På sidan:

Det här utkastet definierar vilka juridiska parter (avtalsparter) som bär ansvaret i en federerad identitet- och behörighetsinfrastruktur inom Ena IAM, och hur dessa mappar till tjänsteorienterade roller som faktiskt levererar funktion.

UTKAST UTKAST UTKAST - syftet är att knyta ihop befintliga konceptuella lösningar med en juridisk förklaringsmodell som säkerställer att vi har en federationsinfrastruktur som tål verkligheten

ALLA UPPMUNTRAS ATT ÄNDRA, LÄGGA TILL OCH KOMMENTERA

Varför behövs det olika roller beroende på perspektiv?

När vi beskriver en federation behöver vi skilja mellan två perspektiv:

Legala roller (avtalsparter)
Dessa roller definieras för att ge en juridiskt hållbar modell för vem som bär ansvar i relation till andra aktörer. Exempel är ledningsansvarig, federationsansvarig, federationsmedlem. Här är fokus på ansvarsfördelning, avtal och skyldigheter – vem kan ställas till svars om något går fel. Detta perspektiv är nödvändigt för att säkerställa att infrastrukturen vilar på en robust och rättsligt förankrad grund.
Federativa roller (tjänsteorienterade funktioner)
Roller som beskriver vem gör vad i praktiken. Här finns federationsoperatör, anslutningsoperatör och tillitsoperatör. Fokus är tekniska och organisatoriska processer för att federationens tillit och åtkomstkontroller ska fungera.

Att hålla isär dessa perspektiv är avgörande:

Det legala perspektivet förklarar ansvaret.
Det tjänsteorienterade perspektivet förklarar genomförandet.

Tillsammans skapar de en helhetsmodell som gör det möjligt att både skriva juridiskt bindande avtal och driva en fungerande teknisk federation.

Förtydligande ang. namnsättning

För att skapa en tydlighet kring om det är en part (legalt perspektiv) eller roller (tjänsteorienterat perspektiv) som avses så används genomgående suffixet:

-ansvarig för parter i en federationen utifrån ett legalt perspektiv
-operatör för roller i federationen utifrån ett tjänsteorienterat perspektiv.

Anslutningsbegreppet

Inom det legala perspektivet sker en legal anslutning -

Parter utifrån ett legalt perspektiv

I den legala modellen (figur 1) framgår tre nivåer:

Ledningsansvarig – yttersta styrning och övergripande ansvar för federationens ramverk.
Federationsansvarig – bär ansvaret för en specifik federation inom ramen för den ledningsansvariges regelverk.
Federationsmedlem – aktör som ansluter och i sin tur agerar som förlitande part eller utfärdare av behörighetshandling.

Figur 1 - legala parter

Roller utifrån ett tjänsteorienterad perspektiv

I den tekniska modellen (figur 2) framgår roller som behövs för att driva och använda federationens tjänster:

Federationsoperatör – tillhandahåller federationens centrala funktioner, inkl. metadata och tillitsankare.
Anslutningsoperatör – möjliggör delegerad anslutning och hanterar metadata för anslutna entiteter.
Tillitsoperatör – utfärdar tillitsmärken för komponenter som uppfyller fastställda krav.
Förlitande part / Utfärdare av behörighetshandling – de tjänsteorienterade roller som realiserar åtkomstkedjan.

Figur 2 - federationens roller

Hur de två perspektiven förhåller sig till varandra

Som diagrammet på (figur 3) visar, kan en och samma juridiska roll (t.ex. en federationsansvarig) bära flera tjänsteorienterade roller, eller välja att lägga ut dem på underleverantörer. Detta gör att vi kan beskriva ”vem som gör vad” i praktiken utan att tappa bort ”vem som är ansvarig” i juridisk mening.

Figur 3 - hur juridiska parter förhåller sig till federationens tjänsteorienterade roller

Hur får vi med tillitsmärkesägare i modellerna?
Ska kanske också instansieras för EHDs för förståelsen

Part	Beskrivning
Ledningsansvarig
Federationsansvari

Underleverantör – inte en legal part utifrån ett federationsperspektiv

Begreppet underleverantör används i modellen (figur 3) för att markera att en juridisk part kan leja ut uppgifter. Men:

Underleverantören blir aldrig en egen part i federationens juridiska modell.
Det är alltid den juridiska parten (t.ex. federationsansvarig) som bär det fulla ansvaret.
Förklaringen om underleverantörer är alltså viktig ur ett pedagogiskt perspektiv – för att visa att outsourcing är möjligt – men underleverantören är inte en ”part” i federationens ansvarsfördelning.

Instansiering Digg och EHM

30 Sept 2025 plats för att försöka instansiera och provtrycka hypotesen som kommer till uttryck ovan. Resonemangen nedan utgår följande vägledande principer om ansvarsfördelning

Gemensamt ramverk vs sektorsanpassning
- Digg: Ansvarar för att utveckla, reglera och tillhandahålla den förvaltningsgemensamma infrastrukturen inom Ena – inklusive tekniska ramverk, kataloger, avtalsmodeller och centrala funktioner.
- E-hälsomyndigheten (EHM): Ansvarar för att säkerställa att infrastrukturen tillämpas och fungerar inom hälso- och sjukvårdssektorn, med sektorsspecifika anpassningar som nationella läkemedelslistan och EHDS.
Generella funktioner vs sektorsspecifika funktioner
- Digg: Utvecklar och förvaltar generella funktioner som behövs för alla sektorer – exempelvis tekniska specifikationer, tillitsstrukturer, operatörsmodeller och incidenthantering.
- EHM: Tillför och förvaltar sektorsspecifika funktioner för vården – t.ex. yrkesrollsintyg, kopplingar till HOSP-registret, samt kravställning kopplat till patientsäkerhet.
Lagstiftning och regelverk
- Digg: Analyserar behov av och lämnar förslag på författningsändringar, samt definierar hur infrastrukturen ska förvaltas och drivas i fred, kris och krig.
- EHM: Implementerar infrastrukturen inom ramen för befintlig hälso- och sjukvårdsreglering och säkerställer att sektorns rättsliga krav (sekretess, patientdata, EHDS) omsätts i praktiken.

Rita in diagrammet här