Säker digital kommunikation Övergripande pilotinformation

Transkript

1 Säker digital kommunikation 2019 Övergripande pilotinformation

2 Innehåll 1. Inledning Syfte och mål Pilotfas Mål för pilotfasen Tidplan för pilotfasen Vilka kan bli piloter? Vad innebär det att vara pilot Kort beskrivning av konceptet Säker digital kommunikation Projektets åtaganden i pilotverksamheten Gemensamma SDK-komponenter Användarorganisationers/pilotaktörers åtaganden Anslutningsprocessen till SDK Leverantörsmarknad Mer information och kontaktuppgifter Revisionshistorik Version Datum Författare Kommentar Anna Åberg Första utkast Malin Domeij Uppdatering 0.3 Anna Åberg Uppdatering Sid 2/11

3 1. Inledning Säker digital kommunikation skapar förutsättningar för enkel, säker och enhetlig hantering av känslig information. Det gäller information som utbyts mellan verksamheter inom offentlig sektor, som till exempel inom vård, socialtjänst och skola. Säker digital kommunikation ska ses som ett komplement till andra etablerade tjänster och kommunikationssätt som är mer sektorspecifika eller som möter behov av informationsutbyte av med strukturerad information eller information av ännu känsligare art. Detta dokument innehåller information om pilotverksamheten 2019 i projektet Säker digital kommunikation. Projektet drivs med Inera som beställare/projektägare i samverkan med SKL, ett antal regioner, kommuner och statliga myndigheter. Målgruppen är användarorganisationer inom offentlig verksamhet som behöver en övergripande förståelse och information om vad det innebär att medverka som pilotaktör. Mer information om projektet finns på Ineras hemsida, 2. Syfte och mål Syftet med att verifiera, utveckla och införa konceptet Säker digital kommunikation är att förbättra, förenkla och öka säkerheten i hanteringen av känslig information i offentlig sektor Målet med projektet är att 2020 är att Sverige ska ha en standardiserad förmåga till säker digital kommunikation mellan offentliga aktörer och privata utförare av offentligt uppdrag. Det gäller ostrukturerad information som kommuniceras mellan två eller flera parter där ingen utom avsändare, mottagare och den det berör kan ta del av informationen. Parterna är kända (identifierade) för varandra och informationsdelning säkras enligt för informationen gällande lagar och regler. Informationen är spårbar. 3. Pilotfas 2019 Under 2019 genomförs tekniska pilottester med ett antal kommuner, regioner och en myndighet. Fokus i det gemensamma projektet är teknik och säkerhet i testmiljö och med testdata. Testerna ska i första hand utvärdera hur anslutning till en gemensam testbädd fungerar och hur det fungerar att skicka och ta emot meddelanden mellan olika organisationer med olika lokala förutsättningar. Men också belysa erfarenheterna från de lokala anpassningar som måste göras internt hos pilotaktörerna, antingen med egna resurser eller med någon leverantör på marknaden. 3.1 Mål för pilotfasen Konceptet SDK är pilottestat med medverkande pilotaktörer, från projektets sida med fokus på teknik och säkerhet i testmiljö Sid 3/11

4 SDK är förberett för verksamhetspiloter/breddinförande inför 2020 Utveckling av kompletterande delar (främst adressbok, testbädd och testklient) Komplettering av kritiska principer & regelverk för tillit och informationsutbyte Kommunikation och förankring (leverantörskontakter, externa parter) 3.2 Tidplan för pilotfasen Beräknad tidplan är att genomföra testerna under hösten 2019 och förberedelsetiden ca 3 4 månader, beroende på lokala förutsättningar hos pilotorganisationerna. Under våren utvecklas även viss gemensam infrastruktur i det gemensamma projektet, parallellt med pilotaktörernas förberedelser. 3.3 Vilka kan bli piloter? SDK-projektet behöver ett antal användarorganisationer/pilotaktörer (kommuner, regioner, statliga myndigheter) för att verifiera att SDK fungerar i tekniska tester med aktörer som ansluter till SDK:s testbädd, anpassar till SDK:s specifikationer och testar i egna lokala verktyg. Under pilotfasen är det endast användarorganisationer i offentlig verksamhet som kan bli piloter och ansluta till SDK. I ett senare skede ska även privata utförare av offentligt uppdrag samt tjänsteleverantörer kunna ansluta. I första hand är kluster av aktörer som önskar utbyta information sinsemellan önskvärt, i andra hand enskilda aktörer. Ett tillräckligt antal organisationer har beslutat eller beslut är att vänta avseende att köra tekniska pilottester Information om vilka pilotaktörerna är publiceras på projektets informationssida i verktyget Confluence när dessa är fastställda. Projektets informationssida Ytterligare intressenter är välkomna att höra av sig för att närmare stämma av intresse och förutsättningar inför Vad innebär det att vara pilot Användarorganisationer som medverkar som pilotaktörer är med i ett tidigt skede av etableringen av SDK som en standardiserad gemensam förmåga i offentlig sektor och hos privata utförare. Å andra sidan finns ett stort uppdämt behov av att kunna ersätta manuell hantering via fax, brev och telefon och att vara tidigt ute innebär också att vägen till egen SDKförmåga blir kortare. De organisationer som är med bidrar på så sätt även till det gemensamma SDK-konceptet för många fler. I korthet innebär pilotmedverkan att under 2019 kunna etablera en egen lokal förmåga och hantera integration mot gemensamma stödtjänster samt att ha någon form av IT-stöd för Sid 4/11

5 slutanvändare ( meddelandeklient ). Detta kan innebära anpassningar av den egna IT-miljön för att ansluta enligt SDK-standarder och specifikationer samt att utveckla, alternativt kravställa och upphandla lokala verktyg. Användarorganisationerna/pilotaktörerna testar att anpassa sin IT-miljö, ansluter till SDK:s testbädd och gemensamma infrastruktur samt testar och verifierar att SDK-konceptet går att realisera med lokal anslutning av användarorganisationens meddelandeklient, meddelandetjänst och accesspunkt enligt SDK:s och CEF:s specifikationer. CEF är den del av EU som tillhandahåller specifikationer mm för edelivery, det eller ramverk av öppna standarder som SDK-konceptet baseras på. CEF - Europakommissionens Connecting Europe Facility. I Sverige är Myndigheten för digital förvaltning, DIGG, ansvarig för edelivery och tillhandahåller viss gemensam infrastruktur som SDK:s testbädd är ansluten till. För anslutning till Säker digital kommunikation behöver man också hantera de krav på säkerhet som ställs på avsändare/mottagare, överföring via edeliverys transportprotokoll och själva meddelandehanteringen. Det innebär till exempel att ha ett funktionstestcertifikat och att utvärdera hur man kan uppfylla kraven i övrigt på informations- och IT-säkerhet enligt fastställda nivåer i SDK:s tillitsramverk för användarorganisationer. Under pilotfasen utgör SDK-projektet s.k. federationsoperatör, dvs tillhandahåller gemensam infrastruktur och stöd till användarorganisationer/pilotaktörer. Inget formellt anslutningsavtal tecknas mellan federationsoperatören och användarorganisationerna, utan det ersätts med en pilotöverenskommelse. Testerna genomförs i testmiljö och med testdata. Användarorganisationerna/pilotaktörerna står själva för kostnaderna för eget arbete och anpassning till SDK. Leverantörer kan ej självständigt ansluta till SDK under pilotfasen, men en användarorganisation som är pilotaktör kan välja att föra dialog med/anlita leverantör. SDKprojektet kommer också att hålla leverantörsmarknaden informerad (se nedan under Leverantörsmarknad). Det är inte ett krav från SDK-projektets sida att man måste ha ett identifierat verksamhetsflöde/process, men kan däremot vara en fördel. Tanken att kluster av pilotaktörer är att föredra, beror på att startsträckan till eget införande och stöd i faktiska informationsutbytesbehov då blir kortare. Befintliga pilotaktörer har till exempel identifierat behov av att kunna utbyta ostrukturerad information mellan kommuner inom gemensam socialjour, mellan regioner och kommuner vid överföring av patienter från specialistvård till primärvård och kommunal omsorg, samt mellan Arbetsförmedlingen och kommuner inom arbetsmarknadsområdet. De vill testa att istället för som idag skicka fax, brev och ringa, kunna ha kontakt och skicka information mellan sig via SDK-meddelanden via SDK:s testbädd. I ett nästa skede ska det kunna göras i produktionsmiljö och med uppföljande verksamhetspiloter som testar även verksamhetsrutiner, mm inför breddinförande. Sid 5/11

6 4. Kort beskrivning av konceptet Säker digital kommunikation Detta är en kortare beskrivning av konceptet för Säker digital kommunikation består bland annat av principer, specifikationer och viss gemensam infrastruktur vid informationsutbyte mellan regioner, kommuner, statliga myndigheter och privata utförare av offentligt uppdrag. Säker digital kommunikation innebär säker asynkron överföring (utlämnande) av meddelanden inkl. ev. bilagor mellan två för varandra kända och säkert identifierade parter. Ingen utom parterna kan ta del av informationen och informationsdelningen säkras enligt för informationen gällande, lagar och regelverk. Detta innebär bland annat att informationen är spårbar och konfidentiell. Säker digital kommunikation bygger på att en federation för tillit och informationsutbyte etableras, där aktörerna ansluter genom att teckna anslutningsavtal med en gemensam federationsoperatör som ansvarar för godkännande och efterlevnad av avtalet och tillitsramverk. Själva ansatsen eller den konceptuella lösningen för Säker digital kommunikation bygger på edelivery ett byggblock från EU-programmet CEF. I Sverige är DIGG färdledande myndighet för edelivery. Säker digital kommunikation ska ses som ett komplement till andra etablerade tjänster och kommunikationssätt såsom Nationell patientöversikt (NPÖ) eller Sammansatt bastjänst för ekonomiskt bistånd (SSBTEK), som är mer sektorsspecifika eller som möter behov av informationsutbyte av mer strukturerad information eller information av ännu känsligare art. Noteras bör att edelivery stödjer även strukturerat informationsutbyte, och på sikt skulle även SDK kunna användas för meddelandeöverföring av känsliga uppgifter med strukturerat innehåll. Sid 6/11

7 5. Projektets åtaganden i pilotverksamheten Under 2019 kommer SDK-projektet att agera såsom interimistisk federationsoperatör och hantera gemensamma tjänster i testbädd hos Inera. Projektet ska göra det absolut nödvändiga för att i pilottester med aktörer verifiera konceptet Säker digital kommunikation i en första version. Det innebär att prioritering ligger på: Att ha en övergripande tidplan med projektets leveranser samt vad som förväntas göras när i gemensamt projekt respektive av pilotaktörerna. Att tillhandahålla gemensamma komponenter (se nedan), förutsättningar och dokumentation mm i så enhetligt och gemensamt stöd som möjligt till alla pilotaktörer. Att stöd anpassas i rimlig omfattning till lokala förutsättningar hos pilotaktörerna. Att projektet upprättar en beskrivning av samtliga pilotaktörer samt deras ev. underleverantörer som hålls uppdaterad och publik på projektets webbsida. Att hålla ihop pilotforum med pilotaktörerna för gemensam information och erfarenhetsutbyte. Att en gemensam testrapport tas fram som sammanställer erfarenheter från SDKprojektets egna tester för nya komponenter och testbädden, samt gemensamma tester med pilotaktörerna som underlag till fortsatt arbete Gemensamma SDK-komponenter I SDK-konceptet ingår gemensamma komponenter som tillhandahålls av SDKfederationsoperatören. Dessa syftar till att underlätta anslutningstester för anslutande organisationer samt att verifiera anslutning till gemensamt koncept. SDK Testbädd Gemensam testmiljö som stöd till anslutande användarorganisationer att självständigt kunna kvalitetssäkra sina SDK-komponenter samt genomföra de anslutningstester som krävs för anslutning till SDK. SDK Testbädd är även ansluten till DIGG:s och EU:s gemensamma komponenter inom edelivery. SDK Testklient Ett gemensamt testverktyg som ger användarorganisationer inloggning till ett konto i verktyget för att kunna verifiera att de kan skicka och ta emot säkra meddelanden inom Säker digital kommunikation. Testklienten simulerar en s.k. meddelandeklient (t. ex. ett ärendehanteringssystem) som är anpassat för att skicka SDK-meddelanden med koncept som "brevlåda", säker inloggning, behörighetsstyrning, besvara meddelande, meddelandekvittens och meddelandekonversationer. SDK Adressbok Adressboken innehåller av användarorganisationer kvalitetssäkrade adressuppgifter som stödjer att kunna hitta rätt mottagare bland andra anslutna användarorganisationer inom säker digital kommunikation. Den är ett gemensamt adressregister som innehåller information på organisations- och funktionsnivå och inte personuppgifter. I pilotfasen är används testdata hos användarorganisationer/pilotaktörer som själva får inloggning till och registrerar de Sid 7/11

8 adressuppgifter man vill använda. I ett nästa skede är det tänkt att adressboken även ska stödja koppling till lokala kataloger. Bilden ger en översikt över SDK:s testbädd samt vad användarorganisationer behöver hantera under pilotfasen. Sid 8/11

9 6. Användarorganisationers/pilotaktörers åtaganden Pilotaktörer som ska använda Säker digital kommunikation behöver etablera egen lokal förmåga och hantera integration mot gemensamma komponenter/stödtjänster. Aktörerna behöver även tillhandahålla IT-stöd för sina slutanvändare. Detta kan innebära anpassningar av egen IT-miljö för att ansluta enligt SDK-standarder och specifikationer samt att utveckla, alternativt kravställa, och upphandla lokala verktyg. Användarorganisationen står för kostnader för resurser och för anpassning av den egna ITmiljön och sin del i genomförandet av pilottester. Användarorganisationer bidrar till gemensamma pilottester och -utvärdering genom: Att ha en kontaktperson/lokal projektledare för koordinering av eget arbete och för att ge input till/återföra erfarenheter från andra pilotaktörer. Att följa för SDK utpekade aktuella standarder och ramverk, såsom specifikation av meddelandeformat, krav på validering och felhantering av meddelandeutbyte, profilering av AS4 (enligt CEF) och SDK:s krav på informations- och IT-säkerhet Att ansluta till gemensam pilotmiljö och använda egna och gemensamma testdata för genomförande av pilot. Att föra dialog med ev. underleverantörer och att medverka i utvärdering av pilottester. Underleverantörers namn kommer att vara publikt för andra att ta del av. Att delta i samverkan med andra pilotaktörer för erfarenhetsutbyte och genomförande av gemensamma tester. Att bistå med utvärdering av genomförda pilottester, till exempel genom att på överenskommet sätt ge feedback på anslutningsprocess och -dokumentation, funktionalitet i Sid 9/11

10 gemensam infrastruktur och erfarenheter från att skicka och ta emot meddelanden till andra pilotaktörer. 7. Anslutningsprocessen till SDK Anslutningsprocessen beskriver hur man ansluter till SDK. Anslutningsprocessen har anpassats för pilotfas 2019 då den fortfarande är under framtagning och projektet ska tillsammans med piloter provtrycka och utvärdera anslutningsprocessen. Pilotaktörer ska följa anpassad anslutningsprocess och ansluter som användarorganisation med tjänstekomponenterna Accesspunkt, AP, Meddelandetjänst/Meddelandelager, MT respektive Meddelandeklient, MK. SDK-projektet stöttar piloterna genom anslutningsprocessen och utgör i pilotfas SDKfederationsoperatör. 8. Leverantörsmarknad Användarorganisationers behov av att anpassa den egna IT-miljön innebär också att det parallellt finns möjlighet till och behov av att det etableras en leverantörsmarknad. CEF edelivery och SDK-konceptet bygger på att det finns viss gemensam infrastruktur men även stort utrymme för tjänsteleverantörer att tillhandahålla tjänster till användarorganisationer för accesspunkt, IT-verktyg för användare och anpassning till CEF:s och SDK:s standarder. Konceptet bygger på att finns en viss gemensam infrastruktur men även stort utrymme för tjänsteleverantörer att tillhandahålla olika slags tjänster, till exempel att sätta upp s.k. accesspunkter enligt CEF:s specifikationer, att erbjuda konnektorer och anpassningar till SDK mellan accesspunkt och lokal IT-miljö respektive klientlösningar för användare som ska skicka SDK-meddelanden mellan sig. Sid 10/11

11 Med en etablerad leverantörsmarknad blir konceptet både skalbart och förhoppningsvis mer kostnadseffektivt. Det innebär också att det är väsentligt att leverantörer har kännedom om och ser förutsättningar och intresse att anpassa till SDK och erbjuda lösningar. Samt att det kan finnas framför allt mindre aktörer som vill ha paketerade lösningar och hjälp att upphandla sådana. Under pilotfasen 2019 är det inte möjligt för tjänsteleverantörer att ansluta till SDK självständigt, men leverantörer ska i ett nästa kunna ansluta självständigt till SDK-konceptet. Projektets förhållningssätt till leverantörer under pilotfasen beskrivs under avsnitt Leverantörsmarknad på projektets informationssida. 9. Mer information och kontaktuppgifter För intressenter som önskar följa projektet, finns möjlighet att läsa mer på projektets egen informationssida. Där kommer löpande information att publiceras, såsom uppdaterade specifikationer och information om pilotaktörer och leverantörsmarknad. Användarorganisationer som vill gå med i någon av projektets referensgrupper finner också mer information om dessa på projektets informationssida. Kontaktuppgifter På projektets informationssida finns även kontaktuppgifter till: Malin Domeij, Projektledare Marco de Luca, Teamlead utveckling och piloter Projektets informationssida Sid 11/11