen med fnr.

[jonkjetiloye]

Hva med info (SSN/Navn) på bruker/tilgangsstyrer hos virksomheten som har utført delegeringen? Antar det er informasjon vi ikke kan/skal utlevere i API knytt til rettigheter man avgiver har gitt eller mottatt fra andre? @rtafj @benedicteos

[rtafj]

@jonkjetiloye @benedicteos Vi opplyser i delegeringsloggen navnet på den som har utført delegeringen;

[jonkjetiloye]

@rtafj Stemmer at vi viser navn i delegeringsloggen. Vi har ikke noe API på denne i Altinn 2 i dag men det er jo også noe vi ønsker å tilby, gjennom en delegation event feed både for den som delegerer og den som mottar.

Så er i den kontekst jeg også ønsker å utfordre på om og i hvor stor grad vi skal/kan utlevere av informasjon om tilgangsstyrer til den som mottar rettigheter.

Skal det begrenses til bare navn? Navn og sensurert SSN? Fullt SSN virker som unødvendig mye info for den som mottar rettigheter.