1.0 Utgåva (1)1 Dokumenttyp: Missiv Utfärdat av: Utf datum: Godkänt av : Godk datum: L Wallér 2014 09 19 SITHS utveckling Gemensam certifikatshantering i Västra Götaland Projektgruppen för SITHS utveckling har tagit fram ett förslag på hur länet kan öka samarbetet rörande SITHS. Gemensam SITHS organisatoin behöver utvecklas för att möta behov av flexibel certifikatshantering samt geografiskt nära kortutgivning. Förslag till beslut: Befintlig RA roll tillförs två biträdande roller en från kommun och en från landsting (10 resp. 20 %). Detta minskar sårbarheten, förenklar informationsspridning och återkoppling från kommuner och landsting. Arbetet utförs redan idag men är inte formaliserat, biträdande rollen fanns tidigare men har försvunnit. Vi anser även att detta ger en symbol för samverkan. (inga extra kostnader tillförs) Organisatoriska gränser elimineras och fokus ligger istället på närheten till medarbetarna genom att tillåta utgivning från kommunerna enligt tidigare önskan. Detta sker i enlighet med det i Hjo testade pilotprojektet: beställning och utfärdande sker lokalt och leverantörsbeställning sker av TjänsteID service. Ersättning utgår för såväl beställning som utlämning till lokalt utgivningskontor. Efter kartläggning av faktiskt behov bör de gemensamma behoven ses över enligt punkt 3, nedan. Operativa, centrala funktioner som samordning, förvaltning och certifikatshantering mm sköts gemensamt och centralt. Behov av utvecklad funktion finns hos båda parter och kräver gemensamt stöd och därmed även gemensam finansiering. Förslaget innebär att detta samordnas och koordineras med en ny funktionskoordinator för SITHS från den gemensamma GITS funktionen. Samordning, utbildning och support är ett krav för att få en gemensam organisation att fungera och bör inte hindras av att de kostnader läggs på de nya utgivningskontor som sätts upp för alla parter inom närområdet. Förskjutning av kostnader till delvis central finansiering samordnad via GITS och styrd från SITIV istället för att helt utgå ifrån utgivning av kort. Funktionskoordinator SITHS: Rekryteras hos parterna genom intresseanmälan, förslagsvis ansvarig för TjänsteID service Uppdragets genomförande: 2014 2016 Kostnader 750 000 kr fördelat VGK/VGR 287 500 kr/462 500 kr Funktionskoordinator (50%) 500 000 kr (fördelas VGK/VGR 50 50) Gemensamma system nödvändiga för gemensam utförarorganisation (fördelas VGK/VGR 15 85 utifrån antal kort)
0.01 Utkast (1)18 Dokumenttyp: Rapport Dokumentbeskrivning: Projekt: SITHS-utveckling Rapport SITHS-utveckling Gemensam korthantering i Västra Götaland Utfärdat av: Utf datum: Godkänt av: Godk datum: SITHS projektgrupp Person / Grupp som godkänt dok Rapport SITHS-utveckling Gemensam certifikatshantering i Västra Götaland
0.01 Utkast (2)18 Sammanfattning av resultat Med bakgrund av ett ökat nationellt brukande av tjänstelegitimationer och personliga e- legitimationer för att säkerställa identitet såväl i tjänsten som privat konstaterar vi att betydelsen av detta ökar. Allt flera krav på en säkert identifierad brukare ställs, i synnerhet efter Datainspektionens senare kontroller. SITHS är här en etablerad, och framförallt betrodd tjänst, bland annat i samverkan med Microsoft. Utgivning av legitimationer är komplex och komplexiteten lär öka, bland annat beroende av att eid2008 upphör 2016 inklusive alla idag använda e-legitimationer. Dessutom pågår upphandling av Infrastrukturtjänster 2.0 hos Inera AB i samarbete med SKL, regeringen har tillsatt Svensk e-legitimationsnämnd och EU har krav på en (1) nationell motpart. Vi har även försökt minimera sårbarheten vad gäller nyckelpersoner. Ett flertal kommuner har ställt frågan om egen utgivning eller möjlighet att använda befintliga kontor inom VGR såsom vårdcentraler eller sjukhus under VGRs avtal. Allt fler system såväl lokala, regionala som nationella kräver SITHS vilket kommer öka användningen framgent och därmed även behovet av en närmare utgivning i hela länet. Vår uppfattning är att administrativa tjänster ska hållas på ett minimum, utan att riskera gällande regelverk uppnå en effektiv resurserfördelning genom samarbete det som kan göras gemensamt sköts och finansieras centralt och det som måste ske nära brukaren sker decentraliserat i syfte att få en närhet till brukaren och för att kunna återanvända befintliga lokala resurser Då merparten av det centraliserade SITHS-arbetet redan idag utförs av olika parter är tolkningen att förslaget inte belastar mer overhead-kostnad utan ger mer samordning och finansiering för allas bästa. Däremot synliggörs kostnader som tidigare varit dolda. Förslaget ger en framtidssäkring av funktionen då bäraren av SITHS-certifikat, idag kort, troligen kommer fasas ut mot andra certifikatbärare framöver. Vi föreslår att Befintlig RA roll tillförs två biträdande roller en från kommun och en från landsting (10 resp. 20 %). Detta minskar sårbarheten, förenklar informationsspridning och återkoppling från kommuner och landsting. Arbetet utförs redan idag men är inte formaliserat, biträdande rollen fanns tidigare men har försvunnit. Vi anser även att detta ger en symbol för samverkan. Operativa, centrala funktioner som certifikatshantering mm sköts gemensamt och centralt. Detta sker redan idag i Regionservice regi (övergripande organisation för TjänsteID-service) men förslaget innebär att detta samordnas och koordineras från den gemensamma GITS-funktionen. De i sin tur beställer tjänsten från TjänsteID-service enligt tidigare hantering. Organisatoriska gränser elimineras och fokus ligger istället på närheten till brukarna genom att tillåta utgivning från kommunerna enligt tidigare önskan. Detta sker i enlighet med det i Hjo testade pilotprojektet: beställning och utfärdande sker lokalt och leverantörsbeställning sker av TjänsteID-service. Ersättning utgår för såväl beställning som utlämning till lokalt utgivningskontor.
0.01 Utkast (3)18 Förskjutning av kostnader till delvis central finansiering samordnad via GITS och styrd från SITIV istället för att helt utgå ifrån utgivning av kort. Vi konstaterar även att arbetsgruppens förslag redan uppmärksammats nationellt och att Västernorrlands läns landsting med Umeå och övriga kommuner redan påbörjat motsvarande etablering.
0.01 Utkast (4)18 Innehållsförteckning SAMMANFATTNING AV RESULTAT...2 1 BAKGRUND...5 1.1 Allmänt om SITHS... 5 1.1.1 Historik och tidigare beslutspunkter... 5 1.2 Varför SITHS... 6 1.2.1 Räkneexempel från Skövde kommun... 7 1.3 Bakgrund till projektet... 8 2 RESULTAT...9 2.1 Hjo-konceptet... 10 2.2 Nationellt intresse för upplägget... 10 2.3 Ekonomisk modell... 11 2.3.1 Overhead... 11 2.4 Kostnader och intäkter för kortutgivning... 13 2.5 RA och biträdande RA... 13 3 PILOT OCH WORKSHOP...14 3.1 Pilot... 14 3.1.1 Kostnader samt synpunkter från Hjo kommun... 14 3.2 Workshop... 16 4 SPRIDNING AV RESULTAT OCH INFORMATIONSAKTIVITETER...17 5 AVSLUT...18 5.1 Överlämning/Förvaltning... 18 5.2 Förslag till fortsatt arbete/utveckling av resultat... 18
0.01 Utkast (5)18 1 Bakgrund 1.1 Allmänt om SITHS SITHS är ett koncept vilket levererar en säkert identifierad: Personlig identitet Server eller funktion Kärnan i SITHS är identifieringsprocessen och tekniken baserar sig idag på internationell standard PKI, fördelningen brukar anges 90/10 för rutiner/teknik. SITHS är ackrediterad och godkänd av Microsoft globalt d.v.s. samtliga datorer med Windows i hela världen litar på SITHS. SITHS används av samtliga landsting och regioner, samtliga 290 kommuner, flertalet privata vårdgivare och ett antal statliga myndigheter. I Västra Götalands län finns en gemensam RA organisation med 49 kommuner och Västra Götalandsregionen med gemensamma rutiner och regelverk. Vi har en gemensam RA och en gemensam säkerhetsansvarig (säkerhetsdirektören i VGR). RA organisationen ansvarar för utgivning av e legitimation och tjänstecertifikat för ingående kommuner och Västra Götalandsregionen, inklusive privata vårdgivare med vårdavtal. RAorganisationen ansvarar inte för användning av certifikat eller lokal infrastruktur för användningen. Ej heller för riktigheten i personuppgifterna vilka används för utställande av certifikat. RA organisationen följer en strikt hierarkisk styrning, från det nationella till enskild handläggare, med personligt ansvar. 1.1.1 Historik och tidigare beslutspunkter SITHS påbörjades i början av 2000 talet av Carelink I mars 2005 tillsatte socialministern en nationell ledningsgrupp för IT i vård och omsorg och ett år senare presenterade gruppen en nationell IT strategi vari SITHS ingår. Den Nationella IT strategin för Vård och Omsorg är antagen av Regeringen Sveriges Kommuner och Landsting samt varje landsting för sig 2006 landstingens beställarledning och SKL:s styrelse beslutar att rekommendera landsting, regioner och Gotlands kommun att gemensamt genomföra de i strategin beskrivna aktiviteterna. Strategin är förankrad i landstingsdirektörsföreningen.
0.01 Utkast (6)18 2007 IT direktören i VGR initierar förstudie vilken godkänns av IT rådet 2008. 2008 Västra Götalandsregionen tecknar avtal med Carelink (del av nuvarande Inera) och TeliaSonera AB. 2009 SITHS införs i Västra Götalandsregionen 2011 SITHS införs genom Västra Götalandsregionen till samtliga 49 kommuner. 2012 Försök inleds i syfte att skapa en gemensam utgivning i samverkan. 1.2 Varför SITHS Landstingsdirektörernas rapport 2006: Förutom lagkrav är det ytterst en förtroendefråga gentemot patienter/medborgare att endast behöriga personer kan utbyta och ta del av information inom vårdenheten eller över verksamhets/huvudmannagränser. Införandet av SITHS (kort med tjänstecertifikat) är också en viktig förutsättning för att på ett säkert sätt identifiera användaren. Ovanstående är också en av förutsättningarna för att vårdpersonal skall kunna komma åt flera system genom en enda inloggning (single sign-on), en angelägen och ur arbetsmiljöperspektiv starkt önskad funktion. Med hjälp av SITHS kan en vårdgivare identifiera sig i sin tjänst och ge bevis för sin behörighet oberoende av organisatoriska och geografiska gränser. Datainspektionen har gjort nerslag på flera olika områden där information utbyts och kräver att man inför säkrare rutiner för tillgång till system och information, annars måste system stängas ner. SITHS är infört och krävs vid inloggning i ett antal regionala och nationella tjänster såsom Nationell patientöversikt (NPÖ) och Pascal (dosordinationssystem) och Klara SVPL. SITHS är en flexibel lösning där det finns möjlighet till reserv, akut, distanskortsutgivning, organisationsanpassade kort med egen logotyp och är dessutom en tjänstelegitimation. SITHS uppfyller dessutom lagkravet på starkautentisering vid hantering av känsliga personuppgifter och bygger på en internationell standard. Vidare så är SITHS certifierade av Microsoft. I EUs vårdsatsningar sker användaridentifieringen mot en anslutningspunkt per land. För Sverige så är denna anslutningspunkt e legitimationsnämnden där SITHS har en pågående anslutningsprocess. Få andra har överhuvudtaget visat intresse. SITHS erbjuder, som så många andra, en stark autentisering av användare och tjänster. Vad som särskiljer SITHS kan exemplifieras nedan: Anställda och uppdragstagare ska använda sin tjänsteidentitet i tjänsten SITHS erbjuder lösning för dem som saknar svenskt personnummer och/eller folkbokföringsadress Möjlighet att logga in på dator/domän erbjuds via SITHS Möjlighet till single sign on, användaren loggar bara in en gång. SITHS har reservrutiner, t.ex. utgivning av reservkort Organisation, regler och rutiner finns etablerat
0.01 Utkast (7)18 SITHS erbjuder möjlighet att nyttja tilläggsfunktioner som passagesystem mm Europaperspektivet (epsos, Stork 2.0 m.fl.) förutsätter Svensk e legitimation genom e legitimationsnämnden vilket SITHS avser ansluta sig till SITHS är idag enda, för kommuner och landsting, gemensamma identifieringstjänsten som finns. Datainspektionen och patientdatalagen ställer krav på säker identifiering och tilldelning av behörigheter. SITHS uppfyller ställda lagkrav på stark autentisering (PDL, SoL m.fl.) Kravet från Datainspektionen gällande stark autentisering är att det skall vara revokerbart vilket eliminerar användningen av personlig e legitimation som tjänstelegitimation. 1.2.1 Räkneexempel från Skövde kommun Skövde kommun och fler med dem tittar på ett breddinförande av SITHS kort. De utgår då bl.a. från de räkneexempel som gjorts på kostnader förknippade med olika identifieringslösningar. Man ser även att möjligheten att konsolidera identitetshanteringen inom kommunen ger stora vinningar i hur system och övriga lösningar behöver anpassas. Detta kan ge en samordnad teknisk struktur med förhoppningen om att stödja kommunen på ett bättre sätt. Alternativet är att knyta ihop sin struktur på ett federativt sätt med en central samordnande identifieringslösning. Kostnader: RSA dosa o 500 kr/person/år o Dosan ingår SMS o 300 kr/person/år o Telefon ingår ej SITHS o 300 kr/person/år o Kort ingår
0.01 Utkast (8)18 1.3 Bakgrund till projektet Under hösten 2012 presenterade Göteborgs Stad pågående utredning kring SITHS kort. De avsåg då förse ca 15 000 anställda inom vård och omsorg med SITHS kort och ville hitta en organisatorisk lösning för Göteborgs Stad att ge ut SITHS kort under befintligt avtal med Västra Götalandsregionen (VGR). Behoven man ville adressera var framförallt kortare ledtid från beställning till utfärdande av kort samt närmare kortutgivningsfunktion. Beslut togs att tillsätta projektgrupp med 3 representanter från kommunsida respektive VGR för att utreda utvecklad hantering av SITHS. Rapport lämnades till SITIV 2012 12 20 där en gemensam certifikatstjänst förordades med option på korthantering. Syftet var att framtidssäkra med möjlighet för respektive organisation att välja bärare av certifikatet när möjlighet till det skulle finnas. Förutsättningar för förslaget var att GITS hanterar/ansvarar för SITHS för att öka det regionala samarbetet. Alla utgivningsställen hanterar funktionen för alla parter Gemensamt beställningssystem och ekonomisk modell Beslut togs att anställa projektledare under VästKom för att genomföra förordat förslag och därefter skulle utvärdering klargöra förutsättningar för eventuellt fortsatt breddinförande. Projektledare togs in men då SITIV ansåg att mer detaljerade kostnader för kommande etapper behövde tas fram togs inte slutgiltigt beslut om att genomföra pilot förrän 2013 12 19. Då hade även workshopar genomförts i respektive kommunalförbund med mål att identifiera och detaljera parternas behovsbild. Beslut togs 2013 12 19 om genomförande av pilot för att utvärdera gemensam SITHSorganisation under en begränsad tid av 12 veckor. Pga. VGRs kortutbyte samt för ytterligare erfarenhet i gemensam utgivning förlängdes piloten över sommaren till den 31/8.
0.01 Utkast (9)18 2 Resultat Pågående upphandling av SITHS 2.0 kommer att påverka framgent. Underlag går ut under hösten. Förhoppningen är att ny leverantör finns på plats till sommaren 2015. Ambitionen i projektet har varit att ta fram en lösning som bygger på att det som bäst och effektivast hanteras centralt löses centraliserat och resten decentraliserat. Erfarenheter från VGRs befintliga utgivning till kommunerna avspeglar en tydlig indikation att närhet är den viktigaste aspekten. Medarbetaren vänder sig till närmaste kortkontor alternativt samlas en grupp och kommunen begär utlämning på plats. Personal från Karlsborg och Tidaholm har vänt sig till pilotkontoret i Hjo i och med att närheten prioriterats. Därmed har besparingar i verksamheten kunnat ske. Behov av närmare utgivning finns och förfrågningar från bl.a. ett antal kommuner att få sätta upp motsvarande utgivning som i Hjo har redan inkommit. Alla kontor kommer ha ett ansvar att serva alla huvudmän inom befintligt avtal. Alla verksamheter har därmed möjlighet att göra besparingar pga av den ökade spridningen av utgivningskontor. För att möjliggöra en utökad organisation behöver de nya uppsatta kontoren få stöd med uppsättning av nytt kontor, utbildning och kontinuerlig support. Vidare kommer central funktion serva kontoren med centrala funktioner som certifikatshantering, beställning av kort, förvaltning och utveckling av gemensamma kontor samt fakturering. Denna utveckling kommer ge ett ökat tryck på den funktion som idag hanterar dessa delar, TjänsteID service. Detta innebär att TjänsteID service kommer behöva ytterligare finansiering t.ex. genom att fakturera utgivande part för utbildningsinsatser, support etc alternativt lägga detta på befintlig kortkostnad. Det bör då nämnas att kortkostnaden anses hög redan idag. Projektgruppen ser att detta motverkar funktionens syfte då en närmare utgivning gagnar och ger besparingar till organisationer i hela länet. Projektet föreslår en uppdelning av kostnader på två delar. En fast central gemensam del för att främja gemensam utveckling och samarbete genom bl.a. närhet i utgivning och en rörlig del baserad på kort. Centrala kostnader fördelas mellan VGR och kommunerna i Västra Götaland enligt fördelningsnyckeln 50 50 för personalkostnader och 85 15 för systemkostnader, vilket baseras på antalet kort respektive part förväntas hantera 2015. Den fasta delen understiger de kostnader som idag finns för personalens resekostnader, frånvaro och behov av vikarier. Den rörliga delen, idag 650kr/kort kommer troligen minska successivt som andra bärare av SITHS certifikaten möjliggörs. För definition av ingående kostnader se ekonomisk modell. Vid jämförelse med övriga landet visar det sig också att vi ligger lågt i fråga om kostnad som tas ut för respektive kort, alternativt finansieras centralt. Åtminstone i det fall man ska kunna erbjuda tilläggstjänster centralt såsom support, spärr och reservkorts och certifikatshantering. Kortkostnader nationellt: Olika komponenter ingår i olika landsting/kommuner, skillnad i geografi och finansieringsmodeller gör att olika priser inte är helt jämförbara men ger en stark indikation. Vi har valt att jämföra med organisationer vars kostnadsfördelningsprincip är tämligen jämförbar. Stockholms Läns Landsting 750:, trots begränsat geografiska område jämfört med Västra Götaland
0.01 Utkast (10)18 2.1 Hjo-konceptet För att hålla nere administration och bibehålla en så flexibel lösning som möjligt har ett koncept tagits fram utifrån den pilot som genomförts i Hjo. Hjo konceptet innebär att alla kontor samordnas under GITS som samordnar central certifikatshantering och kortutgivningsorganisation. GITS funktionskoordinator tar hjälp av TjänsteID service som operativ SITHS organisation för alla Västra Götalands kommuner och delar av VGR. Funktionskoordinatorn stödjer kontoren med utbildning, support samt hantering av fakturering. TjänsteID service stödjer i beställning med redan upparbetad organisation samt rutin som möjliggör certifikatsservice 24/7. Alla nya kontor sätts upp som s.k. utgivningskontor vilket innebär att kontoret kan fota och lämna ut kort. I de fall kortutgivningen överstiger 20 kort/vecka kan utgivningskontoret välja att bli ett fullvärdigt kontor med beställningsrätt vilket ger ökade möjligheter men också ökade kostnader. Detta kan först ske efter att ramarna för upphandling av SITHS 2.0 är kända då detta eventuellt kan förändra förutsättningarna för dagens utgivning. Detta innebär att ett kontor kan sättas upp snabbt (2 3 veckor) samt att närheten tillgodoses. Krav på utgivningskontor Minst två (2) utbildade handläggare per kontor Öppettid minst 2 timmar/arbetsdag Låsbart skåp eller utrymme (adekvat fysisk säkerhet) För aktiviteten avsatt och lämpligt rum (vit bakgrund, kamera etc.) Ansvarig person inom organisationen Digitalkamera För respektive fotografering eller utgivet kort ersätts kontoret med 50kr/aktivitet, i normalfallet utförs båda aktiviteter och kontoret ersätts då med 100 kr. Kostnad för uppsättning av kontor i form av utbildning och utrustning tas av TjänsteID service medan den egna organisationen står för personalkostnaderna. 2.2 Nationellt intresse för upplägget Samverkansmöjligheterna i VGL har uppmärksammats av såväl CeHis/Inera AB, Socialstyrelsen och SKL. Västernorrlands Läns Landsting och Umeå kommun samt övriga ingående kommuner har besökt VGLs projektgrupp och redan startat upp en motsvarande organisation. Flera andra landsting/kommuner har begärt att få ta del av resultatet i syfte att starta upp motsvarande samverkan. Projektet är föreslaget seminarium på ehälsodagarna. Vidare har även förfrågan redan ställts från kommuner inom VGR att få starta upp utgivningskontor motsvarande det som nu görs i Hjo.
0.01 Utkast (11)18 2.3 Ekonomisk modell Framtagna kostnader baseras på schablon för heltidstjänst i GITS samt det arbete som krävs för att anpassa dagens system till en distribuerad utgivarorganisation. De kostnader som uppstår i och med utveckling av gemensam kortutgivning läggs som en overhead och inte på korten. Overhead ser vi ska hanteras inom ramen för GITS med fördelningsnyckel utifrån två delar. Personalkostnader fördelas 50 50 medan systemkostnader utgår ifrån hur många kort, framöver certifikat, respektive part hanterar. Fördelningsnyckel revideras årligen. Respektive ingående del förklaras utförligare under rubriken overhead. Tabell 1 Centrala kostnader gemensam SITHS funktion Post Kostnad Intäkt Overhead totalt 750 000 kr Funktionskoordinator 50 % (central sammanhållande funktion i GITS) Gemensamma system (Beställningssystem, faktureringssystem etc.) 500 000 kr 250 000 kr Finansiering utifrån fördelningsnycklar VGR 85 % av system 50% av personal VGK 15 % av system 50 % av personal 462 500 kr 287 500 kr 2.3.1 Overhead Funktionskoordinator och gemensam sammanhållande organisation för certifikatshantering För att säkerställa en kontinuitet och funktion för fortsatt certifikatshantering bör intäkter inte låsas upp i de kort som utfärdas, vilket är fallet idag. Denna del kommer troligen successivt tunnas ut till förmån för flera bärare. I och med detta förslag säkras en gemensam hantering när vi väl står inför förändringen av bärare. Västra Götalands län är därmed även bättre rustat för att ta emot SITHS 2.0 där projektgruppen redan nu ser flera olika bärare av certifikat i och med kammarkollegiets upphandling av själva korten. Bärare av SITHS certifikat blir på lite sikt sekundärt och respektive part ges i och med förslaget möjlighet att antingen utnyttja gemensam utförarorganisation eller när så är möjligt befintlig kort eller bärarutgivning i den egna organisationen. Lärdom från Hjo och övriga befintliga utgivningskontor under TjänsteID service påvisar behov av stöd och hjälp till de lokala korthandläggarna. Vissa funktioner och beställningar kräver såväl extra utbildning, behörighet och utredningsarbete innan utgivning kan ske ett exempel på detta kan vara personer med skyddade personuppgifter eller EUmedborgare utan svensk identitet. Behov av stöd eskalerar med antalet utgivningskontor. I ett första läge ser vi att TjänsteID service blir den naturliga operativa parten. Utgivningskontor hanteras av bäst lämpad part för respektive område utifrån önskemål och behov.
0.01 Utkast (12)18 Förslag är att centralt placera en funktionskoordinator för SITHS på 50 %. Personens ansvar blir att samordna central certifikatstjänst, hantera och förvalta ev. nödvändiga system för funktionen samt ansvara för samordningen av det operativa arbetet med Västra Götalands gemensamma organisation för SITHS kort. Detta innebär bl.a. att utbilda och supportera de utgivningskontor som sätts upp enligt Hjo konceptet. Projektet föreslår ansvarig för TjänsteIDservice som funktionskoordinator. Syftet med en gemensam funktionskoordinator är att stärka en gemensam organisation där arbetet kan utföras av alla ingående parter för alla ingående parter. Då bäst lämpad part kommer hantera utgivningskontoret behöver det dels finnas möjlighet för båda parter att påverka den gemensamma funktionens arbete och utveckling över tid. Däremed krävs också gemensam finansiering av den. Alternativet är att kostnader för utbildning och support faktureras från TjänsteID service alt läggs på dagens kortkostnad. Detta skadar de tankar som finns kring gemensam organisation och att en part servar alla andra. Till en början ser vi att detta behov främst ligger hos kommunerna som i dagläget har stora kostnader för de resor som krävs för att medarbetarna ska få ett SITHS kort. Kostnader finns för såväl resa, frånvaro och vikariebehov vid två tillfällen (fotografering och utlämning). Motsvarande behov finns även inom VGR men då alla redan har SITHS kort i VGR idag är behovet av kontinuiteten av större vikt. Även här gäller närhetsprincipen. Beroende på avstånd kan denna kostnad ligga på allt ifrån knappt en tusenlapp till ett antal tusen kronor. Den ekonomiska vinningen kan därmed bli stor genom möjligheten att sätta upp ett eget närmare utgivningskontor för att försörja det egna behovet. Samtidigt ger detta en vinst för alla huvudmän i närområdet då funktionen ombesörjer kortutgivning för alla huvudmän inom Västra Götalands SITHS organisation. Gemensamma system För att möjliggöra en gemensam distribuerad kortutgivning krävs ett antal gemensamma centrala system. Administration och personberoende ska hållas till ett minimum och möjliggöra förändring av organisation. De system som vi ser behöver hanteras och utvecklas gemensamt och därmed även finansieras gemensamt är: Beställningssystem o Utgivningskontor ska på ett enkelt och säkert sätt kunna leverera genomförda kortbeställningar med tillhörande fotografi. Tidsbokningssystem o Utgivningskontor ska själva kunna administrera sina tider och få indikationer på när tid bokats för beställning alternativt utlämning av kort. Systemet ska finnas tillgängligt och öppet för alla användare inom Västra Götaland SITHSorganisation oavsett huvudman. Faktureringssystem Det finns ett av TjänsteID service framtaget system för hantering av bokning och faktureringsunderlag att utgå ifrån. Systemen har använts under piloten och kräver viss anpassning för att motsvara det behov som finns. Bl.a. har utgivningskontoren idag ingen möjlighet att administrera sina egna tider i bokningssystemet och får heller inte notiser om bokningar. Detta får idag skötas av central organisation (TjänsteID service) och är såväl tidskrävande som ineffektivt.
0.01 Utkast (13)18 2.4 Kostnader och intäkter för kortutgivning Då upphandlingen av SITHS 2.0 är klar kommer vi ha en bättre bild av de fasta kostnaderna. I dagsläget återstår 195kr efter fasta kostnader för kortet. Denna intäkt drar idag runt en organisation på tre heltidsanställda. Det är tveksamt om detta täcker utförarens omkostnader idag. I och med kraven på närmare utgivning kommer ytterligare samordning att krävas och vi ser snarare en resursförstärkning centralt. Därav en overheadkostnad för att täcka de funktioner som går att utföra centralt. SITHS kort Porto Kortkostnad + certifikat Licenskostnad Korthandläggare TjänsteID service (Central sammanhållande funktion, 3 heltidstjänster (idag), kvarvarande intäkt/kort) 170 kr 160 kr 25 kr 100 kr 195 kr 650 kr Uppskattat antal utgivna kort/år 10000 Total intäkt för utgivning av kort Tabell 2 Nuvarande kostnadsmodell 1 950 000 kr. 2.5 RA och biträdande RA RA är en nödvändig roll och är alltid en person som ansvarar personligen för utgivning av e legtimation och tjänstecertifikat inom RA området. RAs arbete övervakas främst av Säkerhetsansvarig, i VGL Säkerhetsdirektören i VGR. Befintlig RA med en person bedöms sårbar och förstärkning av rollen har begärts. För att understryka en gemensam certifikatsorganisation men även förenkla informationsspridningen till respektive organisation föreslår vi därför två biträdande roller en för alla kommuner och en för Västra Götalandsregionen. Styrningen av SITHS i VGL föreslås som bild nedan: RA Län (100%) RA bitr Kommuner (10%, föreslagen roll) RA bitr Region (25%, föreslagen roll)
0.01 Utkast (14)18 3 Pilot och workshop 3.1 Pilot Pilot genomfördes i Hjo kommun och valet av kommun styrdes dels av intresse dels av deras geografiska läge och avstånd till närmaste befintliga utgivningskontor. Vidare hade man redan uppsatt funktion som hanterade liknande ärenden som hade möjlighet att ta in även denna del i sina ordinarie arbetsuppgifter. Piloten skulle genomföras under 12 veckor men förlängdes med ytterligare 14 veckor över sommaren då VGRs stora kortutbyte påverkade kortutgivningen i området. Förberedande arbete, med utbildning och inköp av utrustning, genomfördes under två veckor varefter piloten startades den 3 mars 2014 för att pågå fram till den 31 augusti 2014. Kostnader för utrustning och utbildning togs av VästKom till ett belopp av maximalt 20 000kr. Alla personella kostnader för uppsättning av funktionen och dess genomförande togs av Hjo. För fotografering respektive utgivning av kort ersattes Hjo kommun med 50kr/händelse, totalt 100kr för hela processen. Information gick ut via esamordnarna samt TjänsteID service kring möjligheten att använda sig av det nya utgivningskontoret i Hjo. Ytterligare informationsspridning hade behövts för att ge fler information om möjligheten att använda sig av utgivningskontoret i Hjo. Fotografering/Utgivna kort i egen organisation Fotografering/Utgivna kort utanför egen organisation 9 2 3.1.1 Kostnader samt synpunkter från Hjo kommun Vi ser bara fördelar med ett eget utgivningskontor och vill gärna fortsätta. I Hjo kommun ser man att fördelarna med att ge ut kort på plats vida överskrider de nackdelar som finns med att sätta upp ett eget kontor. Man har inte räknat specifikt på vilka kostnader som tillkommer kommunen i fråga om resurser för hantering av SITHS. Det är en ekonomisk fördel att ha ett eget utgivningskontor med tanke på den arbetstid som har lagts ner i förhållande till den verksamhetstid som det hade tagit för personal att fotas och hämta ut SITHS kort i Skövde, vilket i annat fall är närmaste utgivningskontor. Att ha ett kontor i Hjo innebär också att kostnader för vikarier i princip blir 0 kr jämfört med tidigare då vikarie var tvunget att tillsättas vid både fotografering och uthämtning. Detta har även medfört att fler personalgrupper, bl.a. undersköterskor, har kunnat få SITHS kort då avstånd och kostnader för att få ett SITHS kort är avgörande. Närliggande kommuner har också vänt sig till Hjo istället för Skövde i det fall man ser att kontoret ligger närmare och är enklare att ta sig till. Närhet är en nyckelfaktor.
0.01 Utkast (15)18 Rörande upplägg och kontakt med central funktion (TjänsteID service och RA) ser man att detta har fungerat bra och man har fått hjälp snabbt och trevligt bemötande. Det finns utrymme för förbättringar och där önskar Hjo att bokningssystemet skulle bli mer lätthanterligt med notifieringar då tider bokats. Man önskar också få möjlighet att administrera och lägga upp tider själva. Detta är förslag som kommer tas omhand i det fall beslut tas att gå vidare med framtaget förslag enligt denna rapport. Från Hjos håll vill vi även föra fram att det finns en hel del saker att ta hänsyn till för att kunna ge ut kort på ett säkert sätt. Möjligheten att ha en mindre organisation som sköter försörjningen av kort till närområdet ser man som mycket fördelaktigt. Alternativet att sätta upp en helt egen organisation för certifikatshantering och korthantering skulle kräva mycket mer av organisationen och man skulle inte heller kunna erbjuda samma service som t.ex. 24/7 certifikatshantering. Kostnaderna för att sätta upp detta skulle överstiga de kostnader man idag har för själva kortet. Man vill även trycka på att säkerheten i SITHS, trots de strikta utgivningsprocesserna och omfattande hanteringen, är det som gör att man litar på konceptet och är trygg i att rätt person har fått rätt kort. Viktigt att tänka på vid uppsättning av eget utgivningskontor Hjo kommun är på det hela taget positiva till de möjligheter ett eget utgivningskontor enligt denna modell ger men vill ändå trycka på vissa delar som respektive kommun som själva funderar på att sätta upp ett utgivningskontor bör beakta. Följsamhet till regelverket o Detta är oerhört viktigt att hålla på och får inte brytas då utgivning sker i den egna organisationen. Samma rutin och regler gäller för om du ger ut kortet till din kollega som till person som kommer från helt annan organisation. Följs inte detta brister hela kedjan. Utgivning till alla parter i närområdet o Detta är ett krav som måste följas och som hela den gemensamma utgivningen bygger på. Hjo kommun var väl införstådda i detta men det krävs ändå en omställning när det väl börjar komma personer från andra organisationer, det är en ny situation som man måste anpassa sig till. Resursförsörjning o Minst två personer ska utbildas till handläggare och kontoret ska ha öppet 2timmar/arbetsdag. Det gäller att hantera detta på ett bra sätt t.ex. då utbildning eller semester planeras. Man behöver även tänka på hur organisationen bibehåller utgivningen enligt krav då utbildade handläggare slutar eller byter arbetsuppgifter. Det är av vikt att ha fler personer som känner till arbetet och kraven utan att bli för många. Funktionen ska vara tillräckligt få för att handläggarna ska få rutin i arbetet och vidmakthåller följsamhet till regelverk. Kunskap om hela beställningsprocessen o Då utgivningskontoren är den sista delen i en lång kedja till stor del utan inblick i övriga delar är det viktigt att känna till hela beställningsprocessen. Från upplägg i HSA till beställning av kort, notifiering till ansvarig handläggare, fotografering, beställning till leverantör och slutligen utgivning av kort. På så vis kan handläggaren känna sig trygg i den del i processen som utgivningskontoret hanterar och har även möjlighet att förstå och informera om ev fel som kan ha uppstått.
0.01 Utkast (16)18 Postgång o Korten skickas från central funktion till utgivningsstället. Här krävs att postgången har en obruten kedja. Mottagare av beställda kort, dvs den egna organisationens handläggare, måste personligen hämta ut rekommenderade brev med kort. Breven får inte hanteras och läggas t.ex. i reception och hämtas där. Åter igen är detta följsamhet till regelverket för att garantera att rätt person alltid får rätt kort. 3.2 Workshop Med mål att stämma av vilket behov kommunerna såg av utveckling av befintlig SITHS funktion samt informera om möjligheter och begränsningar genomfördes workshops i respektive kommunalförbund. 60 % av kommunerna var representerade under dessa tillfällen och deltagare hade roller såsom verksamhetsrepresentant, MAS, IT, Socialchef, enhetschef, etc. Tabell 3 - SWOTanalys på gemensam utgivning Styrkor Utgivning av kort fungerar väl Gemensam organisation ger större flexibilitet och bättre utnyttjande av resurser Korten fungerar Möjligheter Utgivning till fler målgrupper Den höga säkerheten i processen och i SITHS ger en tillförlitlig identitet. Kostnadseffektivt Kontinuitet Delaktighet Ökad samverkan Alla behöver inte göra allt Svagheter Det tar för lång tid från beställning till utgivet kort Kostsamt (resor, vikarier, kort etc.) Hot Om inte avstånd till utgivningskontor kan minska och lösningen göras mer flexibel är den inte användbar Ev. överbelastning på kontor om alla parter har möjlighet att använda respektive kontor Alla vill inte vara med och delta, vissa vill enbart köpa tjänsten Egen organisation värnas Övergripande var alla positiva till en fortsatt utveckling av gemensam organisation under förutsättning att behoven möts på ett bättre sätt med framförallt en närmare utgivning. Kommunerna vill även ha möjlighet till större påverkan och insyn i såväl process som arbete.
0.01 Utkast (17)18 4 Spridning av resultat och informationsaktiviteter Information om projektet och dess resultat samt fortsättning kommer spridas genom ett antal aktiviteter och kanaler. Information under utbildning i SITHS admin där kontaktpersoner i respektive kommun ska få möjlighet att få LÄS rättigheter Deltagande i spridningskonferens kring informationssäkerhet och NPÖ, 7 okt Information via vastkom.se Information via befintliga nätverk för ehälsa. Vid positivt beslut enligt förslag kommer erbjudande gå ut till alla kommuner inom VGR med information om möjlighet att sätta upp eget utgivningskontor. Erbjudandet kommer även ta upp krav och möjligheter med eget utgivningskontor.
0.01 Utkast (18)18 5 Avslut 5.1 Överlämning/Förvaltning I och med det förslag som föreslås med samordning via GITS samt möjlighet att starta upp utgivningskontor enligt Hjo konceptet krävs inga större förändringar. Ansvarig för TjänsteIDservice behöver flyttas över på 50 % för samordning centralt under GITS. Det är även via dessa 50 % och med ledning av SITIV som föreslagen budget hanteras. Detta ligger till stor del redan idag på TjänsteID service vilket innebär att en överlämning och vidare förvaltning enligt ny modell ska gå relativt smidigt. Information måste även gå ut på bred front för att möjliggöra för de organisationer som så vill och uppfyller kraven att starta upp egna utgivningskontor. 5.2 Förslag till fortsatt arbete/utveckling av resultat Införande enligt förslag bör starta snarast möjligt efter taget beslut men bör följa en stegvis plan. Respektive steg har sina olika utmaningar och möjligheter där vi ser att vi går från vad vi tror är enklaste steget till det mest utmanande 1. Hjo 2014 a. Pilot genomförd med gott resultat b. Har gett möjlighet till utvärdering av framtaget koncept och uppsättning av egna utgivningskontor. 2. Regionservice (TjänsteID service) och övriga kommuner (2014 2015) a. De kommuner som känner att de har behov och uppfyller satta krav får möjlighet att sätta upp egna utgivningskontor (inventering hösten 2014) b. Breddinförande utifrån framtaget koncept som testats under piloten (påbörjas hösten 2014) 3. Primärvård (2015) a. De avdelningar/vårdinrättningar inom primärvården som inte känner att redan uppsatta utgivningskontor täcker deras behov får under samma förutsättningar som kommunerna möjlighet att sätta upp egna utgivningskontor. 4. Slutenvården a. Den största utmaningen då utgivning redan finns på plats på flertalet sjukhus. De är självförsörjande i fråga om just kortutgivning men behöver även de öppna upp sin utgivning för alla huvudmän inom RA organisationen. b. Möjlighet ges härigenom även att förbättra central certifikatshantering och organisation som ska stödja hela länet. Införandet bör följas upp i varje steg med mindre utvärdering. Lärdom ska dras av hur införandet fungerat, tagits emot av verksamheten samt eventuella förändringar som kan behöva tas inför nästa steg.