Sist endret: 6. nov. 2025

Kom i gang med Samtykke

For å komme i gang med samtykke må både datakonsument (sluttbrukersystem) og tjenesteeier gjennom noen steg for å sette opp løsningen

Tjenesteeier

Denne delen beskriver hva tjenesteeier må gjøre for å tilgjengeliggjøre data via samtykketjenesten.

Opprett en tjeneste som krever samtykke
  • Lag eller tilpass et API som tilbyr data som skal kunne deles basert på samtykke.
  • API-et må kunne ta imot et gyldig samtykketoken (JWT) fra datakonsument som dokumentasjon på at sluttbruker har gitt samtykke.
  • Beskriv tydelig hvilke data som deles, og under hvilke betingelser.
Registrer scopes for tjenesten
  • Tjenesten må tildeles ett eller flere OAuth2-scopes i Maskinporten.
    Disse scopes identifiserer hvilke rettigheter (ressurser) som krever samtykke.
  • Hvert scope bør være spesifikt for formålet, for eksempel altinn:inntekt.read.
Opprett samtykkeressurs i ressursregisteret
Ressursregisteret inneholder beskrivelse av autorisasjonsressursen samt tilgangsregler for denne. Sørg for å informere de som skal bruke tjenesten om nødvendige tilgangspakker (og eventuelle enkeltrettigheter) som kreves for å ta den i bruk. Under guider kan du lese mer om de forskjellige feltene som må fylles ut
Tilgangslister

Det er mulig å benytte tilgangslister for å styre hvilke datakonsumenter som får tilgang til tjenesten. Dette krever en prosess for å legge til nye datakonsumenter på tilgangslistene ved behov.

Flytdiagram som viser når flyten kan avbrytes av tilgangslister og scopes

Datakonumenter som ikke er ført opp på tilgangslisten vil ikke kunne opprette samtykkeforespørsel. Dette vil gjøre at flyten avsluttes før sluttbrukeren blir bedt om samtykke.

Beskrivelse av tilgangslister og hvordan disse brukes finner du her.

Informasjon og dokumentasjon

Sørg for å dokumentere:

  • hvilke steg datakonsumenten må gjennom,
  • hvilke tilgangspakker og scopes som kreves, og
  • hvem som skal kontaktes for å få tilgang.
Valider samtykke
Samtykketokenet er et tykt token som inneholder all informasjon du trenger for å validere samtykket. Dette betyr at all validering kan gjøres uten oppslag mot Altinn Autorisasjon. Beskrivelse av validering finnes her

Datakonsument/Sluttbrukersystem

Denne delen beskriver hva datakonsumenten må gjøre for å ta i bruk samtykketjenesten.

Datakonsumenten må ha registrert en Maskinporten-klient

Samtykketoken bygger videre på Maskinporten som lar tjenesteeier sikre autensitet og tilgang til tjenesten gjennom scopes. Maskinporten token brukes som informasjonsbærer for sytembruker informasjon, som gjør at tjenesteeier kan utføre tilangskontroll mot Altinn Autorisasjon

For å kunne få tilgang til Maskinporten må du ha norsk organisasjonsnummer. For mer informasjon, se Maskinporten.

Gjennom signering av bruksvilkår for Maskinporten og ID-porten får man tilgang til både testmiljø og produksjonsmiljø hos Digdir.

  1. Oppkobling mot Maskinporten.
    Følg fremgangsmåten for å koble opp til Maskinporten.
  2. Opprette en Maskinporten-klient.
    En Maskinporten-klient kan opprettes enten i Samarbeidsportalen eller ved bruk av API. Opprettelse av en Maskinporten-klient forutsetter oppkobling til Maskinporten. For mer informasjon, se Maskinporten-klient.
Datakonsumenten må ha fått delegert scope for samtykke fra Digdir
Be om tilgang til tjenesteeiers tjenester
  • Tjenesteeier bestemmer selv hvilke scopes som brukes for tilgangskontroll mot sine tjenester.
  • Scopene for tjenesten er ikke de samme som scopes for samtykke-API-ene, og tildeles av tjenesteeier.
  • Finn nødvendige scopes i tjenesteeiers dokumentasjon eller ved å ta kontakt med tjenesteeier.
  • Dersom tjenesteeier bruker tilgangslister, må organisasjonsnummeret ditt legges til før du får tilgang.
Integrasjon
Under Guider kan du lese mer om hvordan du integrerer sluttbrukersystemet ditt mot våre API-er for samtykke.