Ansvar och roller inom Samordnad identitet och behörighet

På den här webbsidan beskriver vi ansvar och roller som de ser ut i dag. Framåt arbetar vi vidare med att konkretisera vad varje roll innebär, och vilket stöd olika aktörer kan få inför en anslutning till Samordnad identitet och behörighet.

Regler och ramverk bygger på avtal

Samordnad identitet och behörighet kommer i huvudsak att bygga på avtal och gemensamma överenskommelser, inte på nya lagar och förordningar.

Det ger flera fördelar:

• Snabbare införande: vi kan komma igång utan att invänta långa lagstiftningsprocesser.
• Flexibilitet: när teknik och behov förändras kan vi justera regelverk och krav genom att uppdatera avtal och riktlinjer.
• Tydlighet: aktörerna vet vilka villkor som gäller när de ansluter sig till lösningen.

Alla som ansluter till Samordnad identitet och behörighet måste förstås följa gällande lagstiftning, till exempel inom informationssäkerhet, sekretess och dataskydd. Avtalen kompletterar lagstiftningen genom att tydliggöra ansvar, krav och roller i just den här lösningen.

Alla behöver ta ett aktivt ansvar

Samordnad identitet och behörighet ska fungera nationellt och vara sektorsövergripande. Det är viktigt att den kan skalas upp på ett smidigt sätt. Ansvaret kan därför inte ligga på en enda aktör. Samordnad identitet och behörighet bygger i stället på att

• Digg tar ett tydligt ledningsansvar
• organisationer som vill ansluta tar en aktiv roll i det fortsatta arbetet och tar ansvar för identiteter och behörigheter i egna verksamheter.

Roller i Samordnad identitet och behörighet

Ledningsaktör (Digg)

Ledningsaktören har det övergripande ansvaret för Samordnad identitet och behörighet. Diggs förslag är att Digg är ledningsaktör för Samordnad identitet och behörighet. Det innebär att vi sätter de övergripande spelreglerna:

• Vad som krävs för att få delta.
• Vilka tekniska krav som gäller.
• Hur systemen ska fungera tillsammans.

Arbetet sker i nära samverkan med andra aktörer, men med en tydlig nationell styrning.

Federationsoperatör

Samordnad identitet och behörighet kommer att bestå av flera federationer. Därför behöver vi federationsoperatörer.

Federationsoperatörerna förhåller sig till villkor, krav och specifikationer som ledningsaktören har tagit fram och tillämpar dessa på respektive federation. Federationsoperatören tar fram regler, processer, kataloger och stödfunktioner som behövs inom federationen.

Digg och E-hälsomyndigheten är exempel på federationsoperatörer.

Anslutningsoperatör

Vem säkerställer då att den som vill ansluta sig lever upp till kraven? Ledningsaktör och federationsoperatör sätter alltså ramarna, men det är anslutningsoperatörerna som kontrollerar att aktörer och tjänster uppfyller kraven innan de får ansluta.

Det kan till exempel handla om att

• kontrollera krav
• registrera uppgifter
• säkerställa teknisk anslutning.

Ett exempel på en anslutningsoperatör är Inera. Inera är ett digitaliseringsbolag som arbetar på uppdrag av kommuner och regioner.

En annan anslutningsoperatör är Digg eftersom Digg ansvarar för Sweden Connect. Sweden Connect är Sveriges gemensamma infrastruktur för e-legitimering.

Användarorganisation

I användarorganisationen finns användare, till exempel anställda eller uppdragstagare.

• Användarorganisationen ansvarar för användares identiteter och behörigheter.
• Användarorganisationen intygar information om användaren vid inloggning.

Användarorganisationen kan också äga tjänster som är relevanta inom Samordnad identitet och behörighet. Det kan vara tjänster organisationen skapar själv eller köper av en leverantör.

Ett exempel på en användarorganisation som har en tjänst är en region med sitt journalsystem. Andra kan behöva hämta information från journalsystemet och journalsystemet kan behöva hämta information från andra tjänster.