Beskrivning av tjänsten

Fullmaktskollen är tänkt att fungera som ett nav för fullmaktshanteringen inom försäkringsbranschen med det övergripande syftet att öka konsumentnyttan. Fullmaktskollen ska underlätta och förenkla för konsumenterna genom att konsumenterna på ett enkelt sätt ska få överblick över de fullmakter de ställt ut och hur länge fullmakterna gäller. De ska också kunna signera fullmakterna och återkalla dem om de så önskar. Även enskild individ som företräder en juridisk person kan med hjälp av e-legitimation ta del av motsvarande tjänster som de kan göra i egenskap av privatperson.

Genom att tillhandahålla en digital infrastruktur för hantering av fullmakter inom livförsäkring och pensionsområdet ska följande mål uppnås för Fullmaktskollen i Sverige AB:

E-delegationen gav år 2011 Pensionsmyndigheten i uppdrag att genomföra en förstudie med förslag till utformning av en digital fullmaktstjänst. Skälet var att E- delegationen kunde konstatera att det finns ett påvisat kundbehov av en gemensam ingång till fullmakter och ett intresse från offentliga organisationer för en sådan funktion eller tjänst. En fullmaktstjänst skulle ge enklare service för privatpersoner och företagare, högre kvalitet och större effektivitet i offentlig verksamhet samt en minskad administrativ börda för företag. Digitala fullmakter sågs mot bakgrund av dessa slutsatser som en prioriterad del av realiseringen av e-förvaltning och e-samhälle. I den studie som genomfördes av Pensionsmyndigheten arbetade man med en hypotes om en nationell ”visningstjänst” vars primära funktionalitet skulle vara att visa upp information om fullmakter som finns lagrade digitalt hos myndigheter och företag. Till den skulle bl.a. en fullmaktsnod på försäkringsområdet kunna kopplas på.

En fortsättning på det projektet blev ett uppdrag från Pensionsmyndigheten till Min Pension att göra en fördjupad förstudie om en digital fullmaktsnod inom försäkringsområdet. Pensionsmyndigheten pekade också i uppdragsbeskrivningen på att en fullmaktstjänst skulle öka individens möjligheter till faktisk kontroll över sina fullmakter på försäkringsområdet. Samtidigt, menade Pensionsmyndigheten, skulle en fullmaktstjänst bidra till en betydande rationaliseringspotential inom såväl liv- som skadeförsäkringsbranschen. Den fördjupade förstudien genomfördes under perioden september 2012 till januari 2013 och i denna togs en lösning fram för att hantera fullmakter digitalt vilken förankrades med marknadens aktörer. Arbetet låg till grund för bildandet av bolaget Fullmaktskollen i Sverige AB.

En fullmaktsgivare är en individ som besöker Fullmaktskollen i egenskap av privatperson/konsument eller som företrädare för en organisation (juridisk person). För att använda sig av Fullmaktskollen så identifierar sig fullmaktsgivaren med hjälp av en personlig e-legitimation. Genom att godkänna Fullmaktskollens användarvillkor får fullmaktsgivaren tillgång till Fullmaktskollens visningstjänst. I visningstjänsten kan individen se fullmakter som finns registrerade avseende egen person eller den organisation som denne företräder. Finns en ny fullmakt upplagd i tjänsten som är aktuell för signering visas denna och fullmaktsgivaren har sedan möjlighet att ändra giltighetstiden på fullmakten innan signering görs. Möjlighet finns också att ändra eller återkalla en befintlig fullmakt. Notifieringar, via mail och/eller sms, kan exempelvis göras i samband med att en ny fullmakt ska signeras eller när en fullmakt är på väg att löpa ut. Fullmaktsgivaren kan själv styra vilka notifieringar som ska göras.

Fullmaktshavaren har ett uppdrag ifrån fullmaktsgivaren att företräda denna gentemot en tredje part. För att kunna göra detta behövs en fullmakt. Fullmaktshavaren ser till att en fullmakt registreras i Fullmaktskollen. Vid registreringen så anger fullmaktshavaren vilka parter som fullmakten ska presenteras för. Endast gällande fullmakter presenteras. För att fullmakten ska vara gällande måste den vara signerad av fullmaktsgivaren.

En behörighetskontrollerande part (BKP) kan få fullmakter rörande egna kunder presenterade för sig på något av följande sätt:

Portvaktsfrågan (kallas även kundfråga) är en kontrollfråga till en BKP om angivet personnummer/organisationsnummer är kund hos dem. Syftet med portvaktsfunktionen är flera:

1. Säkerställa att Fullmaktskollen enbart lämnar fullmaktsinformation till BKP där fullmaktsgivaren är kund.

2. Hitta de BKP som har ett kundförhållande med fullmaktsgivaren.

En del BKP använder sig av egna fullmaktsregister. För att dessa register ska vara aktuella finns behov av prenumerationer på förändringar av fullmakten. En förändring kan vara ändring av giltighetstid på fullmakten eller att denna återkallats.

Fullmaktshavare som använder Fullmaktskollen kommer under en övergångsperiod att behöva skicka fullmakter till BKP som ännu inte har en systemintegration till Fullmaktskollen. För att Fullmaktshavaren ska kunna arbetat med digitala fullmakter fullt ut och inte behöva hålla reda på vilka BKP som är anslutna till tjänsten har Fullmaktskollen en övergångslösning som innebär att BKP som inte har en systemintegration får en pdf med fullmaktsinformationen via e-post.

Fullmaktskollen har stöd för att digitalt lagra fullmakter som har sitt ursprung i en pappersfullmakt. Den pappersfullmakt som skrivs under ska då vara en av de fullmaktsblanketter som givits ut av Fullmaktskollen. Detta är användbart då fullmaktsgivaren av någon anledning inte har möjlighet att signera fullmakten digitalt.

Det finns ett antal tillfällen då en aktör behöver notifieras. Det kan vara fullmaktsgivaren som via sms eller mail uppmärksammas på att en fullmakt finns att signera eller håller på att förfalla. Det kan också vara en fullmaktshavare eller en BKP som uppmärksammas på att en fullmakt har återkallats. Fullmaktshavare och BKP har hela tiden möjlighet att se status över de fullmakter där de är mottagare av fullmakten eller har fått fullmakten presenterad för sig.

Det finns ytterligare tjänster för att underlätta för aktörer som använder sig av Fullmaktskollen, såsom att följa status och händelser för en fullmakt, registervårdsfunktioner samt statistik.

Grunden för identifiering och signering är e-legitimation, både på fullmaktskollen.se och på fullmaktshavares egna webbsida med efterföljande registrering på fullmaktskollen.se. Det kommer också att finnas fullmakter som signerats på papper och som sedan gjorts om till digitalt format.

Fullmaktskollen kommer att tillhandahålla information till konsumenter och andra runt fullmakter. Både vad gäller Fullmaktskollens hantering och mer generell information om fullmaktshanteringen.

Örjan Andersson är 40 år och har precis bytt jobb och hans arbetsgivare har en försäkringsförmedlare som bistår alla anställda med sitt försäkringsskydd. Anna som är försäkringsförmedlare på Västkull & Co kontaktar Örjan inför deras möte. Anna förklarar att för att hon skall kunna ge Örjan en bra analys av hans situation behöver hon ha en fullmakt på att hämta ut hans försäkringsinformation från försäkringsbolag och andra aktörer där han är försäkrad. Under samtalet frågar Anna vilken e-postadress Örjan använder och meddelar att hon kommer skicka över en begäran om informationsfullmakt som han måste godkänna på www.fullmaktskollen.se. Att Västkull & Co har en fullmakt ifrån Örjan är förutsättningen för den informationsinsamling som behöver göras för att Anna ska kunna genomföra sitt rådgivningssamtal med Örjan.

Anna går in i Västkull & CO:s system för att skapa en fullmakt och fyller i efterfrågade uppgifter så som typ av fullmakt, Örjans uppgifter samt föreslår en löptid för fullmakten. Vidare anger Anna vilka BKP som hon önskar att fullmakten ska distribueras till med automatik. Informationen skickas till Fullmaktskollen via ett digitalt gränssnitt.

När fullmakten registrerats och lagrats hos Fullmaktskollen skickas mail till Örjan om att fullmakt har registrerats hos Fullmaktskollen och att denna behöver signeras. I mailet finns en länk till www.fullmaktskollen.se.

Örjan surfar till www.fullmaktskollen.se och loggar in med sin e-legitimation och får då se fullmakten som Västkull & Co:s registrerat. Örjan läser igenom fullmakten och signerar sedan denna med sin e-legitimation.

När fullmakten är signerad skickar Fullmaktsskollen en fråga till de BKP som Anna har angett att hon önskar att fullmakten ska distribueras till. Frågan som ställs är en ”portvaktsfråga” för att systemet ska veta till vilka BKP som fullmaktsinformationen ska skickas till. För de parter som svarar Ja på frågan om de har Örjan som kund skickas fullmaktsinformationen. En pdf-kopia av fullmakten skickas också per mejl till registrerade, ej anslutna BKP.

Fullmaktskollen ska på sikt kunna anslutas till en nationell visningstjänst för fullmakter. I den nationella visningstjänsten ska privatpersoner via länkning till respektive fullmaktsnod kunna se sina utfärdade fullmakter och där enkelt kunna få tillgång till, ändra och återkalla fullmakter både inom försäkringsområdet och inom andra områden. Visningstjänsten ska vara en enkel ingång för att få översikt och för att enklat kunna nå underliggande fullmaktsregister. Det är först när allt är samlat som visningstjänsten når sin fulla potential.

När en fullmakt i fullmaktskollen ändras så innebär det att den återkallas och en ny skapas med den ändrade giltighetstiden. I fullmaktskollens webbgränssnitt som presenteras för fullmaktsgivaren ser det ut som om det är en och samma fullmakt. Via tjänstgränssnittet hanteras det här som två olika fullmakter där man genom att läsa ut information om fullmakten kan få en referens till den ersatta fullmkaten.

Utöver ovan nämnda användningsfall kan fullmaktshavare använda tjänstegränssnittet för att:

Utöver ovan nämnda användningsfall kan en BKP använda tjänstegränssnittet för att:

För att kunna ansluta ett system till Fullmaktskollen måste följande funktioner vara implementerade och testade.

Fullmaktskollen kan skicka systemmeddelanden till anslutna system när som helst på dygnet. Om ett meddelande inte kommer fram på första försöket kommer Fullmaktskollen försöka igen enligt följande policy:

Om meddelandet fortfarande inte kommit fram försöker Fullmaktskollen att skicka ca var 5:e minut till dess att meddelandes tas emot eller manuellt tas bort av administratör i dialog med administratör för mottagande system.

Om mottagande system inte svarar inom 1 timme kommer Fullmaktskollen att skicka ett felmeddelande per e-post till den adress som är angiven för driftinformation på aktörens konto med information om anropet som inte besvaras. Det gäller i både test – och produktionsmiljön.

Alla meddelanden som skickas och förblir obesvarade köas upp hos Fullmaktskollen och skickas igen i kronologisk ordning när mottagande system åter svarar.

Fullmaktskollen stödjer att mottagarsystemet av systemmeddelanden tar upp till 100 sekunder på sig att bearbeta ett inkommande meddelande innan anropet avbryts. Varje ansluten aktör får max ett meddelande i taget från Fullmaktskollen.

Autentisering mot Fullmaktskollens API:et sker med hjälp av klientcertifikat (mTLS). När en aktör ansluts måste certifikatets thumbprint registreras på aktörens konto i Fullmaktskollen. En aktör kan ha upp till tre samtidigt giltiga klientcertifikat upplagda i Fullmaktskollen. Aktören ansvarar för att meddela Fullmaktskollen om eventuellt byte av certifikat i god tid för att undvika avbrott i kommunikationen. Fullmaktskollen skickar en påminnelse via mail 30 dagar innan ett registrerat certifikat löper ut. Mailet skickas till adressen för Kontaktuppgifter för driftinformation som är angiven på aktörens konto. Fullmaktskollen skickar sedan en påminnelse vara 7:e dag till certifikatet byts ut.

Certifikaten för produktionsmiljön måste vara utfärdade av en betrodd utgivare som är del av Microsoft Trusted Root Program, se https://docs.microsoft.com/en- us/security/trusted-root/participants-list för en aktuell förteckning. För systemintegrationsmiljön kan s k self-signed certifikat tillåtas.

Om flera aktörer ansluter via samma system kan de dela på ett och samma klientcertifikat. För att Fullmaktskollen ska kunna hålla reda på vilken aktör det aktuella anropet tillhör måste http-headern x-identifier alltid anges. Fullmaktskollen tilldelar varje konto en x-identifier vid anslutning. Det är upp till det anslutna systemet att på ett säkert sätt säkerställa vem aktören är när anrop görs mot Fullmaktskollen. Fullmaktskollen kommer att verifiera att aktören som systemet hävdar sig vara stämmer överens med det klientcertifikat som används, men kan inte göra några egna kontroller mellan aktörer som delar på samma certifikat.

Mer information om aktuella certifikat finns här.

Tjänstegränssnittet använder sig av XML som meddelandeformat.

För att kunna vidareutveckla tjänstegränssnittet finns stöd för versionshantering. Versionen anges som en del av metodens adress enligt nedan.

/api/v1/*

Nya versioner kommer enbart tas fram när tjänstegränssnittets kontrakt måste brytas. Nya metoder kan adderas till en befintlig version av gränssnittet och datakontrakt kan byggas ut med fler egenskaper. Egenskaper i kontrakt kan dock inte tas bort eller byta namn efter att en version av gränssnittet släppts.

Tjänstegränssnittet använder sig av de svarskoder som är standard i http-protokollet.

Meddelandet togs emot av tjänsten och bearbetades utan fel. Svaret är beroende av vilken metod som anropats.

Meddelandet kunde inte tas emot av tjänsten, vid felaktiga indata returneras ett svar med följande struktur.

I bilaga ” FMK_CompleteDocumentation” listas vilka felkoder som varje metod kan returnera.

Klienten har inte autentiserat med ett av tjänsten betrott klientcertifikat.

Klienten har inte tillåtelse att utföra åtgärden. Felmeddelandet returneras enligt samma datakontrakt som 400 Bad Request.

Resursen kunde inte hittas, verifiera att rätt http verb används och att adressen är korrekt.

Ett fel uppstod när servern försökte bearbeta meddelandet. Ett unikt värde sätts i headern CorrelationId för att fullmaktskollen ska kunna identifiera anropet och enklare hitta problemet.

Innan systemen kan kommunicera med varandra måste Fullmaktskollen konfigureras med följande information från aktören.

För att verifiera anslutningen kan följande metod anropas. Fullmaktskollen kommer då returnera information kring identiteten av det integrerade systemet. Observera att organisationer som delar certifikat mellan flera olika aktörer även måste skicka med sin identitet i anropet enligt avsnitt Autentisering.

Fullmaktskollen erbjuder en testmiljö där aktörer kan testa av systemkopplingar innan de ansluts till produktionsmiljön. 

Schemafiler för Fullmaktskollen API hittar du här.

Se API-dokumentation för en komplett lista över tillgängliga metoder, datastrukturer och svarskoder. 

För att fullmaktskollen ska kunna kommunicera med aktören måste gränssnittet under avsnittet API för fullmaktshavare och BKP implementeras. Vidare bör ett urval av användningsfall under avsnittet Användningsfall implementeras.

För att integrera med fullmaktskollens API krävs det att ett tjänstegränssnitt implementeras hos aktören. Tjänstegränssnittet ska vara REST. Här hittar du en beskrivning av det tjänstegränssnittet. För en fullmaktshavare ska metoderna under ”Agent” implementeras, medan BKP:er implementerar de under ”PresenteeParty”.

Det tjänstegränssnitt som implementeras på aktörens sida ska stödja autentisering via Fullmaktskollens klientcertifikat (mTLS) och vara tillgängligt från Fullmaktskollens system via internet.

Det finns ett webbgränssnitt för integrationstester av aktörers tjänstegränssnitt, i både test- och produktionsmiljön. För att komma åt funktionen måste användaren ha behörighet till aktörens konto via webbgränssnittet i test eller produktionsmiljön.

Mer information om integrationstest-funktionen finns att läsa här