Skolfederation. Workshop om Skolfederation

Relevanta dokument
Skolfederation. Staffan Hagnell,.SE

Skolfederation. Staffan Hagnell, tjänsteägare.se

Seminarium. 5 september 2013 Sändningen startar kl 09.30

Skolfederation.se. Workshop 29 maj 2012

Skolfederation. Staffan Hagnell Forsknings och utvecklingschef,.se Skolfederationen

Skolfederation.se. KommITS

Anteckningar från referensgruppens möte

Anteckningar från referensgruppens möte

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Hur ser Sveriges skolas användning av digitala tjänster och läromedel ut i framtiden?

E-legitimationsdagen

Underlag till referensgruppens möte

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Skolfederation utveckling och möjligheter 5 september, Finlandshuset

Utveckling av Skolfederations tillitshantering

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

Anteckningar referensgruppens möte

Anteckningar från referensgruppens möte

BILAGA 1 Definitioner Version: 2.02

Elevlegitimation ett konkret initiativ.

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

BILAGA 1 Definitioner

Underlag till referensgruppens möte

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

ERFARENHETSUTBYTE KRING FEDERATIVA IDENTITETSLÖSNINGAR

Åke Rosandher, chef CeHIS

Svensk e-legitimation

Tillitsramverk och granskning April 2014

eduroam, Skolfederation och kommunal WiFisamverkan

BILAGA 3 Tillitsramverk

Svenskt federationsforum

BILAGA 3 Tillitsramverk Version: 2.02

Introduktion. September 2018

Tillit och användbarhet med Skolfederation

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Tekniskt ramverk för Svensk e- legitimation

torsdag 17 oktober 13 IT's a promise

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör

Mötesantecknignar - Sambidemo

Underlag till möte om Sambis testbädd och pilotverksamhet

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Anteckningar från referensgruppens möte

BILAGA 3 Tillitsramverk Version: 1.3

En workshop om anpassning av e-tjänster och IdP-lösningar för Sambi den 6 feb 2014

Anteckningar från referensgruppens möte

Hur många standarder har du använt idag?

BILAGA 3 Tillitsramverk Version: 2.1

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation

BILAGA 2 Tekniska krav Version 0.81

Vad innebär Skolfederation.se för en kommun?

Mötesanteckningar - Sambidemo

Anteckningar från Sambis arbetsgrupp

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Anteckningar från Sambis arbetsgruppsmöte

Svensk e-legitimation och eidas

Erfarenhetsutbyte i Botkyrka. 14 september 2017

BILAGA 3 Federationsgemensamma attribut

Mötesantecknignar - Sambidemo

Anteckningar från referensgruppens möte

Attributprofil för skolfederationen

ANSLUTNINGSAVTAL EDUROAM För Tjänsteleverantör

Anteckningar från möte om Sambis testbädd och pilotverksamhet

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

ehälsomyndighetens nya säkerhetskrav

ANSLUTNINGSAVTAL EDUROAM För Huvudman

POC för Administration av elever och grupper i läromedel

skolfederation.uppsala.se Erfarenheter från Uppsala kommuns arbete med Skolfederation UKK 18 januari 2013

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Mötesanteckningar från Sambis arbetsgruppsmöte

BILAGA 3 Tillitsramverk Version: 1.2

Federering i praktiken

Introduktion till SWAMID

Tillitsgranskningsavtal

Tekniskt ramverk för Svensk e-legitimation

Anteckningar från referensgruppens möte

Tillitsgranskningsavtal

Anslutningsavtal för medlemskap i Sambi

Anteckningar från referensgruppens möte

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

E-legitimationer i Sverige idag

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Anslutningsavtal för medlemskap i Sambi

Anteckningar från Sambis arbetsgruppsmöte

Bilaga 2. Säkerhetslösning för Mina intyg

Anteckningar från referensgruppens möte

ehälsomyndighetens nya säkerhetslösning

Universitetet och Datainspektionen i Molnet

Personuppgiftsbiträdesavtal

E-legitimationsdagen - Seminariepass - Spår 1

Anpassa era e-tjänster. Med nya och utländska e-legitimationer behövs också fristående underskriftstjänst

Internetstiftelsen i Sverige.

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Skolorna visar brister i att hantera personuppgifter

Transkript:

Skolfederation Workshop om Skolfederation 2012-11-13

Mål för dagen Informera Dialog om utformningen Summering

Skolfederation i korthet Att bidra till utvecklingen av den svenska utbildningssektorns användning av digitala tjänster i utbildningen. Att tillhandahålla en gemensam inloggningstjänst, en identitets- och behörighetsfederation, som gör tjänsterna enkelt åtkomliga för elever och lärare ute på skolorna runtom i landet. Att värna användarnas personliga integritet och erbjuda en säker tjänst för medlemmarna.

Identitets- och attributsfederation Skolhuvudman Tjänsteleverantör Användare Inloggning Lösenordsinloggning Intygsutfärdare Intyg Pseudonym + Attribut E-tjänst E-ID Tjänst i Sv e-leg BankID Attributsregister Annan inloggning

Attribut Basattribut Lokalt unik användar-id Skolhuvudman Skolenhet Årskurs Standardattribut Förnamn Efternamn Visat namn E-postadress Kursgrupper Roll Kön Utökade attribut Gatuadress Box Postnummer Postort Land Mobiltelefonnummer Födelsedatum Svenskt personnummer Vårdnadshavare för barn

Krav Federativ samverkan!? Samverkan? Lagkrav, användningsbehov, kommersiella behov Tillit Attribut Identiteter Plattformar, Systemlösningar Systemlösningar Gemensam Metadataregister, infrastruktur (Metadataregister Kundtjänst m.m.) Teknisk Teknisk standard standard Tjänst

Dagordning 09.30 Välkomna Rapport från federationsoperatören Kundtjänst, Marie Ekh-Gustafsson,.SE Planer 09.50 Arbete med medlemsavtalet och PuL-frågor, Filippa Murath,.SE 10.05 Förtroende till identiteter och attribut Presentation av granskningsgruppen Motsvarar verksamhetens krav Skolfederations krav i bilaga 3 och 4? Vägval och principiella frågor Vad är LIS, E-legitimationsnämndens tillitsramverk och Tillitsdeklaration och exempel sådan?, Fredrik Ljunggren, Kirei Beskrivning av hur en Kantararevision går till, Björn Sjöholm, Europoint Vilka är frågeställningar för Skolfederation? 11.00 Kaffe

Dagordning 11.20 Teknik och arkitektur Thomas Nilsson, Certezza, Palle Girgensohn, Ping Pong Hur ska federationen användas? Mats Östling Vad behövs för att komma i gång? Joakim Norbäck, KJNC 12.00 Genomgång av frågeställningar för eftermiddagens arbete 12.10 Lunch 1. Vad behöver ni för att komma i gång? 2. Teknik och arkitektur. 3. Tillit - Vilka krav ska Skolfederation ställa på medlemmarna? 4. PuL och personlig integritet 5. Hur ska federationen användas? 6. Eventuellt ytterligare frågeställningar

Dagordning 13.00 Gruppdiskussioner omgång 1 14.00 Kaffe 14.20 Gruppdiskussioner omgång 2 15.30 Presentation av gruppdiskussionerna 16.10 Summering och plan för det fortsatta arbete 16.30 Slut

Vi på.se Kundtjänst Kommunikation Tjänsteägare Anette Hall Marie Ekh-Gustafsson Christina Andersson Gabriella Lönnroos Staffan Hagnell Projektledning Juridik Arkitektur Drift Oliver Bartsch Filippa Murath Ulrich Wisser Love Grönvall

Medlemmar 12-09-25 Skolhuvudmän Uppsala kommun Tjänsteleverantörer Learnify AB Nindev AB Unikum - Unikt lärande AB

Intresselistan - Skolhuvudmän Alingsås kommun Bollnäs kommun Båstad kommun Danderyds kommun Falkenbergs kommun Falköpings kommun Göteborg Stad Hudiksvalls kommun Kungsbacka kommun Kungälvs kommun Motala kommun Nacka kommun Salems kommun Sollentuna kommun Täby kommun Ulricehamns kommun Ängelholms kommun + 2 till

Intresselistan - Tjänsteleverantörer Artisan Global Media Creaza AS Gleerups Komplementskolan Liber AB Linfre Education LäraNära AB Softronic AB Svenska Läromedel på Internet AB + 2 till

Historia 2007 Swamid 2011 SIS/TK450 2012 Skolfederation Etablera tjänsten Arbetsgrupp Referensgrupp Workshop den 29 maj Seminarium 25 sept www.skolfederation.se

Mål, några axplock från referensgruppsmötet 14 oktober 2012 Teknikneutral En av flera komponenter för att bygga bort onödiga omlastningsplatser Ge möjlighet att köpa digitala tjänster Federativ samverkan är ett bra arbetssätt, där vi återanvänd varandras erfarenheter Undvik att uppfattas som en imperiebyggare, varför relation till andra initiativ är viktig 300 medlemmar i federationen 2015!

Håll Skolfederation smal och grund!

Federationsoperatörens roll Skolhuvudman, Myndighet, Tjänsteleverantör Inloggning Intygsutfärdare Intyg E-tjänst Användare Attributsregister Federationsoperatör Medlemsregister

Mål 2013 (Federationsoperatör) 40 medlemmar vid utgången av 2013 Medverka i pilotprojekt Referensgruppsmöten, 2 seminarier, 2 workshops Testmiljö, spec för webbaserat registry Samtrafikavtal med Eudroam

Arbete med medlemsavtalet och PuL-frågor Filippa Murath,.SE

Pul och personlig integritet Vilka krav ska Skolfederation ställa på federationens medlemmar avseende personuppgiftsbehandling?

Rollfördelningen Hur fungerar Pul-bestämmelserna i denna arkitektur? Viktigt att bena ut rollerna och hur ansvaret är fördelat

Personuppgiftsansvarig och personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträde Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdesavtal

Vilka krav ska då federationsoperatören ställa på medlemmarna? Utgångspunkten är att det är medlemmarna som ska tillse att deras behandling av personuppgifter följer lagen Med den utgångspunkten hur långtgående krav ska federationsoperatören ställa? Skolfederationen ska stå för tillit och seriositet

Förtroende till identiteter och attribut

Förtroende till identiteter och attribut Presentation av granskningsgruppen Vägval och principiella frågor. Motsvarar verksamhetens krav Skolfederations krav i bilaga 3 och 4?, Staffan Hagnell Vad är LIS, E-legitimationsnämndens tillitsramverk och Tillitsdeklaration och exempel sådan?, Fredrik Ljunggren, Kirei Beskrivning av hur en Kantararevision går till, Björn Sjöholm, Europoint Vilka är frågeställningar för Skolfederation?

Nuvarande inriktning Medlemsavtal och självdeklaration Önskemål om två tillitsnivåer

Problem Ännu ingen godkänd självdeklaration! Är Är vi vi på på rätt rätt väg? väg?

Är ambitionsnivån rätt? Säkerheskrav Verksamhet

Kravställarna och deras krav? Lagkrav (Datainspektionens tolkning) Skolhuvudmän (användningsbehov) Tjänsteleverantörer (stöd för att köpa digitala tjänster) Federationsoperatören (rimlig administration, seriös tjänst)

Nivån på kravställningen För låg Saknar tillit till lösningen Svårt att höja senare För hög Kostnad Kalendertid

Hur skapa tillit/förtroende? Krav på hantering av Identiteter Attribut Integritetskänsliga uppgifter Spårbarhet IT-säkerhet Men glöm inte andra viktiga saker Förtroende kräver Kommunikation, öppenhet, legitimitet, tydliga avtal, god incidenthantering, god administration, användarnas faktiska hantering )

Bör Skolfederation erbjuda två tillitsnivåer? En lägre En högre För elever och lärare som ska nå digitala läromedel För personal som hantera elevuppgifter

Vem ska ansvara för tilliten? Federationen (operatören) Skolhuvudmannen Tjänsteleverantören

Kostsamt Relationer Skolhuvudman Tjänsteleverantör Tjänst A Tjänst B

Förenkla! Relationer Tjänsteleverantör Skolhuvudman Tjänst A Tjänst B Federativ samverkan

Relationer Vem ansvarar för tilliten? Tjänsteleverantör Skolhuvudman Tjänst A Tjänst B Federativ samverkan

Viktigt skilj på Det minimikrav Skolfederation ska kräva Hur det borde vara!

Avtalsrättsligt ansvar eller Granskning? Alternativ A Alternativ B Självdeklaration + Avtala Med tydliga konsekvenser Spärr för medverkan Extern revision vid incident Viten Granskning + Självdeklaration + Extern granskning + Stickprov + Avtal

Mix avtalsrättligt ansvar och granskning? 1. Endast tillit via avtal 2. Avtal + uppmuntra till självdeklarationer 3. Avtal + krav på självdeklarationer 4. Avtal + självdeklaration i kombo med extern revision 5. Avtal + självdeklaration, extern revision, stickprov

Vilken mall ska användas vid granskning? För självdeklaration Är Tillitsdeklarationen rätt nivå Endast krav vid tecknande av medlemsavtalet eller återkommande? Exempel på Tillitsdeklaration Vid extern granskning Vad är Kantara?

Hur använda granskningsresultatet? 1. Bara av federationsoperatören för att godkänna medlemskapet? Hur hårt ska självdeklarationen granskas? 2. Används av Skolhuvudman för att ta ställning till Tjänsteleverantörens säkerhet och vice versa. Ska hela eller delar av granskningsresultatet vara publikt eller ska det endast tillhandahållas efter överenskommelse?

Diskussionsfrågor Vilka är kravställarna och vilka är deras krav? Bör Skolfederation erbjuda två tillitsnivåer? Hur skapa tillit/förtroende? Mixen mellan avtalsrättsligt ansvar och granskning? Exempel på Tillitsdeklaration som granskningsmall? Är LIS rätt metodik Skolfederation, om inte vad är? Hur använda granskningsresultatet? Är vi på rätt väg eller behöver kursen korrigeras?

Teknik och arkitektur Thomas Nilsson, Certezza, Palle Girgensohn, Ping Pong

Teknik och arkitektur Behov av tekniskt stöd? - Skolhuvudman - Tjänsteleverantör Teknisk kravställning vid upphandling? Hur omsätts tillitsramverket till tekniska krav? Vad innebär en federation med flera LoA? Behöver anvisningstjänsten (discovery) förfinas?

Teknik och arkitektur Behov av tekniskt stöd? - Skolhuvudman - Tjänsteleverantör Teknisk kravställning vid upphandling? Hur omsätts tillitsramverket till tekniska krav? Vad innebär en federation med flera LoA? Behöver anvisningstjänsten (discovery) förfinas? Vilka är era tekniska utmaningar?

Attributhanteringen Vilka attribut tror du kommer att används mest och av vem? Finns det attribut som en Skolhuvudman bör eller skall tillhandahålla? Hur veta vilka attribut som en Skolhuvudman har respektive en tjänst kräver? Fråga individuellt vid behov eller gemensam "anslagstavla")?

Hur ska federationen användas? Mats Östling

När alla är med - vad händer då? Alla skolor är ett tydligt mål, alla leverantörer - vilka räknas dit? Vilka tjänster kommer pedagoger och elever att efterfråga? Nya arbetsformer, nya licenser? Hur ska federationen Blir skolan/kommunen också en SP? användas?

Behövs det... Användarkonferenser - FUG? Medlemskatalog med beskrivning? Nyhetsbrev till användare? Sociala samarbetsformer - innovation?

Vad behövs för att komma i gång? Joakim Norbäck, KJNC Vilka är hindren hur hjälpas åt att överbrygga dem

<skola> <klass> <årskurs> SAML IDP ID Attribut PUL et al Teknik Förvaltning Självdeklaration

Snabbenkät Out of Office Inte nu, men säkra på att det löser sig sedan Konkreta frågor aktuella kust nu

Hinder att undanröja Allt på svenska Intern organisation Saknar IDP Leverantör stödjer ej Nytt tankesätt - pedagogik

Behov av Mallar för ansökan Guider Teknik, organisation, att-tänka-på Support Fora / nätverk för varje del

Grupparbeten

1. Vad behöver ni för att komma i gång? 1. Vad behöver ni för att komma i gång? 2. Teknik och arkitektur. 3. Tillit - Vilka krav ska Skolfederation ställa på medlemmarna? 4. PuL och personlig integritet 5. Hur ska federationen användas? 6. Eventuellt ytterligare frågeställningar

2. Teknik och arkitektur Behov av tekniskt stöd? - Skolhuvudman - Tjänsteleverantör Teknisk kravställning vid upphandling? Hur omsätts tillitsramverket till tekniska krav? Vad innebär en federation med flera LoA? Behöver anvisningstjänsten (discovery) förfinas? Vilka är era tekniska utmaningar?

2. Attributhantering Vilka attribut tror du kommer att används mest och av vem? Finns det attribut som en Skolhuvudman bör eller skall tillhandahålla? Hur kan veta vilka attribut som en Skolhuvudman har respektive en tjänst kräver? (Ska man fråga individuellt vid behov eller gemensam bör det finnas en gemensam "anslagstavla?)

Teknik & arkitektur Engelsk spec Finns! Men, är inte publicerad. Attributlistan behöver också översättas. Anvisningstjänst Arbetsgrupp under ledning av Palle tillsätts Stöd till skolhuvudmän Lathund tas fram tillsammans med Botkyrka. Hönan och ägget

3. Tillit Frågor: Vilka är kravställarna och vilka är deras krav? Bör Skolfederation erbjuda två tillitsnivåer? Hur skapa tillit/förtroende? Mixen mellan avtalsrättsligt ansvar och granskning? Exempel på Tillitsdeklaration som granskningsmall? Är LIS rätt metodik Skolfederation, om inte vad är? Hur använda granskningsresultatet? Är vi på rätt väg eller behöver kursen korrigeras?

Krav på tillit 1) Kravbilden för Skolfederations identitet- och attributhantering behöver stärkas. 2) Kravet på två-faktor autentisering är det tydligaste krav som formulerats, men det är ju INTE tillnärmelsevis tillräckligt för att garantera en seriös hantering!

Krav på tillit 3) Då konsekvensen av att "känslig information röjs till obehöriga kan ses som betydande bör skyddet enligt ISO, Kantara och Nist utformas i intervallet LoA 2-3. Ett problem är att "ISO, Kantara eller Nist" inte är erkända formella kravställarna för den svenska skolan. Kravställare som DI har inte tagit till sig ISOs, Kantaras och Nists typ av kravställning.

Krav på tillit En tydlig och allmänt accepterad kravbild vore bra för det fortsatta arbetet med att utveckla säkerheten. Tänkbara vägar framåt är a) Att i bästa federativa anda diskutera oss fram till en lämplig kravbild för Skolfederation. b) Få DI att bli tydligare i sin kravställning (går det?). c) Samverkan om kravställningar med andra federativa initiativ för att finna lämpliga kravnivåer (Sambis, Svensk e-legitimation, Swamid, ) d) Kravställningar utgående från tjänsteleverantörernas krav och samtrafikskrav

Tre tillitsnivåer för Skolfederation? Möjligheten att ha tre tillitsnivåer för Skolfederation diskuterades. De skulle kunna vara: A. En Grundnivå endast baserat på ett avtalsrättsligt ansvar utan krav på granskning. Notera att ett tydligt avtal utan granskning har ett värde!

Tre tillitsnivåer för Skolfederation? B. En högre tillitsnivå, för vilken det nu föreslagna Tillitsdeklarationen ska krävas. Vad är mervärdet för medlemmen att göra sin Tillitsdeklaration och att uppnå denna nivå? C. En högsta tillitsnivå som ska räcka för att hantera IUP och andra känsliga personuppgifter. Utmaningen är att fastställa och få acceptans för kraven på denna nivå! Att bara kräva två-faktor vore oseriöst!

Synpunkter Modellen tar hänsyn till dagens situation, där det kan ta tid att leva upp till Tillitsdeklarations kravet på att bedriva ett formellt och dokumenterat informationssäkerhetsarbete. Det är möjligt att snabbt komma igång med den lägsta nivån och därefter jobba vidare med de högre nivåerna. De tre nivåerna behöver förtydligas. Det finns säkert många frågor som behöver utredas. (T.ex. hur ska de olika tillitsnivåerna taggas i intygen).

Fortsatt arbete Dokumentera förslaget med tre nivåer och ta upp det för diskussion på nästa referensgruppsmöte.

4. PuL och personlig integritet Vilka krav ska federationsoperatören ställa på medlemmarna? Utgångspunkten är att det är medlemmarna som ska tillse att deras behandling av personuppgifter följer lagen Med den utgångspunkten hur långtgående krav ska federationsoperatören ställa? Skolfederationen ska stå för tillit och seriositet

5. Hur ska federationen användas?