1. Aktörer och avtal

Namnlöst diagram-1763121261008

1.1. Hypoteser som behöver dryftas och befästas eller avfärdas (tekniskt, organisatoriskt och juridiskt)

  1. Utfärdande av behörighetshandling, teknisk förmedling av identitets- och behörighetshandlingar, samt behörighetskontroll av förlitande part kan ansvarsmässigt regleras separat från det lagrum som reglerar det faktiska informationsutbytet mellan federationsmedlemmar.
  2. Legala krav gällande en parts anförskaffande och hantering av  identitets- och behörighetshandlingar regleras inom respektive samverkansområde
  3. Överenskommelser gällande krav inom informationssäkerhet och dataskydd regleras via lagstiftning och/eller avtal inom respektive samverkansområde
  4. Federationsinfrastrukturen ger stöd för att tekniskt kunna representera en teknisk komponents kvalificering för ett egenskapsintyg
  5. Federationsområdesansvarig koordinerar behov av egenskapsintyg med dels samverkansområdesansvariga som etablerat samverkan via den federationsområdesansvarige
  6. Ledningsaktören koordinerar att liknande behov av egenskapsintyg inom flera federationsområden koordineras och om möjligt återanvänder samma egenskapsintyg


2. Aktörer, ansvar och tekniska förmågor

Copy of Namnlöst diagram-1763121261008

Översiktsvy över den organisatorisk och tekniska infrastrukturen inom Samordnad identitet och behörighet


3. Organisatorisk infrastruktur

  1.  Ledningsaktör
    1. Ansvarar för förvaltning av avtal, överenskommelser , processer och specifikationer i samverkan med federationsområdesansvariga
    2. Styr och reglerar den federativa infrastrukturen för identitets- och behörighetshantering via gemensamma avtal, överenskommelser, processer och specifikationer.

  2. Federationsområdesansvarig
    1. Ansvarar för realisering av federationsinfrastruktur inom ett på något sätt avgränsat område (sektorer eller verksamhetsområden).
    2. Ansvarar för att säkerställa att områdets federationsmedlemmar har möjlighet att via befintliga eller nya anslutningsoperatörer kan ansluta deras tekniska komponenter
    3. Tillser att en federationen kan realiseras via en federationsoperatör - befintlig eller ny
    4. Tillser att nödvändiga egenskapsintyg för att möta federationsområdets behov finns - befintliga eller nya

  3. Federationsoperatör
    1. Ansvarar för att tillhandahålla ett tillitsankare som uppfyller de krav som avtalats eller övernskommits med federationsområdesansvariga 
    2. Ansvarar för att nödvändiga egenskapsintyg kan nyttjas för tillitskedjor etablerade via federationsoperatörens tillitsankare
    3. Ansvarar för att tillhandahålla en uppslags- och verifieringstjänst för att slå upp federationsmedlemmars metadata och verifiera obrutna tillitskedjor mellan tekniska komponenter

  4. Egenskapsmärkesägare
    1. Ansvarar för definition, tolkning, utformning och utfärdande av egenskapsintyg
    2. Erbjuder federationsmedlemmar granskning av tekniska komponenter gentemot kraven för egenskapsintygt, och därefter, möjlighet att tilldelas märket.

  5. Anslutningsoperatör
    1. Ansvarar för att erbjuda parter att granskas gentemot federationsområdets anslutningskrav och att avtala om att bli federationsmedlem
    2. Ansvarar för att verifiera och intyga metadata om federationsmedlemmars tekniska komponenter

  6. Federationsmedlem
    1. Ansvarar för att metadata om federationsmedlemmens anslutna tekniska komponenter är korrekta vid var tidpunkt
    2. Ansvarar för att över tid garantera efterlevnad gentemot de krav som krävs för att tilldelas dem, samt bevisa detta enligt de regelverk som satts upp av respektive egenskapsintygsägare
    3. Ansvarar för att säkerställa att den databehandling, i relation till den inom federationens reglerade hantering av identiteter och behörigheter, följer avtal och överenskommelser

  7. Samverkansområdesansvarig
    1. Ansvarar för att publicera och förvalta interoperabilitetsspecifikationer för, och anslutning till, de digitala tjänster som erbjuds inom samverkansområdet.
    2. Samverkansområdesansvarig ansvarar för att för samverkansområdet nödvändiga egenskapsintyg  etableras. Dessa kan till exempel reflektera en komponents legala och kommersiella möjlighet att samverka via specifika digitala tjänster.

3.1. Utvikning kring federationsområdesansvarig, samverkansområdesansvarig, m.fl.

I Diggs RK-rapport infördes den nya rollen federerationsområdesansvarig. Min tolkning av rollen som den beskrivs i rapporten är att den framförallt ska ansvara för behovet av federationsinfrastruktur för digital samverkan inom avgränsade verksamhetsområden eller kanske samhällssektorer. I detta ansvar ingår att tillse behoven av utformning av behörighetshandlingar (attributprofiler) för att behörighetskontroller ska kunna genomföras. Det ingår även att tillse att det finns egenskapsintyg som samverkande parters tekniska komponenter kan kvalificeras för, i syfte att uppfylla behov ställda av lagar, förordningar, föreskrifter, och överenskommelser inom federationsområdet. 

I Diggs RK-rapport, och inom arbetet med samordnad identitet och behörighet saknas rollen samverkansområdesansvarig. Denna roll innehas av en digital tjänsts förlitande part, eller av någon tredje part utsedd av förlitande parter inom ett samverkansområde. 

Rollerna och ansvarsfördelningen mellan dem är otydlig. Här följer ett antal påståenden, vilka behöver diskuteras vidare:

  1. Hur behörighetskontroller utförs för samverkan mellan parter regleras inom respektive samverkansområde, av samverkansområdesansvarig.
    1. Samarbetsområdesansvarig kan och bör peka på attributprofiler, attributsdefinitioner, profileringar och mönster som ingår i Samordnad identitet och behörighet i sin reglering.
  2. Federationsområdesansvarig bör ansvara för att nya anslutningsoperatörer kan etableras.
    1. Respektive samverkansområdesansvarige bör tillse att samverkansområdets parter kan ansluta till Samordnad identitet och behörighet.
  3. Federationsområdesansvarig bör ansvara för att agera egenskapsintygsägare för egenskaper som behöver återanvändas mellan olika samverkansområden federationsområdesansvarige stödjer.
  4. Ledningsaktören bör samordna och förankra nationella attributdefinitioner, samt facilitera publicering av attributprofiler.
  5. Ledningsaktören bör antingen själv agera egenskapsintygsägare för egenskaper som behöver kommuniceras inom flera federationsområden och mellan federationsområden, eller tillse att någon annan part tar egenskapintygsägarrollen för dessa egenskapsintyg.


Alternativa uppdelningar av aktörer och ansvar behöver utredas då den ovan beskrivna uppdelningen inte alls diskuterats eller förankrats inom den operativa arbetsgruppen och risken är att vi skapar en nationell teknisk infrastruktur, men cementerar en fragmentiserad flora av federationsområden och inte ger ett ändamålsenligt stöd till framtida digitaliseringsbehov i samhället i stort.


3.2. Ombud / Agenter

Aktörer som verkar i de roller som definierats under "Roller och Ansvar" ovan kan realisera sina åtaganden genom agenter och ombud.. Realisering behöver sedan naturligtvis inte ske i egen regi, utan kan upphandlas av leverantör. Ansvaret ligger dock alltid kvar på ursprunglig aktör.


3.3. Exemplifiering Nationella läkemedelslistan


  1. Ledningsaktör - Digg
  2. Federationsområdesansvarig - EHM
  3. Federationsoperatör - Digg
  4. Egenskapsintygsägare - ?????
  5. Anslutningsoperatör - Inera, Internetstiftelsen
  6. Federationsmedlem - EHM, Vårdgivare, Apotek, samt ombud och tjänsteleverantörer till vårdgivare eller apotek (tex Inera)
  7. Samverkansområdesansvarig - EHM

3.4. Exemplifiering Ekonomiskt bistånd (via GIF)

GIF står för gemensam informationsförsörjning och är en plattform som är tänkt ska realisera många framtida verksamhetsprocesser där kommuner och myndigheter behöver samverka kring handläggning av invånarärenden. 

Tillämpningen ekonomiskt bistånd består av två steg:

  1. Invånare begär vi en kommunal e-tjänst att information från myndigheter laddas upp på ett eget utrymme i kommunens handläggningssystem.
    1. Förfrågan från e-tjänsten skickas till GIF (behörighetsintyg för e-tjänsten enligt nationell OAuth-profilering, client credentials flow)
    2. GIF skickar förfrågan till berörda myndigheter (behörighetsintyg för GIF enligt nationell OAuth-profilering, client credentials flow) - åtta myndigheter i dagsläget.
    3. GIF transformerar underlaget för att följa interoperabilitetsspecifikationen
    4. GIF lägger informationen i invånarens egna utrymme hos kommunen
  2. Kommunens biståndshandläggare behandlar ärendet
    1. Kommunens handläggningssystem kan inhämta myndigheternas underlag från invånarens egna utrymme 


  1. Ledningsaktör: Digg
  2. Federationsområderansvarig - ?????
  3. Federationsoperatör - Digg
  4. Egenskapsintygsägare - ????? 
  5. Anslutningsoperatör - Inera
  6. Federationsmedlem - 290 kommuner, 8 myndigheter (Inera är systemleverantör, men inte part i samverkan)
  7. Samverkansområdesansvarig - SKR


4. Grund för samverkan - där tillit kan vara en delkomponent

Tillit i denna kontext handlar om att en part som är ansvarig för viss information  känner sig trygg med att en annan part får tillgång till informationen, hanterar den, tillåts ändra i, eller komplettera den. Grunden för tilliten regleras dels av de lagar som gäller för varje fall, dels av policybeslut kring lagars tolkning och tillämpning. Utöver detta kan samverkande parter ytterligare stärka de tillitsstärkande kraven genom överenskommelser.

I många fall krävs inte någon grund för tillit mellan parter utan samverkan regleras av en skyldighet att dela information - En fråga är om denna skyldighet automatiskt gäller även digital samverkan, eller om informationsansvariga kan ställa extra krav för digital samverkan?

Då "tillit" som begrepp av många tolkas som den subjektiva känsla av trygghet envar kan känna är det kanske olyckligt att använda här. Dock så är begreppet "tillitsramverk" väl etablerat i samverkanssammanhang. Vi behöver besluta vilka uttryck som kan användas och hur de ska tolkas

Jag väljer här att fortsatt i texten använda begreppet "grund för samverkan" för att inte skapa missförstånd. Grund för samverkan definieras som lagar och förordningar, eventuella myndighetsföreskrifter som mer precist reglerar myndigheterna ansvarar för, samt eventuella överenskommelser mellan samverkande parter om att ställa ytterligare tillitsstärkande krav på parter som deltar i viss samverkan - ofta reglerat via avtal.

Grund för samverkan = lagar + förordningar + föreskrifter + överenskommelser

Hur säkerställer man då att en samverkande part uppfyller sin del för att skapa en grund för samverkan? Lagar, förordningar och föreskrifter förutsätts följas och om parter upptäckts inte uppfylla krav inom dessa områden kan de finnas straffrättsligt ansvariga och tvingas betala böter. Lagar inom vissa samverkansområden kräver att extern revision eller certifiering av verksamheter sker innan de tillåts. Exempel på sådan granskning är CE-märkning av vissa produkter, NMI och MDR, utgivning av e-legitimationer enligt eIDAS, ackreditiering för anslutning till det statliga intranätet SGSI. I dessa fall förlitar man sig inte på att parter har de förmågor som krävs utan man genomför olika grader av efterlevnadskontroller.

4.1. Grund för samverkan som nyttjar Samordnad identitet och behörighet

Lagar som gäller den faktiska samverkan som sker bygger ofta på specifika lagrum för dessa samverkansområden. Centrala lagrum för hantering av behörighetshandlingar och behörighetskontroller i samband digital samverkan är bland annat dataskyddsförordningen GDPR och Offentlighets- och sekretesslag 2009:400

Under 2026 börjar NIS 2-förordningen gälla. Detta kommer utöka kraven på viktiga och väsentliga verksamhetsutövare förmågor inom cybersäkerhet, inklusive informationssäkerhet och dataskydd. NIS 2 öppnar för tillsynsmyndigheter att begära revisioner av både privata och offentliga verksamheter inom digital infrastruktur som klassas som väsentliga, enligt 4 kap. 8 § i förslaget till cybersäkerhetslag. Här behövs det en grundlig juridisk kartläggning.

Utöver legala anledningar till att grund för samverkan uppfylls kan samverkande parter sinsemellan komma överens om att parter inom ett specifikt, avgränsat samverkansområde antingen ska uppfylla en högre nivå av säkerhet, eller att de ska bevisa sin lagefterlevnad och sina förmågor genom efterlevnadskontroll. Sådana överenskommelser är frivilliga och kan inte åläggas parter om samverkan i sig krävs enligt lag.

4.2. Tillitshantering - när det finns krav eller överenskommelser kring bevisade egenskaper

Ett egenskapsintyg är en utfästelse en part gör gällande en egenskap kopplad till en teknisk komponent.

Egenskapsintyg kan beskriva att en eller flera av följande egenskaper hos en teknisk komponent:

  1. den uppfyller vissa krav inom  informationssäkerhetsområdet.
  2. den uppfyller vissa krav inom dataskyddsområdet
  3. den är tillåten att användas inom ett visst federationsområde
  4. den är tillåten att användas inom ett visst samverkansområde
  5. ...

För mer kostnadseffektiv (mindre tids- och resurskrävande) etablering av samverkan bör någon betrodd aktör bör ta på sig uppdraget att agera egenskapsintygsägare för egenskapsintyg som kan nyttiggöras inom flera federationområden. Det naturliga vore att detta föll på en statlig myndighet eller en aktör som redan idag stora delar av samhället har stor tilltro till. Exempel på sådana aktörer skulle kunna vara Internetstiftelsen, Myndigheten för civilt försvar, PTS, eller Digg. Exakt hur ett sådant ansvar skulle regleras och implementeras är oklart. Den hitintills prövade ansatsen var att Digg skulle vara egenskapsintygsansvarig för nationella märken och att de skulle använda Internetstiftelsen och Inera som ombud. Detta förfarande har, för nuvarande utformning av egenskapsintygshanteringen, visat sig svårframkomligt.

Ett alternativ vore att implementera nuvarande federativa kvalificerings- och granskningsförfaranden rakt av som egenskaptsmärken för att etablera tillit till hantering av identiteter och behörigheter även för samverkan i den nya federationsinfrastrukturen. Dessa gamla strukturer finansieras redan idag av de granskade parterna och de är etablerade. Nyttoeffekter från att konsolidera dagens hantering i nya jämkade märken uteblir, men å andra sidan blir det ingen etableringskostnad.



  • No labels