Spørsmål og svar - Informasjonsmøte 15. april 2026
Her finner du svar på spørsmålene som ble stilt på Slido i informasjonsmøte til virksomheter med tjenester på ID-porten 15. april.
Opprettet: 17. april 2026
Spørsmålene er samlet i kategorier så det skal bli enklere å orientere seg.
Vi fikk inn noen spørsmål som var utenfor de temaene som ble håndtert i dette møte, de spørsmålene vil ikke bli besvart her.
Innloggingsmetode
| Spørsmål | Svar |
|---|---|
| Er det mulig å stille krav til hvilke amr-er som kan godtas? Så tjenesteeiere som mener det er reell forskjell på MinID og BankID kan velge å akseptere BankID også etter ev. nedgrading til betydelig uten å måtte akseptere minid. | Det er idag berre mogeleg å førespørje sikkerheitsnivå, ikkje individuelle eIDar. Tenesteeigar må evt. sperre for MinID i eiga løysing etter at bruker har autentisert seg. |
| Vil det vurderes om det kan åpnes for å selv velge hvilke innloggingsmetoder som vil tilbys eller er det utelukkende sikkerhertsnivå vi kan velge. Dvs mulighet for å utelukke andre metoder om vi endrer til betydelig. | Digdir er i ferd med å vurdere om det er eventuelle avbøtande tiltak som me kan gjere i ID-porten og/eller MinID, dersom ei nedgradering skulle skje. |
| Om BankID blir nedgradert til sikkerhetsnivå betydelig vil det være mulig å tilby det som innloggingsmulighet uten også å åpne opp for innlogging med MinID? | Det er idag berre mogeleg å førespørje sikkerheitsnivå, ikkje individuelle eIDar. Tenesteeigar må evt. sperre for MinID i eiga løysing etter at bruker har autentisert seg. |
| Sammen med mange andre benytter vi ID-Porten på nivå høyt. "idporten-loa-high". Dersom vi endrer dette fra "høyt" til "betydelig", betyr dette at våre kunder deretter plutselig kan benytte SMS for pålogging istedet for BankID !!????? | På nivå betydelig er det tillatt med identifikasjonsmekanismer som benytter SMS-engangskoder. MinID er på nivå betydelig og tilbyr SMS-engangskoder. |
| Om jeg åpner for pålogging til mine tjenester med én metode på betydelig (f.eks. MinID-app), må jeg også tillate pålogging via andre metoder på betydelig (f.eks. MinID SMS-koder)? | Det er idag berre mogeleg å førespørje sikkerheitsnivå, ikkje individuelle eIDar. Tenesteeigar må evt. sperre for MinID i eiga løysing etter at bruker har autentisert seg. |
Konsekvens ved nedgradering
| Spørsmål | Svar |
|---|---|
| Så hvis BankID ikke blir sikrere, tvinges vi til å ta i bruk andre løsninger som er dyrere? | Vi tolker at spørsmålet gjelder ekstrakostnad som vil påløpe for sluttbrukeren, siden transaksjonspris i ID-porten ikke avhenger av hvilke eID som er benyttet. MinID er gratis for sluttbrukeren å anskaffe, mens andre, kommersielle eID-løsninger på nivå høyt har en innkjøpspris for sluttbrukeren. |
| Det jeg tror kan bli et dilemma for virksomheten, er HVA konsekvensene vil bli om ting vi til nå har holdt på HØYT, blir tilgjengelig på BETYDELIG, ref. det Stig sa om nære relasjoner/SMS etc. Men det kommer kanskje mer i del 2? | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Vil dette bety at Helsenorge nå vil kreve at man kjøper en eID fra enten Buypass eller Commfides for å få tilgang? | Digdir kan ikkje uttale seg om vurderingar om sikkerheitsnivå hos Helsenorge. |
| For det jeg hører er følgende: dersom man reduserer til BETYDELIG, så vil alt fungere som før. Så det vil jo løse tilgangsproblematikken, altså at folk ikke mister tilgang til meldinger / tjenester - men hvilken risiko innføres da? | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
Sikkerhetsnivå
| Spørsmål | Svar |
|---|---|
| Hvorfor logger man ikke bare alltid inn med det høyeste sikkerhetsnivået? | For dei som har eID på nivå høgt er det OK å alltid bruke den eIDen. Det kan likevel være fornuftig å ha fleire eIDar og å skilje mellom bruken av desse. Om ein trekkjer parallellar til fysisk bruk av ID, vil eID på nivå høgt være om lag som at ein syner fram passet sitt i alle situasjonar. For dei som ikkje har eller kan få eID på nivå høgt, vil det være gunstig om tjenesteeigarane vurderar om tenesta kan brukast på nivå betydeleg av omsyn til at flest mogeleg skal ha tilgang til tenestene. |
| Kan jeg logge inn på feks HelseNorge med MinID (betydelig) på samme måte som jeg kan logge inn med feks Bankid (høy)? | Per i dag er Helsenorge på sikkerhetsnivå høyt. (For mindreårige på nivå betydelig for enkelte tenester). |
| Er det slik at ID-Porten sammen med BankID framover kun gir sikkerhetsnivå "Betydelig", slik at vi blir tvunget til å gå fra "Høyt" til "Betydelig", dersom vi skal fortsette å bruke ID-Porten sammen med BankID for mobil? | Det vil fortsatt være eID-løsninger på nivå høyt i ID-porten, uavhengig av hva utfallet av prosessen med BankID vil være. Det er med andre ord IKKE slik at ID-porten bare vil tilby nivå betydelig, eller tolke alle requester (uavhengig av ACR/tillitsnivå) som nivå betydelig. |
| Hvor finner en noen oversikt over hvilket nivå som er i bruk nå? | Ein enkel sluttbrukartest er å gjennomføre innlogging. Tenesten på nivå høgt om Commfides, Buypass og BankID, men ikkje MinID, er innloggingsalternativa. Digdir kan bidra med hjelp for meir tekniske måtar å avdekke dette på. |
| Når de seier "de kan endre sikkerhetsnivå på tenestene dykkar frå høgt til betydeleg" - korleis og kor gjer ein eventuelt dette? Sei at me nyttar eit ElektroniskPasientSystem - har me sjølv moglegheit til å endre frå høg til betydeleg her? | Tenesten sjølv set sikkerheitsnivå. På Digdir Docs er det teknisk dokumentasjon for utviklarar om sikkerheitsnivå. https://docs.digdir.no/docs/idporten/oidc/oidc_protocol_id_token.html#acr-values. Sjå også informasjon på Samarbeidsportalen: https://samarbeid.digdir.no/id-porten/veileder-vurdering-av-sikkerhetsniva/3565 |
| Danmark har valgt betydelig på helseopplysninger, mens dere har valgt høyt. Står dere fremdeles ved valget deres, eller kommer det nå en endring? | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Betydelig har et stort spenn mens høyt er mer absolutt sier dere. Hvor plasseres min-ID i dette spennet ? | MinID er en løsning på eIDAS nivå betydelig, og er selvdeklarert på dette nivået hos NKOM. Avhengig av hvilke metode som er brukt til bekreftelse og kontroll av identiteten til MinID-brukeren, og hvilke identifikasjonsmidler - altså autentiseringsfaktorer - som er benyttet, kan MinID i noen tilfeller "overoppfylle" minstekravene på eIDAS nivå betydelig. |
| Hva skjer med tjenester, f.eks. HelseNorge, som initielt har gjort en verifisering med BankID og deretter bruker biometri for en gitt tidsperiode, for å forenkle innloggingen og spare tid/penger? Gå ned til betydelig for dem virker farlig. | Det er opp til tjenesteeieren å vurdere risiko og behov for tillitsnivå. |
| Hva skjer hvis vi melder at et fagssystem må ha høyt nivå pga eksempelvis særskilte personopplysninger. Vil vi da fortsatt kunne bruke BankID selv om nivået blir senket til betydelig. | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Hele kommune-norge har forholdt seg til Normen, som krever Høyt for helse-opplysninger Virker feil at vi skal løse dette ved å redusere sikkerhetsnivå. Synes vi skyter oss i foten ved å evt redusere nivået nå, bør kunne gis utsettelse... | Så vidt vi kjenner til krev Normen også at det vert gjort heilskaplege risikovurderingar. Vedkomande merknaden om utsetjing so vil ikkje Digdir uttale seg om Nkom sin sakshandsaming. |
| Politiet har flere tjenester på nivå "høyt"; nedjustering vil stride mot instruks. Tap av BankID på høyt vurderes som alvorlig. Kjenner Digdir NKOMs vektlegging av samfunnsmessige konsekvenser? | Digdir kommenterar ikkje på Nkom sin sakshandsaming. Reint generelt bør vurdering av autentiseringsnivå for den enkelte tjeneste baserast på ei heilskapleg risikovurdering. |
| Mener Digdir det er aktuelt å nedjustere tjenester som inneholder sensitive, taushetsbelagte helseopplysninger fra nivå "høyt" til "betydelig"? | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Vil Digdir automatisk nedgradere sikkerhetsnivå for tjenestene til betydelig (=også akseptere MinID), med mindre man melder tilbake om at høyt fortsatt skal gjelde? | Det er tjenesteeier selv som vurderer sikkerhetsnivå og gjør innstillingene som trengs for å endre sikkerhetsnivået. Digdir gjør ikke noe automatisk. |
| Er det en grunn til at digdirs veileder er lagt på et høyere nivå enn Datatilsynets anbefaling om sterk autentisering (to-faktor) for særskilt kategori? Hva er sterk autentisering? | Datatilsynet | Digdir sin veileder er tydelig på at det er tjenesteeier som skal gjøre en vurdering av sine tjenester. Særlige kategorier av personopplysninger og helseopplysninger er brukt som eksempler som ofte bør være på nivå høyt. Digdir sin veileder er ikke ment å være på et høyere nivå. |
| Digdir ber om at virksomheter skal registrere dersom de har tjenester som krever høyt nivå. Er det kunden som registrerer dette eller er det leverandører? | Det kommer an på hvilken avtale man har med leverandøren. I prinsippet kan både kunden eller leverandøren melde inn behov for nivå høyt til Digdir. I denne sammenhengen snakker vi om en administrativ handling som ikke krever tilgang til klientkonfigurasjon, som krever spesielle rettigheter på vegne av kunden. |
| Vi rekker ikke å risikovurdere alle våre tjenester innen fristen for tilbakemeldingen. Hva gjør vi? | Risikovurder de tjenestene dere rekker før fristen. Og gi oss tilbakemelding på resterende tjenester etter fristen. |
| Veldig kort frist. | Vi har forståelse for at fristen for å gjøre ny risikovurdering av tjenestene er kort. Risikovurder de tjenestene dere rekker før fristen. Og gi oss tilbakemelding på resterende tjenester etter fristen. |
| Ønsker de eitt skjema pr system? | Ja det kan de gjerne gjere dersom de har mange system. |
| KAN VI BEHOLDE BANK-ID SOM KRAV TIL PÅLOGGING NÅR VI BENYTTER ID-PORTEN? Slik at SMS *ikke* kan benyttes. Vær så snill å svare på dette. | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| For en virksomhet med flere hundre tjenester, er det forventet at risikovurderinger for autentiseringsnivå oppdateres innen én uke ved endringer i trusselbilde eller føringer? | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Vi levere en løsning til våre kunder, hvor jeg kan se for meg at det kan være ulik oppfatning hos kundene om Høyt eller Betydelig er riktig sikkerhetsnivå. Jeg ser ikke at vi klarer å samle tilbakemelding fra kundene innen 20. april. | Vi har forståelse for at fristen for å gjøre ny risikovurdering av tjenestene er kort. Risikovurder de tjenestene dere rekker før fristen. Og gi oss tilbakemelding på resterende tjenester etter fristen. |
| Vi er blir bedt om å vurdere nivået på Visma Flyt PPT. Jeg antar det er høyt da det inneholder bl.a. kartlegging av psykisk helse, og har særlig sårbare klienter vi skriver om? Skal alle kommuner vurderer dette individuelt?! | Den enkelte virksomhet og tjeneste er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Digdir har laget en veileder: https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992 |
| Hei, gjelder dette også kommuner som benytter seg av tjenester som tilbys som fagsystem til sine brukere? Eller er det leverandørene av fagsystemene som skal utføre en slik ROS/rapportering mot Digdir? | Det kommer an på hvilken avtale man har med leverandøren. I prinsippet kan både kunden eller leverandøren melde inn behov for nivå høyt til Digdir. I denne sammenhengen snakker vi om en administrativ handling som ikke krever tilgang til klientkonfigurasjon, som krever spesielle rettigheter på vegne av kunden. |
Selvdeklarasjonsforskrifte
| Spørsmål | Svar |
|---|---|
| Er det riktig forstått at krav til fysisk identifisering ved nivå 4 i praksis gjelder ved førstegangs aktivering / tildeling, men at dette ikke må gjøres jevnlig? | Det skal vere ein kontrollprosess som sikrar at rett person tek i bruk ein fornya eID. Det er ikkje direkte krav til at dette skal gjerast ved fysisk identitetskontroll. |
| 2.1.2 betydelig krever at personen er i besittelse av bevis som representerer den identiteten. Beviset skal være ekte, eller være i en autoritativ kilde. Kan kontrollen skje digitalt? Min første tolkning var at det måtte skje fysisk | Det er ikkje presisert at denne kontrollen må skje fysisk. Praksis frå fagfellevurderingane er at 2.1.2 vurderast heilskapleg, og at det er noko handlingsrom. Merk også at spørsmålet berre gjeld eitt av fleire kumulative vilkår i 2.1.2, Betydeleg, nr. 1. |
Altinn
| Spørsmål | Svar |
|---|---|
| Hva skal vi gjøre dersom vi har tjenester på Altinn Studio? | Det er 51 apper i Altinn Studio som er satt opp med sikkerhetsnivå 4 (Høyt). Disse vil kun være tilgjengelig når man er innlogget på sikkerhetsnivå 4, med mindre policy endres til å kreve Betydelig. https://tjenesteoversikten.no/statistics |
| Vil våre brukere miste muligheten å administrere roller/tilgangspakker i Altinn, hvis de logger seg på med BankID? Det står ikke eksplisitt noe sted, men jeg antar at tilgangsstyring krever nivå "høyt"? | Delegering av tjenester og tilgangspakker i Altinn er lagt på Betydelig. Unntaket er delegerbare maskinporten API som styres av hvilket sikkerhetsnivå ressursen er satt opp med (Ressurser som krever Høyt for autentisering krever også Høyt for delegering) |
eID-misbruk
| Spørsmål | Svar |
|---|---|
| Hva vet vi om misbruk i ID-porten (at andre bestiller/får kontroll over/bruker en e-ID), både mht. MinID og BankID. Hvordan fordeler det seg mellom til utstedelses- og bruksfasen? | Vi vet gjennom forskning (bl.a. SODI, NORSIS) at det finner sted misbruk av eID både på nivå betydelig og nivå høyt. Empirien tyder på at det er bruksfasen som er mest sårbar, og at trusselaktører i nære relasjoner utgjør mest betydelige trussel. Pga prosesskrav for bekreftelse og kontroll på nivå betydelig, er utstedelsesfasen noe mer sårbar på dette tillitsnivået enn på nivå høyt. |
| Har dere tall på opplevd misbruk for aldersgruppen 13-18? | Nei, vi mangler generelle tall på dette som er verifiserte. Men for MinID erfarer vi at det er svært få tilfeller av avdekket misbruk for aldersgruppen 13-18. |
Diverse
| Spørsmål | Svar |
|---|---|
| Pass sendes jo i også posten, hva er forskjellen? | Passet kjem med bilete både fysisk og på chip som i dei fleste brukssituasjonar sjekkast mot personen som viser det fram. Det gir eit anna risikobilete enn bruksområda for eID. |
| Er det riktig at Commfides og Buypass fortsatt har nivå høyt, og er fullgode alternativer i id-porten? Kan dere eventuelt si noe om brukstallene for disse løsningene, dvs hvor mange bruker dem i id-porten? | Det stemmer at Commfides og Buypass er på nivå høyt. Begge leverandørene har lavere brukstall enn BankID. Detaljer finnes i statistikken på samarbeidsportalen: https://samarbeid.digdir.no/id-porten/statistikk-id-porten/3419 |
| Hva gjør ID-porten selv med pålogging til fellesløsinger hvor vi til nå kan bruke BankID? | Vi tolkar til at spørsmålet gjeld sjølvbetjening av Digdir-løysingar. Det er for tidleg å seie kva Digdir gjer. Digdir skal også gjere ei risikovurdering av sine eigne tenester på nivå høgt, i likheit med det Digdir har bedt sine kundar om å gjere. |
NKOM - prosess
| Spørsmål | Svar |
|---|---|
| Dersom bankID mister nivå høg, so er jo konsekvensen at det ikkje kan nyttast mot helsesystem. Men å anskaffe alternativ tek tid - kor lang grace-periode vil bankID få her slik at ikkje kommunar tvinges til å justere ned krav til betydeleg? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |
| Hva er tidsperspektivet? Når blir eventuelt sikkerhetsnivået til bankid nedgradert? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |
| Hvor lang tid kan Nkom bruke på å vurdere et tilsvar fra BankID? Det er klageadgang, men hvordan settes klagefrist og er det mulighet for at vedtaket kan få oppsettende virkning hvis BankID mister godkjenningen høyt? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |
| Hvis BankID mister godkjenningen høyt, når vil dette iverksettes? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |
| Hvis BankID mister godkjenningen høyt, hva er prosessen for å få godkjenning på nivå betydelig, og når kan BankID på nivå betydelig tidligst bli godkjent og tre i kraft? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |
| Når avgjøres det om Bank-id fortsatt kan levere på nivå høyt, eller om vi må gå over på andre løsninger? | Digdir kan ikke uttale seg om Nkom sin saksbehandling. |