Teknisk Infrastruktur PROJEKT 2010 - KOMMUNAL IT-SAMVERKAN I VÅRD OCH OMSORG Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 1
Upplysningar om innehållet: Christer Haglund, IT-strateg Kommunal IT-samverkan i vård och omsorg, christer.haglund@skl.se Sveriges Kommuner och Landsting, 2011 Textbearbetning: Ulf Lesley, Unify Tryck: Litografia Alfaprint 2 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
INNEHÅLL Sammanfattning...5 Inledning...7 Projekt 1: Federativ lösning för identifiering och behörighetshantering... 10 INTRODUKTION... 10 PROJEKTETS RESULTAT... 11 PROJEKTETS ERFARENHETER... 13 FORTSATTA STUDIER... 14 Projekt 2: Former för en IT-förvaltningsorganisation för samverkan mellan olika huvudmän... 15 INTRODUKTION... 15 PROJEKTETS RESULTAT... 16 PROJEKTETS ERFARENHETER... 17 FORTSATTA STUDIER... 18 Projekt 3: Säkerhetskrav och specifikationer för informationsutbyte via Internet.. 19 INTRODUKTION... 19 PROJEKTETS RESULTAT... 21 PROJEKTETS ERFARENHETER... 23 FORTSATTA STUDIER... 24 Projekt 4: En länsnod för elektroniska identitetsuppgifter i regional samverkan... 26 INTRODUKTION... 26 PROJEKTETS RESULTAT... 27 PROJEKTETS ERFARENHETER... 27 FORTSATTA STUDIER... 29 Avslutningsvis... 30 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 3
4 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Sammanfattning Den nationella samverkansgruppen för kommunernas IT-infrastruktur har under 2010 genomfört fyra strategiska projekt med syftet att förse verksamhetsansvariga i kommunerna med verktyg för att enklare kunna strategiskt styra, ställa krav på och finansiera IT insatserna. Projekten syftar också till att skapa en bas för viktiga tekniska och organisatoriska lösningar som kan fungera långsiktigt både lokalt och nationellt. De fyra projekten innefattar behörighetshantering och säkerhet, samt organisation och styrning. Inom dessa områden har vi i projekten fokuserat på de fyra strategiskt mest väsentliga frågorna kortsiktigt som måste lösas inom kommunernas tekniska infrastrukturer för att driva Nationell ehälsa vidare: 1. Det måste vara möjligt att kommunicera säkert över Internet eftersom det är det enda praktisk möjliga sättet att kommunicera med invånarna. Vi har fastställt regler för vad som ska gälla när man skickar information som är sekretessbelagd över Internet. 2. Kraven för att säkert överföra information över huvudmannagränser måste uppfyllas. Federationer är avgörande för att enkelt klara att styra nivåerna av behörighet över huvudmannagränser. En federation förenklar, förbilligar och snabbar även upp införandet av nya e-tjänster. Vi beskriver de normer som man måste komma överens om för att en federation ska fungera. 3. Idag finns i kommunerna ett stort antal lokala databaser och system som var och en hanterar och registrerar identitets- och behörighetsuppgifter. Om man samordnar försörjning till dessa via en regional nod effektiviseras datahanteringen samtidigt som säkerheten avsevärt ökas. Vi har utrett de juridiska förutsättningarna, beskrivit de avtal som behövs, samt gjort en checklista för införande. 4. Idag används åtskilliga IT-applikationer och IT-tjänster gemensamt av flera kommuner och landsting/regioner. I framtiden kommer detta att öka. Lagar måste följas samtidigt som det behövs ordnade former för hur drift, förvaltning, support och utveckling för parterna skall skötas. Vi har tagit fram ett bibliotek med mallar innehållande avtal, förbundsordning, bolagsordning och beskrivning om överenskommelse i gemensam nämnd. Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 5
Under 2011 prioriteras arbetet i insatsområdet till att implementera och driftsätta samordningsaktiviteter och insatser som bygger på resultaten från arbetet i de regionala samverkansgrupperna och från resultatet av projekten 2010. Införandeaktiviteter 2011 koncentreras inom områdena för behörighetshantering och säkerhet i informationsutbytet mellan kommuner, landsting, vårdgivare och brukare. Av de fyra projekt som redovisas i denna rapport är Säkerhetskrav och de specifikationer för informationsutbyte via Internet helt slutförd. Prioriterade insatser 2011 En strategiskt mycket viktig insats under 2011 är att säkerställa införandet av SITHS*/HSA**, enligt överenskommelsen CeHis/SKL, för att klara kraven på säker kommunikation med landstinget och Apoteket. Särskilda aktiviteter med ett eget projekt sätts upp för detta ändamål. Federativ lösning för identifiering och behörighetshantering, fortsätter i utvecklad form 2011 genom att i praktisk samverkan med landstinget, CeHis och privatvården fortsätta utvecklingen samt införa gemensamma standarder för federativ lösning av identifiering och behörighetshantering inom vård och omsorg samt hälso- och sjukvård. Former för en IT-förvaltningsorganisation för samverkan mellan olika huvudmän samt En länsnod för elektroniska identitetsuppgifter i regional samverkan slås ihop för 2011 och fortsätter som ett gemensamt projekt Utvärdera införanden av regiongemensam organisation för styrning och förvaltning av gemensamma system över huvudmannagränser. Stockholm i april 2011 Christer Haglund Kommunal IT-samverkan i vård och omsorg Allt material som refereras i denna rapport finns tillgängligt på: www.skl.se/ehalsa/kommunal_itsamverkan * SITHS = Säkert tjänstekort med två separata autentiseringar, t.ex. chip i kortet samt PIN-kod ** HSA = Hälso- och Sjukvårdens Adressregister, elektronisk katalogtjänst som innehåller kvalitetssäkrade uppgifter om personer, funktioner (roller) och enheter 6 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Inledning Genom Programmet för IT samverkan inom vård och omsorg genomförde SKL hösten 2009 en kartläggning av kommunernas IT-plattformar och analyserade hur dessa stödjer strategin för Nationell ehälsa. Den visade att bara ett fåtal enskilda kommuner har egna resurser för att ta ett samlat grepp över IT-utvecklingen inom vård och omsorg, samt att klara informationsutbytet med landstinget och privata utförare på ett säkert sätt. Kartläggningen visade klart att stora insatser och investeringar behövs i de flesta kommuner både för utveckling av processer och för ersättning av gammal teknik om vi inom rimlig tid ska nå de nationella målen i den nationella IT-strategin för vård och omsorg. Nationell Samverkansgrupp För att nå en större insikt i frågan hur kommunerna ska klara de utmaningar som finns i uppdraget att realisera den nationella strategin för ehälsa tog SKL, avdelningen för vård och omsorg, initiativet att starta programmet Kommunal IT-samverkan i vård och omsorg år 2008. Inom programmet etablerades 2009 en nationell samverkansgrupp för kommunernas IT-infrastruktur. Fokus i arbetet för denna samverkansgrupp under 2009 var en kartläggning för att finna ut och peka på kritiska framgångsfaktorer, och vilka insatser som därmed skulle prioriteras, för att åstadkomma en långsiktigt hållbar ITutveckling inom de områden som gav mest nytta för kommuner i samverkan med landsting och privata utförare inom området för vård och omsorg. Många olika verksamheter Kartläggningen visade att det är viktigt för kommunerna att deras speciellt och mycket varierande förutsättningar allsidigt tillvaratas i IT-utvecklingen. Man kan samtidigt konstatera att det behövs en utvecklad nationell och regional samordning och samverkan av både IT-utvecklingen och av användningen av IT. Det behövs också en betydligt mer handfast lokal styrning för att IT på bästa sätt ska stödja verksamheten inom vård och omsorg. Med så många olika verksamheter och sektorer som kommunerna har i sitt uppdrag är det endast ett fåtal kommuner som har ekonomiska resurser och tillräckliga medarbetarresurser för att ensam ta ett samlat grepp över sin IT-utveckling. Verksamhetsnytta Det långsiktiga behovet är framförallt att tillsammans med alla aktörer, inklusive leverantörer, enas runt nationellt gemensamma specifikationer för vilka förutsättningar som ska gälla för IT-lösningar och e-tjänster i informationsförsörjningen, och i informationsutbytet mellan olika huvudmän inom ehälsa. För att få en nyttodriven utveckling behöver en stegvis utveckling göras där kortsiktiga initiativ med befintlig infrastruktur kan leda till snabb verksamhetsnytta samtidigt som arbetet kan pågå parallellt mot en långsiktig målbild. Fokus i det nationella samverkansarbetet 2010 har varit att realisera verksamhetsnytta kortsiktigt inom vård och omsorg, även innan alla förutsättningar finns på plats för en gemensam och sammanhållen IT-infrastruktur inom offentliga sektorn. Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 7
Strategiskt styra, ställa krav på och finansiera IT insatserna Mot bakgrund av slutsatser och prioriteringar gjorda utifrån kartläggningen har det därmed varit särskilt viktigt att insatsområdet teknisk infrastrukturs aktiviteter 2010 fokuserat på insatser som underlättat för den kommunala ledningen och dess verksamhetsledningar att strategiskt styra, ställa krav på och finansiera IT insatserna inom vård och omsorg. Kraven på säkerhet och integritet måste följas fullt ut och skapandet och samverkan i drivandet av en gemensam IT-förvaltningsorganisation mellan olika huvudmän måste underlättas. Insatsområdets aktiviteter 2010 har därför koncentrerats till två huvudområden: Behörighetshantering och säkerhet Organisation och styrning Prioriteringar inom insatsområde teknisk infrastruktur: 1. Införa de metoder och modeller som är nödvändiga för effektiv styrning, organisation och förvaltning av gemensamma system över huvudmannagränser. 2. Implementera nödvändig infrastruktur och plattformar så att säkerhetskraven för sekretessbelagd information kan uppnås och följas fullt ut. 3. Definiera säkerhetskrav och fastställ de specifikationer som behövs för att säkert informationsutbyte via Internet mellan utförare och med den enskilde invånaren. 4 olika projekt Följande förutsättningar formulerades inför pilotverksamheterna: - Om det är möjligt att på basis av kommuners, landstings och privata aktörers nuvarande tekniska plattformar uppfylla säkerhetskraven med en federativ metod för behörighetshantering kan omfattande kostnadsdrivande investeringar inom kommunsektorn undvikas - Behovet av kommunal samverkan inom hela IT-området ökar för att minska resursbehovet vid utveckling och drift av IT-systemen från den enskilde kommunen. Ett mycket centralt område är att beskriva förutsättningarna för utveckling och etablering av regional samordning och drift av gemensamma IT-system och resurser mellan huvudmän - Det långsiktiga målet att sätta invånaren i centrum och att kunna utbyta informationen med invånarna, innebär att detta måste ske via Internet. En viktig uppgift är att få fram normer och krav som underlag för att vid en upphandling konkret kunna specificera hur sekretessbelagd info ska hanteras och skyddas när Internet används som kanal - Idag finns ett stort antal lokala system och databaser i varje kommun som var och en hanterar och registrerar identitets- och behörighetsuppgifter. Många av dessa register saknar i dag dessvärre nödvändig kvalitet och funktion för att klara säkerhetsuppdraget. En regional samordnad och kontinuerlig försörjning av identitets- och behörighetsuppgifter till dessa skulle avsevärt öka kvalitén och samtidigt minska kostnaderna betydligt 8 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Dessa förutsättningar har strukturerats i 4 nationella projekt: - Federativ lösning för identifiering och behörighetshantering - Former för en IT-förvaltningsorganisation för samverkan mellan olika huvudmän - Säkerhetskrav och specifikationer för sekretess- och integritetsskyddat informationsutbyte via Internet - En länsnod för elektroniska identitets- och behörighetsuppgifter i regional samverkan - Verksamheten måste ju vara med i utvecklingen. Det går inte om IT sitter för sig själva, och det går inte heller om verksamheten sitter för sig själva. Jag har varit med tidigare, och den erfarenhet jag har av IT system är att de gånger man utvecklat tillsammans, verksamheten och IT avdelningen, då har det oftast fungerat väldigt bra. Stina Seger, Kommunal samordningssjuksköterska, Primärvårdens administration, Hemvårdsenheten, Uppsala Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 9
Projekt 1: Federativ lösning för identifiering och behörighetshantering INTRODUKTION Bakgrund I inledningen till broschyren Nationell ehälsa 2010 strategin för tillgänglig och säker information inom vård och omsorg betonas att en säker och enkel tillgång till relevant information är nyckeln till att personalen inom hälso- och sjukvården och socialtjänsten ska kunna erbjuda insatser av högsta kvalitet. För att informationen ska vara användbar, skyddas mot obehörig åtkomst och samtidigt hanteras med full respekt för den personliga integriteten, behöver den struktureras, definieras och presenteras på olika sätt för olika mottagare oberoende av organisationstillhörighet. Organisatoriska gränser utgör inte längre ett hinder för en sammanhållen insats när relevant information kan utbytas mellan olika huvudmän och utförare på ett säkert och effektivt sätt. Federativa lösningar De federativa lösningarna kommer att vara en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare och andra intressenter. Det ska vara möjligt att dela information mellan olika organisatoriska enheter med bibehållen säkerhet. Syftet med en federation är att förenkla åtkomst till verksamhetssystem och tjänster för en eller flera organisationers användare samtidigt som administration av personers behörigheter förenklas. En federativ lösning innebär att olika parter, t.ex. utförare inom vård och omsorg, har en gemensam syn på, och överenskommelse om, informationssäkerhet och därmed tar ansvar för att sina egna IT-system uppfyller nödvändiga skyddskrav och samtidigt litar på att andras också gör det. Det innebär t.ex. att man inte behöver lägga över behörighetsinformation i varandras system, utan informationen skickas med som ett intyg när en förfrågan om e-tjänst görs. Federativa lösningar förenklar, förbilligar och snabbar avsevärt upp införandet av nya e-tjänster utan att göra avkall på säkerheten. Federativa lösningar bygger på ömsesidig tillit. Tillit att de andra parterna inom federationen uppfyller säkerhetsoch integritetskraven. Inom ramen för federationer är det därför av största vikt att tillit etableras mellan organisationer samt i samspelet med den enskilde genom att gemensamma regler och riktlinjer upprättas och följs. 10 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Utmaningar En federativ lösning för identifiering och behörighetshantering innebär stora fördelar för verksamheten och för personalen, men att etablera en federation innebär också flera utmaningar. Den organisation som ska ingå i en federation måste implementera regelverk och infrastrukturella tjänster som stödjer federationslösningen med rätt säkerhetsnivå för att uppnå tillit och förtroende från andra parter i federationen. Dessutom måste verksamhetssystem och efterfrågade tjänster fungera i en federativ lösning. PROJEKTETS RESULTAT Syftet med projektet var att ta fram en första version av policy och riktlinjer för federativa lösningar för identifiering och behörighetshantering, och sedan testa dessa i regionala pilotprojekt för att säkerställa att de är praktiskt och tekniskt tillämpbara. Projektet har tagit fram: 1. Styrande dokument för att etablera federativa lösningar med bibehållen hög informationssäkerhet 2. Genomfört ett antal tekniska piloter med flera organisationer i olika roller 3. Kostnads-/nyttoanalys 4. Riskanalys samt hindersanalys för realisering av nyttor 5. Omvärldsanalys 1. Styrande dokument för att etablera federativa lösningar Federation bygger på tillit mellan de ingående parterna, och ett verktyg för att uppnå detta och samtidigt trygga informationssäkerhet och personlig integritet är att alla parter anammar samma styrande dokument. De dokument som projektet tagit fram för detta är: - Avtal/överenskommelse Detta dokument syftar till att samordna och förenkla parternas roller och ansvar vid etablerande av federation. Avtalet ska kunna tillämpas på lokal/regional nivå i en federation. - Federationspolicy En förutsättning för delad åtkomst till verksamhetssystem och tjänster är att federationens medlemmar har inbördes förtroende för varandras autentiseringsrutiner. Federationen säkerställer detta förtroende genom att standardmässiga säkerhetsnivåer för identitetsadministration, autentisering och tjänsteleverans definieras i detta dokument. - Certifikat och utfärdarpolicy (CA-policy) Genom att endast ge ut certifikat till personer vars identitet är kontrollerad kan förlitande part lita på att innehavaren av certifikatet verkligen är den han/hon utger sig att vara. CA-policyn bygger på certifikatspolicyn från erkända och auktoriserade utfärdare. - Katalogpolicy Målsättningen med katalogpolicyn är att användare och system alltid ska ha tillgång till aktuell och korrekt information om personer, enheter och funktioner oavsett organisationstillhörighet. All information är tillgänglig på ett ställe och behöver bara registreras en gång, vilket minskar administrationsbehovet. Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 11
2. Genomförda pilottester Erfarenheterna från de tekniska piloterna visar att det är relativt enkelt att utbyta identitetsinformation, men att det är mer komplext att utbyta behörighetsinformation. Det senare har avsevärt större påverkan på verksamhetssystemet och den enskilda tjänsten. Projektet har genomfört ett antal tekniska piloter baserade på samma scenarier som nyttoanalysen. Lidingö stad, Praktikertjänst AB har agerat identitetsleverantörer och Stockholms Läns Landsting, Pulsen AB, UCR kvalitetsregister (Uppsala Clinical Research Center) har agerat tjänsteleverantörer. Vidare har ett långtgående planeringsarbete genomförts med Stockholms stad och Stockholms Läns Landsting som identitetsleverantörer och Apotekens Service AB och Försäkringskassan som tjänsteleverantörer. Praktiska tester med dessa har dock inte genomförts under projekttiden. Följande pilottester genomfördes: - Pilot 1 Användningsfall (socialt system kommun) Verksamhetssystem, Pulsen Combine - Pilot 2 Användningsfall (landsting - kommun) Samordnad vårdplanering, testmiljö - Pilot 3 Användningsfall (landsting privat vårdgivare) Person-/patientinformation, Praktikertjänst - Pilot 4 Användningsfall (Senior Alert testmiljö) UCR - kvalitetsregister Senior Alert, Palliativa registret 3. Nyttoanalys Den kostnads-/nyttoanalys som projektet genomfört bekräftar att federativa lösningar innebär fördelar för hälso- och sjukvården och socialtjänsten, samt för den personal som arbetar inom området. Analysen har avgränsats till tre system/webbtjänster samt två kommuner (Stockholms stad och Lidingö stad) och ett landsting (Stockholms Läns Landsting). Analysen visar också att cirka tre fjärdedelar av nyttan kan relateras till kommunerna. De nyttor som klart dominerar värderingarna är: - Sparad tid för in- och utloggning - Möjlighet att arbeta parallellt i olika system utan att behöva logga in och ut däremellan Följande nyttor har också identifierats, men inte kvantifierats: - Sparad tid för behörighetsadministration - Sparad tid för personaladministration - Lägre kostnad för att ansluta till externa system - Sparad tid inom säkerhet, genom en PIN-kod och Single Sign-On - Sparad tid inom mobilitet, genom att personal på fältet slipper ta med flera olika id-prylar (kort, dosor, etc.) - Lägre kostnad tack vare färre id-prylar 12 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
4. Riskanalys Projektet har genomfört riskanalys samt hindersanalys för realisering av nyttor genom träffar med leverantörer av verksamhetssystem och leverantörer av tjänster och produkter avseende federationslösningar. De kontakter som projektet haft med leverantörerna har verifierat att det redan idag finns flera produkter och tjänster på marknaden för att etablera federativa lösningar. Dock är inte befintliga verksamhetssystem och standardsystem inom kommunsektorn anpassade för federativa lösningar. (Med några få undantag). 5. Omvärldsanalys och nulägeskartläggning Detta är sammanställt för gemensam bakgrund och referens. Projektet har inventerat befintliga identitetsfederationer, såväl nationellt som internationellt. Projektet har beskrivit exempel på hur en identitetsfederation kan fungera i praktiken. Här ingår t.ex. en semantisk och teknisk introduktion till identitetsfederation och protokollet federationsbiljett, SAML. Här hittar man även definitioner och förkortningar för begrepp inom området. PROJEKTETS ERFARENHETER - Projekt och aktiviteter måste fortsätta att genomföras för att få fram krav och specifikationer samt införa funktioner för säkert informationsutbyte inom vårdoch omsorgsområdet - Praktisk samverkan med landstinget och privatvården är nödvändig när det gäller utveckling och implementering av nya gemensamma tjänster - Det måste införas gemensamma standarder för federativ lösning av identifiering och behörighetshantering inom vård och omsorg samt hälso- och sjukvård - Projektets resultat bör kommuniceras och förankras hos berörda myndigheter för att utgöra ett stöd för fortsatt utveckling av kravställning vid framtida upphandlingar av system och tjänster vid etablering av federation, samt för att helt enkelt sprida förståelsen och öka implementeringstakten - Allmänna råd, checklistor etc. behöver tas fram för att stödja kommunerna i syfte att utveckla verksamhetsprocesser med IT-stöd som klarar av att hantera säkerhet och integritet för olika aktörer och verksamheter med utgångspunkt i federativa lösningar Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 13
FORTSATTA STUDIER För 2011 fortsätter projektet i utvecklad form enligt beskrivningen i Verksamhetsplanen 2011 genom att i praktisk samverkan med landstingen, CeHis och privatvården fortsätta utvecklingen att införa gemensamma standarder för federativ lösning av identifiering och behörighetshantering inom vård och omsorg samt hälsooch sjukvård. Projektledare Projekt 1 Stefan Svensson, IT-strateg, Stockholms stad En federativ lösning innebär inte bara stora kostnadsbesparingar och ökad kvalitet inom vård- och omsorg. Genom att strukturen blir generisk för hela organisationen, ger det också andra möjligheter inom helt andra verksamhetsområden. Stockholms stads trafikkontor överför dagligen alla godkända och beslutade trafikföreskrifter till en rikstäckande databas för trafikföreskrifter. Till Trafikverket skickas alla förändringar i stadens vägnät till den nationella vägdatabasen. Det är viktigt att mottagaren har tillit till att informationen är korrekt. 14 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Projekt 2: Former för en ITförvaltningsorganisation för samverkan mellan olika huvudmän INTRODUKTION Gemensamma IT-system Det finns många IT-applikationer och IT-tjänster som används gemensamt av kommuner och landsting/regioner och förekomsten av huvudmannagränsöverskridande IT-system ökar snabbt. Ofta saknas dock ordnade former för hur finansiering, drift, förvaltning, support och utveckling för parterna ska skötas. Arbetet att sätta upp en organisation är både komplext och tidskrävande. Ofta blir resultatet inte heltäckande med onödiga komplikationer som följd. Det behövs en genomtänkt modell baserad på både teori och empiri som kan användas för att skapa en organisation eller funktion med åtaganden enligt ovan. En mall för en organisationsmodell kan spara mycket tid och resurser som grund för arbetet, även om anpassningar måste göras i varje enskilt fall. Nyttan Nyttan med projektet är: - Snabbt ökad professionalism i kommunernas systemförvaltning, genom direkt tillämpbara modeller och organisationsformer - Minskad risk för tvister om t.ex. kostnader, servicenivåer och ansvarsgränser, genom heltäckande och verifierade avtal - Stora samverkansvinster när huvudmän samverkar under ordnade former - Lägre kostnader per användare, vilket är särskilt viktigt för små kommuner Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 15
PROJEKTETS RESULTAT Projektet har tagit fram 6 rapporter med information och specifikationer inom: 1. Omvärldsbeskrivning 2. Gemensam systemförvaltning 3. Samverkansanalys juridiska förutsättningar 4. Praktisk användning 5. Avtalsförslag 6. Förvaltningsmodeller 1. Omvärldsbeskrivning En nulägesbeskrivning av tillståndet i kommunerna baserat på undersökningen 2009 och på i projektet genomförda intervjuer visar tillsammans på: - Brister i kunskaper om systemförvaltning - Endast ett fåtal kommuner tillämpar modeller och organisation för systemförvaltning - Behov av ordnade former för samarbete, samt behov av former för styrning och ledning av resurser i samband med samverkan - Där huvudmän samverkar under ordnade former finns det stora samverkansvinster 2. Gemensam systemförvaltning Specifikationerna preciserar vilka behov en gemensam systemförvaltning måste möta i form av styrning & ledning, juridiska former, ekonomi, kvalitet och ansvar/roller. Rapporten ger också en översikt över olika metoder och beskriver vad systemförvaltning är: - Vilka processer och modeller som finns att tillgå - Exempel på hur en organisation för systemförvaltning ser ut - Beskriver ansvar och roller hos ägare, beställare och leverantörer 3. Samverkansanalys juridiska förutsättningar De olika alternativa samarbetsformerna som finns för gemensam IT-förvaltning beskrivs: interkommunala avtal och företag, gemensam nämnd, kommunalförbund, samäganderätt och ideell förening. Vidare ges stöd vid val av juridisk samverkansform med hjälp av: - Checklistor per organisationsform - Beskrivning av ägande, styrning, finansiering, upphandling, politik och inflytande för respektive juridisk organisationsform - Redogörelse för hur olika speciallagstiftningar som bl.a. LOU, hälso- och sjukvårdslagen, socialtjänstlagen, patientdatalagen inverkar på val av organisationsform 4. Praktisk användning Här tas de initiala ekonomiska effekterna av samarbete upp. Det gäller startkostnad, tydliggjorda kostnader, samverkansvinster, kostnadsfördelning m m. 16 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
De viktigaste framgångsfaktorer för en lyckad IT-förvaltningsorganisation för samverkan mellan olika huvudmän preciseras och beskrivs: - Planering, kommunikation, ledning och styrning, förändringsarbete, nytta, praktisk hjälp och kvalitetssäkring - Lokalisering av verksamhet - Fyra perspektiv: verksamhet, kund, tjänst, avtal 5. Avtalsförslag Ett bibliotek med mallar och förslag på: - Avtal - Förbundsordning - Bolagsordning - Överenskommelse i gemensam nämnd 6. Förvaltningsmodeller Här ges en översikt över ett urval existerande förvaltningsmodeller och metoder som hjälp för att förstå vilka modeller som finns och vad de gör. De olika modellernas beståndsdelar beskrivs också. - Vi har haft stor nytta av det material som togs fram i SKL:s pilotprojekt om gemensam systemförvaltning eftersom vi nu, i enlighet med ett politiskt uppdrag, utreder om det är möjligt att finna gemensamma lösningar för IT drift och support för Lysekils och Munkedals kommuner. - I utredningen har vi använt materialet som en handledning och därigenom fått fram vad som är viktigt att dels ta hänsyn till och dels vad som bör ingå i utredningen. Maria Vikingsson. Chef enheten för IT, information, kvalitet och folkhälsa, Lysekils kommun PROJEKTETS ERFARENHETER Det finns ett stort behov av att få praktisk hjälp kring hur IT-resurser ska kunna delas mellan olika huvudmän. Det är mycket viktigt att genomförande av gemensamma projekt som delas över huvudmannagränser gynnar alla aktörer i samverkan genom att säkerställa att: - Samverkan är välförankrad och möter konkreta behov - Det finns tillräckligt med tid och resurser avsatta för ändamålet - Ansvar utses för att förvalta resultaten i ett långsiktigt perspektiv På ett tidigt stadium bör huvudmännen samarbeta kring framtagning av de processer som inkluderas i samverkansfallet samtidigt som de leverantörer som deltar i praktiska implementeringar bör vara processorienterade. Detta är centralt för att underlätta för andra huvudmän att ta emot och replikera samverkansfallet. Detta kommer att resultera i lägre kostnader och underlättar skapande av gemensam arkitektur och infrastruktur. Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 17
FORTSATTA STUDIER För 2011 fortsätter projektet i utvecklad form enligt beskrivningen i Verksamhetsplanen 2011 Utvärdera införanden av regiongemensam organisation för styrning och förvaltning av gemensamma system över huvudmannagränser. Projektet 2011 kommer att kombineras i ett praktiskt genomförande med projektet 4 En länsnod för elektroniska identitetsuppgifter i regional samverkan. Projektledare Projekt 2 Ragnar Ingibergsson, Västkom En av förutsättningarna för att vi ska kunna använda IT fullt ut till nytta för samhället är att de offentliga aktörerna kan samarbete kring ägande, drift och förvaltning av IT system. Men för att kommuner och landsting ska ta till sig nya samarbetsformer krävs att de beslutsfattare som ska driva förändringen ser en direkt och påtaglig verksamhetsnytta. För att projektet verkligen skulle ta fram praktiskt användbara former för en ITförvaltningsorganisation för samverkan mellan olika huvudmän, och inte bara teoretiska upplägg, letade vi tidigt efter en grupp som representerade den mångfald som vi vet finns i landets kommuner och län. Denna spridning ser jag som en av framgångsfaktorerna i projektet, och det stärktes när jag fick följande i min mail efter att jag bett om synpunkter för att förbättra projektets rapporter: - I min kommun har vi bedrivit ett införandeprojekt av ett verksamhetssystem för vård- och omsorg där vi nu har ett system med kvantitet, där vi inte har den kontroll över kvaliteten jag skulle önska, beroende på hur många orsaker som helst som du pekar på. Jag har under en längre tid befunnit mig i en situation där avsaknaden av kunskap om vikten av systematisk förvaltning av system hos förvaltningsledning varit total och jag har stångat pannan blodig många gånger, så jag hade faktiskt lite svårt att vara kritisk till din rapport om det var det du behövde? Er rapport gav mig nämligen till stor del en beskrivning av precis vad jag behövde. 18 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
Projekt 3: Säkerhetskrav och specifikationer för informationsutbyte via Internet INTRODUKTION Det faktum att vi idag kommunicerar känslig information över Internet ställer krav på skyddsmekanismer som garanterar att obehöriga inte kan ta del av innehållet. Några praktiska exempel på information som skickas över öppna nätverk är när: - en invånare loggar in på en "Mina sidor"-tjänst - två organisationer utbyter information mellan varandra, t.ex. en kommun som skickar in underlag till Försäkringskassan Ett mål är att invånaren ska kunna styra och förfoga över sin egen information. Det ställer krav också på skyddsnivå för utlämnande och överföring av information. Detta ökande krav på skyddsnivå får som bieffekt att det samtidigt höjer rättssäkerheten för invånaren. Invånarna ska kunna komma åt all information de är berättigade till, men samtidigt ingen annans information. Alla IT-system och e-tjänster har ett skyddsbehov. Genom att applicera tillräckliga skyddsmekanismer i form av kryptering, autentisering (d.v.s kontroll av uppgiven identitet), signering och spårbarhet går det att skydda informationen. För att uppnå och upprätthålla önskvärd nivå för informationssäkerhet vid sådan kommunikation krävs ett strukturerat och enhetligt sätt att arbeta med IT-säkerhetsfrågor. Parterna måste enas om hur informationssäkerheten ska lösas för att kunna utveckla den elektroniska kommunikationen mellan kommuner, landsting, statliga myndigheter och privata utförare. Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 19
IT-säkerhet Bilden beskriver de beståndsdelar som informationssäkerhet består av enligt en standardmodell antagen av bl.a. Myndigheten för samhällsskydd och beredskap. Projektet har i sitt arbete avgränsats till att i enlighet med bilden omfatta området för Sekretess. Området tar bl.a. upp krypteringsalgoritmer och hantering av krypterings-, och dekrypteringsnycklar. Kryptering av data innebär att informationen blir obrukbar om den trots andra säkerhetsåtgärder och åtkomstkontroller skulle råka hamna i orätta händer ifall mottagaren inte innehar rätt nyckel för dekryptering. Istället för att beskriva enskilda system, plattformar eller kanaler ger projektet en generisk bild av informationssäkerheten utifrån att informationen befinner sig i något av tillstånden Rörelse eller Vila. Projektet visar tre användningsfall där informationen befinner sig i något av ovan nämnda tillstånd. För att hitta rätt säkerhetsnivå och tillhörande lösning, behöver varje verksamhet genomföra en analys av sina olika system och plattformar - informationsklassa dem. Informationsklassningen går bl.a. ut på att man försöker analysera konsekvenserna om informationen skadas, förvanskas eller hamnar i orätta händer. Beroende på hur allvarliga eller omfattande konsekvenserna blir så väljer man rätt nivå på säkerhetslösningen. Projektet har avgränsats när det gäller informationsklassning. 20 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg