Memo (se datum) 1 av 5 Multifråga Kort sammanfattning säkerhet och juridik Nedan återfinns en kort snabbsammanfattning av områdena säkerhet och juridik för Multifråga, en applikation som Sambruk tagit fram för att höja effektiviteten i samband med handläggning av socialärenden. Nytta Bedömning av ansökan om ekonomiskt bistånd (försörjningsstöd) har tidigare varit tidsödande på grund av att kontroll av inkomstuppgifter och andra uppgifter om det sökande hushållet har måst göras manuellt. Handläggarna har ofta suttit i telefonkö hos olika myndigheter för att ställa frågor, andra frågor har ställts via fax. Viss information har kunnat levereras från några myndigheter via IT men endast dagen efter en infobeställning. Detta har gett ineffktivitet i handläggningen eftersom man inte kan göra klart utan måste ta upp ärendet flera gånger vilket är en ökänd tidstjuv. Säkerheten kring sekretess kan faktiskt också ifrågasättas både vad gäller dessa oidentifierade telefonsamtal och fax. Ytterligare andra underlag har inhämtats från kommersiella informationstjänster som på något sätt har fått en gräddfil vad gäller att med direktåtkomst tillhandahålla myndighetsinformation till en kostnad. Juridik Lagrum I denna fas baseras Multifråga på förordningen 2008:975 om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453). Där nämns fem myndigheter som ska lämna information till kommunerna. Tyvärr bryter Skatteverket, A-kassorna och Arbetsförmedlingen mot lagen fortfarande, trots att den trädde i kraft redan 2009-01-01.
Memo (se datum) 2 av 5 CSN och Försäkringskassan följer lagen. Pensionsmyndigheten har även tillkommit till förordningen, men de följer inte heller lagen. Villkor till handläggaren för att få ställa fråga Förordningen är detaljerad och beskriver vilka informationsfält som varje myndighet är förpliktigad att lämna ut till kommunen, under vissa förutsättningar. Sambruk har därför i Multifrågas användargränssnitt inkluderat följande text, på en sida som användarna varje gång måste passera vid ställande av fråga mot myndighet: För att få ställa en fråga om personer till myndigheter för att erhålla underlag för bedömning om ekonomiskt bistånd finns ett antal legala krav. Frågan måste 1) ställas av en svensk kommun, 2) ställas av en behörig handläggare, 3) gälla ett aktuellt (pågående) biståndsärende och 4) därmed avse de personer som ingår i det hushåll som ärendet gäller samt 5) gälla för en aktuell och avgränsad period. Uppföljning av frågeanvändning För att kunna följa upp användningen av frågor enligt förordning 2008:975 finns en användningslogg i Multifråga. Loggen innehåller bl.a. uppgifter om tidpunkt, vilken handläggare som ställde frågan, ärende-id, hushålls-id och omfrågade person/samordningsnummer. En nyttjanderättscontroller inom varje användande kommun förväntas ta ut stickprov periodiskt ur loggen och kontrollera att frågorna ställts enligt reglerna. Skulle misstanke uppkomma på annat sätt om missbruk kan naturligtvis också loggen användas. Handläggaren informeras bredvid utför -knappen i Multifråga om att Alla frågor loggförs. Stickprovskontroll kan ske.. Överenskommelse med myndighet Överenskommelserna med de två myndigheter som är i drift har skapats på något olika sätt. För att initialt kvalificera att kommunen släpps in för att få ställa frågor kräver de två myndigheterna att olika sorters dokument skickas in från kommunen. Själva informationsinnehållet och dess detaljutformning har uttryckts i s.k. xmldefinitioner samt i tillhörande dokument som beskriver begrepp och semantik. Vad gäller informationsinnehållet har CSN och Sambruk haft en tät dialog kring detaljutformningen, gentemot Försäkringskassan har Sambruk nu en dialog om kommande version av deras informationstjänst. Eftersom kommunen tekniskt i kommunikationen identiferas säkert genom sitt s.k. organisationscertifikat (se nedan) så vet myndigheten att det är just en kommun som ställer frågan. Därmed vet myndigheten att förordning 2008:975 är tillämpbar och att frågan får besvaras.
Memo (se datum) 3 av 5 Medgivandetext De ansökansblanketter för bistånd/försörjningssstöd som kommunerna typiskt använder innhåller en medgivandetext för att kommunen ska få registrera uppgifter om den sökande personen, vilket alltså kan gälla både kommunens ärendesystem inom socialsidan och Multifråga. Följande är ett exempel: Personuppgifter i ansökan hanteras enligt lagen om behandling av personuppgifter inom socialtjänsten. Jag/vi medger att personuppgifterna får lagras och bearbetas i register av förvaltning/nämnd. Jag/vi har rätt att begöra utdrag och rättelse. En annan medgivandetext som typiskt finns på blanketterna är: Jag/vi godkänner att socialtjänsten inhämtar uppgifter från andra myndigheter, för att få ansökan prövad snabbare. Uppgifter hämtas från Försäkringskassan, Centrala studiestödsnämnden (CSN), ALFA/arbetslöshetskassa, Skattemyndigheten, Bilregistret och Patent- och registreringsverket (PRV). Detta medgivande baserar sig telefon/fax-förfrågningar mot myndigheterna på, men det gör även de äldre informationstjänsterna som flera myndigheter startade före förordning 2008:975 fanns, såsom RFV/FK KOMINFO och CSN:s gamla kommunfråga (som båda fortfarande finns i drift, men tänks stängas ner). Säkerhet Säkerhet är ett stort område och här tas upp några aspekter som Sambruk anser extra viktiga. Tillgångskydd inom kommunen Multifråga använder för sitt skydd samma principer som kommunens ärendesystem för socialärenden - Multifråga är förstås lika sekretesskänsligt som ärendesystemet. Detta skydd består typiskt främst av: 1. Tillgång till servrar skyddas noga inom IT-driften genom fysiskt skalskydd och olika sorts inloggning/autentisering/auktorisering. 2. Tillgång till Multifråga genom inloggning/autentisering/auktorisering görs på liknande sätt som till kommunens ärendesystem för socialärenden. De olika kommunerna kan ha något olika lösningar såsom rolltilldelning för handläggare i Active Directory, edirectory eller i inbyggd användarkatalog. Endast ett fåtal betrodda superanvändare kan ändra denna rolltilldelning, enligt kommunens normala policies. 3. Ifall systemen ska nås ifrån annat än kommunens lokaler och interna nätverk så används säker fjärråtkomst med stark autentisering, t ex via SMS-engångskod, kod-dosa eller smartcard.
Memo (se datum) 4 av 5 Spårbarhet Som nämnts ovan förs en användningslogg automatiskt när varje myndighetsfråga ställs. Loggning sker även vid varje inloggning/autentisering. Spårbarhet genom denna logg skapas genom att Multifråga kräver att ett ärende-id matas in för att fråga ska få ställas. Skulle manuell handläggning utföras i kommunen tas ärende-id ur den manuella akten som förs för ärendet. Nästan alltid används dock idag ett ärendesystem för socialsektorn och då anges ett ärende-id enligt detta system. Hushålls-id måste också matas in för att fråga ska få ske. Vanligen används inom kommunen identiteten för s.k. registerledare för detta. Ytterligare spårbarhet skapas genom att handläggar-id, ärende-id och hushålls-id skickas med i frågedatat till myndigheten. Skulle en noggrann utredning av felaktig användning i något komplicerat sammanhang behövas, finns alltså informationspårbarhet även inom myndighet. Teknisk kommunikation För den tekniska kommunikationen kommun-myndighet används SHS som specificerats av Statskontoret/Verva/Kammarkollegiet för att ge mycket hög säkerhet. Inom SHS autenticeras kommunen säkert för myndigheten genom kommunens organisations-certifikat. På motsvarande sätt autenticeras myndigheten säkert för kommunen genom myndighetens organisations-certifikat. Organisations-certifikaten som används ställs typiskt ut av Steria. Inom SHS används säker kryptering av trafiken kommun-myndighet.
Memo (se datum) 5 av 5 Sammanfattande kedja Följande kedja försöker sammanfatta förhållandena: Tillgångsskydd på plats i kommunen Soc-handläggaren autentiserad & auktoriserad Kontroll av att ärende finns etc så att fråga får ställas Loggning sker för spårbarhet Kommunen autenticerar sig som kommun för myndigheten Myndigheten autenticerar sig för kommunen Myndigheten följer förordningen 2008:975 Myndigheten accepterar frågan och svarar