Avfallsregistret
Avfallsregistrets API för tillsynsmyndigheter
Tillsynsmyndigheter kan hämta uppgifter från avfallsregistret genom att ansluta sig till Naturvårdsverkets API. Här finns information om hur anslutningen går till, tekniska specifikationer och vilka villkor som gäller.
API för Tillsyn är ett publikt REST-baserat API som Naturvårdsverket erbjuder Tillsynsmyndigheterna åtkomst till för att kunna se rapporter i avfallsregistret. Tillsynsmyndigheter som hämtar uppgifter från Avfallsregistret behöver ingå ett avtal med Naturvårdsverket som sker i samband med deras tekniska onboarding.
Sidan vänder sig till
Tillsynsmyndigheter som ska ansluta sig till avfallsregistrets API för att hämta data.
Bra att veta
Naturvårdsverkets nuvarande vägledningar om API:erna riktar sig främst till it-utvecklare och verksamhetsutövare. Informationen går i nuläget att använda för att komma igång med utvecklingsarbetet för tillsynsmyndigheter.
Teknisk onboarding - steg för steg
Ansök om anslutning via E-tjänsten ”API -anslutning”. Läs mer om hur det går till där som passar din situation.
Teknisk information
Service style
REST
Datautbytesformat
JSON
Transport security
Tvåvägsautentisering (mTLS) används varför det krävs ett klientcertifikat från en godkänd utfärdare.
Autentisering
OAuth2 Bearer används och i samband med anslutning får verksamhetsutövaren en access token med en ettårsgräns.
URL:er
- Produktionsmiljö
https://api.naturvardsverket.se/btfa/tillsyn/v1/[resource name]... - Testmiljö
https://api-test.naturvardsverket.se/btfa/tillsyn/v1/[resource name]... - Sandbox finns ej tillgängligt i dagsläget.
Språk
De flesta datafält är namngivna på svenska.
Request headers
NV-Client-System-ID (obligatoriskt) ska innehålla namn och version avseende det anslutande systemet.
NV-Client-Tracking-ID (frivilligt) returneras alltid i svaret och kan användas för att spåra förfrågan med ett valfritt id. Om man inte gör något val så kommer ett slumpmässigt UUID (Universal unique identifier, unik identifierare) att inkluderas i svaret.
Swagger-fil, uppdaterad 2024-04-29 (zip)
Observera att Swagger-filen innehåller allt ni kan tänkas behöva under hela implementationsarbetet, så som design och dokumentation till implementation och test. Mer information om hur du använder Swagger kan du hitta på https://swagger.io/about/
Beskrivning av metoder och resurser
| Metoder | Resurs | Beskrivning |
|---|---|---|
| GET | /anteckningar/{}anteckningsid | Anrop för att hämta en anteckning med anteckningsid. |
| GET | /anteckningar/ | Anrop för att hämta en anteckning med avfallid. |
| GET | /anteckningstyper | Värdeförråd för anteckningstyper |
| GET | /anteckningar/transportplanering | Hämtar anteckningar gällande uppkomst av farligt avfall och planerad transport av detta enligt SFS 2020:614 Kap 6 § 1. Obligatoriskt att ange år. |
| GET | /anteckningar/transport | Hämtar anteckningar gällande transport av farligt avfall enligt SFS 2020:614 Kap 6 § 2. Obligatoriskt att ange år. |
| GET | /anteckningar/insamlingsmottagning | Hämtar anteckningar gällande mottagning av farligt avfall för insamling och sortering enligt SFS 2020:614 Kap 6 § 3.1. Obligatoriskt att ange år. |
| GET | /anteckningar/insamlingsborttransport | Hämtar anteckningar gällande transport av farligt avfall efter insamling och sortering enligt SFS 2020:614 Kap 6 § 3.2. Obligatoriskt att ange år. |
| GET | /anteckningar/handel | Hämtar anteckningar gällande handel med farligt avfall enligt SFS 2020:614 Kap 6 § 4. Obligatoriskt att ange år och organisationsnummer. |
| GET | /anteckningar/behandlingsmottagning | Hämtar anteckningar gällande mottagning av farligt avfall för behandling enligt SFS 2020:614 Kap 6 § 5.1. Obligatoriskt att ange år. |
| GET | /anteckningar/behandlingsresultat | Hämtar anteckningar gällande resultat av behandling farligt avfall enligt SFS 2020:614 Kap 6 § 5.2. Detta rapporteras kvartalsvis. Obligatoriskt att ange år. |
| GET | /anteckningar/behandlingstransport | Hämtar anteckningar gällande transport av farligt avfall som uppstått efter behandling enligt SFS 2020:614 Kap 6 § 5.3. Obligatoriskt att ange år. |
Vanliga fel och orsaker till dessa
Anropet saknar obligatorisk parameter
Vid fel likt följande saknar anropet obligatorisk parameter. Undersök er input.
{
"Title": "InputValidationException",
"StatusCode": 400,
"Message": "Ett eller flera valideringsfel har inträffat.",
"TraceId": "8000024d-0000-c000-b63f-84710c7967bb",
"Errors": [
{
"Message": "Verksamhetsutövare saknas",
"Code": 1021
}
]
}
Fel angiven token
Dubbelkolla om du angivit rätt Token.
<ams:fault xmlns:ams="http://wso2.org/apimanager/security">
<ams:code>900901</ams:code>
<ams:message>Invalid Credentials</ams:message>
<ams:description>Access failure for API: /btfa/anteckning/v1, version: v1 status: (900901) - Invalid Credentials. Make sure you have provided the correct security credentials</ams:description>
</ams:fault>
Certifikatets giltighetstid
Vid felmeddelande likt följande har troligtvis ert certifikat gått ut. Kontrollera certifikatets giltighetstid och om det behöver förnyas.
<head>
<title>502 Bad Gateway</title>
</head>
<body>
<center>
<h1>502 Bad Gateway</h1>
</center>
<hr>
<center>Microsoft-Azure-Application-Gateway/v2</center>
</body>
Frågor och svar
Får tillsynsmyndigheten tillgång till alla uppgifter som verksamhetsutövarna lämnar in?
Tillsynsmyndigheterna har rätt att få ut de uppgifter från avfallsregistret som de behöver för sin tillsyn. Möjligheten att begära ut uppgifter ur avfallsregistret är anpassad till kraven i GDPR.
Kommer tillsynsmyndigheter få automatiska meddelanden via avfallsregistret om rapportering inte skett i samband med till exempel överlämnande av farligt avfall?
Nej, tillsynsmyndigheterna kommer inte i dagsläget att kunna få några notifieringar om inlämnade anteckningar. Däremot kan de ta del av anteckningarna som görs inom deras tillsynsområde.
Vem kan koppla upp sitt verksamhetsstödsystem mot avfallsregistrets API? Vilka krav måste vi uppfylla?
Ett företag med ett eget verksamhetsstödssystem för hantering av farligt avfall och som lämpar sig för att vidareutvecklas med en koppling till Avfallsregistrets API.
De krav som måste uppfyllas är att:
- Det finns en anslutning till testmiljön och när allt fungerar i den till produktionsmiljön. Det görs i e-tjänsten nedan:
API Onboarding - Den information som skickas är både tekniskt och innehållsmässigt korrekt. Se ”Teknisk guide”
Hur länge är API-nyckeln giltig?
1 timme, därefter behöver den förnyas. Denna funktion behöver byggas in i integrationen.
Ska klientcertifikatet finnas på respektive dator eller ligger det på företagets server så att flera datorer kan använda samma klientcertifikat?
Klientcertifikatet ska ligga på företagets server, så flera datorer kan använda samma certifikat.
Finns det andra möjligheter att kunna sätta upp en integration mot API:et utan QWAC certifikat till en början?
Det finns möjlighet att använda certifikatet Steria AB EID CA v2 med 2 års giltighet utfärdat av Expisoft. Se information om certifikat på sidan för AEAO.
Serverlegitimation/Organisationslegitimation och funktionscertifikat (expisoft.se)
Kan man använda ett wildcardcertifikat för domänen?
Ja.
Kan man använda å, ä, ö i API:et?
Vilka fält och extensions behöver finnas i klientcertifikaten?
Företagets namn och organisationsnummer samt kontaktuppgifter enligt den standard som gäller för certifikatet. Certifikatet måste kunna användas för ”client authentication”. För QWAC behövs ej PSD2.
Vad är REST och JSON?
REST (Representational State Transfer) beskriver hur tjänster för maskin-till-maskin-kommunikation sätts upp. JSON (JavaScript Object Notation) är ett kompakt, textbaserat format som används för att utbyta data.
Avtal om produktionsanslutning
När ett system är godkänt för anslutning till produktionsmiljön måste också ett avtal om produktionsanslutning upprättas med Naturvårdsverket för att möjliggöra uppgiftslämnande till avfallsregistret.
Verksamhetsutövare som avser ansluta till avfallsregistrets API för produktionsmiljö ska upprätta avtal med Naturvårdsverket enligt följande:
- Fyll i avtalsmallen.
- Skriv ut i ett exemplar.
- Avtalet undertecknas av behörig firmatecknare.
- Skanna avtalet och maila till kundtjanst@naturvardsverket.se eller via post till Naturvårdsverket, 106 48 Stockholm.
- Skicka med följande bilagor:
a) Registreringsbevis (ej äldre än tre månader) som styrker att undertecknande person är behörig.
b) Ev. klientcertifikat.
Naturvårdsverket granskar avtalet och returnerar det signerat med e-post till den kontaktperson som anges på avtalet. Då både avtal och klientcertifikat är godkända skickas inloggningsuppgifter och åtkomstnyckel till produktionsmiljö via Mina meddelanden eller krypterad e-post (se Checklista för anslutning).
Notera att som tumregel krävs ett avtal och klientcertifikat per juridisk person. Moderbolag kan dock agera som tjänsteleverantör för sina dotterbolag. Ta kontakt med kundtjanst@naturvardsverket.se för att få veta mer.
Om viss information som lämnats av verksamhetsutövaren i avtalet i efterhand ändras, som exempelvis att en verksamhet efter en viss tid byter kontaktperson, är det viktigt att verksamhetsutövaren kontaktar Naturvårdsverket med uppdaterad information.
Avtal om produktionsanslutning – BTFA och API för anteckning v. 3.0 (pdf 188 kB)
Villkor för API
Särskilda villkor gäller för Naturvårdsverkets API. Se separat information för testmiljö respektive anslutning för tillsyn.
Certifikat krävs för att identifiera anslutande system
Både offentliga och privata verksamheter kan ansluta sina verksamhetssystem till Naturvårdsverkets API:er för att lämna in information. För att det ska ske på ett säkert sätt används så kallade klient- och servercertifikat.
Ett certifikat fungerar som en e-legitimation mellan system och är en förutsättning för krypterad trafik, som förhindrar att informationen påverkas eller avlyssnas när den skickas mellan system. Med ett server-certifikat, som Naturvårdsverket har, kan anslutande part också vara säker på att anropet skickas till rätt tjänst och att det returnerade svaret är pålitligt. Ett klient-certifikat gör att Naturvårdsverket som erbjuder API-tjänsten kan vara säker på att information skickas från en betrodd part, vilket regleras genom avtal och kvalificeras genom tester.
Notera att det är det anslutande systemet som behöver kunna identifieras med hjälp av klientcertifikatet, inte den anslutande aktören. Se avsnittet Det här gäller för olika aktörer. Respektive anslutande organisation identifieras genom den tilldelade Inloggningsuppgifter och åtkomstnyckeln.
Certifikat för anslutning
Naturvårdsverket begär att organisationer och verksamheter som vill ansluta till myndighetens API:er utgår från EU:s lista över leverantörer av kvalificerade tjänster för eIDAS och skaffar ett kvalificerat certifikat av typen Qualified Certificate for Website Authentication (QWAC).
Leverantörerna på denna lista är certifierade enligt ETSI TS 102 042-standarden för elektroniska certifikat. Det är en europeisk certifiering baserat på ett EU-direktiv som syftar till att underlätta digital kommunikation mellan myndigheter, medborgare och företag i Europa.
QWAC kan användas både för identifiering av en webbplats (server) som en webbplats-användare (client). Notera att det är viktigt att ”client” finns med, leverantörerna har inte alltid detta som standard. Certifikatet ska användas för server- till serverkommunikation.
QWAC är en typ av certifikat som kommer bli standard för banker och andra finansiella institut inom EU genom PSD2-direktivet. Av den anledningen finns en utökning av certifikatet för PSD2. Naturvårdsverket har dock inga krav på att certifikaten ska kunna användas för finansiella tjänster inom Europa. PSD2 behöver inte ingå.
Kostnad för certifikat och hur lång tid det tar att få ett certifikat varierar mellan certifikatutfärdarna. Normalt kan det ta ett par veckor att få sitt certifikat på plats, och ibland kan det krävas det ett fysiskt besök hos leverantörerna för att verifiera sin identitet.
EU:s lista över eIDAS Trust service providers
Naturvårdsverket har inte några samarbeten med enskilda leverantörer eller återförsäljare av klientcertifikat, utan rekommenderar att man utgår från kraven ovan och gärna tar hjälp av EU:s lista.
Naturvårdsverket accepterar även klientcertifikat Steria AB EID CA v2 med 2 års giltighet utfärdat av Expisoft förutom QWAC.