Versions Compared

Old Version 4

changes.mady.by.user Per Furberg

Saved on

compared with

New Version 5

changes.mady.by.user Per Furberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Bakgrund

  1. Det som går under beteckningen "tillitsmärken" är en joker i leken och det har visat sig vara av särskild betydelse att förstå hur EHM tänker sig att använda sådana. Vid ett möte den 8 oktober beskrevs på hög juridisk abstraktionsnivå två exempel,
    1. dels användning för kommunikation mellan två vårdgivare, och
    2. dels användning för tillgång till uppgifter i den nationella läkemedelslistan (NLL),
      3. dels användning för kommunikation mellan två vårdgivare
    3. .
  2. Innan de beskrivs ska emellertid hanteringen av metadata inom en behörighetsinfrastruktur kort beröras.

Metadatahanteringen

  1. En identitetsintygstjänst respektive en behörighetsintygstjänst kan beskrivas genom metadata. Metadata för id & behörighet är inte integrerade utan stämplade för sig, dvs. olika digitalt stämplade handlingar som därmed är digitala urkunder och åtnjuter straffrättsligt skydd mot förfalskningar och andra manipulationer.

  2. Med ”gammal” standard 


    1. stämplas alla metadata för e-identifiering av en aktör


      1. Digg granskar idag viss del av metadata (stämplas inte särskilt), 

      2. Metadata ger i princip tillgång till parts adress och nycklar.

  3. Med "ny” standard (det som nu planeras för en behörighetsinfrastruktur)


    1. stämplas visserligen alla metadata av en aktör (den Federationsområdesansvarige, här EHM),

i) så att det går att veta vad som är aktörens metadata, men

b) delmängder av metadata kan nu förses med särskild stämpel,

i) så att ett visst intygande kan ske av något i metadata, och

ii) denna stämplade uppgift därmed verifieras automatiserat,

iii) efter att ha intygats vid straffansvar av den som stämplat (aktören själv eller en granskare).

4. Detta skapar oändliga möjligheter att informera via metadata. Endast fantasin sätter gränserna. Det man då glömmer är att juridiken och den tekniska verkligheten kräver gränser.

a) Medan det tidigare i princip bara var fråga om adress- och nyckelinformation,

b) verkar det som att några planerar att bygga ut metadata kraftigt, vad avser innehåll och ändamål, för att upplysa på ett säkert sätt om aktörens 

i) förmåga att uppfylla krav på informationssäkerhet 

a) vid själva behörighetskontrollerna,

b) i den tjänst som får användas när behörighet visats,

c) vid direktåtkomst (om tjänsten utformats för sådan).

ii) uppfyllelse av andra villkor

a) vid själva behörighetskontrollerna,

b) när en tjänst används efter att behörighet visats

a. t.ex. ändamål för nyttjande eller att vara omfattad av en sekretessbrytande regel

c) vid direktåtkomst till den digitala tjänst som nyttjas, efter en behörighetskontroll (i de fall tjänsten används med gammalt teknik, dvs. direktåtkomst).

iii) ingångna (tilläggs)avtal(spaket) med den aktör som tillhandahåller den digitala tjänst som brukas efter en juridisk behörighetskontroll.