Rapport. Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk Version 1.

Transkript

1 Rapport Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk Version

2 Innehållsförteckning 1 Inledning Bakgrund Syfte Mål Förutsättningar/avgränsningar Genomförande Nuläge Anslutningsformer i kommunerna Typer av externa utförare Problem Kommunernas ansvar mot externa utförare Behov och krav Externa utförares behov av funktioner Konsekvenser Målbild Alternativa lösningar Rekommendation Lathund IT-aspekter att tänka på vid upphandlig av externa utförare

3 1 Inledning Detta dokument är framtaget för de kommuner som har funderingar/frågor kring hur man bäst ansluter externa utförare till IT-system som man vill att de skall använda. Givet att det är kommunen som skall ansvara för tillhandahållandet av IT-systemet och/eller ITkommunikationen som behövs. Dokumentet vänder sig till verksamheten, kapitel 1 och 8, och IT-avdelningen, hela dokumentet. Dokument är sammanställt av Roy Wedin, Sjuhärads kommunalförbund. 1.1 Bakgrund De gemensamma IT-system som nu införts för ökad vårdsamverkan, SVPL/Klara och websesam är idag tillgängliga för kommuner inom VG och för VGR. Kommunerna når systemen via det kommungemensamma nätet Kommunikationstorget. Tillgången till systemen för de privata vårdgivarna rent tekniskt är inte alltid helt uppenbar. Det råder en allmän uppfattning att det är kommunernas ansvar att se till att de privata vårdgivarna kommer åt systemen via Kommunikationstorget genom kommunens nät. Följande är exempel på problem och frågeställningar som kan uppstå hos kommunerna: Olika tekniska lösningar beroende på respektive kommuns IT-miljö Administration kring den tekniska lösningen som ökar i takt med antalet externa anslutningar till kommunens nät Klarar alla kommuner att leva upp till detta ansvar? Om en privat vårdgivare har uppdrag i flera kommuner vilken kommun har ansvaret för kommunikationen till systemen? Vems support ansvarar för om en privat vårdgivare inte kommer in i aktuellt ITsystem? o VGR? o Telia? o Kommunen? o Den privata vårdgivarens leverantörer? o Den privata vårdgivaren? Kommunerna kan behöva vägledning hur de skall gå tillväga 1.2 Syfte Syftet med studien är att tydliggöra de tekniska IT-konsekvenserna för en kommun som avser att anlita privata utförare inom i första hand vård och omsorg. 1.3 Mål Ta fram ett dokument som visar nuläget, tänkbara lösningar och lathund på tillvägagångssätt. 1.4 Förutsättningar/avgränsningar Denna studie har fokus på det som berörs av vård och omsorg men delar av innehållet gäller generellt. Studien förutsätter att verksamheten utrett vilka IT-system den externa utföraren skall använda. Här visas de tekniska aspekterna beroende på verksamhetens funktionella krav. 3

4 1.5 Genomförande Följande delar ingår i studien: 1. Beskrivning av nuläget med avseende på anslutningsformer 2. Lista tänkbara typer av externa utförare 3. Beskriv de kommunikationsbehov och eventuella problem som föreligger när olika typer av externa utförare skall komma åt gemensamma IT-system 4. Tydliggöra kommunens ansvar vad gäller externa utförares tillgång till kommunens egna och de gemensamma IT-systemen 5. Beskriva några alternativa möjligheter för de privata vårdgivarna att nå IT-systemen 6. Förslag på aktiviteter för att komma vidare där det finns frågetecken. 7. Lathund för kommunen 2 Nuläge I dagsläget är det en handfull kommuner som ställt frågor kring ämnet. Vid en mini-enkät bland VG-kommunerna framgår att 5 kommuner, av 25 som hittills svarat, har anslutit externa utförare. Många kommuner kommer antagligen att ansluta externa utförare i samband med införande av Vårdvalet. De flesta svarar att det vore bra med vägledning för eventuella kommande behov. 2.1 Anslutningsformer i kommunerna Sättet att ansluta en extern utförare beror på kommuns IT-infrastruktur. Detta exempel gäller SVPL/Klara som kan nås via Kommunikationstorget. (Endast kommuner får ansluta sig till Kommunikationstorget.) Följande lösningar är exempel som förekommer idag: 1. Externa utföraren loggar in via Internet på kommunens externa portal (Portwise eller Mobility guard). Autentiseringen kan variera från engångslösenord via dosa eller SMS i mobiltelefon. Portalen kan sedan logga in automatiskt till SVPL/Klara men det vanligaste är att användaren loggar in ytterligare en gång i Klara. 2. Trafiken routas genom kommunens nät vilket innebär omfattande administration med många felkällor. 3. Den plats där den externa utföraren är verksam, tex ett äldreboende, ansluts till kommunens interna nätverk och därmed nås Kommunikationstorget. 2.2 Typer av externa utförare Vi har identifierat följande typer av utförare vars organisation kan ha betydelse för hur samverkan med kommunen kan ske: 1. Företag som endast finns lokaliserat på en fysisk plats inom en kommun 2. Företag med flera lokationer inom en kommun 3. Företag med lokationer i flera kommuner och flera landsting 2.3 Problem Säkerhetsriskerna ökar markant då externa utförare skall köra i kommunens nätverk för att nå kommunens IT-stöd för VoO eller genom gå genom kommunens nätverk för att nå applikationer hos VGR. I vissa fall vill den externa utföraren även nå applikationer och ITstöd i moderbolagets centrala nätverk. Dessa risker kan hanteras genom att tex använda 4

5 brandväggar och VLAN, vilket medför kostnader i form av ökad löpande administration och mer komplicerad felsökning samt eventuellt licenskostnader. För kommuner med outsourcad IT-funktion blir den här typen av åtaganden krångligare än för kommuner med IT i egen regi. Frågor kring support, kostnader för anslutningar mm skall förhandlas med outsourcingleverantören/er. 3 Kommunernas ansvar mot externa utförare Vi har inte hittat något dokument som är framtaget enbart för kommuner däremot har VGR publicerat Riktlinjer IT-stöd för privata vårdgivare på Internet, %20och%20sjukv%c3%a5rdskansliet%20G%c3%b6teborg/Privata%20v%c3%a5rdgivare/rik tlinjer/riktlinjer%20it.pdf. Slutsatsen är att vad och hur IT-stöd skall hanteras bestäms i avtal mellan parterna. Och logiskt sett borde kommunen ta huvudansvaret i och med att de är beställare. 4 Behov och krav 4.1 Externa utförares behov av funktioner De behov som kan uppkomma för en extern utförare är följande: Uppdragstagaren skall komma åt de IT-system som används för att samverka med de parter uppdragsgivaren (kommunen) kräver Uppdragstagaren skall komma åt något/några av kommunens interna system En användare behöver kunna få support, teknisk och för tillämpningen, på samma sätt som kommunens egen personal skulle få Tider när support kan ges skall stämma med de tider uppdragsgivaren anger i avtalet kring utförande av tjänster Uppdragstagaren skall komma åt funktioner i den egna organisationen, tex via Internet De IT-system som denna fråga gäller är de som kommunen kräver att utföraren skall använda för att utföra uppgiften, tex kommunens eget verksamhetssystem, kommunens tidredovisningssystem, eller gemensamma system som delas mellan flera huvudmän, tex SVPL/Klara, de senare ligger utanför kommunens interna nätverk. I de flesta fall vill kommunen att utföraren skall använda något/några av kommunens interna IT-system. Ovanstånde resulterar i tre fall av kommunikationsbehov: 1. både kommunens interna system och system som tillhandahålls av andra leverantörer, tex VGR 2. enbart kommunens interna IT-system 3. enbart andra leverantörers system Om kommunerna har önskemål att en extern utförare skall kunna skaffa åtkomst till de aktuella tillämpningarna på egen hand utan teknisk inblandning av kommunens IT-funktion kan endast fall 3 ovan komma ifråga. 4.2 Konsekvenser Eventuella konsekvenser som kommunen bör beakta är: Ökad administration kring de tekniska lösningar som externa anslutningar till kommunens nät medför Kommunens supportfunktion behöver rutiner för att kunna leva upp till sitt ansvar 5

6 Klargör vilken kommun som har ansvaret för kommunikationen till systemen om en extern utförare har uppdrag i flera kommuner via delad förbindelse Klargöra hur eskalering av ärenden går till om en extern utförare får problem med aktuellt IT-system Teckna SLA 5 Målbild Målbilden visar en funktionell ideallösning där den externa utföraren har en anslutning till något kommunikationsnät via enskilda datorer eller via sitt interna nätverk och kan nå alla önskade tillämpningar. Figur 1 Målbild för anslutning av externa utförare 6 Alternativa lösningar Det finns flera alternativ till hur man kan ansluta externa användare beroende på hur kommunens kommunikationslösning är realiserad, alternativ 1a och 1b används idag och fungerar bra enligt de kommuner som använder denna teknik: Alternativ 1 a Den externa utförarens nätverks ansluts till kommunens interna nätverk. Exempel, ett kommunalt äldreboende tas över av en extern utförare som tar över befintlig IT-lösning 6

7 Figur 2 Alternativ 1 a Extern utförare använder kommunens interna nätverk Fördelar: a. Relativt enkel att sätta upp, det är samma lösning som används för att ansluta kommunens egna enheter till interna nätverket. b. Externa utförare kommer åt både interna och gemensamma IT-system via kommunens anslutningar, inget krångel med översättning av IP-adresser. c. Om ThinLinc-lösning, Citrix eller motsvarande används behöver kommunen inte ansvara för användarens arbetsplatsutrustning. d. Internet kan nås där eventuellt moderbolag kan nås Nackdelar: a. Säkerhetsrisk i och med att interna nätverket exponeras för externa användare. Detta kan elimineras med brandväggar och/eller VLAN som delar upp kommunens interna nät i olika zoner eller säkra inloggninglösningar. b. Innebär ett merarbete för kommunens IT-avdelning. Alternativ 1 b Externa utföraren loggar in via Internet på kommunens externa inloggningslösning. Autentiseringen kan variera från smartcard, webbdosa till engångslösenord via dosa eller SMS i mobiltelefon. Portalen kan sedan logga in automatiskt till tex SVPL/Klara men det vanligaste är att användaren loggar in en gång till i Klara. 7

8 Figur 3 Alternativ 1b Extern utförare loggar in i kommunens interna nät från Internet Fördelar: a. Relativt enkel att sätta upp, det är samma lösning som används för kommunens egen personal när de skall komma åt tillämpningar på interna nätverket från Internet. b. Externa utförare kommer åt kommuninterna och gemensamma IT-system samt Internet via kommunens anslutningar, inget krångel med översättning av IP-adresser. c. Portalen ökar säkerheten/skyddet mot obehörigt intrång i kommunens interna ITsystem. Nackdelar: a. Risk för fler supportärenden och eventuellt högre krav på utökad servicetid. b. Lösningen innebär merarbete med administration och support för IT-personalen. c. Ger endast möjlighet till webbapplikationer om man inte använder access via terminalserver, tex Citrix eller ThinLinc. Alternativ 2 Detta alternativ baseras på att tjänst från Telia som heter Telia Secure Remote User. Lösningen innebär att utföraren kan nå applikationer över Internet på ett säkert sätt. Kommunikationen sker genom en krypterad tunnel på Internet. 8

9 Figur 4 Alternativ 2 Extern utförare använder Telia Secure Remote User Förutsättningar Servern måste på ett eller annat sätt finnas tillgänglig via Internet. Rutiner och instruktioner för hur anslutning till IT-systemet måste tas fram tillsammans med VGR-IT. Fördelar: a. En gemensam kommunikationstjänst för alla oavsett i vilken kommun utföraren finns. b. Kommunens IT-funktion behöver inte engageras vare sig vid anslutning eller kring supportfrågor c. Teknisk support kring kommunikationen lämnas av leverantören av tjänsten. Servicetider kan väljas. Nackdelar: a. Ger ingen åtkomst till kommunens egna verksamhetssystem b. Fler oklarheter som VGR-IT måste ta ställning till c. Tjänsten har en oklar prisbild d. Utföraren måste ha en egen koppling till Teliatjänsten Alternativ 3 Ett tredje alternativ är att avtalet för Kommunikationstorget skrivs om så att det tillåter externa utförare att ansluta sig på samma sätt som nuvarande avtalsparter. Förutsättningar Nuvarande parter måste godkänna att förutsättningar och villkor ändras samt att avtalet skrivs om. Rutin och instruktioner för hur anslutning till IT-systemet måste tas fram. 9

10 Figur 5 Alternativ 3 Kommunikationstorget öppet för externa utförare Fördelar a. En gemensam kommunikationstjänst för alla b. Kommunens interna nätverk kan nås via Kommunikationstorget om så önskas c. Teknisk support kring kommunikationen lämnas av leverantören av tjänsten Nackdelar: a. Omfattande process för att ändra avtalet b. Problematiskt att tillåta externa utförare i ett kommuninternt nätverk c. Tjänsten har ett pris som kan vara förhållandevis högt för en liten aktör Alternativ 4 Detta alternativ innebär att externa utförare skaffar egna anslutningar till Sjunet vilket ger åtkomst till tillämpningar hos tex VGR-IT. Sjunet är en kommunikationstjänst som säljs av Inera AB. Det kan vara aktuellt för större aktörer som finns på många orter och har egna interna nätverk. (många har sannolikt redan detta) 10

11 Figur 6 Alternativ 4 Extern utförare använder egen anslutning till Sjunet Förutsättning Avtal måste tecknas, rutiner och instruktioner måste följas. Fördelar: a. En gemensam kommunikationstjänst för alla oavsett i vilken kommun utföraren finns. b. Kommunens IT-funktion behöver inte engageras vare sig vid anslutning eller kring supportfrågor. c. Teknisk support kring kommunikationen lämnas av leverantören av tjänsten. Servicetider kan väljas. Nackdelar: a. Ger ingen åtkomst till kommunens egna verksamhetssystem b. Tjänsten har ett pris som kan vara förhållandevis högt för en liten aktör 7 Rekommendation En avgörande faktor för val av lösning är om den externa utföraren skall komma åt något av kommunens interna verksamhetssysten. Då kan endast alt 1a, 1b och 3 fungera. Alt 3 är ett teoretiskt förslag som måste förhandlas och beslutas i samtliga kommuner, inte realistiskt på kort sikt. Återstår 1a och 1b som innebär att kommunen uppfyller alla funktionella krav men måste finnas någon form av inloggningslösning med lämpliga funktioner för att uppfylla önskad säkerhetsnivå. Om endast gemensamma IT-system skall nås fungerar även alt 2 och 4. Alt 4 finns som tjänst och används för det mesta inom VGR, dvs helt OK om kostnaden accepteras. 11

12 Alt 2 är inte testad, kostnader och administration är inte utvärderade ännu. Dessutom måste VGR-IT involveras både genom beslut och åtgärder. Slutsats Alternativ 1a och 1b ser ut att vara de bästa alternativet. Alternativ 4 kan vara aktuellt i vissa fall. Säkerhet All IT-verksamhet bör regleras genom avtal mellan kunden, dvs utföraren och ITleverantören. Utföraren kan vara kommunens vård- och omsorgsverksamhet eller en extern utförare. Ett bra sätt är att teckna SLAer, Service Level Agreement. Avsikten är att detta dokument skall kompletteras med ett exempel på en SLA. 8 Lathund Verksamheten bör involvera IT-funktionen i ett tidigt skede för dialog Viktigt att beställaren inkluderar allt som berör IT-frågor i samband med upphandling av externa utförare. - Klargör de funktionella IT-behoven - Involvera egen IT-avdelning vid framtagning av kravspecifikationen så att alla tekniska aspekter kommer med Använd VGRs Riktlinjer IT-stöd för privata vårdgivare som utgångspunkt och välj tillämpliga delar i samband med nya upphandlingar och i avtal. Kalkylera med eventuella extrakostnader för kommunen Kommunens supportfunktion behöver ta fram rutiner för att kunna leva upp till de åtaganden som avtalas Klargör vilken kommun som har ansvaret för kommunikationen till systemen om en extern utförare har uppdrag i flera kommuner Klargöra hur eskalering av ärenden går till om en extern utförare får problem med aktuellt IT-system Säkerställ att verksamhetens del kring informationssäkerhet beaktas Teckna SLA med berörda 9 IT-aspekter att tänka på vid upphandlig av externa utförare Nedan anges några huvudaspekter som behöver täckas in för att kommunen skall innefatta de IT-mässiga förutsättningar som gäller i upphandlingen. Det gäller både den interna och den externa leverantören som skall veta vilka kostnader kommunen står för och vilken del av ITstödet leverantören får bekosta själv eller måste köpa av kommunen och lägga in i sin offert. Verksamhetssystem Kan leverantör dokumentera i egna VoO-system eller skall kommunens användas och vad kostar det? Kommunikation Står kommunen för: kommunikation mot kommunens VoO-system kommunikation och övriga kostnader för system som driftas hos tredje part (tex VGR) 12

13 kan uppdragstagaren använda kommunens internetförbindelse för normal internetåtkomst samt för att komma åt administrativa system hos moderbolaget. Arbetsplatser Står kommunen kostnaden för arbetsplatsen? drift av arbetsplatsen kostnaden för licenser Vem betalar IT-avdelningens personalkostnader för de externa utförarna? 13