Versions Compared

Old Version 4

changes.mady.by.user Jakob Fransson

Saved on

compared with

New Version 5

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

När vi har tittat på vilka förmågor som infrastrukturen ställer krav på att olika aktörer har, så har vi konstaterat att det saknas en beskrivning om förmågeansvar för vissa förmågor. Vi har landat i att beskriva det som ett "tillämpningsansvar". Detta är alltså inte ett rättsligt eller organisatoriskt ansvar.  

Påstånde:

  • Ett federationsområde är en avgränsad del av federationsinfrastrukturen som beskriver hur teknisk interoperabilitet ska uppnås.
    Det omfattar de protokoll, format, profiler och regler som används för utbyte av metadata och behörighetshandlingar, och förvaltas av en federationsområdesansvarig som samordnar medlemmar och tillämpar infrastrukturen inom området.
  • Det kommer finnas två federationsområden för federationsinfrastrukturen inledningsvis,

...

  •  
    • legitimering av individ

...

    • (med stöd för OIDC som tekniskt protokoll)
    • legitimering och behörighet av medarbetare, företrädare

...

    • (med stöd för OIDC och OAuth som tekniska protokoll)
  • Digg kommer vara

...

  • federationsområdesansvarig för båda dessa.
  • Vidare finns det möjlighet att skapa fler federationsområden

...

  • för andra tekniska protokoll eller behov av andra strukturer för att hantera tillit, notera att ett federationsområde motsvarar

...

  • en teknisk Tillitsankartjänst och ansvaret för tillhandahålla ett sådant med tillhörande regler.

Federationsområdesansvar är det tekniska och ”ramverksskapande” ansvaret

Federationsområdesansvar handlar om att möjliggöra anslutning till den gemensamma infrastrukturendet det tekniska federationsområde inom federationsinfrastrukturen. Rollen ligger på Digg och innebär ansvar för att det finns en fungerande teknisk och juridisk grund som andra (via anslutningsoperatörer) kan ansluta sig till.
Detta omfattar bland annat att drift och förvaltning av den tekniska federationsinfrastrukturenfederationsinfrastrukturtjänster, fastställa gemensamma regler och krav och godkänna och samordna operatörer som tillhandahåller anslutningstjänster eller tillitsmärkestjänster.

Federationsområdesansvaret innebär alltså systemansvarett ansvar att säkerställa teknisk interoperabilitet för ett eller flera protokoll, Digg ser till att infrastrukturen Tillitankartjänster och uppslags och verifieringstjänst finns, fungerar och följer gemensamma regler, men ansvarar inte för hur att den kan används inom olika ”områden” .eller tillämpningar

Tillämpningsansvar är det verksamhetsmässiga och ”områdes”specifika ”områdesspecifika" ansvaret

Tillämpningsansvaret ligger på en ”tillämpningsansvarig myndighet”, exempelvis E-hälsomyndigheten.
Den rollen handlar om att faktiskt använda den gemensamma infrastrukturen inom sitt område och se till att områdets aktörer ansluts och följer gällande kravkan ansluta.
Detta omfattar saker som, anpassning av säkerställa att infrastrukturen stödjer till områdets behov, stöd till områdets aktörer vid anslutning, upphandling eller samordning av operatörer som erbjuder anslutningstjänster.

Tillämpningsansvaret är därmed verksamhetsansvar, inte systemansvar.

Orsaken/rna till sammanblandningen

...

att tillhandahålla förutsättningar (Digg, federationsområdesansvarig - interoperabilitet)

att tillämpa och använda förutsättningarna (sektorsmyndighet, tillämpningsansvarig - att infrastrukturen kan användas för tillämpningar inom området).

Att skilja dessa perspektiv är avgörande för att undvika att Digg tillskrivs ett verksamhetsansvar som myndigheten inte kan eller ska ha enligt federationsmodellen.

...

Metaforisk beskrivning: Federationsinfrastrukturen som verktygslåda

Federationsinfrastrukturen kan liknas vid en verktygslåda som innehåller alla de gemensamma verktyg som behövs för att olika aktörer ska kunna samverka på ett säkert och enhetligt sätt. Verktygslådan rymmer tekniska standarder, regelverk och gemensamma komponenter som möjliggör utbyte av metadata och behörighetshandlingar.

Ett federationsområde motsvarar ett urval av verktygen i lådan – de verktyg som tillsammans krävs för att uppnå interoperabilitet inom en viss teknisk domän. Ett sådant urval kan exempelvis omfatta hur OIDC och OAuth 2.0 ska användas, vilka format som gäller för metadata och vilka säkerhetskrav som kan tillämpas.

När en aktör vill använda infrastrukturen för ett konkret ändamål uppstår ett tillämpningsansvar, vilket kan liknas vid att välja exakt vilka verktyg som ska användas, och för vilket arbete. Den tillämpningsansvariga aktören bestämmer alltså vilka av verktygen ska användas i praktiken – men alltid inom de ramar och specifikationer som fastställts av ledningsaktören och de federationsområdesansvariga.

Den federationsområdesansvarige ansvarar också för att det inom sitt område finns förutsättningar att ansluta anslutningsoperatörer, det vill säga de tekniska aktörer som möjliggör att medlemmar faktiskt kan kopplas till infrastrukturen. Däremot är det upp till den tillämpningsansvariga aktören, exempelvis E-hälsomyndigheten, att tillse att det finns operatörer att ansluta till för de aktörer som ska använda infrastrukturen i den aktuella tillämpningen, såsom Nationella läkemedelslistan (NLL).

Exempelvis är Digg både ledningsaktör och federationsområdesansvarig för ett område som omfattar OIDC, OAuth 2.0 och säkerhetskrav enligt Ena gemensamma kravkatalog. Om E-hälsomyndigheten vill använda federationsinfrastrukturen kan de välja detta federationsområde, eftersom det tekniskt uppfyller deras behov och omfattar de säkerhetsnivåer som krävs för deras tillämpning – till exempel NLL. Inom sitt tillämpningsansvar anger E-hälsomyndigheten då att, av Enas säkerhetsnivåer, nivå 3 är lämplig för NLL, och säkerställer att de operatörer som krävs för att ansluta system och aktörer till infrastrukturen finns tillgängliga. (OBS!!! i denna text läggs ingen värdering om eventuell granskning eller efterlevnadskontroll av säkerhetskravensäkerhetskravs)

...

Frågor: 

Begrepp och gränsdragning

  1. Kan det juridiskt motiveras att federationsområdesansvar och tillämpningsansvar utgör två skilda ansvarsnivåer, där det ena är systemansvar ett ansvar för teknisk interoperabilitet och det andra verksamhetsansvar?

  2. Är det juridiskt korrekt att tolka Diggs federationsområdesansvar som ett tillhandahållande av förutsättningar snarare än ett verksamhetsansvar?

...