”Sambi förenklar, men kompromissar inte med säkerheten”

14 nov, 2012

Beräkningar har gjorts av en del kommuner där man kommit fram till att en orimligt stor del av arbetstiden läggs på att logga in i olika system, bland personal som arbetar inom vård och omsorg. Det är en verklighet som innebär en rad utmaningar och samtidigt något som Sambi kan skapa en grund för att förbättra. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) bjöd in till en dialog om hur åtkomst till system och tjänster kan förenklas, utan att samtidigt kompromissa med säkerheten. Läs ett referat från dagen här.

(Bild: CC BY 2.0Eschers sketching hands @entapir” av Kalexanderson)

Sambi är en federativ infrastrukturlösning för hela hälso-, vård- och omsorgssektorn och just nu är projektet i utvecklingsfasen. Syftet med dialogen som anordnades av Apotekens Service, Center för eHälsa i samverkan och .SE (Stiftelsen för Internetinfrastruktur) den 8 november var att bjuda in intressenter i arbetet och få värdefull återkoppling på Sambis vidare arbete.

Förmiddagen bestod av presentationer av status i projektet och en paneldiskussion mellan branschrepresentanter om användarperspektivet, behov, nytta och kravbild för Sambi. På eftermiddagen splittrades deltagarna upp i grupper med fokus på fem olika diskussionspunkter och då gavs möjligheten att göra djupdykningar som ledde till ovärderlig feedback för Sambis vidare utveckling.

Statusrapport från Sambi

Inledningsvis presenterade Åke Rosandher från CeHis, Stefan Larsson och Håkan Josefsson från Apotekens Service Sambis bakgrund, status och planen för vidare arbete.

–    Sambi förenklar, men kompromissar inte med säkerheten, öppnar Åke Rosandher, chef på Center för eHälsa i samverkan.

Under våren 2012 genomförde Apotekens Service tillsammans med Center för eHälsa i samverkan och .SE ett projekt för att utforska möjligheterna med och effekter av en gemensam identitets- och behörighetsfederation. Uppdraget var att ta fram en tjänstebeskrivning avseende en identitets- och behörighetsfederation för hälso-, vård- och omsorgssektorn. I slutrapporten presenteras ett lösningsförslag samt direktiv för genomförande.

Sambi är resultatet av vårens projekt. I rapporten fastslogs det att finns ett stort behov av en nationell federationslösning för hela hälso-, vård- och omsorgssektorn och Sambi samlar medlemmar, användarorganisationer och e-tjänsteleverantörer, i en gemensam nationell infrastrukturlösning för identiteter och behörighetsstyrande attribut. Centralt i federationen är att medlemmarna ska kunna lita på varandras användaridentifiering.

Målet är att skapa en säker och användbar och ändamålsenlig lösning för professionen, och på sikt även för invånarna. Drivkraften är att det finns ett behov av infrastrukturlösningar som garanterar patientsäker, kostnadseffektiv och enkel åtkomst av e-tjänster både inom och mellan organisationer. Det gemensamma tillitsramverket är lika för alla. Samtliga medlemmar i federationen ska kunna uppfylla a säkerhetskraven och tillitsnivån är till en början baserat på tillitsnivå 3 (LoA3) – med vissa branschspecifika preciseringar.

Just nu befinner sig Sambi i utvecklingsfasen och den 31 januari avslutas projektet och då ska samtliga delar finnas på plats, så som anslutningsavtal, tekniska specifikationer, administrativa rutiner, tillitsramverk, legala aspekter, attributspecifikationer samt förtydligande av affärsmodell.

Därefter ska Sambi övergå i en permanent verksamhet som ägs av Apotekens Service och Center för eHälsa i samverkan. Redan vid årsskiftet 2012/2013 välkomnar Sambi intressenter att anmäla intresse för att bli en av pilotprojekten som testar och utvärderar tjänsten.

Behov och nytta med Sambi

Leif Augustsson på Praktikertjänst, Karin Bengtsson på IT-Forum i Kommunförbundet Stockholms Län och Stefan Ingelgård på Kronans Droghandel samtalade om vilka behov som finns inom hälso-, vård- och omsorgssektorn samt vilka de största utmaningarna är.

En av de stora utmaningarna, menade Karin Bengtsson, är tillit. Utan hög tillit mellan medlemmarna i federationen, samt till federationen i stort, är framgångsfaktorer för att Sambi ska lyckas. Det är därför av största vikt att tillitsramverket som just nu håller på att utformas blir genomarbetat och väl förankrat hos federationens intressenter. Tilliten kommer att öka om alla kan enas kring gemensamma krav, och exempelvis basattribut som är branschspecifika.

Utöver det har många redan gjort stora investeringar i till exempel HSA, men panelen menade att bredden behövs och Sambi är en vidareutveckling som inte utesluter användningen av nuvarande lösningar. Det finns inget entydigt svar på hur mycket arbete som behövs inför en anslutning till Sambi men IT-Forum har gjort en penganalys som visade att man på kommunalnivå skulle spara stora kostnader om man satsade på en identitets- och behörighetsfederation, samtidigt skulle säkerheten förbättras.

Summering från diskussionerna i mindre grupper

För Sambi är det viktigt att diskutera den gemensamma identitets- och behörighetsfederationens arbete och utveckling och eftermiddagen vigdes därför till fem diskussionspunkter som dagens deltagare fick välja mellan. Frågeställningar för eftermiddagens diskussioner var:

  1. En federation för vad och vem? (Exempel på frågor: Lämpliga mål för Sambi? Nytta med Sambi – för vem? För vilka tjänster och medlemmar, och hur ska styrningen av Sambi se ut?) Diskussionen leddes av Ylva Hambraeus Björling, Apotekens Service.
  2. Teknik och arkitektur. Diskussionen leddes av Thomas Nilsson, Certezza.
  3. Vad behöver ni för att komma i gång och när är ni redo? (Exempel på frågor: Tillströmning till Sambi – hur får vi igång den? Vilken hjälp/information vill ni ha från Sambi?). Diskussionen leddes av Håkan Josefsson, Apotekens Service.
  4. Tillit till identiteter och attribut. (Exempel på frågor: Kan vi använda E- legitimationsnämndens tillitsramverk? Hur ska granskning av medlemmarnas efterlevnad ske?) Diskussionen leddes av Stefan Larsson, Apotekens Service.
  5. Gemensamma attribut i federationen för hela hälso-, vård- och omsorgssektorn? Diskussionen leddes av Fredrik Fehn, SIS.

Sammanfattning: En federation för vad och vem?

  • Federationen måste definiera miniminivån som alla ska leva upp till vad gäller attribut.
  • Olika tjänster kan anslutas i olika takt.
  • Säkerhetsnivå 3. Högre krav än dagens bank-id-lösningar. Nivån sätts av lagarna.
  • Säker autentisering.
  • Tvåfaktor-autentisering.
  • Hårda certifikat/sms.
  • Sårbarhet – tillgänglighet + korrekthet.
  • Vad är operatörens ansvar? Anslutning, medlemsregister, anvisningstjänst.
  • Oberoende granskare.
  • Styrning: ägare, operatör och medlemsforum som driver utvecklingen framåt.

Sammanfattning: Teknik och arkitektur

  • De tekniska specifikationerna behöver bli tydligare (mer detaljerade) och kanske något fler (exempelvis nämndes en önskan om SAMLp).
  • Det finns en klar poäng att göra vägledning/tillämpningsanvisning av de delar i tillitsramverket som exempelvis skall omsättas i teknisk konfiguration.
  • Vidare är det en önskan att bryta ut vad som kan användas som teknisk kravställning (ex eGov2 och saml2int).
  • Anvisningstjänsten (discovery) behöver tänkas igenom.
  • Slutligen kan konstateras att det var väldigt mycket diskussioner om attribut.

Sammanfattning: Vad behöver ni för att komma i gång och när är ni redo?

  • Hitta samverkanspunkterna.
  • Verksamhetsnyttan måste kommuniceras.
  • Såväl kommuner som leverantörer måste vara med – när den kritiska massan är med så är det i rullning.
  • Väldigt viktigt att få med både verksamhetsfrågorna och IT-frågorna – samtidigt. Det får inte hamna mellan stolarna där, eller på endast ett av borden för den delen.
  • Innan projektet avslutas bör en rad goda exempel kunna lyftas fram. Det måste bli mer än en bunt papper.
  • Knyt ambassadörer till Sambi.
  • Viktigt att särskilja inloggningsmetod och databaser, t ex HSA. Valfriheten hur man vill lägga upp det är upp till organisationen.
  • Skarpa case, brett tilltal till kommunerna.
  • Hänvisa till den nationella e-hälsostrategin.
  • Gå på landstings- och kommundirektörerna, samt de stora privata vårdaktörerna.
  • Kommunerna efterlyser det breda perspektivet, deras incitament att gå med i Sambi är lågt eftersom de berörda redan kör SITHS. Viktigt att trycka på att det går bra att köra SITHS i Sambi.
  • Tydliga tekniska specifikationer efterfrågas.
  • Inledande hjälp med kravställning mot till exempel leverantörer så att de lösningar som beställs nu passar i Sambi.
  • Hjälp med planering efterfrågas, när ska vi göra vad och med vilken typ av resurser?
  • Signalera tydligt att Sambi är synkroniserat med andra initiativ och strategier inom landsting och kommuner.
  • Tänk på att signalera roadmap för framtiden, både i ett kortare perspektiv och längre fram.

Sammanfattning: Tillit till identiteter och attribut

  • Återanvänd befintliga strukturer (HSA/SITHS/Säkerhetstjänster 2.0)
  • Säkerhetstjänster 2.0 kan direkt nyttjas federativt via Sambi.
  • Det finns mycket erfarenheter och kompetens kopplat till HSA och SITHS och det måste man ta tillvara inom Sambi-projektet.
  • Öppna för mångfald – olika tekniska lösningar som möter samma kravnivå
  • Sambi ska byggas på standarder och var produkt- och leverantörsoberoende.
  • Uppfylls kraven i Sambis tillitsramverk kan olika identifieringslösningar användas.
  • Administrativa rutiner vid kortutgivning – utmaningar med reservkortshantering
  • En utmaning för främst mindre organisationer och organisationer där man är utspridd på många mindre geografiska enheter.
  • Sambi måste baseras på ett minimum av gemensamma attribut – inga attribut som inte behövs för behörighetsstyrning
  • Viktigt att säkerställa riktighet och aktualitet på attributen – tydliga krav kring detta krävs.
  • Sambi kan inte lösa befintliga strukturella problem med registerkvalitet inom vården
  • Det man måste göra är att ställa tydliga krav och sedan genom uppföljning säkerställa att dessa efterlevs,
  • även användarorganisationerna borde granskas/följas upp.

Sammanfattning: Gemensamma attribut i federationen för hela hälso-, vård- och omsorgssektorn?

  • Tjänster och verksamhetsområden bör definieras för federationen Sambi.
  • Utgå ifrån existerande lagar inom området, t ex Patientdatalagen, socialtjänstlagen, PUL, Apoteksdatalagen.
  • Det krävs en problematisering kring behörighetssyn, till exempel utifrån roller.
  • Beakta strukturer i tjänster såsom 1177.se.
  • Ta hänsyn till att rollbeskrivningar ser olika ut mellan t ex kommuner och landsting.
  • HSA/SITHS attributen utgör en grundstomme, se hur man kan bygga vidare.
  • Se om man kan skapa enhetliga attributstrukturer för olika kommunala tjänster.
  • Gruppera attribut och arbeta minimalistiskt.
  • Använd organisationsstrukturer såsom EK.
  • Ta hänsyn till olika standarder, både nationella och internationella.
  • Ta hjälp av socialstyrelsen för begreppsförtydligande.

Ylva Hambraeus Björling, vd på Apotekens Service, avrundar dagen:

–    Det är jättekul att det är så många som hörsammat denna möjlighet till dialog och nu ska vi försöka realisera alla kloka tankar och synpunkter.

Här kan du se den övergripande PowerPoint-presentationen från den 8 november 2012.