Så ska identitet och behörighet hanteras nationellt – modell och roller enligt Diggs rapport

Vård, skola och annan välfärd måste i dag använda sig av flera olika lösningar för att få tillgång till, och kunna dela, information med varandra. Det skapar extra administration och kan leda till både ineffektivitet och ökade säkerhetsrisker.

Regeringen har därför gett Digg i uppdrag att utveckla en sammanhållen infrastruktur för identitets- och behörighetshantering, som kan fastställa både vem som vill logga in och vad den får göra. Digg beskriver nu i en rapport hur infrastrukturen, som vi kallar Samordnad identitet och behörighet, kan se ut.

Rapporten En sammanhållen infrastruktur för identitets- och behörighetshantering

– Nu lägger vi grunden för en sammanhållen lösning där aktörer kan lita på varandras identiteter och behörigheter. Lösningen är en del av Ena, Sveriges digitala infrastruktur, säger Joakim Nyström, enhetschef på Digg.

Gemensamt ramverk, eget ansvar

En central slutsats i rapporten är att Samordnad identitet och behörighet ska vara en federation. Det innebär att olika aktörer samarbetar utifrån gemensamma regler och tekniska standarder, men att varje aktör behåller ansvar för sina egna system.

– Federation är ett sätt att kombinera gemensam styrning med lokal kontroll. Vi sätter ramarna, men det är många aktörer som behöver vara med och ta ansvar, säger Joakim Nyström.

Digg tar ledningsansvar

I rapporten slår Digg fast att Digg borde ha ledningsansvaret för lösningen. Det handlar bland annat om att hålla samman infrastrukturen på nationell nivå, fastställa gemensamma regler, krav och riktlinjer, tillhandahålla nödvändiga register och stödfunktioner och att samordna arbetet i vardag, kris och krig.

Regler och ramverk ska bygga på avtal

En annan viktig slutsats i rapporten är att infrastrukturen i huvudsak kommer att bygga på avtal och gemensamma överenskommelser, inte på nya lagar och förordningar.

– Genom att bygga på avtal kan vi vara mer flexibla och snabbfotade. Vi kan justera krav och arbetssätt när teknik och behov förändras, samtidigt som vi självklart följer lagar som redan finns. Det är också viktigt att tidigare investeringar kan återanvändas och integreras, annars riskerar införandet att upplevas som kostsamt och resurskrävande, säger Joakim Nyström.

Flera roller – ett gemensamt ansvar

Rapporten beskriver också juridiska roller som behövs i Samordnad identitet och behörighet. Förutom Digg som ledningsansvarig pekas bland annat följande roller ut:

• Federationsområdesansvariga, som samordnar aktörer inom ett område.
• Utfärdare av behörighetshandlingar.
• Förlitande parter, till exempel system och tjänster som använder intygen.

Arbets- och uppdragsgivare pekas inte ut i rapporten men är viktiga i infrastrukturen som ansvariga för identiteter och behörigheter i sin egen verksamhet.

– En viktig slutsats är att lösningen inte kan fungera om allt ansvar läggs på en aktör. Det krävs att fler tar aktivt ansvar och gör sin del. Nu ska vi tydliggöra vad som ingår i rollerna, säger Joakim Nyström.

Nästa steg

Nu väntar Digg på ett nytt uppdrag från regeringen. Men med rapporten som grund ser vi att ett fortsatt arbete bör vara att

• konkretisera vad de olika rollerna innebär i praktiken
• ta fram stöd och vägledning för aktörer som vill ansluta
• förbereda tester och införande tillsammans med andra aktörer.

Mer information

Informationen om arbetet kommer att uppdateras löpande på digg.se.

• Samordnad identitet och behörighet
  
• Ena – Sveriges digitala infrastruktur

Samtidigt som Digg lämnade in sin rapport till regeringen redovisade också E-hälsomyndigheten sitt närliggande uppdrag, att ta fram och tillgängliggöra en sammanhållen infrastruktur för identitets- och behörighetshantering inom hälso- och sjukvården.

E-hälsomyndighetens nyhet: Nationell lösning för säker åtkomst möjliggör datadelning i vården (ehalsomyndigheten.se) Länk till annan webbplats.

Arbetet har skett i nära samverkan mellan Digg, E-hälsomyndigheten och flera andra aktörer.