...
BAS planerar i nuläget för steg 1 och 2. Om BAS ska gå vidare till steg 3 och 4 — som handlar om användares identitet respektive behörighet — avgörs först när erfarenheterna från de första stegen utvärderats. Det är sannolikt där frågan om huruvida BAS är rätt hemvist för alla behov ställs på sin spets, eftersom komplexiteten och de sektorsspecifika kraven växer när individnivån tillkommer. Frågan lämnas medvetet öppen och ska avgöras av erfarenhet, inte av principiella ställningstaganden i förväg.
5. Tidplan, milstolpar och beslutspunkter
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Figur som övergripande visualiserar milstolpar och beslutspunkter
5.1 Milstolpar
| Tidpunkt | Milstolpe |
|---|---|
| Juni 2026 | Regelverk för Federationskontext BAS publiceras för inhämtning av synpunkter. |
| Q4 2026 | Pilot initieras. Anslutningsoperatör(er) OCH Federationsoperatör etablerade för pilot. |
| Årsskiftet 2026/2027 | Pilot genomförs med VOK som första NDI-komponent. Piloten testar den fulla kedjan → avtal, anslutning, registrering, tillitskedjor. |
| Q3 2027 | Beslut om slutgiltigt namn (BP3). |
| Från 2027 | Steg 1-förmågan öppnas för andra aktörer än EHM (generiskt erbjudande). |
| H2 2027 | Ytterligare NDI-komponenter kan kliva in och nyttja BAS i produktion. Steg 2 (företrädarskap + egenskapsintyg för EHM) börjar tillämpas. |
| 2028 | Breddinförande av steg 2. Utvärdering av behovet av steg 3 (BP5). NFF och NSF ansluts. |
| 2029 | EHDS-förordningens ikraftträdande. NCP för gränsöverskridande hälsodatautbyte. |
5.2 Beslutspunkter
| ID | Tidpunkt (ca) | Beslut | Underlag/kriterier | Vems beslut |
|---|---|---|---|---|
| BP1 | 2026 | Etablera Federationskontext BAS och Digg som federationsoperatör | Separata beslutsunderlag; denna färdplan | Digg |
| BP2 | Q2 2027 (efter VOK-pilot) | Ta in fler NDI-komponenter i produktion samt öppna upp "steg 1" för andra aktörer. | Piloterfarenheter | EHM |
| BP3 | Q2 2027 | Fastställ slutgiltigt namn (ersätt arbetsnamnet "BAS") | Bygger på förståelse av hur kontexten kompletterar befintliga federationer (Skolfederation, SAMBI). Kommunikativt viktigt. | Digg |
| BP4 | Q3 2027 | Vägval: ska hälso- och sjukvården etablera ett eget federationskontext, eller kan Federationskontext BAS vara fortsatt hemvist? | Bedöms efter utvärderad VOK-pilot och förhoppningsvis ytterligare två komponenter i produktion. Kandidatkriterier: förvaltningsbörda, sektorsspecifika krav som BAS inte bär, skalbarhet, behovsbild. Ska bedömas utifrån Regelverk för etablering av nya federationskontexter | EHM/DIGG i samverkan |
| BP5 | 2028 | Ska steg 3 (användaridentitet) tillämpas i BAS? | Utvärdering av steg 1–2 | EHM/Digg i samverkan |
6. Operativa leveranser
6.1 Tekniska komponenter i produktion
| Komponent | Beskrivning | Ansvarig roll |
|---|---|---|
| Tillitsankartjänst | Trust Anchor enligt OpenID Federation | Federationsoperatör (Digg) |
| Uppslags- och verifieringstjänst | Resolver enligt OpenID Federation | Federationsoperatör (Digg) |
| Anslutningstjänst | Intermediate entity med registrerings- och admingränssnitt | Anslutningsoperatör |
| Åtkomstintygstjänst | OAuth 2.0 Authorization Server | Anslutningsoperatör / federationsmedlem |
| Resursserver | NDI-komponenterna (VOK, PDI, NTK) som skyddade resurser | EHM |
6.2 Regelverk
BAS-specifikt regelverk avses skickas på remiss i juni 2026 och publiceras i draft-version. Det omfattar BAS-specifik anslutningspolicy, registreringspolicyer och metadata-krav, och refererar till federationsplattformens villkorsbilagor, avtalsmallar och policyer.
Förfining av regelverk och avtal för anslutning till federationskontext tas fram under genomförande av VOK-pilot.
6.3 Förvaltningsprocesser
Anslutningsprocess, incidenthantering och ändringshantering ska vara operativa och testas under piloten.
7. Mätbara mål och acceptanskriterier
BAS steg 1 anses uppfyllt när:
- Minst två oberoende federationsmedlemmar har system i drift (klient och resursserver) som kommunicerar via infrastrukturen.
- Ingen manuell utväxling av nycklar eller certifikat mellan parter - tillit etableras via federationsmetadata.
- Anslutningsprocessen är dokumenterad, testad och upprepad.
- Finansieringsmodell fastställd och förankrad.
- Roller, ansvar och policyer dokumenterade och fastställda.
- Förvaltningsprocesser testade i skarp drift.
8. Vad vi behöver lära oss
Piloten och den tidiga driften ska ge svar på frågor som inte kan lösas teoretiskt:
...
För VOK-piloten finns särskilt utformade Mål och utvärderingskriterier.
9. Risker
- Förväntansglidning. Aktörer förväntar sig att BAS löser juridiska frågor kring datadelning. BAS verifierar avsändare och tillitskedja — den förlitande parten ansvarar fortsatt för åtkomstbeslut.
- Normativa beroenden. BAS kan inte produktionssättas om normativa artefakter från federationsplattformen inte är klara i tid.
- Skalbarhet vid bred anslutning. PDI-scenariot innebär att hundratals system och organisationer ska anslutas. Om anslutningsmodellen inte skalar påverkas NDI-tidplanen.
- Ansvarsfördelning vid obligatoriska tjänster. Kedjan EHM (tillse att anslutningsoperatörer finns för dem som omfattas av obligatoriet) → federationsoperatör (möjliggöra anslutning) → anslutningsoperatör (betjäna aktörerna) behöver fungera friktionsfritt, annars riskerar obligatoriet att inte kunna uppfyllas.
- Finansieringsmodellens mognad. Finansieringsmodellen för operatörsnivån är under utveckling. Om den inte är klarlagd innan anslutningsoperatörer förväntas investera kan nödvändiga aktörer inte delta.
- BAS kontra eget federationskontext. Om BAS visar sig otillräcklig för EHM:s behov behöver en övergång till ett sektorsspecifikt federationskontext kunna ske utan att redan anslutna parter påverkas.
- Oklara signaler om BAS framtid. Om samverkansaktörer uppfattar intern osäkerhet om BAS långsiktiga roll minskar incitamentet att investera i anslutning. Tydlig och konsekvent kommunikation om BAS inriktning är en förutsättning för förtroende.
- Överlappande parallella initiativ. Initiativ utanför SIB berör delvis samma tillämpningsområde. Otydlig avgränsning kan skapa förvirring hos aktörer som ska välja anslutningsväg.