På sidan:
Denna policy beskriver krav och rekommenderade arbetsmetoder för verifiering, dokumentation och uppföljning av juridisk organisationsidentitet för organisationer som ansluts till federationen. Policyn reglerar endast verifiering av organisationsidentitet och delegation/behörighet — inga tekniska verifieringar av system, certifikat eller komponenter ingår här. Den avser att federationsmedlemmar vet vilka organisationer som de samverkar med inom federationen.
När en federationsmedlem ansluts enligt denna policy kan andra parter i federationen förvänta sig att:
Organisationsidentiteten har verifierats mot lämpliga och relevanta källor vid anslutning.
Den person som godkände anslutningen har ett dokumenterat mandat att företräda organisationen.
Det finns sparade, spårbara verifieringsunderlag som länkar beställning -> delegationshandling -> verifieringskälla.
Operatören genomför löpande uppföljning enligt avsnitt 12 och kan uppvisa uppdaterade verifieringshandlingar vid begäran.
(Verifiering enligt denna policy garanterar inte automatiskt åtkomst till någon tjänst — tjänsteleverantörer fattar egna åtkomstbeslut.)
Denna policy gäller endast kontroller och processer som rör juridisk organisationsidentitet och behöriga företrädare vid federationsanslutning och löpande re-verifiering. Policyn omfattar inte:
Teknisk verifiering av systemidentiteter, certifikat eller kryptografisk nyckelhantering.
Beslut om åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar.
Federationen: fastställer policy och kan begära verifieringsunderlag, utföra stickprov och initiera revisioner.
Anslutningsoperatören: utför verifieringar, sparar underlag, driver löpande uppföljning och rapporterar avvikelser.
Anslutande organisation: tillhandahåller korrekta handlingar, underrättar om förändringar och genomför återkommande bekräftelser när så krävs.
Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och att en beställare har mandat att agera för organisationen.
Behörig företrädare: person med mandat att företräda organisationen avseende anslutningen (t.ex. firmatecknare).
Offentlig aktör: statlig, regional eller kommunal juridisk enhet.
Minimala verifieringssteg vid onboarding (exempel):
Verifiera organisationsnummer mot en relevant nationell registerkälla, t.ex. hos Bolagsverket.
Begär intyg eller utdrag som visar registrerad styrelse/firma-tecknare, eller annat officiellt registerutdrag.
Säkerställ att beställaren är behörig företrädare; firmatecknare eller innehar ett skriftligt och signerbart mandat från firmatecknare (underskrift eller giltig e-signatur), tex genom Mina Ombud
Dokumentera och arkivera verifieringsbevis (registerutdrag, fullmakt, signerat dokument).
Minst ett av följande alternativ ska användas (i prioritetsordning):
Verifiering mot officiellt myndighetsregister eller offentlig förteckning (t.ex. myndighetslistor på Regeringskansliets nivå). Regeringskansliet
Formellt beslutsdokument (protokollutdrag, delegationsbeslut) som visar att namngiven person har mandat; dokumentet ska vara undertecknat enligt organisationens delegationsordning.
Bekräftelse från officiell e-postadress kopplad till myndighetens domän i kombination med offentlig hänvisning (t.ex. på myndighetens webbplats).
I avvikande fall: notariserad fullmakt eller motsvarande.
Operatören ska alltid notera vilken källa som använts och motivera val av metod.
Beställning ska göras av firmatecknare eller av person med dokumenterat mandat.
Delegation ska vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.
Delegationskedjan ska kunna spåras och kopplas till verifieringsunderlag.
Minst ett out-of-band-steg krävs vid onboarding. Godkända metoder kan vara:
Fysisk post (aktiveringskod) till organisationens registrerade adress.
Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerat verifiering på organisationens webbplats.
Undertecknat beslutsdokument eller notariserad fullmakt.
Operatören ska dokumentera varför den valda metoden anses tillräcklig.
För varje anslutning ska följande sparas i minst angiven period (eller enligt lagstadgade krav):
Registerutdrag och identifierande handlingar.
Delegationshandlingar, mandat och signaturer.
Protokoll över utförda kontroller (vem, vad, när).
Beslut om och datum för avvisning, återkallelse eller uppdatering.
Rekommenderad retention: minst den tid verifieringsuppgiften är relevant + 3 år, om inte lagstiftning anger annat.
Federationen eller dess utsedda revisorer har rätt att:
Begära verifieringsunderlag och utföra stickprov.
Begära korrigerande åtgärder eller temporär avstängning vid bristande underlag.
I allvarliga eller upprepade fall neka fortsatt samarbete.
Denna policy innehåller endast krav för identitets- och organisationsverifiering. Tjänsteleverantörer ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.
För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.
Standardintervall: årlig re-bekräftelse från firmatecknare (digitalt undertecknad intyg) rekommenderas som basnivå.
Förhöjd frekvens för högre risk: för organisationer i hög-riskkategori (t.ex. verksamhet med hög påverkan, stora transaktioner eller känsliga data) rekommenderas halvårsvis eller kvartalsvis re-verifiering.
Re-verifiering kan bestå av: uppdaterat registerutdrag, nytt undertecknat delegationsdokument, eller elektronisk attesterad bekräftelse från firmatecknare.
Omgående re-verifiering ska initieras vid indicier eller händelser som kan påverka organisationsidentitet, exempelvis:
Ändring i firmatecknare eller styrelse.
Företagsfusion, förvärv, namnändring eller annan registreringsändring.
Offentlig anmälan om konkurs, likvidation eller rättsliga tvister som påverkar bolaget.
Meddelande från organisationen själv om större omstrukturering.
Indikationer om falska eller förfalskade delegationshandlingar.
Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar (t.ex. ändrat registreringsstatus).
Automatisk övervakning bör kombineras med manuell bedömning vid avvikelse.
Skicka årligt (eller enligt riskklass) en digital bekräftelseförfrågan till firmatecknares officiella e-post, där firmatecknare signerar/attesterar att uppgifterna är korrekta.
Om bekräftelse uteblir: följ upp via telefon eller kravbrev till registrerad adress; om ej löst inom angiven tid: sätt anslutningen i karantän tills verifiering är genomförd.
Spara varje re-verifiering som separat post i anslutningsärendet med tidsstämpel, signatur och referens till källa.
Behåll historik för revision och spårbarhet.
Operatören ska klassificera anslutna organisationer baserat på risk och välja frekvens/omfattning av re-verifiering därefter. Riskfaktorer kan inkludera organisationens roll i federationen, mängd och känslighet av data, samt historik av förändringar eller incidenter.
Vid upptäckt av felaktig eller förfalskad organisationsidentitet ska operatören:
Omedelbart initiera förnyad verifiering och tillfällig minimering av förtroende (t.ex. karantän eller begränsad åtkomst).
Informera federationen och berörda parter enligt avtal och sekretessregler.
Genomföra åtgärd (uppdatering, återkallelse av anslutning eller uppsägning) baserat på utredningens resultat.
Operatören ska ha skriftliga arbetsinstruktioner som beskriver:
Onboarding-checklistor för organisationsverifiering.
Mallar för delegationshandlingar och attestmallar.
Arbetsflöde för periodisk re-verifiering och händelsestyrda kontroller.
Ansvarsroller och kontaktpunkter för uppföljning.
Denna policy utgör federationsnivåns krav för verifiering av juridisk organisationsidentitet och beskriver både initiala verifieringssteg och rutiner för verifiering över tid. För framtida versioner kan övervägas:
Mer detaljerade riskprofiler och automatiserade integrationspunkter mot registertjänster.
Mallar för elektronisk attest och standardiserade API-ytor för re-verifiering.