Hur IDOmbud hanterar detta
IDOmbud som tjänst innebär att organisationen får tillgång till funktioner för identitet, autentisering, e-Legitimation, behörighetsstyrning och governance utan att själv behöva bygga och drifta hela den tekniska plattformen. Drift, underhåll, uppdateringar och teknisk förvaltning kan hanteras inom tjänsteleveransen enligt avtal.
Det innebär däremot inte att kunden släpper kontrollen över sin information. Kunden äger sina verksamhetskrav, sina processer, sina beslut och sitt data. IDOmbud ska möjliggöra att informationen kan hanteras, förstås, granskas och följas upp i en tydlig modell.
Svensk drift och svensk jurisdiktion bör beskrivas som en viktig utgångspunkt för tjänsten. Det ger organisationen en tydligare grund för att bedöma var information behandlas, vilken rättslig miljö som gäller och hur leveransen förhåller sig till krav på upphandling, sekretess, personuppgiftshantering och datasuveränitet. Mer detaljer om infrastruktur, certifieringar, separata miljöer och särskilda driftkrav bör hanteras i införande- och kravdialogen.
Datatyper som kan behöva omfattas av dataägarskap och styrning är till exempel:
- identitetsinformation
- användarkonton och attribut
- behörigheter, grupper och roller
- attestbeslut och certifieringshistorik
- loggar och säkerhetshändelser
- utfärdade e-Legitimationer och credentials
- spärrar, återkallelser och statuskontroller
- integrationsdata och rapporter
För varje datatyp behöver organisationen veta varför informationen behandlas, vem som får administrera den, vem som får läsa den, hur länge den behöver sparas och hur den kan exporteras, arkiveras eller raderas när den inte längre ska användas.