Utestående frågor: - "Förbetalda" avtalet för e-tjänstelegitimering ser varken regioner eller kommuner som ändamålsriktigt eller användbart.
För att Samordnad identitet ska kunna bygga på existerande identitetshantering behöver ett nytt avtal tas fram i samverkan.
- Den föreslagna rollen federationsområdesansvarig anser regioner och kommuner riskerar att leda till en segmentering av Samordnad identitet och behörighet.
- Det är otroligt viktigt med harmonisering av ansvar, avtalsvillkor och standardisering på nationell nivå för att en nationell infrastruktur ska leda rätt och få avsedda nyttoeffekter för samhället i stort.
- Vad tillför federationsområdesansvariga i relation till den modell som presenteras i detta dokument? Detta behöver dokumenteras tydligt så att det kan diskuteras sakligt.
- Efterlevnadskontroll är en "het potatis" som antagligen behöver lyftas minst till taktiskt forum, men kanske även till strategisk nivå och till RK.
- Juridiskt sett räcker avtalsvillkor i kombination med en tilltro till parters förmåga att efterleva ingångna avtal och följa lagar.
- Efterlevnadskontroller kan ta sig formen av tillitsdeklaration, oberoende internrevision, eller extern revision.
- Externa revisioner driver stora kostnader för samhället.
- Hur ska tekniska komponenter som delas av många bakomliggande organisationer registreras i federationen? Ex. en regions vårdinformationssystem nyttjas i regel av en majoritet av vårdgivarna i regionen.
- Behövs ett systemleverantörsavtal?
- Behövs villkor för indirekt anslutning?
- Ineras kundavtal öppnar till exempel för vissa anslutande parter (Region, Kommun, Regionförbund, Kommunalförbund, Kommunförbund eller Statlig myndighet) att göra indirekta anslutningar.
I samband med COVID-pandemin infördes dessutom möjlighet för indirekta anslutningar i två led då vårdgivare tilläts upphandla företag som skötte temporära vaccinationsverksamheter
Ref: https://www.inera.se/globalassets/inera/media/dokument/kontakta-oss/avtal/allmanna-villkor.pdf (kap 5. Indirekt användning av tjänsten).
- Privata aktörer och underleverantörer är inte tillåtna att använda indirekt anslutning
- Betyder det att varje bakomliggande kund behöver registreras som separata tekniska komponenter i metadata, med separata identifierare?
TODOs (förslag): - Skapa fokusgrupp för utformning av federationsavtal (kompetenser: avtalsjuridik, arkitektur, federation, tillit) - dessa kan komma att tecknas av tusentals parter och bör utformas för denna skala.
- Parter som ska kunna teckna avtal, eller ingå överenskommelse om, är statliga myndighet, övriga statliga aktörer, SKR, regioner, regionala bolag, regionförbund, kommuner, kommunala bolag, kommunförbund, kommunalförbund, samt privata aktörer med eller utan offentlig finansiering.
- Villkor om anslutande parts följsamhet mot fundamentala krav i kravkatalog (tillitsramverk) samt krav för anslutning av tekniska komponenter kan föranleda ompaketering och revision av leverabler inom tillitshanteringsområdet. Exempel på detta är reglering av efterlevnadskontroll.
- Publicera krav online under exempelvis https://ena-infrastructure.se/kravkatalog/
- Etablera verksamhet och process för livscykelhantering av krav
- Skapa fokusgrupp för utformning av operatörsavtal (kompetenser: avtalsjuridik, arkitektur) - dessa bör uppskattningsvis tecknas med ett tiotal parter och kan utformas för denna skala. Operatörer kan kanske etableras av samtliga typer av organisationer, men de kommersiella möjligheterna bör vara begränsade i syfte att stärka grunden för tillit.
- Skapa fokusgrupp för utformning av federationsoperatörsavtal (kompetenser: avtalsjuridik, arkitektur) - dessa bör tecknas endast av ett fåtal parter, där dessa parter bör ha en central position och funktion inom federationsområdet. I dagsläget ser vi endast behov av ett federationsområde, "Svensk offentlig förvaltning".
- Publicera attributsdefinitioner under exempelvis https://ena-infrastructure.se/attribut/
- Etablera verksamhet och process för förvaltning av attributsdefinitioner
|