Säker digital kommunikation Minnesnoteringar Leverantörshearing 2018-06-11 Inledning, Tommy Bengtsson Tommy Bengtsson (SKL Kommentus) inleder mötet och hälsar samtliga leverantörer välkomna till dagens leverantörshearing som är den första som hålls för projektet Säker digital kommunikation (SDK). Tommy går igenom dagens agenda som består av information om projektet, dess förutsättningar och status i arbetet. Ekonomistyrningsverket (ESV) är även inbjudna för att berätta mer om deras arbete med edelivery och under andra delen av hearingen finns tid för frågeställningar och diskussion, vilket kommer att genomföras med hjälp av Mentimeter. Tommy Bengtsson arbetar med krav och upphandling och är i projektet ansvarig för leverantörskontakter. Tommy informerar att projektet tidigare har tackat nej till enskilda möten med leverantörer och att dagens hearing, som är öppen för alla, är den första träffen som hålls. Projektet arbetar utifrån transparens, öppenhet och likabehandling genom hela projektet och samtliga leverantörskontakter hänvisas till Tommy Bengtsson. Syftet med dagens leverantörshearing är att dels att beskriva projektet för marknadsaktörerna samt även för att få ta del av åsikter från leverantörerna, vilket är viktigt för projektet. Resultatet från dagen kommer att dokumenteras och offentliggöras på bland annat SKL Kommentus hemsida. Tommy ställer en öppen inledande fråga angående hur många av leverantörerna som deltar under dagens hearing i syfte att bevaka frågan kring säker digital kommunikation. De flesta i rummet svarar att så är fallet. Projektets förutsättningar och aktuell status, Christian Isacsson och Malin Domeij Christian Isacsson (Inera) är projektets produktägare och projektägare och Malin Domeij (Inera) är projektledare. Malin Domeij inleder och presenterar projektet Säker digital kommunikation och dess syfte. Christian presenterar Inera och Ineras roll i projektet. En viktig del av projektet, utöver tekniken, är att komma överens om hur vi arbetar med och skapar tillit till parter och till den informationen som ska skickas. Projektet och frågan i sig är inget som Inera kan lösa ut själva och med i projektet finns idag ett stort antal kommuner, landsting och regioner samt statliga myndigheter. Dagens informationsöverföring brister, det är idag svårt att hitta adressater och det är tidskrävande. Malin informerar om det arbete som har genomförts under projektetableringen 2017. Projektet är inte ute efter att hitta något annat eller helt nytt sätt, utan det handlar om att ersätta befintliga kanaler såsom fax, telefon, brev, Rek och ebrev. 1
Malin beskriver tre olika steg mot säker digital kommunikation, från nuläget i steg 1 som består av att vi skickar en mindre del säkert strukturerat utbyte till steg 3 bestående av en stor andel säker strukturerad utbyte samt en stor andel säkert ostrukturerat utbyte. En fråga från en leverantör är om det finns någon tidsplan för de olika stegen. Malin informerar att projektet har ett treårigt perspektiv med målet 2020 att Sverige ska ha en standardiserad förmåga till säker digital kommunikation mellan offentliga aktörer och privata utförare av offentligfinansierad verksamhet. Inriktningen i arbetet är att utbyte av säker digital kommunikation ska kunna ske mellan organisationer av ostrukturerad känslig information samt mellan olika verksamhetsområden såsom skola, hälso- och sjukvård, socialtjänst m.m. Vad gäller interoperabilitet handlar det främst om teknisk- och legal interoperabilitet. Principer, arkitektur och informationssäkerhet, Per Mützell Per Mützell (Inera) arbetar som arkitekt i projektet och Per beskriver projektets koncept och arbete med principer och regelverk för tillit. Den lösning som ska tas fram ska fungera över vanligt internet där varje anslutande part är ansvarig för den information man skickar och överföring av meddelanden sker asynkront. Projektet är även måna om att få med den internationella aspekten redan från början. En viktig del av projektet handlar om tillit och ett mottagarregister är något som behöver tas fram. Det ska vara möjligt att både adressera organisationer direkt, men även att skicka meddelanden inom organisationer. Det lokala ansvaret och flexibilitet är viktiga delar. Avtal om informationsutbyte planeras ske genom ett gemensamt tillitsramverk. Projektet tittar just nu på olika tillitsramverk, bland annat PEPPOL. Det är viktigt att alla anslutande parter ska vara säkra på att det finns en process för tillit som samtliga parter kommer att gå igenom. En fråga från en leverantör är om projektet ser framför sig att man kommer att bli certifikatutgivare, vilket då skulle skilja sig från t.ex. SAMBI. Per informerar att det även inom SAMBI finns bakomliggande certifikathantering och att projektet nu arbetar med att titta på de strukturer som redan finns framtagna inom området. Ansatsen för projektet bygger på edelivery, vilket är ett byggblock i europakommissionen och som bygger på öppna globala standarder. Per informerar om ett par exempel där edelivery används idag, bland annat inom PEPPOL. Projektet ser även att bland annat många myndigheter kommer att behöva anpassa sig till edelivery framöver. SDK arbetar även utefter en lösningsarkitektur som utgår ifrån att olika aktörer har olika typer av behov av lösning, från den större (t.ex. myndighet) till den mindre aktören (t.ex. en mindre kommun) och där projektet ser att det ska finnas en lösning för samtliga. Per sammanfattar slutligen att projektet tror på en standard för att knyta ihop system för säker meddelandeöverföring, med en gemensam källa för säkra mottagaradressater samt betrodda certifikatutfärdare. 2
Utveckling och Poc, Marco de Luca och Andreas Tell Marco de Luca (Inera) arbetar som teamlead utveckling i projektet och Andreas Tell (Inera) arbetar som arkitekt och utvecklare. Marco de Luca berättar kort om hur projektets utvecklingsprocess är framtagen utifrån den projektetablering som genomfördes hösten 2017. Projektet arbetar i treveckorssprint, där projektgruppen var tredje vecka genomför en demo/feedbackloop. Under demo/feedbackloop, dit samtliga projektets referensgrupper samt även styrgrupp bjuds in, får deltagarna ta del av det arbete som är genomfört samt så finns det möjlighet att lämna feedback till projektgruppen. Även dagens leverantörshearing kan ses som en del av arbetet med feedbackloop inom projektet. Andreas Tell presenterar de mål och prioriterade egenskaper som projektet arbetar utefter. Projektet arbetar bland annat utifrån öppen källkod, en flexibel skalbar miljö med hög förvaltningsbarhet till låg kostnad. Intressenter till projektet edelivery möter upp till ca 90% av de krav som finns inom projektet och resterande delar behöver SDK titta närmare på och projektet kommer att behöva ta fram tillägg för utökning av standarden. En fråga från leverantör är om meddelandet som ska skickas sänds till mottagarens egen server eller direkt till mottagande organisationen. Marco de Luca informerar att det skickas till organisationens server. Proof och Concept Sammanfattning, Malin Domeij Malin Domeij sammanfattar projektet och vad som ska genomföras under nu pågående Proof of concept, där teknisk verifiering av konceptet Säker digital kommunikation ska genomföras utifrån ansatsen edelivery som grund. En fråga från leverantör är om det finns några liknande referenser i andra europeiska länder utifrån att använda edelivery som bas i projekt? Martin Völcker (ESV) informerar att ett exempel är Danmark, något som Martin även kommer berätta mer om i efterföljande agendapunkt. edelivery i ett större sammanhang, Martin Völcker Martin Völcker arbetar på Ekonomistyrningsverket (ESV) och har arbetat med flera europeiska projekt inom edelivery. Martin informerar att det just nu pågår flertalet informationsinsatser om edelivery inom EU och att EU även arbetar stödjande till internationella initiativ som arbetar med frågan. Bland annat finns ett stort intresse hos EU-kommissionen av att edelivery ska användas och det finns även en budget för det. EU-kommissionens mål med edelivery är bland annat att minska kostnaderna i den offentliga sektorn samt ge ökad service till medborgare och att bidra till en ökad konkurrenskraft. Visionen med arbetet är stor och man är tydlig med att detta är något som ska genomföras och som kommer att komma till länderna framöver. EU arbetar med frågan på olika sätt, bl.a. genom ett antal olika projekt inom olika verksamhetsområden och även länder emellan. Exempel på 3
grundläggande byggstenar som EU arbetar med utöver e-delivery är eid, e-signatur, e-faktura samt e-translation. Martin informerar även att det framöver kommer att komma förordningar inom området. De byggstenar som EU har tagit fram är både för offentlig och privat sektor. ESV har en samordnande roll i frågan i Sverige och man arbetar bland annat med informationsinsatser om edelivery, man stödjer både internationella och nationella initiativ samt bevakar bland annat svenska intressen i olika samarbetsforum. I Sverige sker integrering på olika sätt där varje aktör väljer hur informationsutbyte samt tillgången till grunddata ska ske. Detta är en av anledningarna till den nya myndigheten för digitalisering. Regeringen har bland annat gett den nya myndigheten i uppdrag att utreda frågan kring grunddataförsörjning i Sverige samt elektroniskt informationsutbyte. Myndigheten kommer även att få ett särskilt uppdrag kring edelivery. Martin är tydlig med att ESV är mycket positiva till projektet Säker digital kommunikation och man kommer att stötta projektet då man ser ett stort behov av det. En fråga från en leverantör är vad det finns för andra initiativ eller eventuellt nya idéer i frågan. Martin informerar om att Danmark till exempel tittar på HL7 samt att man i Norge tittar på edelivery inom området för betalningslösningar. edelivery kan användas inom många olika områden och framöver kommer det även att bli viktigt med ett samarbete mellan den offentliga och privata sektorn i frågan. Framtid edelivery finns i Sverige redan idag och man ser att användningen kommer att öka framöver. edelivery kan användas internationellt, nationellt samt även lokalt inom en organisation och edelivery hanterar även både ostrukturerad samt strukturerad information och digitala data. En kommentar från en leverantör är angående att man tidigare har sett flertalet liknande initiativ, som till exempel Mina meddelanden och andra flugor inom området. Är SDK ännu en fluga? Martin svarat att det är för tidigt att idag säga hur utvecklingen av edelivery kommer att ske i framtiden. Mentimeter, Tommy Bengtsson Projektet har inför dagens leverantörshearing förberett ett antal diskussionsfrågor som kan besvaras anonymt med hjälp av Mentimeter. Frågorna har skickats ut till samtliga inbjudna på förhand och några har även valt att besvara frågorna direkt via e-post. Projektet kommer nu att ställa samtliga frågor igen och med hjälp av Mentimeter kommer leverantörerna anonymt att kunna besvara frågorna direkt. Projektet ser gärna även att det blir en diskussion kring frågorna i efterhand. Resultatet från Mentimeterfrågorna finns sammanställda i ett separat dokument och nedan följer en kort sammanfattning av den diskussion som uppkom i samband med vissa av frågorna. En fråga som ställdes handlar om vilka risker man ser med projektet Säker digital kommunikation. Som en följdfråga ställer Tommy Bengtsson frågan vad leverantörerna ser som det viktigaste att tänka på för att undvika en långdragen process? En synpunkt från leverantör är att när det drar ut på tiden i frågan kring säker digital kommunikation så bör man ge råd till 4
kommuner och landsting angående vad man bör göra eller eventuellt använda för annan lösning under tiden. Malin Domeij informerar att projektet kommer att ha frågan uppe i styrgruppen innan sommaren, där man just ska titta på frågan kring strategisk kommunikation och eventuell rekommendation kring vad organisationerna bör göra i väntan på Säker digital kommunikation. En annan fråga som ställdes med hjälp av Mentimeter är om edelivery anses vara rätt väg att gå. Majoriteten av de som kan besvara frågan är positiva, men de flesta kan eller vill inte svara. Martin Völcker (ESV) rekommenderar leverantörerna att gå in på CEF hemsida för att där ta del av den information som finns om edelivery för att öka kunskaperna i området. Martin är även tydlig med att edelivery är väl beprövat, dock inte med dess nya protokoll som nyligen finns framtaget. En annan fråga är om leverantörerna idag har anpassat eller arbetar med att anpassa sig utifrån edelivery. Majoriteten svarar att de inte har gjort det och en kommentar från leverantör är att det går långsamt för Sverige som helhet i frågan. En annan leverantör svarar att man arbetar med det inom Norge, men ännu inte i Sverige, vilket beror på att efterfrågan i Norge har varit större. På frågan om vad projektet behöver tänka på för att leverantörerna ska kunna anpassa sig till de standarder som SDK tar fram är en kommentar från leverantör att det är viktigt att paketera lösningen så att det blir enkelt att förstå både nyttan med den, men även att göra det enkelt och tydligt hur man ska använda lösningen, dvs. det är viktigt med en låg tröskel på alla nivåer. En annan synpunkt är gällande Mina Meddelanden och att den lösningen inte blev såsom marknaden förväntade sig. Där skulle man med fördel tidigt i processen ha tittat på och pratat mer om hur processen och flöden såg ut innan Mina meddelanden, för att sedan arbeta och ta fram en lösning utifrån det. Den digitala lösningen i sig vet vi fungerar, men i praktiken är det viktigt att den tekniska lösningen täcker det faktiska behovet i verksamheterna. Den sista frågan som ställs med hjälp av Mentimeter är Vad bör en nationell aktör respektive en privat aktör göra på den här marknaden. En synpunkt från leverantör i frågan är att det är viktigt att det för privata aktörer finns en tydlig affärsmodell i grunden för att få dem att komma med, och detta bör även gälla för kommunerna. Slutligen ställer Tommy Bengtsson ett par öppna frågor och önskar även stämma av intresset för att medverka i pilot. Flertalet leverantörer visar intresse för att delta i pilot framöver och majoriteten svarar även att de är intresserade av att följa projektet. Övriga reflektioner från dagen från leverantörerna är att man tycker att dagen har varit bra och att man anser det vara bra att man nu ser ett mål och en helhetslösning som förhoppningsvis inte blir för detaljerad. Leverantören ställer även en fråga om hur budget ser ut, vilket projektet inte kan besvara under mötet eftersom finansiering sker löpande stegvis. En annan kommentar från leverantör är att det är bättre att tänka utifrån affärsmodell istället för budget. En fråga från leverantör är om kommunerna kommer att få ta kostnader för lösningen senare? Martin Völcker (ESV) svarar att det troligen kommer att behövas flera olika typer av leverantörer och konsulttjänster för att lösa behovet för t.ex. små kommuner och stora myndigheter eller landsting och regioner. Det är viktigt att lösningen passar alla och det behöver 5
då även finnas en ekonomisk försvarsbarhet för lösningen även för t.ex. mindre kommuner. Det kommer även bli en viktig del för projektet att paketera vad implementationsdelen innebär. En ytterligare synpunkt samt förslag från leverantör är att börja med att titta på affärsmodellen, för att sedan på slutet arbeta med de tekniska delarna, dvs. tänk först igenom ramarna utifrån kostnad och nytta. Fortsatt arbete, Malin Domeij Malin Domeij (Inera) presenterar hur fortsatt arbete är tänkt att ske fram till 2020. Projektet arbetar iterativt med feedbackloopar med syfte att verifiera projektets ansats. Parallell påbörjas även arbetet med 2019 års planering och budget. Projektet har även redan nu börjat titta på pilot till 2019 och man ser att det redan finns intressenter inför kommande pilot. Projektet har en nationell budget som är gemensamt finansierad från statliga myndigheter, kommuner samt landsting och regioner. År 2020 påbörjas arbete med förvaltning och införandestöd, där en stor del stöd planeras tillhandahållas t.ex. med hjälp av specifikationer och stödunderlag. En kommentar från leverantör är att hur man tror att det ska gå från SDK-projektet framöver till stor del kommer beror på hur många som i slutet väljer att ansluta sig till den lösning som tas fram. Om ingen ansluter sig för att skicka säkra meddelanden, då kommer heller inte leverantörer vara villiga att utveckla något. En annan synpunkt från leverantör är även att man ser att det finns två delar av frågan, där den ena delen handlar om en säker meddelandetjänst, och den andra delen handlar om den federerade identitetstjänsten, frågan är dock om dessa behöver hänga ihop och man ser en risk med detta. Nästa steg Tommy Bengtsson informerar att dokumentationen från dagens leverantörshearing kommer att sammanställas och läggas ut på hemsida innan sommaren. Projektet kommer även att fortsätta med leverantörshearing framöver, men ser då framför sig en mer riktad och specifik hearing än dagens breda. Tommy Bengtsson, tillsammans med projektteamet, tackar stort för dagen och visat intresse från ett så stort antal leverantörer. 6