Skatteetatens juridiske vurdering av systembruker

Skatteetaten har fått spørsmål om den nye systembrukerløsningen som kommer med Altinn 3 er sikker nok. Våre jurister har derfor foretatt en grundig vurdering av systembrukerløsningen, for å undersøke om løsningen tilfredsstiller formelle krav, regelverk og lover.

Vår konklusjon er at systembruker ivaretar sikkerheten på en tilfredsstillende måte for handlinger som utføres i et sluttbrukersystem, enten handlingen er initiert av part eller noen med adgang til å handle på vegne av parten. Videre at meldinger kan sendes og mottas trygt mellom sluttbrukersystemet og parten(e).

Vi har gjennomgått løsningsarkitekturen grundig, og sett på flere ulike rollekonstellasjoner og partsforhold, for å verifisere at løsningen er sikker, uavhengig av hvordan og hvem som bruker den.

Krav for å få tilgang

Skatteetaten har utarbeidet bruksvilkår som ytterligere forplikter databehandlere og leverandører når det gjelder særskilte regler for behandling av personopplysninger og annen data. For å få tilgang til spesifikke data om en konkret part, undersøkes det at den aktuelle parten har autorisert det aktuelle sluttbrukersystemet.

For at et sluttbrukersystem skal få tilgang til Skatteetatens APIer, må systemleverandøren først være registrert i Altinn Autorisasjon. Tilgangssøknad sendes via maskinporten, hvor også Skatteetatens bruksvilkår må aksepteres for å kunne få tilgang. Bruksvilkårene stiller flere krav til systemet, blant annet krav til sikkerhet og autentisering. For at det skal gis tilgang til spesifikke data om en konkret part, undersøkes det også at den aktuelle parten har autorisert det aktuelle sluttbrukersystemet.

Med disse forutsetningene vurderer Skatteetaten at systembrukerløsningen gir et trygt og effektivt grunnlag for system-til-system-kommunikasjon.

Videre arbeid

Skatteetaten vil følge opp løsningen i lys av endringer i regelverk og teknologi, samt etablere rutiner for jevnlig revisjon av bruksvilkår og autorisasjonsprosesser, i samarbeid med Digdir og brukerne.