Policy för hantering av personuppgifter inom ramen för identitetsutgivaren (Identity Provider, IdP)

Identitetsutgivaren genomför autentisering på uppdrag av en tjänst som KI har kännedom om, antingen genom att metadata om tjänsten levereras via identitetsfederationen SWAMID eller genom att tjänsten och KI har en särskild överenskommelse.

Beroende på vilken typ av tjänst det rör sig om, syftet med tjänsten och vilken relation tjänsten har till KI:s identitetsutfärdare levereras en eller flera personuppgifter till tjänsten från KI:s katalogs- och behörighetssystem. Detta förfarande följer intentionerna i svensk personuppgiftslagstiftning.

Tjänster som kategoriseras i SWAMID:s metadata med entitetskategorier får attribut i enlighet med SWAMID:s rekommendationer, se nedan.

Tjänster vars primära syfte är att stödja forskning och utbildning får tillgång till ungefär samma personuppgifter som automatiskt skickas med varje e-postbrev, dvs. namn, e-postadress, användaridentitet, om användare är student eller verksam (anställd eller övrigt verksam) samt att användaren har ett konto hos KI. Registrerade tjänster som via GÉANT Data Protection Code of Conduct följer den Europeiska unionens dataskyddsdirektiv, i Sverige personuppgiftslagen, får tillgång till samma information.

De tjänster vars syfte är att för studenter hantera antagning, kursregistrering, tentamensanmälan, examination, verksamhetsförlagd utbildning, stipendieansökan, självservice för användarkonton och självservice för KI:s personalsystem får tillgång till användarens personnummer.

ST
Innehållsgranskare:
Daniel Ståhl
2024-10-09