Åke Rosandher, chef CeHIS

Transkript

1 Dialog om Sambi Dialog om Sambi Åke Rosandher, chef CeHIS

2 Sambi I korthet Samverkan för Behörighet och Identitet d inom hl hälsa, vård och omsorg. Ett samarbete mellan Apotekens Service AB och CeHis, med stöd av.se. Samverkan med E legitimationsnämnden

3 Bakgrund Nationella tjänster för sektorn behöver en infrastrukturlösning. Måste garanterar en patientsäker, kostnadseffektiv och praktiskt enkel åtkomst av e tjänster Det finns federativa lösningar, men inte en nationell lösning för sektorn.

4 Vision och budskap Sambi ska fungera som en nationell mötesplats för säkra e tjänster genom att vara en del av det infrastrukturella navet. sammanlänkar e tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten. möjliggör jgg en säker åtkomst till tjänster för hela sektorn vård, hälsa och omsorg. Sambi driftas av en oberoende part och det är enkelt att ansluta sig.

5 Målgrupper Kommuner Privata omsorgsgivare Apoteksaktörer Veterinärer Landsting Tandläkare Privata vårdgivare Regionförbund... Myndigheter Invånare Informationsinfrastruktur Förenklad åtkomst utan säkerhetsmässiga avkall

6 Mål för dagen Informera om Sambi Dialog om utformningen Summering

7 Dagordning Välkommen, Åke Rosandher, chef CeHIS Beskrivning av SAMBI Kff Kaffe Utredningen Identitets och behörighetsfederation för ehälsa, Stefan Larsson, Apotekens Service En federationsoperatörstjänst för Sambi, Staffan Hagnell,.SE Presentation av det pågående arbetet, Håkan Josefsson, Apotekens Service Anpassningsbehov för en Användarorganisation, Säkerhetstjänster 2.0, Björn Skeppner, Inera, Anpassningsbehov för en tjänsteleverantörs, Conny Balazs, Apotekens Service

8 Dagordning Behov, nytta och kravbild för SAMBI, paneldiskussion Stefan Ingelgård, CIOKronans Droghandel och medlem i Sv.apoteksförenings IT råd Karin Bengtsson, Chef IT Forum, Kommunförbundet Stockholms Län Leif Augustsson, Chef inom koncern IT, IAM/Applikation & Integration, Praktikertjänst Presentation ti av eftermiddagens diskussioner i Lunch

9 Dagordning Gruppdiskussioner omgång Kaffe Gruppdiskussioner omgång g Summering av diskussionerna Summering av dagen och fortsatt arbete, Ylva Hambraeus Björling, Apotekens Service AB och Åke Rosandher, CHIS CeHIS Slut

10 Utredningen Stefan Larsson, Apotekens Service

11 Federation inom hälsa, vård & omsorg 1. Resultatet 2. Lösningsförslag en översikt 3. Mål & nytta 4. Utmaningar Förstudierapporten finns på Sambi.se Beskrivning av Sambi

12 Resultat Federation inom hälsa, vård & omsorg 1. lösningsförslagoch l direktiv i för genomförande 2. en nationell lösning för privata & offentliga aktörer inom hälsa, vård & omsorg 3. ägarskap spegla en bredd inombranschen 4. självkostnadsprincip 5. tillitsramverk & teknisk infrastruktur realiseras på nivån LoA3, med branschsspecifika konkretiseringar

13 Resultat Federation inom hälsa, vård & omsorg 5. tillitsramverket utformas om möjligt på/i samverkan med e legnämndens förslag med branschsspecifika konkretiseringar 6. realiseringsarbetet Apotekens Service AB, CeHis,.SE 7..SE SEfungerar som oberoende federationsoperatör 8. samrådsyttrande från Datainspektionen

14 Lösningsförslag konceptuell översikt Styrgrupp (intressenter) t Granskare A B C SAML metadata AL3 LoA3 AL3 med LoA3 vissa Federationsoperatör konkretiseringar. Avtal Tillitsramverk Tekniska specar Intygstfärdare (IdP) Intygsutfärdare (IdP) Intygsutfärdare (IdP) i ti / E tjänsteleverantör (SP) E tjänsteleverantör (SP) E tjänsteleverantör (SP) ti / Grunden är tillit till identiteter och attribut

15 Mål & nytta 1. tillhandahålla en infrastrukturlösning för säker åtkomst av e tjänster för hela sektorn ehälsa 2. vara det självklara valet för organisationer som vill uppnå en optimeradnivå på hanteringen av identiteter och behörigheter samt skyddet av den personliga integriteten i sina verksamheter 3. underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret

16 Mål & nytta 4. vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation 5. tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e tjänster 6. fungera som ett forum som verkar för medlemmarnas gemensammaintressen intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs

17 Utmaningar Styrgrupp (intressenter) t Granskare A B C SAML metadata Tillitsramverk AL3 LoA3 Federationsoperatör med vissa konkretiseringar. Tillit till identiet Tillit till attribut Granskningsprocess Intygstfärdare (IdP) Intygsutfärdare (IdP) Intygsutfärdare (IdP) i ti / E tjänsteleverantör (SP) E tjänsteleverantör (SP) E tjänsteleverantör (SP) ti / Tillitsramverk med kravbild för både producent och konsument av intyg

18 Utmaningar.! Diskussionsunderlag tillit till identiteter & attribut 1. Identiteter 2. Attribut 3. Granskningsprocess 4. Annat?

19 En federationsoperatörstjänst En federationsoperatörstjänst Staffan Hagnell,.SE

20 Relationer Användarorganisation E tjänst A E tjänst B Användarorganisation E tjänst C E tjänst D

21 Relationer Användarorganisation E tjänst A E tjänst B Användarorganisation E tjänst C E tjänst D Federativ samverkan

22 Behov av samverkan Krav Gemensamma lagkrav Tillit Attribut Identiteter Systemlösningar Gemensam infrastruktur (Metadataregister mm) Teknisk standard Tjänst

23 Medlemmar i federationen Användarorganisation Tjänsteleverantör tö Inloggnin g Intygsutfärdare Intyg E-tjänst Användare Federationsoperatör Attributsregister Medlemsregister

24 Identitet och attribut Användarorganisation Tjänste- leverantör Användare Inloggning Sv e leg Intygsutfärdare Intyg Pseudonym + Attribut E-tjänst E ID SITHS BankID Attributsregister Annan inloggning g

25 Intyget Pseudonym Persistenta användaren har en pseudonym per tjänst Transienta pseudonymen återanvänds inte Attribut t Beslut om åtkomst fattas av tjänsten. (Attribut används för att fatta beslutet). Vilka attribut ska vi ha; Medarbetaruppdragets, Förskrivarkod, Befattningskod,? Finns det attribut som en Användarorganisation bör/skall tillhandahålla?

26 Hur skapa förtroende? Om du en gång har förverkat förtroendet hos dina landsmän, kan du aldrig återvinna deras respekt och aktning. Sant är att man kan lura hela folket en tid, man kan även lura några hela tiden, men man kan inte lura alla hela tiden. Abraham Lincoln Tillit skapas genom att den tas i bruk. Bertolt Brecht osv

27 Förtroende kräver Tillit till Identiteter Tillit till Attribut Tillit till Hanteringen av integritetskänsliga uppgifter Spårbarhet IT säkerhet Öppenhet, legitimitet, god incidenthantering

28 Hur skapar vi förtroende? Kontrollera hanteringen + Kontrollera hanteringen Krav på granskning g Avtala Självdeklaration Extern granskning Med tydliga konsekvenser Stickprov Spärr för medverkan Extern revision vid incident Viten + Avtala

29 > Var avtala? Användarorganisation Tjänsteleverantör tö Användningsavtal

30 Hur kontrollera hanteringen? Självdeklaration (Tillitsdeklaration) hitta en bra miniminivå (omfattande hantering av Identiteter, Attribut och integritetskänsliga uppgifter samt Spårbarhet och IT säkerhet) Endast krav vid tecknande av medlemsavtalet? Vad kan publiceras av denna? Extern granskning gav efterlevnaden Avvägning mellan kostnad och tidsfördröjning kontra dess värde?

31 Hur samverka? Gemensamma lagkrav Tillit Attribut Identiteter Systemlösningar Gemensam infrastruktur (Metadataregister mm) Teknisk standard

32 Införandeprojektet Håkan Josefsson, Apotekens Service

33 Sambi införandeprojektet i korthet Startade i juni 12 Projektet tär ett samarbete bt mellan Apotekens Service AB, CeHis och.se. Består av tre delprojekt

34 Styrgrupp (intressenter) t Konceptuell översikt Granskare A B C Federationsoperatör SAML metadata Avtal Regelverk Tillitsramverk Tekniska specar AL3 LoA3 Intygstfärdare (IdP) Intygsutfärdare (IdP) Intygsutfärdare (IdP) i ti / E tjänsteleverantör (SP) E tjänsteleverantör (SP) E tjänsteleverantör (SP) ti / Grunden är tillit till identiteter och attribut

35 Kommunikation Ta fram: Namn Logotyp Grafisk profil Informationsmaterial Dialog med intressenter Arrangera evenemang och delta dlt i t.ex. seminarium i

36 Avtal och administration Sneglat på Skolfederation.se och dess struktur kring avtal och administration.

37 Avtal och administration Arbetsgrupper: Huvudavtal och legala l aspekter Administration och support Tekniska k specifikationer i Tillit och granskning Attribut inom Sambi Affärsmodell

38 Leveransobjekt Huvudavtal och legala aspekter Huvudavtal Bilaga personuppgiftshantering Administration och support Villkor för anslutning till Sambi Kontaktuppgifter Rutinbeskrivningar incidenthantering Tekniska specifikationer Tekniska krav

39 Leveransobjekt Tillit och granskning Tillitsramverk Granskningsrutiner Regler för incidenthantering Attribut inom Sambi Attributlista Rutiner för hantering av attribut Affärsmodell Affärsplan med kostnadsmodell för anslutning

40 Infrastruktur Implementation av infrastruktur för test Driftsdokumentation Teknisk support

41 Tidplan 22 nov 31 jan 1 nov Implementation testbädd Tillitsramverk v0.8 Tekniska specifikationer v0.8 Administrativa rutiner v0.8 Legala aspekter v0.8 Anslutningsavtal v0.8 Anslutningsavtal v1.0 Tekniska specifikationer v1.0 Administrativa rutiner v1.0 Tillitsramverk v1.0 Legala aspekter v1.0 Granskning v0.8 Attribut v0.8 Affärsmodell v1.0 SAMBIs realisationsfas klar enl. plan Okt Nov Dec Jan Feb Kontinuerlig kommunikation kring nyttor 8 nov 15 dec Kommunikationstillfälle Affärsmodell v0.8 Kommunikationsmaterial framtaget om nyttor

42 Utmaningar Hitta lämpliga tjänster för pilotdrift Tillit Attribut

43 Ska vi diskutera efter lunch. Välkomna! Efter införandeprojektet?

44 Diskussioner

45 Behov, nytta och kravbild för SAMBI Panel Stefan Ingelgård, CIO Kronans Droghandel och medlem i Sv.apoteksförenings IT råd Karin Bengtsson, Chef IT Forum, Kommunförbundet Stockholms Län Leif Augustsson, Chef inom koncern IT, IAM/Applikation & Integration, ti Praktikertjänst tjät

46 Diskussioner

47 Eftermiddagens diskussioner 1. En federation för vad och vem? Ylva Hambraeus Björling, Apotekens Service AB 2. Teknik och arkitektur, Thomas Nilsson, Apotekens Service 3. Vad behöver ni för att komma i gång och när är ni redo? Håkan Josefsson, Apotekens Service 4. Tillit till identiteter och attribut, Stefan Larsson, Apotekens Service 5. Gemensamma attribut, Fredrik Fehn, SIS

48 1. En federation för vad och vem? Diskussionspunkter Vad ären federation enligt Ylva? En ö k om en regelstruktur som ska vara leverantörs och tenikoberoende innanför murarna litar vi på varandra Federationen måste definiera miniminivån som alla ska leva upp till vad gäller attribut Olika tjänster kan anslutas i olika takt Säkerhetsnivå 3. Högre krav än dagens bank id lösningar. Nivån sätts av lagarna. Säker autentisering Tvåfaktorautentisering Hårda certifikat/sms

49 1. En federation för vad och vem? Diskussionspunkter Sårbarhet tillgänglighet + korrekthet Vad är operatörens ansvar? Anslutning, medlemsregister, anvisningstjänst Oberoende granskare Styrning: ägare, operatör och medlemsforum som driver utvecklingen framåt

50 2. Teknik och arkitektur Finns den tekniska förmågan att ingå i en federation? Vilka förmågor krävs Vad innebär en federation med flera LoA Vilka behov av tekniskt stöd finns? Interop Testmiljö Hur omsätts tillitsramverkettill tekniska krav? Krav på nyckelhantering, generering, lagring Vilka tekniska specifikationer gäller för en elegitimation

51 2. Teknik och arkitektur Vilka anpassningar krävs på e tjänstesidan? Autentisering Auktorisation Loggning Sessionshantering Vad gäller för maskin till maskin kommunikation inom en federation? Anropsprofiler Knytning till identiteter

52 2. Utfall teknisk dialog Tydligare specifikationer Idag ex saml2int, Imorgon även SAMLp Tkik Teknisk vägledning/tillämpning i av tillitsramverk Discovery Attribut Kravställning på nya system

53 3. Tillströmning till Sambi Vem vill och kan vara med? Era kortsiktiga och långsiktiga utmaningar för att ansluta? Hur kan Sambi påskynda ert federativa arbete? Vilk t ö kl bhö S bih l å? Vilka trösklar behöver Sambi hyvla på? Hur tror ni att ni kan påskynda Sambis etablering? Exempel på tjänster som ni vill konsumera eller erbjuda inom Sambi?

54 Utfall 3. Tillströmning till Sambi Hur ska vi få Sambi att lyfta? Hur ökar och säkerställer vi tillströmning och anslutning till Sambi? Kommunikation Lyft goda exempel Få med leverantörer i dialogen Visa att Sambi är synkroniserade med andra pågående initiativ Visa nyttan Lyft fram att detta är en del i den nationella strategin Hjälp med planering Tydliga tekniska specifikationer, med relativt hög detaljnivå Vägledning för anpassningsprojekt gällande: Kravställning Resurser Tidplan

55 4. Tillit till identiteter och attribut Resultat av gruppdiskussioner tillitsfrågor 1. Återanvänd bfitli befintliga strukturer (HSA/SITHS) 2. Öppna för mångfald olika tekniska lösningar som möter samma kravnivå 3. Administrativa rutiner vid kortutgivning utmaningar med reservkortshantering 4. Sambi måste baseras på ett minimum av gemensamma attribut inga attribut som inte behövs för behörighetsstyrning 5. Sambi kan inte lösa befintliga strukturella problem med registerkvalitet inom vården tydliga krav, uppföljning.?

56 4. Tillit till identiteter och attribut I Sambi riktar sig Tillitsramverket både till IdP och SP 1. Tillit till identiteter t a. e legitimationsnämndens tillitsramverk b. branschens egna specifika krav 2. Tillit till attribut a. styrande faktorer för tillit 3. Granskning av efterlevnaden b. granskningsprocess c. egen tillitsdeklaration d. oberoende granskning

57 5. Gemensamma attribut i Sambi För att göra det möjligt att tillhandahålla dagens och framtidens e tjänster inom vård och omsorg är utformningen av gemensamma attribut grundläggande. Diskussionen kommer bland annat att fokuserar på vilka attribut som behövs, vilka tjänster som avses och när attributen t ska användas. Inledningsvis kommervi berättat kort omhur Inledningsvis kommer vi berättat kort om hur skolfederation arbetade med attributhantering och vilka lärdomar man drog.

58 5. Sammanfattning av diskussion Tjänster och verksamhetsområden bör definieras för federationen SAMBI Utgå ifrån existerande lagar inom området, t ex Patientdatalagen, socialtjänstlagen, PUL, Apoteksdatalagen Det krävs en problematisering kring behörighetsyn, t ex utifrån roller Beakta strukturer i tjänster t såsom 1177.se Ta hänsyn till att rollbeskrivningar ser olika ut mellan t ex kommuneroch och landsting HSA/SITHS attributen utgör en grundstomme, se hur man kan bygga vidare

59 5. Sammanfattning av diskussion Se om man kan skapa enhetliga attributstrukturer för olika kommunala tjänster Gruppera attribut och arbeta minimalistiskt Använd doga organisationsstrukturer sato sstutue såsom EK Ta hänsyn till olika standarder, både nationella och internationella Ta hjälp av socialstyrelsen för begreppsförtydligande