Enligt registraravtalet så finns det krav på att registraren ska kontrollera att det är innehavaren som begär registreringstjänster. Registraren har också i uppgift att kontrollera riktigheten i de uppgifter som innehavaren är skyldig att lämna såsom:
- Firmanamn och kontaktperson eller privatpersons för- och efternamn.
- Organisationsnummer eller personnummer
- Adress
- Telefonnummer och e-postadress
Nedan är exempel på tillvägagångssätt som kan användas för att verifiera innehavare och minska risken för falska eller felaktiga uppgifter. För att registraren ska uppnå en hög grad av säkerhet samt uppfylla kraven så behöver dessa metoder i regel kombineras. Det vill säga att endast använda en av metoderna nedan är inte tillräcklig för att uppfylla kraven om säker verifiering av innehavare och dess uppgifter.
1. Formatkontroll
Formatkontroller säkerställer att informationen som fylls i följer förväntade standarder och format. På registrarwebben finns en artikel upplagd med exempel på olika länders format på organisationsnummer. Den kommer att uppdateras över tid. https://support.registry.se/sv/kb/articles/vilka-format-forvantas-pa-inlamnade-innehavaruppgifter
Exempel: Danska företags organisationsnummer består alltid av 8 siffror. Genom att implementera validering för att acceptera endast 8 siffror i fältet för danska organisationsnummer kan felaktig information undvikas.
2. Dokumentkontroll
Innehavaren verifieras genom att styrkande dokument kontrolleras. Detta kan ske manuellt eller automatiserat genom externa tjänster.
Exempel: Registranten skickar in en kopia av ID-handling, eller så använder registraren en leverantör som erbjuder dokumentkontroll som en tjänst.
3. Kontroll mot tredje parts register
Uppgifterna kan valideras genom att jämföra dem mot offentliga eller privata register. Detta kan ske antingen manuellt eller automatiserat.
Exempel: Verifiering mot Bolagsverket, SPAR, CreditSafe eller andra register för att säkerställa att företagsnamn, adress och organisationsnummer stämmer. Tjänster för detta kan köpas från flera aktörer.
Svenska, norska och danska bolagsverken erbjuder även kostnadsfria API-tjänster: https://www.bolagsverket.se/apierochoppnadata/vardefulladatamangder.5294.html, https://datacvr.virk.dk/ ochhttps://www.brreg.no/
4. E-legitimering
Verifiering kan ske genom e-legitimation, som erbjuder en hög säkerhetsnivå. Internetstiftelsen ger idag även en rabatt för nyregistreringen när registraren har verifierat innehavaren via e-legitimation.
Exempel: Registranter verifierar sig via e-legitimation som uppfyller eIDAS tillitsnivå ”substantial”. Exempel på sådana i olika länder är: BankID, MitID, TruID, eeID, DigID, ROeid, itsme.
Källa: European Commission, Digital Europe Programme.
5. Verifiering av e-post/telefonnummer
Detta tillvägagångssätt bekräftar att den angivna e-postadressen eller telefonnumret tillhör registranten.
Exempel: En verifieringslänk skickas till e-postadressen som måste klickas på, eller så sker uppringning eller SMS till angivet telefonnummer med en kod för verifiering.
6. Tidigare verifierad kund
För kunder som redan verifierats tidigare kan en förenklad process användas, där kontrollen baseras på tidigare godkända uppgifter.
Exempel: Kunden verifierar sin identitet genom att logga in med en säker metod som användar-ID och lösenord av god kvalitet, eller flerfaktorsautentisering (t.ex. certifikat eller personlig säkerhetsmodul).
7. Adressvalidering
För att säkerställa att adressuppgifter är korrekta kan validering utföras mot adressregister.
Exempel: Verifiering sker mot Postens adressdatabas för att säkerställa att angiven adress existerar och är korrekt formaterad.