Dialog om Sambi Dialog om Sambi Åke Rosandher, chef CeHIS 12 11 08
Sambi I korthet Samverkan för Behörighet och Identitet d inom hl hälsa, vård och omsorg. Ett samarbete mellan Apotekens Service AB och CeHis, med stöd av.se. Samverkan med E legitimationsnämnden WWW.SAMBI.SE
Bakgrund Nationella tjänster för sektorn behöver en infrastrukturlösning. Måste garanterar en patientsäker, kostnadseffektiv och praktiskt enkel åtkomst av e tjänster Det finns federativa lösningar, men inte en nationell lösning för sektorn.
Vision och budskap Sambi ska fungera som en nationell mötesplats för säkra e tjänster genom att vara en del av det infrastrukturella navet. sammanlänkar e tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten. möjliggör jgg en säker åtkomst till tjänster för hela sektorn vård, hälsa och omsorg. Sambi driftas av en oberoende part och det är enkelt att ansluta sig.
Målgrupper Kommuner Privata omsorgsgivare Apoteksaktörer Veterinärer Landsting Tandläkare Privata vårdgivare Regionförbund... Myndigheter Invånare Informationsinfrastruktur Förenklad åtkomst utan säkerhetsmässiga avkall
Mål för dagen Informera om Sambi Dialog om utformningen Summering
Dagordning 09.30 Välkommen, Åke Rosandher, chef CeHIS 09.40 Beskrivning av SAMBI 11.00 Kff Kaffe Utredningen Identitets och behörighetsfederation för ehälsa, Stefan Larsson, Apotekens Service En federationsoperatörstjänst för Sambi, Staffan Hagnell,.SE Presentation av det pågående arbetet, Håkan Josefsson, Apotekens Service Anpassningsbehov för en Användarorganisation, Säkerhetstjänster 2.0, Björn Skeppner, Inera, Anpassningsbehov för en tjänsteleverantörs, Conny Balazs, Apotekens Service
Dagordning 11.20 Behov, nytta och kravbild för SAMBI, paneldiskussion Stefan Ingelgård, CIOKronans Droghandel och medlem i Sv.apoteksförenings IT råd Karin Bengtsson, Chef IT Forum, Kommunförbundet Stockholms Län Leif Augustsson, Chef inom koncern IT, IAM/Applikation & Integration, Praktikertjänst 11.50 Presentation ti av eftermiddagens diskussioner i 12.10 Lunch
Dagordning 13.00 Gruppdiskussioner omgång 1 14.00 Kaffe 14.20 Gruppdiskussioner omgång g 2 15.30 Summering av diskussionerna 15.50 Summering av dagen och fortsatt arbete, Ylva Hambraeus Björling, Apotekens Service AB och Åke Rosandher, CHIS CeHIS 16.00 Slut
Utredningen Stefan Larsson, Apotekens Service 12 11 08
Federation inom hälsa, vård & omsorg 1. Resultatet 2. Lösningsförslag en översikt 3. Mål & nytta 4. Utmaningar Förstudierapporten finns på Sambi.se Beskrivning av Sambi
Resultat Federation inom hälsa, vård & omsorg 1. lösningsförslagoch l direktiv i för genomförande 2. en nationell lösning för privata & offentliga aktörer inom hälsa, vård & omsorg 3. ägarskap spegla en bredd inombranschen 4. självkostnadsprincip 5. tillitsramverk & teknisk infrastruktur realiseras på nivån LoA3, med branschsspecifika konkretiseringar
Resultat Federation inom hälsa, vård & omsorg 5. tillitsramverket utformas om möjligt på/i samverkan med e legnämndens förslag med branschsspecifika konkretiseringar 6. realiseringsarbetet Apotekens Service AB, CeHis,.SE 7..SE SEfungerar som oberoende federationsoperatör 8. samrådsyttrande från Datainspektionen
Lösningsförslag konceptuell översikt Styrgrupp (intressenter) t Granskare A B C SAML metadata AL3 LoA3 AL3 med LoA3 vissa Federationsoperatör konkretiseringar. Avtal Tillitsramverk Tekniska specar Intygstfärdare (IdP) Intygsutfärdare (IdP) https://idp.organisation.se/ Intygsutfärdare (IdP) https://idp.organisation.se/ i ti / https://idp.organisation.se/ E tjänsteleverantör (SP) E tjänsteleverantör (SP) https://sp.organisation.se/ E tjänsteleverantör (SP) https://sp.organisation.se/ ti / https://sp.organisation.se/ Grunden är tillit till identiteter och attribut
Mål & nytta 1. tillhandahålla en infrastrukturlösning för säker åtkomst av e tjänster för hela sektorn ehälsa 2. vara det självklara valet för organisationer som vill uppnå en optimeradnivå på hanteringen av identiteter och behörigheter samt skyddet av den personliga integriteten i sina verksamheter 3. underlätta för informationsägare att fullgöra de skyldigheter som bland annat följer av personuppgiftsansvaret
Mål & nytta 4. vara ett självklart alternativ till att utforma separata lösningar för hanteringen av identiteter och behörigheter, separat för varje enskilt system, i varje enskild organisation 5. tillhandahålla en gemensam och tydlig infrastruktur, baserad på standard, som erbjuder marknaden en tydlig bas för tillhandahållande av effektiva e tjänster 6. fungera som ett forum som verkar för medlemmarnas gemensammaintressen intressen, verkar för samverkan, kunskapsutveckling, erfarenhetsutbyte och där spridning av goda exempel möjliggörs
Utmaningar Styrgrupp (intressenter) t Granskare A B C SAML metadata Tillitsramverk AL3 LoA3 Federationsoperatör med vissa konkretiseringar. Tillit till identiet Tillit till attribut Granskningsprocess Intygstfärdare (IdP) Intygsutfärdare (IdP) https://idp.organisation.se/ Intygsutfärdare (IdP) https://idp.organisation.se/ i ti / https://idp.organisation.se/ E tjänsteleverantör (SP) E tjänsteleverantör (SP) https://sp.organisation.se/ E tjänsteleverantör (SP) https://sp.organisation.se/ ti / https://sp.organisation.se/ Tillitsramverk med kravbild för både producent och konsument av intyg
Utmaningar.! Diskussionsunderlag tillit till identiteter & attribut 1. Identiteter 2. Attribut 3. Granskningsprocess 4. Annat?
En federationsoperatörstjänst En federationsoperatörstjänst Staffan Hagnell,.SE 12 11 08
Relationer Användarorganisation E tjänst A E tjänst B Användarorganisation E tjänst C E tjänst D
Relationer Användarorganisation E tjänst A E tjänst B Användarorganisation E tjänst C E tjänst D Federativ samverkan
Behov av samverkan Krav Gemensamma lagkrav Tillit Attribut Identiteter Systemlösningar Gemensam infrastruktur (Metadataregister mm) Teknisk standard Tjänst
Medlemmar i federationen Användarorganisation Tjänsteleverantör tö Inloggnin g Intygsutfärdare Intyg E-tjänst Användare Federationsoperatör Attributsregister Medlemsregister
Identitet och attribut Användarorganisation Tjänste- leverantör Användare Inloggning Sv e leg Intygsutfärdare Intyg Pseudonym + Attribut E-tjänst E ID SITHS BankID Attributsregister Annan inloggning g
Intyget Pseudonym Persistenta användaren har en pseudonym per tjänst Transienta pseudonymen återanvänds inte Attribut t Beslut om åtkomst fattas av tjänsten. (Attribut används för att fatta beslutet). Vilka attribut ska vi ha; Medarbetaruppdragets, Förskrivarkod, Befattningskod,? Finns det attribut som en Användarorganisation bör/skall tillhandahålla?
Hur skapa förtroende? Om du en gång har förverkat förtroendet hos dina landsmän, kan du aldrig återvinna deras respekt och aktning. Sant är att man kan lura hela folket en tid, man kan även lura några hela tiden, men man kan inte lura alla hela tiden. Abraham Lincoln Tillit skapas genom att den tas i bruk. Bertolt Brecht osv
Förtroende kräver Tillit till Identiteter Tillit till Attribut Tillit till Hanteringen av integritetskänsliga uppgifter Spårbarhet IT säkerhet Öppenhet, legitimitet, god incidenthantering
Hur skapar vi förtroende? Kontrollera hanteringen + Kontrollera hanteringen Krav på granskning g Avtala Självdeklaration Extern granskning Med tydliga konsekvenser Stickprov Spärr för medverkan Extern revision vid incident Viten + Avtala
> Var avtala? Användarorganisation Tjänsteleverantör tö Användningsavtal
Hur kontrollera hanteringen? Självdeklaration (Tillitsdeklaration) hitta en bra miniminivå (omfattande hantering av Identiteter, Attribut och integritetskänsliga uppgifter samt Spårbarhet och IT säkerhet) Endast krav vid tecknande av medlemsavtalet? Vad kan publiceras av denna? Extern granskning gav efterlevnaden Avvägning mellan kostnad och tidsfördröjning kontra dess värde?
Hur samverka? Gemensamma lagkrav Tillit Attribut Identiteter Systemlösningar Gemensam infrastruktur (Metadataregister mm) Teknisk standard
Införandeprojektet Håkan Josefsson, Apotekens Service 2012 11 08
Sambi införandeprojektet i korthet Startade i juni 12 Projektet tär ett samarbete bt mellan Apotekens Service AB, CeHis och.se. Består av tre delprojekt
Styrgrupp (intressenter) t Konceptuell översikt Granskare A B C Federationsoperatör SAML metadata Avtal Regelverk Tillitsramverk Tekniska specar AL3 LoA3 Intygstfärdare (IdP) Intygsutfärdare (IdP) https://idp.organisation.se/ Intygsutfärdare (IdP) https://idp.organisation.se/ i ti / https://idp.organisation.se/ E tjänsteleverantör (SP) E tjänsteleverantör (SP) https://sp.organisation.se/ E tjänsteleverantör (SP) https://sp.organisation.se/ ti / https://sp.organisation.se/ Grunden är tillit till identiteter och attribut
Kommunikation Ta fram: Namn Logotyp Grafisk profil Informationsmaterial Dialog med intressenter Arrangera evenemang och delta dlt i t.ex. seminarium i
Avtal och administration Sneglat på Skolfederation.se och dess struktur kring avtal och administration.
Avtal och administration Arbetsgrupper: Huvudavtal och legala l aspekter Administration och support Tekniska k specifikationer i Tillit och granskning Attribut inom Sambi Affärsmodell
Leveransobjekt Huvudavtal och legala aspekter Huvudavtal Bilaga personuppgiftshantering Administration och support Villkor för anslutning till Sambi Kontaktuppgifter Rutinbeskrivningar incidenthantering Tekniska specifikationer Tekniska krav
Leveransobjekt Tillit och granskning Tillitsramverk Granskningsrutiner Regler för incidenthantering Attribut inom Sambi Attributlista Rutiner för hantering av attribut Affärsmodell Affärsplan med kostnadsmodell för anslutning
Infrastruktur Implementation av infrastruktur för test Driftsdokumentation Teknisk support
Tidplan 22 nov 31 jan 1 nov Implementation testbädd Tillitsramverk v0.8 Tekniska specifikationer v0.8 Administrativa rutiner v0.8 Legala aspekter v0.8 Anslutningsavtal v0.8 Anslutningsavtal v1.0 Tekniska specifikationer v1.0 Administrativa rutiner v1.0 Tillitsramverk v1.0 Legala aspekter v1.0 Granskning v0.8 Attribut v0.8 Affärsmodell v1.0 SAMBIs realisationsfas klar enl. plan Okt Nov Dec Jan Feb Kontinuerlig kommunikation kring nyttor 8 nov 15 dec Kommunikationstillfälle Affärsmodell v0.8 Kommunikationsmaterial framtaget om nyttor
Utmaningar Hitta lämpliga tjänster för pilotdrift Tillit Attribut
Ska vi diskutera efter lunch. Välkomna! Efter införandeprojektet?
Diskussioner 2012 11 08
Behov, nytta och kravbild för SAMBI Panel Stefan Ingelgård, CIO Kronans Droghandel och medlem i Sv.apoteksförenings IT råd Karin Bengtsson, Chef IT Forum, Kommunförbundet Stockholms Län Leif Augustsson, Chef inom koncern IT, IAM/Applikation & Integration, ti Praktikertjänst tjät
Diskussioner 2012 11 08
Eftermiddagens diskussioner 1. En federation för vad och vem? Ylva Hambraeus Björling, Apotekens Service AB 2. Teknik och arkitektur, Thomas Nilsson, Apotekens Service 3. Vad behöver ni för att komma i gång och när är ni redo? Håkan Josefsson, Apotekens Service 4. Tillit till identiteter och attribut, Stefan Larsson, Apotekens Service 5. Gemensamma attribut, Fredrik Fehn, SIS
1. En federation för vad och vem? Diskussionspunkter Vad ären federation enligt Ylva? En ö k om en regelstruktur som ska vara leverantörs och tenikoberoende innanför murarna litar vi på varandra Federationen måste definiera miniminivån som alla ska leva upp till vad gäller attribut Olika tjänster kan anslutas i olika takt Säkerhetsnivå 3. Högre krav än dagens bank id lösningar. Nivån sätts av lagarna. Säker autentisering Tvåfaktorautentisering Hårda certifikat/sms
1. En federation för vad och vem? Diskussionspunkter Sårbarhet tillgänglighet + korrekthet Vad är operatörens ansvar? Anslutning, medlemsregister, anvisningstjänst Oberoende granskare Styrning: ägare, operatör och medlemsforum som driver utvecklingen framåt
2. Teknik och arkitektur Finns den tekniska förmågan att ingå i en federation? Vilka förmågor krävs Vad innebär en federation med flera LoA Vilka behov av tekniskt stöd finns? Interop Testmiljö Hur omsätts tillitsramverkettill tekniska krav? Krav på nyckelhantering, generering, lagring Vilka tekniska specifikationer gäller för en elegitimation
2. Teknik och arkitektur Vilka anpassningar krävs på e tjänstesidan? Autentisering Auktorisation Loggning Sessionshantering Vad gäller för maskin till maskin kommunikation inom en federation? Anropsprofiler Knytning till identiteter
2. Utfall teknisk dialog Tydligare specifikationer Idag ex saml2int, Imorgon även SAMLp Tkik Teknisk vägledning/tillämpning i av tillitsramverk Discovery Attribut Kravställning på nya system
3. Tillströmning till Sambi Vem vill och kan vara med? Era kortsiktiga och långsiktiga utmaningar för att ansluta? Hur kan Sambi påskynda ert federativa arbete? Vilk t ö kl bhö S bih l å? Vilka trösklar behöver Sambi hyvla på? Hur tror ni att ni kan påskynda Sambis etablering? Exempel på tjänster som ni vill konsumera eller erbjuda inom Sambi?
Utfall 3. Tillströmning till Sambi Hur ska vi få Sambi att lyfta? Hur ökar och säkerställer vi tillströmning och anslutning till Sambi? Kommunikation Lyft goda exempel Få med leverantörer i dialogen Visa att Sambi är synkroniserade med andra pågående initiativ Visa nyttan Lyft fram att detta är en del i den nationella strategin Hjälp med planering Tydliga tekniska specifikationer, med relativt hög detaljnivå Vägledning för anpassningsprojekt gällande: Kravställning Resurser Tidplan
4. Tillit till identiteter och attribut Resultat av gruppdiskussioner tillitsfrågor 1. Återanvänd bfitli befintliga strukturer (HSA/SITHS) 2. Öppna för mångfald olika tekniska lösningar som möter samma kravnivå 3. Administrativa rutiner vid kortutgivning utmaningar med reservkortshantering 4. Sambi måste baseras på ett minimum av gemensamma attribut inga attribut som inte behövs för behörighetsstyrning 5. Sambi kan inte lösa befintliga strukturella problem med registerkvalitet inom vården tydliga krav, uppföljning.?
4. Tillit till identiteter och attribut I Sambi riktar sig Tillitsramverket både till IdP och SP 1. Tillit till identiteter t a. e legitimationsnämndens tillitsramverk b. branschens egna specifika krav 2. Tillit till attribut a. styrande faktorer för tillit 3. Granskning av efterlevnaden b. granskningsprocess c. egen tillitsdeklaration d. oberoende granskning
5. Gemensamma attribut i Sambi För att göra det möjligt att tillhandahålla dagens och framtidens e tjänster inom vård och omsorg är utformningen av gemensamma attribut grundläggande. Diskussionen kommer bland annat att fokuserar på vilka attribut som behövs, vilka tjänster som avses och när attributen t ska användas. Inledningsvis kommervi berättat kort omhur Inledningsvis kommer vi berättat kort om hur skolfederation arbetade med attributhantering och vilka lärdomar man drog.
5. Sammanfattning av diskussion Tjänster och verksamhetsområden bör definieras för federationen SAMBI Utgå ifrån existerande lagar inom området, t ex Patientdatalagen, socialtjänstlagen, PUL, Apoteksdatalagen Det krävs en problematisering kring behörighetsyn, t ex utifrån roller Beakta strukturer i tjänster t såsom 1177.se Ta hänsyn till att rollbeskrivningar ser olika ut mellan t ex kommuneroch och landsting HSA/SITHS attributen utgör en grundstomme, se hur man kan bygga vidare
5. Sammanfattning av diskussion Se om man kan skapa enhetliga attributstrukturer för olika kommunala tjänster Gruppera attribut och arbeta minimalistiskt Använd doga organisationsstrukturer sato sstutue såsom EK Ta hänsyn till olika standarder, både nationella och internationella Ta hjälp av socialstyrelsen för begreppsförtydligande