AMPRNet 2025-02-12

Policydokument för hantering av AMPRid

  1. Översikt

    2. I AMPRid-databasen lagras användarinformation som kan användas av tjänster inom AMPRNet för autentisering av användare, exempelvis vid uppkoppling mot amproam-accesspunkter eller vid enkel inloggning (sso) till anslutna tjänster.

  2. Instruktioner som ska användas

  3. Tilldelning av behörigheter via AMPRid databas

    4. Användare kan tilldelas behörigheter genom att kopplas till roller och grupper i AMPRid databas. Användarens grupper och roller ger tillgång till behörigheter i AMPRNet-tjänster. Vid inloggning får användaren tillgång till dessa behörigheter genom att information om användarens grupper och roller som lagras i AMPRid databas kombineras med konfiguration i respektive system.

  4. Inläggning av användare i AMPRid databas

    5. Inläggning eller borttagning av ny användare i databasen görs av en administratör med tillräckling behörighet. I samband med inläggningen ska, innan behörigheter tilldelas, en identitetskontroll göras enligt särskild instruktion. Den nya användaren ska därefter godkännas av en annan administratör än den som lade in den nya användaren. Både inläggning och godkännande kan ske på distans. En administratörs behörigheter att lägga in respektive godkänna nya användare i AMPRid-databasen utfärdas av styrelsen.

    Följande fält skall ingå för varje användare i databasen:

    • Unikt användarnamn per region på epostformat namn@region.amprnet.se personnummer/samordningsnummer, förnamn, efternamn, inläggningsdatum
    • Verifierad primär kontaktkanal (mobilnummer och/eller epostadress)
    • Roller och grupptillhörigheter utöver region kan tillkomma

    Därutöver kan ingå information som användaren är villig att uppge om

    • Behörighetsbevis av olika slag, i samband med identitetskontroll, tex amatörradiocertifikat (HAREC/Insteg), FRO-nummer/behörigheter tillståndsbevis för marin/flyg/jaktradio, mastklättring, körkort, etc.
    • Andra kontaktkanaler som inte kräver identitetskontroll, tex adresser, epostadresser, webbplatser, AMPRnet-SIP-nummer, mobiltelefonnummer

  5. Dokumentation av ändringar i AMPRid-databasen

    6. Dokumentation av alla förändringar av personposter, roll- och grupptillhörighet samt behörigheter i AMPRid utförs som loggposter som åtminstone innehåller följande information:
    • Tidsstämpel
    • Anledningen till ändringen (Ny användare, ändrade uppgifter)
    • Typ av identitetskontroll (om någon)
      • Vilken identitetshandling som uppvisats
      • Hur identitetshandlingens äkthet har verifierats
    • Vem/vilka som utfört vad vid förändringen

    Dokumentation sparas i databasfälten samt i loggposter för införandet av användare.

  6. Avstängning av användare från specifika AMPRid behörigheter

    7. Avstängning av en användare kan beslutas av en administratör om otillbörlig användning av tjänsten misstänks. Administratören ska därefter dokumentera orsaken till beslutet och meddela beslutet till av styrelsen utsedd tillsynsperson, så att ärendet kan utredas vidare. Tillsynspersonen beslutar huruvida användaren ska underrättas om åtgärden och orsaken till detta.
    Eftersom orsaken till det misstänkta missbruket kan vara ett tekniskt fel eller ett intrång, som användaren inte haft möjlighet att förhindra, skall utredningen ske på ett sätt som respekterar användarens rimliga förväntan på hantering av personlig integritet samt hänsyn till systemets och föreningens säkerhet.
    Om incidenten anses allvarlig, avgör tillsynspersonen vilka tjänster som ska meddelas om incidenten samt är ansvarig för att rekommendera åtgärder.
    Återaktivering av en avstängd användare ska göras av en administratör när orsaken till avstängningen åtgärdats eller klarlagts, såvida användaren inte är borttagen (se punkt 7).

  7. Borttagning av användare från AMPRid databas

    8. Användare tas bort från databasen i följande fall:
    • På användarens egen begäran efter att användaren identifierats.
    • Efter dokumenterat missbruk av behörigheter.

    I det fall att missbruk av behörigheter föreligger kan styrelsens tillsynsperson besluta om att låta användaren behålla sin identitet förutsatt att missbruket varit av ringa art eller om missbruket skett av misstag.

    En borttagning skall alltid ske genom att en avstängning enligt punkt 6 först genomförs. Denna ligger vilande i 14 dagar i avvaktan på eventuell överklagan innan radering sker. Borttagning kan överklagas till styrelsen som då snarast ska ta ställning till överklagandet.