Avtalsreglering av digital samverkan 

...

Ramverk för samordnad identitet och behörighet

Avtal

Federationsoperatörsavtal

Reglerar villkor för aktörer som vill etablera sig som federationsoperatör inom Samordnad identitet och behörighet

...

.

...

Operatörsavtal

Reglerar villkor för de aktörer som vill etablera sig som anslutningsoperatör under ett visst tillitsankare.

...

De informationssäkerhets- och cybersäkerhetskrav som tas fram här bör registreras i den kravkatalog som upprättas och förvaltas inom Samordnad identitet och behörighet.

...

Federationsavtal

Reglerar villkor för de parter som vill erbjuda, alternativt ansluta till, digitala tjänster som anslutits till federationsinfrastrukturen..

Dessa villkor bör främst täcka villkor för metadata som publiceras inom federationen samt användandet av de digitala tjänster (e-tjänster  och API:er) som används för detta ändamål.

Avtalet ska även omfatta villkor för användning av uppslags- och verifieringstjänster hos anslutnings- och federationsoperatör.

Dessa omfattar 

1. villkor för anslutande parter,
2. villkor
3. Villkor för anslutande parter 
Villkor
4. för anslutning av anslutande parters tekniska komponenter och de verksamheter inom organisationen som hanterar dem, samt
Villkor
5. villkor för anslutning av tekniska komponenter
(
6. av typerna klienter, identitetsintygstjänster, åtkomstintygstjänater, e-tjänster,
skyddadde resurser)...
7. och skyddadde resurser.

Observera: federationsavtalets krav kring informations- och cybersäkerhet KAN uppdateras under avtalets giltighetstid. Detta då förändringar i vår omvärld kan kräva detta.

Samverkansavtal

Reglering av den faktiska samverkan ligger helt utom Samordnad identitet och behörighets rådighet att styra. Dessa avtal kan styra informatik, API-specifikationer, åtkomstpolicyer, processer, kommersiella villkor, personuppgiftsbiträdesrelationer, eventuella kompletterande informationssäkerhetskrav, m.m.

...

1. Nationella profileringar av OIDC och OAuth.
2. Nationella definitioner för behörighetsgrundande attribut.
3. API-utformning i enighet med Diggs API-profil om det inte finns andra existerande API:er för aktuellt samverkansområde.
4. Nationella vägledningar kring hur standarder och mönster ska tillämpas.
5. Nationellt hamoniserade krav i kravkatalogen BÖR användas för utökade krav på organisationer och verksamheter informationssäkerhetarbete.
6. Nationellt hamoniserade krav i kravkatalogen BÖR användas för utökade krav på tekniska komponenters dataskyddsförmågor.
7. ...

...

Roller och ansvar

Roller och ansvar inom Samordnad identitet och behörighet

1. Regeringen
   1. BÖR instruera till någon myndighet att leda etableringen av ett system för Samordnad identitet och behörighet
   2. BÖR instruera svenska myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
      1. Informationsutlämningstjänster
      2. Myndighetsrapportering 
      3. Digitala förfaranden (t.ex. Nationell läkemedelslista)
2. Ledningsaktören 
   1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
   2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
   3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
   4. SKA agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
   5. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
3. Egenskapsintygsägare
   1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
   2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
   3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
4. Egenskapsintygsombud
   1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
   2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
   3. SKA erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
5. Federationsoperatörer
   1. SKA etablera en tillitsankartjänst
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
   4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
6. Anslutningsoperatörer 
   1. SKA ansvara för upprättande av federationsavtal med anslutna parter 
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA stämpla tekniska komponenters validerade metadata
   4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
7. Ansluten part
   1. SKA efterleva villkor i federationsavtalet för Samordnad identitet och behörighet
   2. SKA efterleva de krav som ställts via de egenskapsintyg partens tekniska komponenter tilldelats och redovisa efterlevnaden enligt respektive intygs regelverk för efterlevnadskontroll
   3. KAN skapa egna egenskapsintyg som representerar att man uppfyller ytterligare specifika informationssäkerhets- och dataskyddskrav

Roller och ansvar inom respektive samverkansområde som nyttjar Samordnad identitet och behörighet

1. Samverkansoperatör
   1. SKA ansvara för avtal för samverkan mellan parter inom ett samverkansområde.
   2. SKA ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker inom samverkansområdet.
   3. SKA ansvara för upprättande och förvaltning av de överenskommelser som ingåtts av samverkande parter inom samverkansområdet.
   4. KAN välja Samordnad identitet och behörighet som grund för hantering av identiteter och åtkomstbeslut inom samverkansområdet.
   5. KAN välja att nyttja en, flera, eller alla förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan inom det egna området.
2. Anslutande part
   1. KAN agera samverkansoperatör
   2. SKA teckna avtal eller ingå överenskommelse med samverkansoperatörer samverkansområden där man önskar delta 
   3. SKA teckna avtal eller ingå överenskommelse med anslutningsoperatör i Samordnad identitet och behörighet 
   4. SKA realisera eller upphandla de komponenter eller tjänster som behövs för att realisera identitets- och behörighetshantering för samverkan
   5. KAN etablera en verksamhet som egenskapsintygsägare om man inom samverkansområdet har specifika informationssäkerhetskrav för samverkansområdet
3. Komponentansvarig
   1. SKA via en anslutningsoperatör ansluta de tekniska komponenter som ska användas av anslutande parter inom samverkan via Samordnad identitet och behörighet 
4. Egenskapsmärkesägare
   1. SKA ansvara för förvaltning av en uppsättning krav specifika för samverkansområdet som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla 
   2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen och verka för att eventuella nya krav förrs in i kravkatalogen

...

Arkitekturell modell

Den arkitekturella modellen är uppdelad i tre delar:

1. Samordnad identitet och behörighets tillitshantering
2. Samordnad identitet och behörighets federationsinfrastruktur

...

1. Digital samverkans anslutning till federationsinfrastrukturen och utökad tillitshantering, eventuellt kopplat till Samordnad identitet och behörighets kravkatalog.

Tillitshantering

Federationsinfrastruktur

Digital samverkan

Juridisk reglering av Samordnad identitet och behörighet

Politisk styrning av Samordnad identitet och behörighet

Idag har två myndigheter fått i uppdrag att realisera en digital infrastruktur för sammanhållen identitets-och behörighetshantering.

Kommuner och regioner deltar aktivt i arbetet att realisera denna infrastruktur och lyfta användningsområden där infrastrukturen kan användas. Ett exempel på detta är kommuners myndighetsrapportering

En förhoppning är att myndigheter ska erbjuda alla sina tjänster och API:er enligt samordnad identitet och behörighet, men för att dessa förflyttningar ska drivas på kan det behövas politiskt styrning om att förflyttningar mot att använda nationell infrastruktur ska ske.

...

Exemplifierad etablering av samverkan med stöd av Samordnad identitet och behörighet

Bakgrund: Värmdö kommun behöver ansluta till en folkbokföringen hos Skatteverket och till Försäkringskassans tjänst för myndighetsrapportering (OBS! påhittat scenario).

...

Observera att varje kommun behöver etablera och underhålla samverkan med flera tiotal statliga myndigheter och ännu fler andra aktörer inom det kommunala uppdraget. Potentialen här bör vara enorm!

Framdrift 2026

För att möjliggöra samverkansmönstret som redovisas genom scenariot ovan så behöver vi etablera samsyn 

Roller och ansvar

Roller och ansvar inom Samordnad identitet och behörighet

1. Regeringen
   1. BÖR instruera till någon myndighet att leda etableringen av ett system för Samordnad identitet och behörighet
   2. BÖR instruera svenska myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
      1. Informationsutlämningstjänster
      2. Myndighetsrapportering 
      3. Digitala förfaranden (t.ex. Nationell läkemedelslista)
2. Ledningsaktören 
   1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
   2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
   3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
   4. SKA agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
   5. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
3. Egenskapsintygsägare
   1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
   2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
   3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
4. Egenskapsintygsombud
   1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
   2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
5. Egenskapsintygsutfärdare
   1. SKA erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
6. Federationsoperatörer
   1. SKA etablera en tillitsankartjänst
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
   4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
7. Intermediates
   1. SKA ansvara för avtalsskrivning med anslutna parter 
      1. ETT huvudavtal med var ansluten part
      2. ETT tilläggsavtal/bilaga per teknisk komponent
   2. SKA erbjuda en uppslags- och verifieringstjänst
   3. SKA stämpla tekniska komponenters validerade metadata
   4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
8. Ansluten part
   1. SKA efterleva villkor i huvudavtal/överenskommelse för Samordnad identitet och behörighet
   2. SKA efterleva villkor i tilläggsavtal för Samordnad identitet och behörighet
   3. SKA efterleva de krav som ställts via de egenskapsintyg partens tekniska komponenter tilldelats och redovisa efterlevnaden enligt respektive intygs regelverk för efterlevnadskontroll
   4. KAN skapa egna egenskapsintyg som representerar att man har tecknat komersiellt avtal, PUB-avtal, och/eller uppfyller ytterligare specifika informationssäkerhets- och dataskyddskrav

Roller och ansvar inom respektive samverkansområde som nyttjar Samordnad identitet och behörighet

1. Samverkansoperatör
   1. SKA ansvara för avtal för samverkan mellan parter inom ett samverkansområde.
   2. SKA ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker inom samverkansområdet.
   3. SKA ansvara för upprättande och förvaltning av de överenskommelser som ingåtts av samverkande parter inom samverkansområdet.
   4. KAN välja Samordnad identitet och behörighet som grund för hantering av identiteter och åtkomstbeslut inom samverkansområdet.
   5. KAN välja att nyttja en, flera, eller alla förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan inom det egna området.
2. Samverkande part
   1. KAN agera samverkansoperatör
   2. SKA teckna avtal eller ingå överenskommelse med samverkansoperatörer samverkansområden där man önskar delta 
   3. SKA teckna avtal eller ingå överenskommelse med anslutningsoperatör i Samordnad identitet och behörighet 
   4. SKA realisera eller upphandla de komponenter eller tjänster som behövs för att realisera identitets- och behörighetshantering för samverkan
   5. KAN etablera en verksamhet som egenskapsintygsägare om man inom samverkansområdet har specifika informationssäkerhetskrav för samverkansområdet
3. Komponentansvarig
   1. SKA via en anslutningsoperatör teckan avtal om Samordnad identitet och behörighet i rollen som anslutande part
   2. SKA via en anslutningsoperatör ansluta de tekniska komponenter som ska användas av samverkande parter inom samverkan via Samordnad identitet och behörighet 
4. Egenskapsmärkesägare
   1. SKA ansvara för förvaltning av en uppsättning krav specifika för samverkansområdet som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla 
   2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 

Utformning och användning av egenskapsintyg

Ramverk för efterlevnadskontroll

Finansieringsmodeller

Prismodell för anslutningsoperatörer

...