Versions Compared

Old Version 3

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 4

changes.mady.by.user Jakob Fransson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

I rapporten har det uppstått en sammanblandning mellan två skilda ansvarsnivåer,  federationsområdesansvar och tillämpningsansvar. Dessa begrepp beskriver olika roller i styrningen kontra användningen av federationsinfrastrukturen och ska inte ses, enligt mig som delar av samma rättsliga eller organisatoriska ansvar.


När vi har tittat på vilka förmågor som infrastrukturen ställer krav på att olika aktörer har, så har vi konstaterat att det saknas en beskrivning om förmågeansvar för vissa förmågor. Vi har landat i att beskriva det som ett "tillämpningsansvar". Detta är alltså inte ett rättsligt eller organisatoriskt ansvar.  

Det kommer finnas två federationsområden inledningsvis, 1 legitimering av individ, 2 legitimering och behörighet av medarbetare, företrädare, Digg kommer vara ferderationsområdesansvarig för båda dessa. Vidare finns det möjlighet att skapa fler federationsområden, noter att ett federationsområde motsvarar ett tekniskt tillitsankare och ansvaret för tillhandahålla ett sådant med tillhörande regler.


Federationsområdesansvar är det tekniska och ”ramverksskapande” ansvaret

...

Federationsinfrastrukturen kan liknas vid en verktygslåda som innehåller alla de gemensamma verktyg som behövs för att olika aktörer ska kunna samverka på ett säkert och enhetligt sätt. Verktygslådan rymmer tekniska standarder, regelverk och gemensamma komponenter som möjliggör utbyte av metadata och behörighetshandlingar.

Ett federationsområde motsvarar ett urval av verktygen i lådan – de verktyg som tillsammans krävs för att uppnå interoperabilitet inom en viss teknisk domän. Ett sådant urval kan exempelvis omfatta hur OIDC och OAuth 2.0 ska användas, vilka format som gäller för metadata och vilka säkerhetskrav som kan tillämpas.

När en aktör vill använda infrastrukturen för ett konkret ändamål uppstår ett tillämpningsansvar, vilket kan liknas vid att välja exakt vilka verktyg som ska användas, och för vilket arbete. Den tillämpningsansvariga aktören bestämmer alltså vilka av verktygen ska användas i praktiken – men alltid inom de ramar och specifikationer som fastställts av ledningsaktören och de federationsområdesansvariga.

Den federationsområdesansvarige ansvarar också för att det inom sitt område finns förutsättningar att ansluta anslutningsoperatörer, det vill säga de tekniska aktörer som möjliggör att medlemmar faktiskt kan kopplas till infrastrukturen. Däremot är det upp till den tillämpningsansvariga aktören, exempelvis E-hälsomyndigheten, att tillse att det finns operatörer att ansluta till för de aktörer som ska använda infrastrukturen i den aktuella tillämpningen, såsom Nationella läkemedelslistan (NLL).

Exempelvis är Digg både ledningsaktör och federationsområdesansvarig för ett område som omfattar OIDC, OAuth 2.0 och säkerhetskrav enligt Ena gemensamma kravkatalog. Om E-hälsomyndigheten vill använda federationsinfrastrukturen kan de välja detta federationsområde, eftersom det tekniskt uppfyller deras behov och omfattar de säkerhetsnivåer som krävs för deras tillämpning – till exempel NLL. Inom sitt tillämpningsansvar anger E-hälsomyndigheten då att, av Enas säkerhetsnivåer, nivå 3 är lämplig för NLL, och säkerställer att de operatörer som krävs för att ansluta system och aktörer till infrastrukturen finns tillgängliga. (OBS!!! i denna text läggs ingen värdering om eventuell granskning eller efterlevnadskontroll av säkerhetskraven)



Frågor: 

Begrepp och gränsdragning

  1. Kan det juridiskt motiveras att federationsområdesansvar och tillämpningsansvar utgör två skilda ansvarsnivåer, där det ena är systemansvar och det andra verksamhetsansvar?

  2. Är det juridiskt korrekt att tolka Diggs federationsområdesansvar som ett tillhandahållande av förutsättningar snarare än ett verksamhetsansvar?

Diggs roll som federationsområdesansvarig

  1. Kan Digg i sin roll som federationsområdesansvarig bära ansvar för att operatörer fungerar och följer gemensamma regler, utan att därmed anses ha ansvar för hur infrastrukturen används inom respektive tillämpningsområde?

  2. Behöver Digg enligt gällande rätt eller principer för myndighetsansvar kunna ställas till svars för brister i hur infrastrukturen används (tillämpas) av andra myndigheter?

  3. Kan Digg juridiskt delegera delar av det federationsområdesansvar som avser teknisk drift eller samordning till operatörer, utan att dessa får ett självständigt rättsligt ansvar?

Tillämpningsansvarig myndighet

  1. Är det förenligt med förvaltningsrättsliga principer att en tillämpningsansvarig myndighet, som E-hälsomyndigheten, har ansvar för användning av infrastrukturen inom sitt område men inte för infrastrukturen som sådan?

  2. Innebär tillämpningsansvaret ett juridiskt ansvar för att sektorns aktörer följer de krav som den federationsområdesansvarige fastställt, eller endast ett samordnings och stödansvar?

  3. Kräver tillämpningsansvaret särskilt rättsligt stöd (t.ex. i instruktion eller regleringsbrev), eller kan det utformas genom avtal inom ramen för federationsinfrastrukturen?

 Rättslig tolkning av gränsdragningen

  1. Är det juridiskt möjligt att uttrycka ansvarsfördelningen som:

  • Digg: ansvarar för att infrastrukturen finns och fungerar (systemansvar),

  • sektorsmyndighet: ansvarar för hur infrastrukturen används inom sitt område (verksamhetsansvar)?

  1. Kan begreppen tillämpningsansvar och federationsområdesansvar skrivas in i avtalsstrukturen utan att skapa överlapp i rättsligt ansvar?

  2. Hur bör ansvarsgränsen uttryckas för att undvika att Digg tillskrivs ett verksamhetsansvar i sektorer där tillämpningen sker?