Till innehållet

Vaccinationsbevis verifiering för dig som utvecklare

Vaccinationsbevis verifiering är en lösning som möjliggör kontroll av QR-kodens äkthet och giltighet. Tjänsten är avsedd att användas av arrangörer vid evenemang inomhus på över 100 personer. Här hittar du som utvecklare information för att utveckla en egen verifieringslösning.

Det finns två sätt att använda utvecklad lösning:

  1. Arrangören använder den officiella app som utvecklas av DIGG för att kontrollera deltagarnas vaccinationsbevis.
  2. Arrangören utvecklar en egen lösning för att kontrollera deltagarnas vaccinationsbevis. För att stödja detta har DIGG publicerat kod och instruktioner som opensource.

En första version av den officiella appen lanseras 1 december 2021.

Instruktion för utvecklare

Tekniska förkunskaper

En aktör som själv väljer att utveckla en verifieringsapplikation för Vaccinationsbevis behöver goda kunskaper om Covidbevis utformning, och den infrastruktur som finns för att tillgodose att säker verifiering kan ske. Nedanstående länkar är en del av den information som finns att tillgå, och kan vara ett bra utgångsläge för den som ämnar utveckla en egen verifieringslösning.

Juridiska aspekter vid utveckling

Regelverket vaccinationsbevis

För att verifieringsapplikationen ska gå att använda är det viktigt att den aktör som väljer utveckla applikationen är väl insatt i gällande regelverk beträffande vaccinationsbevis, inbegripet vad som behöver kontrolleras hos verifierande part. Arrangörer eller anordnare medges en rätt att utifrån vissa förutsättningar och i vissa situationer verifiera vaccinationsbevis. Vid utveckling av en lösning bör man därför inte bygga in ytterligare funktioner.

För närvarande framgår i förordning (2021:8) om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19, (restriktioner) att den som anordnar en allmän sammankomst eller offentlig tillställning ska begränsa antalet deltagare i lokaler och avgränsande områden eller utrymmen som anordnare disponerar på ett sätt som är säkert från smittskyddssynpunkt, 3 kap. 2 §. Vidare framgår (undantag för restriktionerna) att om deltagarna som besöker en allmän sammankomst eller offentlig tillställning har uppvisat ett vaccinationsbevis som visar att de har vaccinerats med det totala antalet doser vaccin mot sjukdom covid-19 minst två veckor före sammankomsten eller tillställningen, gäller inte 2 § (restriktionerna). I 3 kap. 2 c § framgår att anordnaren av sammankomsten eller tillställningen ska vid inpassage verifiera vaccinationsbevisets äkthet och förvissa sig om att det uppfyller kraven i 2 a § första stycket och har utfärdats till den som visar upp det. I andra stycket samma bestämmelse framgår att anordnare får behandla de personuppgifter som behövs för verifieringen. Personuppgifter får inte lagras.

I Folkhälsomyndighetens föreskrifter och allmänna råd (HSLF-FS 2021:87) framgår att för att en person ska anses vara fullvaccinerad med det totala antalet doser vaccin mot sjukdomen covid-19 ska hen ha fått [1] Två doser två doser av Comirnaty (Pfizer/BioNTech), Spikevax (Moderna), Vaxzevria (Astra Zeneca), eller [2] en dos av Covid-19 Vaccine Janssen.

Regelverk integritet

Gällande integritetsaspekter kan nämnas att användarna som är avsedda för applikationen har ett mycket strikt regelverk att följa i samband med verifiering av vaccinationsbevis. Legala ändamål styr den tekniska verifieringslösningen. Om en applikation utvecklas med funktioner som sparar, lagrar eller på annat sätt behandlar personuppgifter för annat ändamål än momentan okulär granskning av resultaten föreligger en betydande risk att applikationen inte kan användas inom befintligt regelverk. All behandling (läsa, lagra, visa, överföra etc.) ska kunna motiveras utifrån ett juridiskt hänseende. Beroende på hur den tekniska lösningen används i praktiken kan ett personuppgiftsbiträdesförhållande uppstå. Det är viktigt att utvecklaren införskaffar kunskaper om denna kommer betraktas som ett biträde samt vad detta innebär.

Sammanfattning

För att applikationen ska kunna användas utifrån befintligt regelverk måste den som utvecklar en applikation beakta följande (Observera att listan inte ska läsas uttömmande, vill den som utvecklar applikationen säkerställa att viss lösning är hållbar rekommenderas att juridisk kompetens införskaffas).

  • Rätt antal doser vacciner innebär 2/2 doser Comirnaty (Pfizer/BioNTech), Spikevax (Moderna), Vaxzevria (Astra Zeneca), eller 1/1 Covid-19 Vaccine Janssen.
  • Det ska ha gått minst 2 veckor mellan rätt antal doser och verifiering av vaccinationsbevis
  • Boosterdos har ingen karensdag, dvs. det är godkänt vaccinationsbevis i direkt anslutning med boosterdosen, tredje för 2/2 eller andra för 1/1.
  • Äktheten måste kunna verifieras
  • Anordnaren ska kunna förvissa sig om att rätt antal doser tagits och att tiden för vaccinering är giltig.
  • Identiteten ska kunna säkerställas på den som visar vaccinationsbevis och att denna visar vaccinationsbevis för en själv.
  • Inga personuppgifter får lagras
  • Vaccinationsbeviset ska vara giltigt
  • Integritetslagstiftningen måste iakttas

Vanliga frågor och svar

Vi kan hjälpa till med att visa hur du kommer åt den öppna koden och de publika krypteringsnycklarna för utveckling men vi kan inte hjälpa till med att integrera den i en befintlig lösning. Den lösning som DIGG utvecklar är inte avsedd att integreras med nått annat.  

Ja, vem som helst får utveckla en lösning för verifiering av vaccinationsbevis. Men DIGG kan bara hjälpa till i en begränsad utsträckning så du behöver själv ha den kunskap om teknisk utveckling, öppen kod och ramverk som krävs. 

Nej

 

Verifiering av Vaccinationsbevis (Covidbevis) innebär att säkerställa bevisets utfärdare, giltighet och innehåll. Verifieringen är beroende av resurser som tillhandahålls inom den europeiska infrastrukturen för Digital Covid Certificate (DCC). I Sverige finns en nationellt framtagen tjänst, DCC Trust Point, som distribuerar dessa resurser till de parter som vill ta fram lösningar för att verifiera Covidbevis.

Mer information om DCC Trust Point i frågan ”Vad är DCC Trust Point?”.

Beskrivning av de steg som sker vid verifiering av ett Vaccinationsbevis (Covidbevis).

  • Hämta ner och spara de resurser som behövs från DCC Trust Point till enheten som ska utföra verifieringen.
  • Skanna Covidbeviset (QR-koden) med enhetens kamera.
  • Verifiera att Covidbeviset är utfärdat av en giltig utfärdare baserat på resurs från DCC Trust Point.
  • Verifiera bevisets giltighet.
  • Verifiera Covidbevisets innehåll baserat på resurser från DCC Trust Point.
  • Verifiera att Covidbeviset uppfyller givet regelverk för ändamålet.
  • Presentera resultat till användaren med den informationsmängd som ändamålet kräver.

DCC Trust Point är en nationell tjänst som tillhandahåller de resurser som ingår i utfärdande och verifiering av Covidbevis. DCC Trust Point håller en nationell cache över resurserna från EU Digital Covid Certificate Gateway (DCCG) och gör dessa publikt tillgängliga till aktörer som bygger verifieringslösningar. Resurserna i DCC Trust Point uppdateras gentemot EU DCCG med ett givet intervall och vid eventuellt problem under uppdatering tillhandahålls sedan tidigare hämtade resurser.

Mer information https://github.com/DIGGSweden/dgc-trust 

DCC Trust Point finns tillgänglig i två separata instanser som tillhandahåller resurser för test, respektive produktionsmiljöer.

 

DCC Trust Point tillhandahåller resurser som är en del av infrastrukturen för Covidbevis. Det är tre olika resurser som tillhandahålls.

  • Document Signer Certificate Trust List (DSC-TL) – JWS innehållande publika nycklar för verifiering av Covidbevis signatur
  •  Value Sets – JSON objekt med giltiga värden för ingående delar i ett Covidbevis
  • Validation Rules – Inreseregler för de länder som valt att publicera dessa

I syfte att verifiera ett Vaccinationsbevis äkthet är det följande resurser som behöver hämtas av en verifieringsapplikation.

Lista i JWS format med de publika nycklar som används för att verifiera giltig signering av Covidbevis
DSC-TL

Value Set med giltiga id för sjukdom
disease-agent-targeted

Value Set med giltiga id för typ av vaccin
sct-vaccines-covid-19

Value Set med giltiga id för vaccin-produkt
vaccines-covid-19-names

Value Set med giltiga id för tillverkare/marknadsförare av vaccin
vaccines-covid-19-auth-holders

För att säkerställa att en verifieringsapplikation fungerar utan internetanslutning är det krav att DCC Trust Point resurser sparas i applikationen och uppdateras med ett givet intervall. I de fall en uppdatering inte kan ske kan verifieringsapplikationen fortsätta använda en tidigare sparad resurs tills dess att ny uppdatering kan ske.
Rekommendationen är att resurser från DCC Trust Point uppdateras 1 gång per dygn.

Det är tillåtet att som applikationsleverantör tillhandahålla en egen serverlösning som sparar dessa resurser, och som verifieringsapplikationen sedan kan hämta resurserna ifrån.

För att ett Vaccinationsbevis skall anses giltigt skall det säkerställas att Vaccinationsbeviset

  • är äkta (signerat av giltig utfärdare)
  • är tidsmässigt giltigt
  • följer DCC specifikation
  • tillhör individen som uppvisar beviset
  • följer regelverk specificerat i stycke ”Juridiska aspekter vid utveckling”

En verifieringsapplikation skall enbart ge arrangör tillgång till uppgifter som är relevanta för dess syfte. Med detta menas att applikationen skall uppgiftsminimera det som arrangör får tillgång till.

De som utvecklar en verifieringsapplikation är ansvarig för de personuppgifter som hanteras. Därmed rekommenderas att inga personuppgifter lämnar den enhet som läser beviset.

Inga personuppgifter får sparas.

För att ytterligare minimera exponeringen av personuppgifter rekommenderas att uppgifter som visas efter ett Vaccinationsbevis verifierats döljs efter ett visst antal sekunder.

Giltigt vaccinationsbevis 

Då verifiering av Vaccinationsbeviset ger positivt resultat (giltigt) behöver användaren tillgång till personuppgifter för att säkerställa identiteten på personen i förhållande till Vaccinationsbeviset. De uppgifter som måste visas för detta ändamål är:

  • Samtliga förnamn
  • Samtliga efternamn
  • Födelsedatum

Utöver dessa måste följande uppgifter kontrolleras, vilket kan ske automatiserat eller genom avläsning i applikationen:

  • Vaccinnamn
  • Rätt antal doser
  • Vaccinationstidpunkt
  • Förnamn i translittererat format
  • Efternamn i translittererat format

Ej giltigt Vaccinationsbevis 

Då verifiering av Vaccinationsbeviset ger negativt resultat (ej giltigt) bör arrangör informeras om vad orsaken till det negativa resultat är. Exempelvis att Vaccinationsbevisets giltighet har gått ut, eller att personen inte anses fullvaccinerad. Även den uppgift som gav upphov till det negativa resultatet kan visas. Exempelvis giltighetsdatum i de fall ett vaccinationsbevis anses ha passerat sitt giltighetsdatum.

Det sistnämnda kan vara bra stöd då detta scenario kan ge den vaccinerade möjlighet att hämta ut ett nytt Vaccinationsbevis digitalt.

Det som visas för arrangör skall vara motiverat utifrån behov.

Det skall vara enkelt att vid behov utläsa nuvarande versionsnummer på applikationen. Ex vid kontroll av länsstyrelsen.

Det skall vara enkelt att vid behov utläsa senaste tidpunkt för uppdatering av resurser gentemot DCC Trust Point. Ex vid kontroll av länsstyrelsen.

För att underlätta vid mörka förhållanden rekommenderas att det under scanningstillfället går att använda enhetens lampa. Antingen som en del av verifieringsapplikation eller att användaren manuellt kan aktivera lampan i enhetens inställningar.

Dokument och länkar

Notera:

  1. I dokumentation, och öppen källkod, används det ursprungliga namnet "Digital Green Certificate" (DGC), och det nu gällande namnet "Digital Covid Certificate" (DCC). Dessa två termer syftar till samma sak och används ombytligt i stora delar av den befintliga dokumentationen.
  2. I dokumentationen som finns tillgänglig i nedanstående länkar, finns det beskrivet "Valideringsregler" (Validation Rules alt. Business Rules). Dessa regler inom DCC gäller för verifiering av inresa till ett specifikt land, och är inte samma sak som verifiering av Vaccinationsbevis i syfte att ge tillgång till evenemang för vaccinerade inom Sverige. Detta kommer vi på DIGG tydliggöra i kommande vägledningar som det pågår arbete med inför 1 december.

Dokumentation som beskriver Digital Covid Certificate uppbyggnad med tillhörande ramverk och infrastruktur:

Beskrivning och aktuella länkar för Sveriges DCC Trust Point som används för distribuering av publika nycklar och värdeset:

Källkod för mobilapplikation framtagen av DIGG med syfte att verifiera Vaccinationsbevis i enlighet med gällande regelverk

Referensapplikation för verifiering av Covidbevis. Notera att denna applikation utför generell verifiering av Covidbevis, och inte specifikt validerar de regler som kommer gälla för evenemang efter den 1:a December 2021.

Java-ramverk framtaget av DIGG för skapande och verifiering av DCC:

Samlingsyta för öppen källkod och dokumentation:

Referensapplikationer för verifiering av DCC på iOS och Android:

DCC generator för test där bevis signeras, av en i QA-miljön, godkänd nyckel (Ingår i Trust List för DCC Trust Point):