Vägledning för digital samverkan, version 2.0 - E-delegationen
Vägledning för digital samverkan, version 2.0 - E-delegationen
Vägledning för digital samverkan, version 2.0 - E-delegationen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Vägledning</strong> <strong>för</strong><br />
<strong>digital</strong> <strong>samverkan</strong><br />
<strong>Vägledning</strong> från E-<strong>delegationen</strong><br />
Version <strong>2.0</strong>
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Innehålls<strong>för</strong>teckning<br />
1 Inledning ........................................................................................................................ 3<br />
1.1 Syfte och mål ........................................................................................................... 3<br />
1.2 <strong>Vägledning</strong>en i sitt sammanhang............................................................................. 3<br />
1.3 Läsanvisng .............................................................................................................. 4<br />
1.4 Avgränsningar ......................................................................................................... 4<br />
1.5 Målgrupp ................................................................................................................. 4<br />
1.6 Genom<strong>för</strong>ande......................................................................................................... 5<br />
2 Introduktion .................................................................................................................... 6<br />
2.1 Vad menar vi med <strong>digital</strong> <strong>samverkan</strong> ..................................................................... 6<br />
2.2 Spelplan <strong>för</strong> <strong>samverkan</strong> ........................................................................................... 6<br />
2.3 Perspektiv <strong>för</strong> att säkerställa <strong>digital</strong> <strong>samverkan</strong> ....................................................... 6<br />
2.4 Samverkan mellan oberoende och självständigt styrda myndigheter ...................... 8<br />
2.5 Utmaningar med <strong>digital</strong> <strong>samverkan</strong> ......................................................................... 8<br />
2.6 Kritiska framgångsfaktorer <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> ..................................................... 9<br />
3 Principer ...................................................................................................................... 10<br />
4 Konceptuell modell <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> .................................................................... 14<br />
4.1 Inledning ................................................................................................................ 14<br />
4.2 Tjänst ..................................................................................................................... 15<br />
4.3 Närmare om semantisk interoperabilitet ................................................................ 16<br />
4.4 Närmare om teknisk interoperabilitet ..................................................................... 18<br />
4.5 Informationssäkerhet ............................................................................................. 22<br />
4.6 Organisatorisk interoperabilitet .............................................................................. 24<br />
4.7 Juridisk interoperabilitet ......................................................................................... 25<br />
5 Digital <strong>samverkan</strong> ........................................................................................................ 32<br />
5.1 Inledning ................................................................................................................ 32<br />
5.2 Kravfångst ............................................................................................................. 32<br />
5.3 Informationsmodellering ........................................................................................ 33<br />
5.4 Tjänsteutveckling ................................................................................................... 34<br />
5.5 Summering av stegen vid utveckling av en <strong>digital</strong> <strong>samverkan</strong>. .............................. 36<br />
6 Informationsutbytesöverenskommelse ........................................................................ 38<br />
6.1 Inledning ................................................................................................................ 38<br />
6.2 Avgränsning .......................................................................................................... 38<br />
6.1 Avtal som <strong>för</strong>utsättning <strong>för</strong> att tillhandahålla tjänster ............................................. 38<br />
6.2 Vad ett <strong>samverkan</strong>savtal brukar omfatta ............................................................... 38<br />
6.3 Vanliga avtalsmönster ........................................................................................... 38<br />
6.4 Parter ..................................................................................................................... 39<br />
6.5 Syfte och omfattning .............................................................................................. 39<br />
6.6 Servicedeklaration ................................................................................................. 39<br />
6.7 Stödfunktioner ....................................................................................................... 39<br />
6.8 Legala frågor ......................................................................................................... 39<br />
6.9 Användning av tjänsten ......................................................................................... 40<br />
6.10 Förvaltning ......................................................................................................... 40<br />
6.11 Priser och betalningsvillkor ................................................................................. 40<br />
6.12 Säkerhet och spårbarhet .................................................................................... 40<br />
6.13 Tjänster <strong>för</strong> öppen data (PSI) ............................................................................. 41<br />
1
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
7 Bilagor ......................................................................................................................... 42<br />
7.1 Begreppsdefinitioner .............................................................................................. 42<br />
7.2 Tillämpningsexempel 1 .......................................................................................... 42<br />
7.3 Tillämpningsexempel 2 .......................................................................................... 42<br />
7.4 Relevanta mallar .................................................................................................... 42<br />
2
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
1 Inledning<br />
1.1 Syfte och mål<br />
Det här är en av flera vägledningar och rapporter som tagits fram av E-<strong>delegationen</strong> <strong>för</strong> att<br />
stat, kommuner och landsting ska bidra till regeringens <strong>digital</strong>a agenda <strong>för</strong> Sverige. Syftet<br />
med vägledningen är att långsiktigt främja och öka samhällets <strong>digital</strong>a <strong>samverkan</strong>.<br />
<strong>Vägledning</strong>en ska bidra genom att höja vår flexibilitet och vår <strong>för</strong>måga att samverka. Den<br />
här <strong>samverkan</strong>s<strong>för</strong>mågan kallas även interoperabilitet (från engelskans interoperability).<br />
<strong>Vägledning</strong>en fokuserar på tre problemområden:<br />
1. Åtgärder for att stödja smidigt och rutinmässigt it-baserat informationsutbyte inom<br />
offentlig <strong>för</strong>valtning samt mellan offentlig <strong>för</strong>valtning och andra aktörer.<br />
2. Åtgärder <strong>för</strong> att möjliggöra återanvändning av redan insamlad information.<br />
3. Åtgärder <strong>för</strong> att säkerställa ett säkert informationsutbyte<br />
1.2 <strong>Vägledning</strong>en i sitt sammanhang<br />
<strong>Vägledning</strong>en är en del av en struktur <strong>för</strong> ökad <strong>samverkan</strong>s<strong>för</strong>måga i ett europeiskt och<br />
nationellt sammanhang med flera nivåer. Varje nivå har sina styrande strukturer och<br />
strategier. Helheten sträcker sig från europeiskt samarbete ned till bilateral <strong>samverkan</strong>. Den<br />
här vägledningen inriktas på nationell standardisering. I nästa led finns sektor<strong>samverkan</strong><br />
där ytterligare standardisering kan till<strong>för</strong>as, i sista ledet samverkar organisationer direkt.<br />
EU<br />
Sverige<br />
Digital agenda<br />
Digitala agendan ”IT i människans tjänst”<br />
Nationell e-strategi<br />
Sektor<br />
Organisation<br />
European<br />
Interop.<br />
Strategy<br />
European<br />
Interop.<br />
Framwork<br />
Nationell<br />
strategi <strong>för</strong><br />
Interoperabilitet<br />
<strong>Vägledning</strong><br />
<strong>för</strong> <strong>digital</strong><br />
<strong>samverkan</strong><br />
Sektor<br />
e-strategi<br />
Sektor<br />
Interop.-<br />
ramverk<br />
Organisation<br />
e-strategi<br />
…<br />
Organisation<br />
ramverk<br />
European<br />
Interop.<br />
Architecture<br />
Interop.-<br />
arkitektur<br />
Sektorarkitektur<br />
Organisation<br />
arkitektur<br />
FGS<br />
Sektorgemensamma<br />
specifikationer<br />
Organisation<br />
Tjänster<br />
Figur 1. <strong>Vägledning</strong>en <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> ingår i ett större sammanhang av styrande dokument<br />
3
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
På EU-nivå har flera arbeten påverkat utformningen av denna vägledning, bland annat<br />
European Interoperability Strategy (EIS), European Interoperability Framwork (EIF) och<br />
European Interoperability Architecture (EIA).<br />
På nationell nivå finns idag en statlig och en kommunal strategi med stora likheter.<br />
Regeringen har presenterat It i människans tjänst – en <strong>digital</strong> agenda <strong>för</strong> Sverige och Med<br />
medborgaren i centrum. Regeringens strategi <strong>för</strong> en <strong>digital</strong>t <strong>samverkan</strong>de stats<strong>för</strong>valtning.<br />
För kommuner och landsting finns Strategi <strong>för</strong> eSamhället<br />
Genom E-<strong>delegationen</strong> utvecklas utöver denna vägledning även ”Strategi <strong>för</strong><br />
interoperabilitet”, en interoperabilitetsarkitektur, flera <strong>för</strong>valtningsgemensamma<br />
specifikationer (FGS) och <strong>för</strong>valtningsgemensamma tjänster (FGT).<br />
Inom vissa sektorer finns sedan mer specifika styrningsstrukturer och styrdokument. Ett<br />
exempel är vården. Inom sektorn finns ett antal organisationer, såsom landsting, kommuner<br />
och <strong>för</strong>etag, som <strong>för</strong> sin egen styrning och utveckling har motsvarande styrningsstrukturer<br />
och styrdokument.<br />
1.3 Läsanvisning<br />
- Avsnitt 2 omfattar en introduktion till <strong>digital</strong> <strong>samverkan</strong>.<br />
- I avsnitt 3 presenteras styrande principer <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong>. Dessa principer ger stöd<br />
<strong>för</strong> kvalitetssäkring och ledning i vägvalsfrågor.<br />
- Avsnitt 4 visar övergripande konceptuell modell <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> och <strong>för</strong>klarar<br />
centrala begrepp.<br />
- Avsnitt 5 beskriver en modell <strong>för</strong> <strong>samverkan</strong> – steg <strong>för</strong> steg.<br />
- Avsnitt 6 beskriver de olika former av avtal som behövs <strong>för</strong> att reglera <strong>samverkan</strong> och<br />
vad de bör innehålla.<br />
- Avsnitt 7 innehåller bilagor med <strong>för</strong>djupningsmaterial (utvecklas senare).<br />
1.4 Avgränsningar<br />
<strong>Vägledning</strong>en beskriver samarbetet mellan olika verksamheter <strong>för</strong> att skapa <strong>digital</strong><br />
<strong>samverkan</strong> sinsemellan (arbetet i sig kräver givetvis även andra <strong>samverkan</strong>sformer).<br />
1.5 Målgrupp<br />
Målgruppen <strong>för</strong> denna vägledning är personal som arbetar med verksamhetsutveckling<br />
inom statliga myndigheter, kommuner och landsting samt <strong>för</strong>etag som har behov av <strong>digital</strong>t<br />
informationsutbyte med offentliga organisationer.<br />
Exempel på roller inom dessa organisationer som vägledningen vänder sig till är:<br />
- Verksamhetsutvecklare och verksamhetsarkitekter<br />
- Jurister och sakkunniga informationsspecialister<br />
- Systemanalytiker och system<strong>för</strong>valtare<br />
- IT-arkitekter och integrationsspecialister<br />
- Säkerhetsansvariga<br />
4
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
1.6 Genom<strong>för</strong>ande<br />
<strong>Vägledning</strong>en har utarbetats under hösten 2012 inom E-<strong>delegationen</strong>s arbetsutskott <strong>för</strong><br />
interoperabilitet.<br />
1.6.1 Arbetsgrupp<br />
I arbetet med att ta fram <strong>Vägledning</strong>en har följande personer deltagit: Anders Rydén<br />
(Lantmäteriet), Per-Anders Karlgren (Lantmäteriet), Per Nilsson (Skatteverket), Magnus<br />
Lingström (Transportstyrelsen), Rutger Langland (Skatteverket), Jan Lundh<br />
(Kammarkollegiet), Staffan Öhrberg (Försäkringskassan), Lennart Schölin<br />
(Transportstyrelsen), Jens Persson (Skatteverket), Per-Ola Niblaeus, Odd Sivertzen, Peter<br />
Lindvall, och Jan Sjösten, projektledare (E-<strong>delegationen</strong>s sekretariat).<br />
1.6.2 Referensgrupp och <strong>för</strong>farande<br />
<strong>Vägledning</strong>en har granskats genom en workshop med deltagare i E-<strong>delegationen</strong>s<br />
arbetsutskott <strong>för</strong> automatiserad <strong>samverkan</strong>, NIF, 2012-12-04. Synpunkterna har beaktats<br />
och inarbetats i vägledningen.<br />
1.6.3 Referensgrupp<br />
Följande personer ingick i referensgruppen: Anders Holmberg (Jordbruksverket), Andreas<br />
Löfberg (Migrationsverket), Birgitta Rydén (Lantmäteriet), Bo Nilsson (Boverket), Ewa<br />
Jerilgård (CeHIS), Gunnar Kartman (SKL, Karlstad Kommun), Gunnar Öquist<br />
(Transportstyrelsen), Göran Wijk (Försäkringskassan), Hans Ahlqvist (Arbets<strong>för</strong>mdelingen),<br />
Hans Lodin (Bolagsverket), Helena Nilsson (CeHIS),Lena Bengtsson (Lantmäteriet),<br />
Lennart Eriksson(CeHIS), Magnus Blomberg (Jönköpings kommun), Magnus Strömbrink<br />
(Lantmäteriet), Magnus Lingström (Transportstyrelsen), Maria Rydqvist (Boverket), Markus<br />
Olsson (Försäkringskassan), Mats Berggren (Riksarkivet), Mats Gahnström (SKL, Västerås<br />
Kommun), Mikael Jardbrink (Boverket), Per Granstrand (Bolagsverket), Roger Nylander<br />
(Försäkringskassan) Ulf Palmgren (SKLCesam), Viktoria Hagelstedt, (Bolagsverket).<br />
1.6.4 Viktiga begrepp<br />
En av utmaningarna kring <strong>digital</strong>iserad <strong>samverkan</strong> är att etablera en gemensam<br />
begreppsapparat. Gemensam <strong>för</strong>ståelse av begrepp behövs givetvis i varje specifik<br />
<strong>samverkan</strong> men också i arbetet med att åstadkomma en effektiv gemensam <strong>samverkan</strong>. De<br />
viktiga begrepp som används i denna vägledning finns i bilaga 7.1.<br />
5
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
2 Introduktion<br />
2.1 Vad menar vi med <strong>digital</strong> <strong>samverkan</strong><br />
Interoperabilitet handlar om att möjliggöra <strong>samverkan</strong> med andra parter. Med <strong>digital</strong><br />
<strong>samverkan</strong> menar vi vår <strong>för</strong>måga att knyta samman både verksamhet och teknik till <strong>digital</strong>t<br />
<strong>samverkan</strong>de tjänster <strong>för</strong> våra användare (medborgare och näringsliv). <strong>Vägledning</strong>en<br />
lägger tonvikten på frågor som möjliggör informationsdelning och informationsutbyte.<br />
2.2 Spelplan <strong>för</strong> <strong>samverkan</strong><br />
<strong>Vägledning</strong>en omfattar informationsutbyte mellan tre organisationstyper;<br />
1. myndighet (statlig, landsting, kommun) till myndighet<br />
2. myndighet till privatperson samt<br />
3. myndighet till <strong>för</strong>etag eller andra privata organisationer<br />
<strong>Vägledning</strong>en beskriver således inte hur informationsutbyte ska ske mellan två <strong>för</strong>etag eller<br />
<strong>för</strong>etag till privatperson. Fokus är informationsutbyte som innefattar minst en<br />
myndighetspart. Se nedanstående bild, där vägledningens omfattning markeras med den<br />
streckade linjen.<br />
Figur 2. <strong>Vägledning</strong>en omfattar <strong>digital</strong> <strong>samverkan</strong> där en eller flera offentliga aktörer deltar.<br />
2.3 Perspektiv <strong>för</strong> att säkerställa <strong>digital</strong> <strong>samverkan</strong><br />
Att samverka innebär att två eller flera parter arbetar tillsammans <strong>för</strong> att nå ett gemensamt<br />
resultat. För att lyckas måste man säkerställa <strong>för</strong>utsättningarna över både ansvars- och<br />
organisationsgränser. Tidigare fokuserade man ofta på de tekniska möjligheterna att koppla<br />
samman olika system. Men allt eftersom <strong>för</strong>ståelsen och kunskapen om området vuxit har<br />
6
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
den <strong>digital</strong>a <strong>samverkan</strong> utvidgats till att avse även de organisatoriska och rättsliga<br />
<strong>för</strong>utsättningarna. <strong>Vägledning</strong>en beskriver <strong>digital</strong> <strong>samverkan</strong> i fyra perspektiv:<br />
– Juridiskt Rättsliga frågor i samarbetet och själva utbytet men även med<br />
avseende på lagstiftning, <strong>för</strong>ordning, <strong>för</strong>eskrifter och civilrättsliga<br />
avtal.<br />
– Organisatoriskt Koordinerade processer där flera organisationer samverkar <strong>för</strong> att<br />
uppfylla ett eller flera överenskomna resultat. Avser även <strong>för</strong>mågan<br />
att anpassa den egna organisationen <strong>för</strong> extern <strong>samverkan</strong>.<br />
– Semantiskt Gemensam <strong>för</strong>ståelse av betydelsen av begreppen och<br />
informationsbeskrivningarna som används vid informationsutbyte.<br />
Förståelsen <strong>för</strong> begreppen gör att det är möjligt att säkerställa att<br />
informationsutbytet får avsedd effekt.<br />
– Tekniskt Förmågan att tekniskt kunna utbyta information och tjänster på ett<br />
säkert sätt, och med den kvalitet som överenskommits.<br />
Digital <strong>samverkan</strong> <strong>för</strong>utsätter att tre centrala roller samverkar vid informationsutbyte:<br />
- Konsumenten, som har behov av informationen och utnyttjar den<br />
- Producenten, som tillhandahåller informationen och ansvarar <strong>för</strong> dess kvalitet<br />
- Begreppsägaren, som ansvarar <strong>för</strong> definitioner av verksamhetens begrepp<br />
Figur 3. Interoperabilitet - <strong>digital</strong> <strong>samverkan</strong> med tre centrala roller.<br />
7
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
2.4 Samverkan mellan oberoende och självständigt styrda myndigheter<br />
Den svenska <strong>för</strong>valtningen är uppbyggd av oberoende och självständigt styrda myndigheter<br />
och kommuner, som var och en beslutar inom givna ramar om den egna verksamhetens<br />
organisation och om användningen av tekniska lösningar. Samverkan med andra<br />
myndigheter, <strong>för</strong>etag och medborgare är en viktig del i myndigheternas verksamhet. För att<br />
<strong>samverkan</strong> inom ett så komplext system som den svenska stats- kommun- och<br />
landstings<strong>för</strong>valtningen ska fungera, måste olika beroenden minimeras så långt möjligt.<br />
Denna vägledning beskriver hur nära <strong>samverkan</strong> mellan skilda verksamheter kan ske med<br />
ett minimum av beroenden. De beroenden som måste hanteras är gränssnitt i<br />
organisationsöverskridande processer och informationsgränssnitt.<br />
I praktiken betyder det att myndigheter, kommuner och landsting som samverkar kan<br />
fortsätta att arbeta i stor frihet när det gäller sättet att organisera den interna verksamheten<br />
och vid val av it-lösningar.<br />
2.5 Utmaningar med <strong>digital</strong> <strong>samverkan</strong><br />
Idag finns många exempel på <strong>samverkan</strong> mellan myndigheter och andra aktörer. Tekniskt<br />
fungerar de flesta bra men erfarenheterna visar att<br />
- standardiseringen och återanvändningen i många fall saknas,<br />
istället utvecklas nya beskrivningssätt och integrationsformer <strong>för</strong> varje specifikt<br />
informationsbehov, främst gäller det alltså rättsligt, semantiskt och organisatoriskt,<br />
- få begreppsdefinitioner är publika och enhetliga så att de kan återanvändas,<br />
- många myndigheter har inte själva en ensad syn på vad begreppen står <strong>för</strong> eller hur<br />
informationen ska struktureras,<br />
- svårigheterna att definiera gemensamma begrepp leder till merarbete och risk <strong>för</strong><br />
inkonsistenta modeller,<br />
- rättsliga läget är på flera sätt svårhanterligt. Dels lyder olika aktörer under olika lagar,<br />
dels görs olika tolkningar av lagstiftningen. Detta leder ibland till olika syn på krav vid<br />
utbyte av information vilket i sin tur kan hota informationssäkerheten <strong>för</strong> den enskilde,<br />
- finansieringsmodellerna i offentlig sektor inte har anpassats till regeringens <strong>digital</strong>a<br />
agenda eller samhällsutvecklingen i stort. En enskild offentlig verksamhet hindras ofta<br />
från att bidra till samhällets totala effektivisering då dagens finansieringsmodell inte kan<br />
om<strong>för</strong>dela medel från möjliga besparingar hos andra parter till den part där kostnaden<br />
<strong>för</strong> investeringen uppstår,<br />
- kostnaderna <strong>för</strong> den gemensamma infrastruktur som en <strong>digital</strong> <strong>samverkan</strong> fordrar inte<br />
ges samma <strong>för</strong>utsättningar i statsbudgeten som dess fysiska motsvarighet som<br />
exempelvis järnväg, landsväg och landsbygdsutveckling. Konsekvensen blir att alla<br />
investeringar i den mjuka infrastrukturen blir allt<strong>för</strong> kortsiktiga och osäkra.<br />
8
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
2.6 Kritiska framgångsfaktorer <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong><br />
Kritiska framgångsfaktorer (<strong>för</strong>utom utmaningarna ovan) <strong>för</strong> att lyckas med utveckling och<br />
<strong>för</strong>valtning av olika interoperabilitetslösningar, där identifierade nyttoeffekter verkligen<br />
uppfylls:<br />
- Ledningens tydliga och uthålliga stöd hos de <strong>samverkan</strong>de parterna.<br />
- Gemensamma begrepps- och informationsmodeller är <strong>för</strong>ankrade även internt inom<br />
organisationerna.<br />
- En långsiktig samordning av alla fyra <strong>samverkan</strong>sperspektiven mellan de <strong>samverkan</strong>de<br />
parterna.<br />
9
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
3 Principer<br />
Syftet med styrande principer är att stödja utvecklingen av <strong>för</strong>valtningsgemensamma<br />
lösningar. genom att tillhandahålla E-<strong>delegationen</strong>s arkitekturprinciper <strong>för</strong> en <strong>samverkan</strong>de<br />
e-<strong>för</strong>valtning. Dokumentet omfattar tre övergripande styrande principer, samt<br />
arkitekturprinciper <strong>för</strong> <strong>digital</strong>a möten, tjänste<strong>samverkan</strong> och säkerhet.<br />
Principerna nedan är en delmängd samt en kortare summering av de principer som gäller<br />
<strong>för</strong> en <strong>samverkan</strong>de e-<strong>för</strong>valtning. För att skapa spårbarhet till E-<strong>delegationen</strong>s<br />
arkitekturprinciper <strong>för</strong> en <strong>samverkan</strong>de e-<strong>för</strong>valtning har samma nummer <strong>för</strong> att identifiera<br />
respektive princip använts.<br />
Princip D3 Utveckla och använd gemensamma e-tjänster<br />
Princip D6 Ge en uppgift en gång<br />
Princip T1 Bestäm och tillämpa gemensamma begrepp, modeller och mönster<br />
Princip T2 Bygg tjänsteorienterat<br />
Princip T3 Hämta information vid källan<br />
Princip T5 Använd öppna standarder<br />
Princip S2 Ha rätt spårbarhet och sekretess<br />
Princip S6 Uppfyll rättsliga krav<br />
Nedan beskrivs principerna mer ut<strong>för</strong>ligt med en motivering och konsekvenser <strong>för</strong>knippade<br />
med principen 1 .<br />
D3 Utveckla och använd gemensamma e-tjänster<br />
Det kommer att behöva tas fram ett antal gemensamma e-tjänster. Exempel på sådana<br />
tjänster <strong>för</strong> privatpersoner och <strong>för</strong>etag är Svensk e-legitimation, Mitt personliga arkiv, Mina<br />
meddelanden, Mina fullmakter, Min ärendeöversikt och Min profil.<br />
Motivering<br />
Fördelarna med att återanvända gemensamma e-tjänster är att:<br />
- återanvändning ger minskade kostnader,<br />
- det finns ett utpekat ansvar <strong>för</strong> utveckling och <strong>för</strong>valtning<br />
- e-tjänsten kan användas <strong>för</strong> åtkomst (i <strong>för</strong>grunden eller i bakgrunden) från andra<br />
tillämpningar och andra e-tjänster.<br />
Konsekvenser<br />
För att kunna samverka kring gemensamma och generella e-tjänster krävs att:<br />
- olika intressenter tar på sig att utveckla och <strong>för</strong>valta sådana gemensamma tjänster,<br />
- vägledningar tas fram <strong>för</strong> hur sådana gemensamma tjänster på ett samordnat sätt ska<br />
möta användaren i olika <strong>digital</strong>a möten,<br />
1 Se E-<strong>delegationen</strong>s arkitekturprinciper <strong>för</strong> en <strong>samverkan</strong>de e-<strong>för</strong>valtning <strong>för</strong> hela beskrivningen av<br />
principerna.<br />
10
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
- drift av e-tjänster, inklusive lagring av gemensamma uppgifter sker på ett sätt som<br />
upprätthåller hög personlig integritet och<br />
- juridiska överväganden är utklarade.<br />
D6 Ge en uppgift en gång<br />
En uppgift ska endast behöva lämnas – till offentlig <strong>för</strong>valtning – en gång.<br />
Motivering<br />
En privatperson eller ett <strong>för</strong>etag ska bara behöva registrera sina uppgifter en gång, finns<br />
informationen inom offentlig <strong>för</strong>valtning ska den inte behöva efterfrågas flera gånger vid<br />
ärendehandläggning.<br />
Konsekvenser<br />
Bastjänster måste finnas <strong>för</strong> att tillhandahålla befintliga grunduppgifter om fram<strong>för</strong>allt fysisk<br />
person, juridisk person, fastighet, <strong>för</strong>etag och fordon.<br />
En e-tjänst, Min Profil, behövs <strong>för</strong> att lagra och tillgängliggöra användarens uppgifter, med<br />
åtkomst från alla <strong>för</strong>valtningsgemensamma tjänster.<br />
T1 Bestäm och tillämpa gemensamma begrepp, modeller och mönster<br />
För att kunna utveckla en <strong>samverkan</strong>de e-<strong>för</strong>valtning krävs att gemensamma begrepp,<br />
modeller och mönster 2 tillämpas <strong>för</strong> information som utbyts över organisationsgränser via<br />
bastjänster eller e-tjänster. Myndighetsinterna lagringsformat är i detta sammanhang inte<br />
relevanta och intressanta.<br />
Motivering<br />
Väldefinierade begrepps- och informationsmodeller är en <strong>för</strong>utsättning <strong>för</strong> en <strong>samverkan</strong>de<br />
e-<strong>för</strong>valtning och <strong>för</strong> att tillhandahålla information <strong>för</strong> extern vidare<strong>för</strong>ädling.<br />
Konsekvens<br />
Att upprätta och underhålla begrepps- och informationsmodeller kräver kontinuerliga<br />
insatser, men ger besparingar i framtida utvecklingsarbete.<br />
T2 Bygg tjänsteorienterat<br />
Information och funktioner som ska göras tillgängliga <strong>för</strong> <strong>samverkan</strong> ska tillhandahållas som<br />
tjänster. Sådana tjänster innebär lösa kopplingar och minskar beroenden mellan tjänster<br />
och gör dessutom beroenden explicita och synliga.<br />
Motivering<br />
Genom att exponera tjänster uppnås en lös koppling mellan producenter och konsumenter,<br />
där gränssnitten <strong>för</strong> tjänsterna blir vad som avtalas och definieras.<br />
2 Med mönster avses att återanvända strukturer och arbetssätt.<br />
11
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Bakomliggande verksamhets- och it-system göms och blir därmed irrelevanta <strong>för</strong> sådan<br />
<strong>samverkan</strong>.<br />
Den lösa kopplingen gör vidare att tjänsterna bli mer okänsliga <strong>för</strong> <strong>för</strong>ändringar, t.ex. då<br />
flera olika <strong>version</strong>er kan tillhandahållas och samexistera parallellt.<br />
Konsekvens<br />
Teknisk kompetens inom tjänsteorientering krävs av de parter som samverkar och av dem<br />
som har ansvar <strong>för</strong> <strong>samverkan</strong>sarkitekturen.<br />
Utvecklare av sådana tjänster är beroende av att test- och utvecklingsmiljöer samt testdata<br />
finns tillgängliga.<br />
Anvisningar behöver tas fram och <strong>för</strong>valtas över vilka tekniska gränssnitt som ska stödjas<br />
över tiden.<br />
Gränssnittskontrakt/tjänstekontrakt behöver <strong>för</strong>valtas.<br />
Det ska finnas en eller flera tjänstekataloger som <strong>för</strong>tecknar och beskriver de tjänster som<br />
kan erbjudas på ett enhetligt sätt, med tydlig beskrivning av tjänstens innehåll och<br />
<strong>för</strong>utsättningar.<br />
T3 Hämta information vid källan<br />
Huvudprincipen är att alltid hämta information vid källan, hos den som producerar och<br />
tillhandahåller information via bastjänster.<br />
Motivering<br />
Genom att hämta information vid källan säkerställs att utlämnande myndighet kan<br />
identifiera och logga vem som vill få tillgång till informationen.<br />
Konsekvens<br />
Informationsägaransvaret måste vara utrett och klarlagt. Källan till informationen behöver<br />
vara känd och tillgänglig. De organisationer som har information som efterfrågas av andra<br />
aktörer behöver tillgängliggöra den informationen. Det är den som ansvarar <strong>för</strong> källan som<br />
ska varsla om <strong>för</strong>ändrade uppgifter och fatta beslut om uppdateringar.<br />
T5 Använd öppna standarder<br />
När gränssnitt <strong>för</strong> information och tjänster utformas ska i <strong>för</strong>sta hand öppna standarder<br />
användas. En standards mognad och etableringsgrad behöver även beaktas <strong>för</strong> att valet av<br />
standard inte ska utgöra ett hinder <strong>för</strong> <strong>samverkan</strong>.<br />
Om lämpliga öppna standarder saknas ska etablerade branschstandarder användas.<br />
Proprietära, slutna standarder ska så långt det är möjligt undvikas.<br />
Valet av standarder ska inte inkräkta på <strong>samverkan</strong>de parters rätt att välja teknisk plattform<br />
<strong>för</strong> produktion eller konsumtion av tjänster.<br />
12
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Motivering<br />
Standardiserade gränssnitt sänker kostnader och bidrar till ökad återanvändning och en<br />
öppen marknad (jäm<strong>för</strong> med standardiserad spårbredd <strong>för</strong> järnväg, format på elektriska<br />
kontakter eller e-post). Öppna standarder kan användas fritt utan kostnader och<br />
avtalsmässiga begränsningar, och är där<strong>för</strong> att <strong>för</strong>edra.<br />
Konsekvens<br />
Beställare av tjänstegränssnitt behöver ställa krav på att plattformsoberoendet säkerställs<br />
genom praktiska tester.<br />
S2 Ha rätt spårbarhet och sekretess<br />
Informationssäkerhet i samband med elektroniskt informationsutbyte <strong>för</strong>utsätter att varje<br />
organisation tar ansvar <strong>för</strong> sin egen del i relationen, men också att vederbörlig hänsyn tas<br />
till behov och krav som behöver tillgodoses hos den eller dem man har relationen med.<br />
Motivering<br />
Det ska inte vara möjligt <strong>för</strong> obehöriga att ta del av informationen. All åtkomst som sker ska<br />
loggas.<br />
Konsekvens<br />
Spårbarhet säkerställs genom olika kontrollåtgärder i systemen, t.ex. genom loggning och<br />
oavvislighetsfunktioner.<br />
All integritetskänslig trafik som går över öppna nät behöver insynsskyddas via kryptering.<br />
Stark autentisering av användaren kan, utifrån informationsklassning och legala krav,<br />
krävas vid åtkomst.<br />
S6 Uppfyll rättsliga krav<br />
Funktioner och tjänster som tas fram ska vara <strong>för</strong>enliga med gällande rätt.<br />
Motivering<br />
E-tjänster ska uppfylla olika lagar och <strong>för</strong>eskrifter: Personuppgiftslagen (PuL), Offentlighetsoch<br />
sekretesslagen (OsL), Patientdatalagen (PdL), Socialtjänstlagen (SoL),<br />
offentlighetsprincipen m.fl.<br />
Beroende på ovanstående juridiska <strong>för</strong>utsättningar kan utformning av tjänster påverkas,<br />
alternativt att det inte finns juridiska <strong>för</strong>utsättningar <strong>för</strong> att ta fram sådana tjänster.<br />
Konsekvens<br />
Rättslig expertis bör involveras tidigt när en e-tjänst och/eller bastjänst ska utvecklas. I<br />
arbetet bör också personuppgiftsombud delta, när sådant ombud finns.<br />
Se även vägledningen ”Direktåtkomst och utlämnande på medium <strong>för</strong> automatiserad<br />
behandling”, en rapport från E-<strong>delegationen</strong>.<br />
13
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
4 Konceptuell modell <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong><br />
4.1 Inledning<br />
Här beskrivs den konceptuella modellen <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> och centrala begrepp<br />
introduceras.<br />
Den modell som ska användas <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> inom offentlig <strong>för</strong>valtning är<br />
tjänstebaserat informationsutbyte med hjälp av standardiserade gränssnitt.<br />
Figur 4. Roller vid <strong>samverkan</strong> – Begreppsägare, Producent och Konsument.<br />
Samverkan kräver att tre viktiga roller samarbetar; konsumenten, som har behov av<br />
information, producenten som tillhandahåller informationen samt begreppsägaren, som<br />
ansvarar <strong>för</strong> begrepp och informationsmodell som informationen definieras av. I många fall<br />
är begreppsägare och producent samma organisation, men i de fall där informationen<br />
hanteras av många olika producenter måste det finnas en begreppsägare som säkerställer<br />
att begrepp och informationsmodell är entydigt definierade.<br />
En tjänst beskrivs i en tjänstebeskrivning och definieras av ett tjänstekontrakt. En<br />
tjänstebeskrivning innehåller en beskrivning av tjänsten, t.ex. eventuella villkor <strong>för</strong><br />
nyttjande, status, tillgänglighet m.m. Tjänstebeskrivningen består i huvudsak av två delar:<br />
1. Informationsgränssnitt (säkerställer semantisk interoperabilitet)<br />
2. Tekniskt gränssnitt (säkerställer teknisk interoperabilitet)<br />
14
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Ett tjänstekontrakt definierar tjänstens gränssnitt och på vilket sätt data utbyts. Ett<br />
tjänstekontrakt ska inte <strong>för</strong>växlas med ett kontrakt <strong>för</strong> tjänsten som är ett avtal mellan två<br />
eller flera parter som reglerar nyttjandet och nivån (prestanda, informationsinnehåll m.m.)<br />
av tjänsten.<br />
Grundläggande är denna enkla bild:<br />
Tjänstebeskrivning<br />
Verksamhet A<br />
konsument<br />
Verksamhet B<br />
producent<br />
Figur 5. Tjänstebaserat informationsutbyte.<br />
Tjänstekontrakt<br />
I figuren ovan hämtar verksamhet A efterfrågad information hos verksamhet B via en tjänst.<br />
Information om tjänsten och var den produceras återfinns i tjänstebeskrivningen, villkor <strong>för</strong><br />
nyttjande m.m. återfinns i tjänstekontraktet.<br />
Användningen av standardiserade gränssnitt möjliggör ett effektivt informationsutbyte med<br />
ett minimum av tekniska, organisatoriska och verksamhetsmässiga beroenden mellan<br />
verksamheterna. Det betyder att konsumenten inte behöver ha kännedom om de tekniska<br />
implementeringsdetaljer som producenten använder <strong>för</strong> att skapa tjänsten. Omvänt gäller<br />
att producenten inte behöver veta hur konsumenten använder informationen eller vilken<br />
teknik den tar stöd av 3 . Både producenten och konsumenten ska ha frihet att organisera sig<br />
så som det bäst passar den egna verksamheten och båda har möjlighet att välja it-stöd och<br />
uppgradera it-stödet helt oberoende av omgivningen.<br />
Modellen är möjlig att använda i olika situationer:<br />
1. Inom en organisation<br />
2. När två organisationer samverkar bilateralt<br />
3. När en myndighet ska tillhandahålla grunddata till andra myndigheter, kommuner,<br />
landsting och <strong>för</strong>etag<br />
4. Vid storskalig inrapportering till en myndighet<br />
5. När olika processteg ska hållas ihop till sammanhållen process<br />
Modellen med tjänstebaserat informationsutbyte har också den stora <strong>för</strong>delen att den<br />
underlättar upphandling i konkurrens av system och tjänster. Både beställare och leverantör<br />
får nytta av standardiserade publika tjänstekontrakt som grund <strong>för</strong> fortsatt utveckling.<br />
4.2 Tjänst<br />
Sedd utifrån perspektivet teknisk interoperabilitet är en tjänst ett sätt att över<strong>för</strong>a data från<br />
en producent till en konsument. Sedd utifrån perspektivet semantisk interoperabilitet är en<br />
tjänst ett sätt att med hjälp av verksamhetsgemensamma och teknikneutrala begrepps- och<br />
informationsbeskrivningar över<strong>för</strong>a information från en verksamhet till en annan. Den<br />
3 Observera att här beskrivs generella egenskaper <strong>för</strong> tjänster och tjänstebaserad <strong>samverkan</strong>. I praktiken<br />
kommer producenten att vilja kontrollera hur konsumenten använder informationen och konsumenten kommer<br />
att vilja se produktionsmetoderna ur ett kvalitetssäkringsperspektiv.<br />
15
Data Information<br />
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
gemensamma <strong>för</strong>ståelsen av begreppen och den gemensamma tolkningen av<br />
informationen, som <strong>för</strong>medlas via tjänsten, är <strong>för</strong>utsättningen <strong>för</strong> att <strong>digital</strong> <strong>samverkan</strong> och<br />
gemensamt utnyttjande av informationen ska bli meningsfull.<br />
Förtydligande: Informationsbeskrivningen i tjänstebeskrivningen refererar till redan<br />
definierade begrepps- och informationsdefinitioner. Tjänsten och dess tjänstekontrakt<br />
definierar alltså inte begrepp och information.<br />
Tjänsternas informationsinnehåll kallas meddelande, och transporteras som strukturerat<br />
data. Följande figur sammanfattar hur teknisk interoperabilitet och semantisk<br />
interoperabilitet tillsammans utgör grunden <strong>för</strong> effektivt informationsutbyte mellan<br />
konsument och producent:<br />
Organisation A<br />
(Behov av information)<br />
Konsument<br />
Klient<br />
Informationsgränssnitt<br />
Tekniskt<br />
gränssnitt<br />
Meddelande<br />
Meddelande<br />
Data<br />
(XML-dokument)<br />
Organisation B<br />
(Ansvarig <strong>för</strong> information)<br />
Producent<br />
Tjänst<br />
Information Data<br />
Figur 6. Meddelandebaserat informationsutbyte med hjälp av en tjänst.<br />
<strong>Vägledning</strong>en bygger på en meddelandebaserad tjänstearkitektur och <strong>för</strong> att erhålla en<br />
bred acceptans och ett enhetligt sätt att utveckla tjänster på ska tjänster och meddelanden i<br />
<strong>för</strong>sta hand följa etablerade öppna standarder. För över<strong>för</strong>ing av strukturerad data är XML<br />
en de-facto-standard <strong>för</strong> meddelanden och som kommer att användas i denna <strong>version</strong> av<br />
vägledningen. I kommande <strong>version</strong>er av vägledningen kan andra utbytesformat komma att<br />
beskrivas (t.ex. JSON, IDL etc.).<br />
4.3 Närmare om semantisk interoperabilitet<br />
Grunden <strong>för</strong> semantisk interoperabilitet är gemensamma begreppsdefinitioner och en<br />
gemensam informationsutbytesmodell. Bägge ska vara maskinläsbart beskrivna och publikt<br />
tillgängliga.<br />
16
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Verksamhet<br />
Begrepp<br />
Informationsmodell<br />
Datamodell <strong>för</strong> lagring<br />
Informationsutbytesmodell<br />
Dokumenteras i<br />
Objekttypskatalog (virtuell)<br />
Refererar till<br />
Objekttypsbeskrivningar<br />
(informationsutbytesobjekt)<br />
Datamodell <strong>för</strong> informationsutbyte<br />
(Tjänstens innehåll beskrivs som<br />
en uppräkning av de objekttyper<br />
som levereras i tjänsten)<br />
Data<br />
Figur 7. Semantisk interoperabilitet – struktur, termer och begrepp.<br />
4.3.1 Informationsgränssnitt<br />
Begreppsdefinitionerna, informationsutbytesmodellen och informationsmodellen nedbruten i<br />
sina delar som vi benämner informationsutbytesobjekt, som definieras av<br />
objekttypsbeskrivningar, bildar det gemensamma informationsgränssnittet (markeras med<br />
mörkare färg i bilden ovan).<br />
Kravet på dem som deltar i informations<strong>samverkan</strong> är att<br />
1. Kunna tillhandahålla information enligt definitionerna i informationsgränssnittet,<br />
2. Kunna ta emot och tolka information enligt definitionerna i informationsgränssnittet.<br />
De publika objekttypsbeskrivningarna (information) bildar tillsammans en objekttypskatalog.<br />
4.3.2 Informationsansvar och ansvar <strong>för</strong> informationsgränssnitt<br />
Ansvar <strong>för</strong> informationstillhandahållande<br />
Här utgår vi från principen att verksamhetsansvar är <strong>för</strong>enat med ansvar <strong>för</strong> att<br />
tillhandahålla information som samlas in eller skapas i den egna verksamheten. Det<br />
benämner vi informationsansvar.<br />
Ansvar <strong>för</strong> informationsgränssnitt<br />
Den som ansvarar <strong>för</strong> begreppen som ingår i informationsgränssnittet är begreppsägare.<br />
17
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Begreppsägaren har ansvar <strong>för</strong> att skapa och <strong>för</strong>valta informationsgränssnitt samt att göra<br />
dem publikt tillgängliga i en objekttypskatalog.<br />
Begrepps- och informationsbeskrivningar skapas med utgångspunkt i den verksamhet som<br />
tillhandahåller informationen. Utgångspunkten är att informationsansvar och<br />
begreppsansvar sammanfaller. Men i många fall finns flera organisationer som<br />
tillhandahåller samma slags information. Exempel kan hämtas från vården där en central<br />
organisation står <strong>för</strong> begreppsansvaret medan informationsansvaret är <strong>för</strong>delat till varje<br />
vårdenhet. I sådana fall är lämpligen den myndighet som har utvecklingsansvar <strong>för</strong><br />
verksamheten begreppsansvarig.<br />
Begreppsansvar <strong>för</strong> centrala gemensamma begrepp<br />
I offentlig <strong>för</strong>valtning hanteras några begrepp som antingen inte är reglerade i lag och<br />
<strong>för</strong>ordning eller som beskrivs på olika sätt i olika <strong>för</strong>fattningar. Hit hör begrepp som ärende,<br />
handling och beslut m.fl. Flera av dessa begrepp har avgörande betydelse <strong>för</strong> <strong>digital</strong><br />
<strong>samverkan</strong>. Ansvaret <strong>för</strong> dessa begrepps- och informationsbeskrivningar ligger på<br />
<strong>för</strong>valtningsgemensam nivå, där utvecklingsmyndigheterna har ett särskilt ansvar.<br />
4.4 Närmare om teknisk interoperabilitet<br />
Teknisk interoperabilitet handlar om riktlinjer <strong>för</strong> att på ett standardiserat sätt transportera<br />
data på ett säkert sätt mellan producenter och konsumenter. Interaktionen är baserad på<br />
<strong>samverkan</strong> via bastjänster beskrivna i en nationell tjänstekatalog. Data kan transporteras<br />
både från producent till konsument och tvärtom, dock är det alltid konsumenten som<br />
initierar meddelandeutbytet.<br />
Organisation A<br />
(Behov av information)<br />
Konsument<br />
Tjänstekatalog<br />
Interaktion<br />
Tjänstekontrakt<br />
Organisation B<br />
(Ansvarig <strong>för</strong> information)<br />
Producent<br />
Säkerhet Transport Meddelande Bastjänst<br />
Meddelande Transport Säkerhet<br />
Figur 8. Teknisk interoperabilitet<br />
Resterande delar i detta kapitel beskriver på en konceptuell nivå de tekniska aspekterna<br />
inblandade i <strong>digital</strong> <strong>samverkan</strong>, och är tänkt att vara mer tidsbeständig än riktlinjer <strong>för</strong><br />
teknisk implementation. För tekniska implementationsdetaljer refereras till mer tekniknära<br />
riktlinjer i form av tekniska anvisningar som följer vägledningen. SHS <strong>2.0</strong> tekniska<br />
anvisningar 4 och RIV tekniska anvisningar 5 är exempel på befintliga specifikationer.<br />
4 http://www.forsakringskassan.se/myndigheter/e-tjanster/shs<br />
5 https://code.google.com/p/rivta/<br />
18
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Kommande <strong>version</strong>er av vägledningen kan kompletteras med ytterligare tekniska<br />
anvisningar.<br />
4.4.1 Interaktion<br />
All information som behövs <strong>för</strong> att nyttja en tjänst ska finnas beskriven i den nationella<br />
tjänstekatalogen. Tjänstekatalogen är en central katalog med tillgängliga tjänster <strong>för</strong> alla<br />
myndigheter och offentliga aktörer i Sverige. I tjänstekatalogen beskrivs bastjänster <strong>för</strong><br />
informations<strong>för</strong>sörjning och egenproducerade tjänster som till exempel e-tjänster. Syftet är<br />
att nå största möjliga spridning av tjänsterna samt att det ska vara enkelt att överblicka vilka<br />
tjänster som finns publicerade. Katalogen ska ses som ett it-stöd vid verksamhetsutveckling<br />
och tillhandahåller de uppgifter som behövs <strong>för</strong> att hitta, <strong>för</strong>stå och använda respektive<br />
tjänst. Förutom detta är katalogen ett hjälpmedel <strong>för</strong> spridning och återanvändbarhet av<br />
tjänster.<br />
Tjänstekontrakt<br />
Den tekniska delen av tjänstekontraktet, dvs. det tekniska gränssnittet, ska beskriva<br />
tjänstens egenskaper och hur tjänsten är uppbyggd. Det tekniska gränssnittet ska vara<br />
maskinellt läsbart i XML-format och vara beskrivet i ett XML-schema 6 . Utöver detta ska<br />
även alla XML-dokument som tjänsten hanterar också beskrivas med XML-scheman.<br />
Det tekniska gränssnittet ska beskriva:<br />
- Vad tjänsten innehåller.<br />
Objekt/datatyper som tjänsten kan ta emot och skicka, samt vilka operationer som kan<br />
ut<strong>för</strong>as av tjänsten.<br />
- Hur man kommer åt tjänsten<br />
Mappning till ett nätverksprotokoll, t.ex. SOAP över HTTP.<br />
- Var man kan hitta tjänsten<br />
Slutpunkt (endpoint), t.ex. en URL om man mappar till SOAP över HTTP.<br />
Det bör också vara möjligt att utifrån det tekniska gränssnittet kunna generera klienter.<br />
Den del i det tekniska gränssnittet som beskriver vilka objekt/datatyper en tjänst kan ta<br />
emot och skicka kallas meddelandesbeskrivning. Varje datatypsobjekt måste korreleras 7<br />
mot den gemensamma informationsmodellen och dess informationsobjekt. Följande bild<br />
visar på hur en datatypsbeskrivning kan innehålla både enstaka objekttyper och/eller en<br />
kombination av en eller flera objekttyper tillsammans med tjänstespecifika datatyper:<br />
6 XSD – XML Schema Definition, ett XML-schema.<br />
7 Med korreleras <strong>för</strong>stås att det ska finnas spårbarhet från meddelandebeskrivningen till<br />
informationsutbytesmodellen/objekttypsbeskrivningen.<br />
19
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Tjänstekontrakt<br />
XML<br />
XSD<br />
Meddelandebeskrivning<br />
XML<br />
XML-dokument<br />
<br />
Informationsutbytesmodell<br />
XML-dokument<br />
<br />
<br />
<br />
<br />
spårbarhet<br />
spårbarhet<br />
Objekttypsbeskrivning<br />
Objekttypsbeskrivning<br />
<br />
XML-dokument<br />
<br />
XML-dokument<br />
<br />
spårbarhet<br />
Objekttypsbeskrivning<br />
Figur 9. Tjänstekontrakt och datatypsbeskrivning.<br />
Bastjänster<br />
Bastjänster ska konstrueras att endast ut<strong>för</strong>a meddelandeutbyte med konsumerande<br />
tjänster som uttryckligen begärt det. En bastjänst är därmed passiv, det vill säga det är alltid<br />
konsumenten som initierar meddelandeutbytet. Bastjänster som publiceras i den<br />
gemensamma tjänstekatalogen ska ges möjlighet att ha olika grad av överrensstämmelse<br />
med vägledningens riktlinjer. Det är viktigt att det framgår i tjänstekatalogen i vilken grad<br />
tjänsten validerar mot vägledningen samt eventuellt vilken teknisk anvisning som används<br />
<strong>för</strong> implementation, dvs. typ av tjänst (SHS, RIV m.m.).<br />
20
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Kommunikationsmönster<br />
Beroende på bastjänstens funktion och arkitektur behövs olika mönster <strong>för</strong><br />
meddelandeutbyte. En bastjänst utformas att utbyta meddelanden med konsumenten enligt<br />
tre olika mönster:<br />
Mönster Beskrivning Synkron/asynkron<br />
Order-leverans<br />
Konsumerande tjänst över<strong>för</strong> ett Asynkron<br />
(fråga-svar)<br />
ordermeddelande och väntar<br />
asynkront på ett eller flera<br />
leveransmeddelanden.<br />
Informationsmottagning 8 Konsumerande tjänst ansluter sig till Asynkron<br />
tjänsten genom att skicka ett<br />
meddelande till den producerande<br />
tjänsten och väntar asynkront på<br />
informationsmeddelanden.<br />
Fråga-svar<br />
Konsumerande tjänst över<strong>för</strong> ett<br />
frågemeddelande och väntar på ett<br />
synkront svarsmeddelande.<br />
Synkron<br />
Testtjänster och validering<br />
För att underlätta <strong>för</strong> användare av bastjänster att utveckla sina egenproducerade eller<br />
gemensamt producerade tjänster finns behov av testtjänster. Till varje bastjänst bör det<br />
finnas en testmiljö och en testtjänst, som möjliggör testning av tjänsten med eller utan<br />
tillgång till korrekta data.<br />
Felhantering<br />
Alla tjänster ska felhanteras på ett enhetligt sätt. Tjänsternas felhantering ska skilja på<br />
tekniska och verksamhetsmässiga fel, där tekniska fel alltid transporteras som faults 9 i<br />
aktuellt transportprotokoll, medan verksamhetsmässiga fel ska transporteras som svar<br />
och/eller faults i aktuellt meddelande beroende på vad som är definierat av<br />
tjänsteproducenten. Det ska finnas tydlig dokumentation av alla felsituationer samt hur<br />
dessa ska hanteras och <strong>för</strong>medlas av/till tjänstens användare.<br />
4.4.2 Meddelande<br />
Meddelandeformatet är XML med tillhörande XML-scheman (XSD). Meddelandet som en<br />
tjänst hanterar, ska vara universellt identifierbart och ingående element ska vara beskrivna<br />
på ett sätt som garanterar universell unikhet. Användandet av XML och XML-scheman ska<br />
underlätta maskinell bearbetning. I de fall det finns multipla tjänsteproducenter av samma<br />
meddelande ska det vara möjligt att identifiera bastjänsten utifrån aktuellt meddelande. Det<br />
ska vara möjligt att härleda enskilda element i aktuellt meddelande till rätt kontext, eftersom<br />
olika bastjänster kan använda samma begrepp och/eller XML-element.<br />
Data som inte är beskrivet i XML-format ska bifogas aktuellt meddelande i form av bilagor.<br />
8 Informationsmottagning är av typen publish-subscribe. Andra vanligt <strong>för</strong>ekommande benämningar är<br />
prenumeration och avisering.<br />
9 Faults – element i ett transportprotokoll, används <strong>för</strong> att indikera fel.<br />
21
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
4.4.3 Transport<br />
<strong>Vägledning</strong>en stödjer både synkrona och asynkrona kommunikationsmönster <strong>för</strong><br />
meddelandeutbyte vilket leder till att många kommunikationstekniker och protokoll blir<br />
möjliga att använda <strong>för</strong> meddelandeutbytet. För att stödja flera kommunikationstekniker och<br />
protokoll är det viktigt att meddelandeformatet är transportprotokolloberoende och att<br />
meddelandet kan levereras intakt och o<strong>för</strong>vanskat i hela transportkedjan. Genom att<br />
undvika beroenden mellan meddelandeformatet och transportprotokollet framtidssäkras<br />
lösningen och ger högre flexibilitet. För att uppfylla beskrivna riktlinjer om XML, öppna<br />
etablerade standarder och transportprotokolloberoende ska meddelanden i form av ett XML<br />
dokument paketeras tillsammans med gemensamma element i ett ”kuvert”. Hela kuvertet<br />
ska transporteras mellan konsumerande nod och noden <strong>för</strong> bastjänsten. I de fall<br />
konsumerande nod hämtar information extraheras och transformeras efterfrågad data enligt<br />
lokala datastrukturer.<br />
Kuvert<br />
Konsument<br />
Verksamhetssystem<br />
Header<br />
Gemensamma<br />
element<br />
Producent<br />
Verksamhetssystem<br />
Body<br />
Meddelande<br />
Meddelandehantering<br />
Meddelandetransport<br />
Meddelandehantering<br />
Meddelandetransport<br />
Meddelandet över<strong>för</strong>s enligt transportprotokoll<br />
Figur 10. Transportprotokolloberoende meddelandeformat.<br />
4.5 Informationssäkerhet<br />
4.5.1 Inledning<br />
Informationssäkerhet i samband med elektroniskt informationsutbyte <strong>för</strong>utsätter att varje<br />
organisation tar ansvar <strong>för</strong> sin egen del i relationen men också att vederbörlig hänsyn tas till<br />
behov och krav som behöver tillgodoses hos den eller de man har relationen med. Det kan<br />
vara andra myndigheter, <strong>för</strong>etag eller privatpersoner. Även om denna vägledning specifikt<br />
talar om elektroniskt informationsutbyte eller automatiserad <strong>samverkan</strong>, så skapas adekvat<br />
informationssäkerhet i dessa sammanhang i hög grad av de inblandade parternas interna<br />
22
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
informationssäkerhetsarbete. Som grund <strong>för</strong> det gäller Myndigheten <strong>för</strong> samhällsskydd och<br />
beredskaps <strong>för</strong>eskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10,<br />
med tillhörande allmänna råd.<br />
Tillämpning av <strong>digital</strong> <strong>samverkan</strong> <strong>för</strong>utsätter att berörda aktörers krav på säkerhet kan<br />
tillgodoses. Det vill säga att information som kommuniceras kan skyddas mot oönskad<br />
<strong>för</strong>vanskning och obehörig insyn (konfidentialitet/sekretess). Informationen ska över<strong>för</strong>as<br />
med önskad tillgänglighet och robusthet.<br />
Här anges ett antal riktlinjer som bedöms vara av särskild betydelse vid utveckling och<br />
tillämpning av automatiserad <strong>samverkan</strong>. De gör därmed inte anspråk på att täcka in alla<br />
aspekter på informationssäkerhet.<br />
4.5.2 Avtal mellan parter baserat på risk- och sårbarhetsanalys<br />
Digital <strong>samverkan</strong> ska bygga på ett avtal mellan kommunicerande parter, som anger<br />
gemensamma krav på informationssäkerhet. I avtalet ska också gällande<br />
ansvars<strong>för</strong>hållanden beskrivas liksom överenskomna procedurer <strong>för</strong> hantering av<br />
säkerhetsfrågor. Avtalen kan göras i enklare eller mera kvalificerad form beroende på<br />
digniteten eller säkerhetsnivån på det man avtalar om. Ett enkelt avtal kan upprättas genom<br />
att acceptera standardklausuler genom ett kryss i en ruta på en webbplats. Mera<br />
avancerade avtal kan upprättas genom skriftlig överenskommelse eller avtal där<br />
undertecknande görs elektroniskt. Önskad nivå <strong>för</strong> avtal kan bedömas genom hänsyn till<br />
hur den information som omfattas av överenskommelsen har klassificerats med hänsyn till<br />
krav på konfidentialitet, riktighet och tillgänglighet.<br />
Innan ett avtal tecknas ska parterna ha gjort en risk- och sårbarhetsanalys i syfte att få en<br />
gemensam uppfattning om skyddsbehov. Se vidare avsnitt 6.<br />
4.5.3 Värdering och klassificering av information<br />
Parterna ska tillämpa en procedur <strong>för</strong> värdering och klassificering av information.<br />
Informationsklassning utgör tillsammans med en genom<strong>för</strong>d risk- och sårbarhetsanalys,<br />
underlag <strong>för</strong> en gemensam uppfattning om skyddskrav och därmed vilka skyddsåtgärder<br />
som behöver vidtas. Informationsklassificering bör genom<strong>för</strong>as med avseende på nivåer av<br />
konfidentialitet, riktighet och tillgänglighet, i enlighet med grundläggande principer i<br />
Myndigheten <strong>för</strong> samhällsskydd och beredskaps <strong>för</strong>eskrifter om statliga myndigheters<br />
informationssäkerhet, MSBFS 2009:10.<br />
MSB har tillsammans med Swedish Standards Institute (SIS) tagit fram en generell modell<br />
<strong>för</strong> informationsklassificering. Modellen finns tillgänglig på www.msb.se samt<br />
www.informationssakerhet.se (publikationsnummer 0040-09). Information kan i olika<br />
organisationer klassificeras olika, vilket kan vara naturligt. Vid <strong>samverkan</strong> som innebär<br />
informationsöver<strong>för</strong>ing bör dock de högst ställda kraven gälla. Ställningstagande kring<br />
kravnivå bör framgå av avtalet mellan parterna.<br />
4.5.4 Varje part har eget ansvar <strong>för</strong> behörigheter<br />
Organisationer som träffar överenskommelse om <strong>digital</strong> <strong>samverkan</strong> ska särskilt beakta krav<br />
på och överenskomna former <strong>för</strong> identifiering, åtkomstkontroll och spårbarhet. Grundkraven<br />
är<br />
23
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
- att varje organisation själv ansvarar <strong>för</strong> tilldelning av behörighet <strong>för</strong> egen personal vid<br />
användning av tjänster <strong>för</strong> automatiserad <strong>samverkan</strong> och<br />
- att grundidentifiering av handläggare och organisation ska ske genom tillämpning av<br />
fastställda lösningar <strong>för</strong> e-legitimation eller e-tjänstelegitimation.<br />
E-legitimationsnämnden anger riktlinjer <strong>för</strong> e-legitimationer och e-tjänstelegitimationer och<br />
deras användning. Se vidare 4.8.7 säkerhet ur ett juridiskt perspektiv.<br />
4.5.5 Tjänster ska tillämpa former <strong>för</strong> identifiering och signering enligt<br />
E-legitimationsnämndens anvisningar<br />
Varje tjänst mot allmänheten ska utgå ifrån att en tillgänglig standardiserad<br />
identifieringstjänst används. Nuvarande modell <strong>för</strong> e-legitimation ska tillämpas som<br />
grundalternativ. På sikt kommer E-legitimationsnämnden anvisa en gemensam<br />
infrastrukturtjänst <strong>för</strong> ändamålet.<br />
Identifiering av kommunicerande organisationer sker genom tillämpning av e-<br />
organisationscertifikat/servercertifikat eller e-tjänstelegitimation i enlighet med anvisningar<br />
från E-legitimationsnämnden.<br />
4.5.6 Tillämpa elektronisk signering när det finns tydliga krav<br />
Vid utveckling av tjänster bör behovet av elektronisk signering övervägas. Kraven på<br />
rättssäkerhet och säkerhet ska tillgodoses samtidigt som onödig komplexitet bör undvikas.<br />
Ofta kan själva identifieringen med exempelvis e-legitimation vara tillräcklig <strong>för</strong> att ge<br />
önskad spårbarhet om vem som ut<strong>för</strong>t en åtgärd.<br />
4.5.7 Överväg andra alternativ vid särskilda krav på robusthet, tillgänglighet<br />
och/eller sekretess<br />
När särskilt höga krav på robusthet, tillgänglighet och/eller sekretess har konstaterats bör<br />
alternativa tillgängliga säkra kommunikationstjänster övervägas. Frågan om ett säkert nät<br />
<strong>för</strong> kommunikation inom offentlig <strong>för</strong>valtning utreds av Myndigheten <strong>för</strong> samhällsskydd och<br />
beredskap på uppdrag av regeringen.<br />
4.6 Organisatorisk interoperabilitet<br />
Organisatorisk interoperabilitet säkerställer att berörda organisationer är <strong>för</strong>beredda och har<br />
<strong>för</strong>måga att utveckla och bedriva <strong>digital</strong> <strong>samverkan</strong>. Det innebär bl.a. att<br />
- organisationsövergripande verksamhet definieras som processer och att dessa<br />
<strong>för</strong>valtas,<br />
- roller är definierade och synkroniserade mellan berörda organisationer,<br />
- det formella uppdraget att medverka i denna <strong>digital</strong>a <strong>samverkan</strong> är tydliggjort,<br />
- ansvaret <strong>för</strong> finansiering av den <strong>digital</strong>a <strong>samverkan</strong> är tydligt,<br />
- ekonomiska <strong>för</strong>utsättningar <strong>för</strong> att bedriva den <strong>digital</strong>a <strong>samverkan</strong> finns,<br />
- respektive organisation har rätt kompetens och resurser <strong>för</strong> att medverka,<br />
- servicenivåer är definierade och överenskomna mellan berörda organisationer och<br />
- tjänster och informationsobjekt <strong>för</strong>valtas i ett livscykelperspektiv.<br />
24
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
4.7 Juridisk interoperabilitet<br />
Vid informations<strong>samverkan</strong> är det viktigt att det juridiska perspektivet beaktas tidigt. De<br />
flesta fall av informations<strong>samverkan</strong> regleras av någon form lag eller <strong>för</strong>ordning. Lagar och<br />
<strong>för</strong>ordningar reglerar ofta hur informationsutlämnande kan ske, i vilken form till vem och vad<br />
som får lämnas ut elektroniskt. I vissa fall regleras även begräsningar i sökbegrepp. Det är<br />
viktigt att juridiska <strong>för</strong>utsättningar klargörs i ett tidigt skede eftersom regleringarna kan i<br />
betydande omfattning begränsa tänkt genom<strong>för</strong>ande och <strong>för</strong>ändringar av befintliga<br />
register<strong>för</strong>fattningar kan ta lång tid.<br />
4.7.1 Integritetsskyddet i elektronisk miljö<br />
Regler om integritetsskydd finns i<br />
- offentlighets- och sekretesslagen,<br />
- personuppgiftslagen och<br />
- särskilda s.k. register<strong>för</strong>fattningar som är specifika <strong>för</strong> varje område.<br />
Om inte reglerna <strong>för</strong> integritetsskydd hindrar så får en myndighet lämna ut uppgifter<br />
elektroniskt till en annan organisation.<br />
4.7.2 Undantag från sekretess<br />
När uppgifter som en myndighet <strong>för</strong>fogar över omfattas av sekretess till skydd <strong>för</strong> en fysisk<br />
eller juridisk person, kan det finnas regler som gör att en uppgift ändå får lämnas ut.<br />
Uppgiften kan lämnas ut till en annan myndighet om<br />
- uppgiftsskyldighet följer av lag eller <strong>för</strong>ordning,<br />
- det är uppenbart att intresset av att uppgiften lämnas ut har <strong>för</strong>eträde fram<strong>för</strong> det<br />
intresse som sekretessen ska skydda,<br />
- ett utlämnande är nödvändigt <strong>för</strong> att den utlämnande myndigheten ska kunna fullgöra<br />
sin verksamhet, eller<br />
- undantag från sekretess finns i själva sekretessbestämmelsen.<br />
- uppgiften kan lämnas ut även till någon annan om den registrerade har gett sitt<br />
samtycke till utlämnandet.<br />
Om uppgifterna är sekretessreglerade kan uppgifterna inte lämnas ut innan en<br />
sekretessprövning gjorts. Det kan här noteras att om de uppgifter som är tänkta att lämnas<br />
ut omfattas av stark sekretess eller om utlämnande sker gång på gång enligt en rutin kan<br />
utlämnandet behöva <strong>för</strong>fattningsregleras.<br />
4.7.3 Personuppgiftslagen hindrar normalt inte ett informationsutbyte<br />
I personuppgiftslagen finns inga särskilda regler om<br />
- sambearbetning av uppgifter från olika register,<br />
- formen <strong>för</strong> att lämna ut uppgifter (t.ex. på papper eller via nät) och<br />
- metoden <strong>för</strong> att lämna ut uppgifter (t.ex. via terminal).<br />
25
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Det är tillräckligt att de ändamål <strong>för</strong> vilka uppgifterna avses sambearbetas inte är o<strong>för</strong>enliga<br />
med det ändamål <strong>för</strong> vilka uppgifterna samlades in (finalitetsprincipen) och att övriga krav i<br />
PUL, bl.a. grundläggande krav på personuppgifter och på säkerhetsåtgärder är uppfyllda.<br />
Dessa regler ger normalt tillräckligt utrymme <strong>för</strong> elektroniskt informationsutbyte. Begär en<br />
myndighet att få uppgifter utlämnade till sig från en annan myndighet enligt regeln i<br />
offentlighets- och sekretesslagen om informationsskyldighet mellan myndigheter, anses ett<br />
utlämnande inte strida mot finalitetsprincipen.<br />
4.7.4 Register<strong>för</strong>fattningar kan hindra ett informationsutbyte<br />
Åtkomst till vissa särskilt känsliga register eller databaser hos myndigheter regleras ofta i<br />
register<strong>för</strong>fattningar, varav vissa beslutas av riksdagen (registerlagar) eller regeringen<br />
(<strong>för</strong>ordningar). Register<strong>för</strong>fattningarna gäller fram<strong>för</strong> personuppgiftslagen och en registerlag<br />
är jämbördig med offentlighets- och sekretesslagen. Detta innebär att även om ett<br />
informationsutbyte är tillåtet enligt personuppgiftslagen så kan bestämmelser i en<br />
register<strong>för</strong>fattning hindra ett utbyte. Ofta innehåller register<strong>för</strong>fattningen <strong>för</strong>bud mot att<br />
lämna ut uppgifter genom direktåtkomst. En myndighet som planerar att lämna ut vissa<br />
uppgifter ur ett register som regleras i en register<strong>för</strong>fattning bör där<strong>för</strong> <strong>för</strong>st överväga om<br />
- den planerade metoden <strong>för</strong> utlämnande är <strong>för</strong>bjuden enligt register<strong>för</strong>fattningen,<br />
- de ändamål <strong>för</strong> vilken elektroniskt utlämnande får ske enligt register<strong>för</strong>fattningen är<br />
uttömmande angivna med avseende på direktåtkomst eller utlämnande på medium <strong>för</strong><br />
automatiserad behandling och<br />
- den metod som planeras utgör direktåtkomst.<br />
4.7.5 Utlämnandeformer<br />
Det finns två legala begrepp som används <strong>för</strong> att reglera informationsutbyte, direktåtkomst<br />
och utlämnande på medium <strong>för</strong> automatiserad behandling. Allt elektroniskt utlämnande som<br />
inte utgör direktåtkomst anses utgöra utlämnande på medium <strong>för</strong> automatiserad<br />
behandling. Direktåtkomst anses vara den mest integritetskänsliga formen av utlämnande.<br />
Regleringen i register<strong>för</strong>fattningar innebär där<strong>för</strong> normalt att möjligheten att lämna ut<br />
uppgifter genom direktåtkomst är mer begränsad än möjligheten att lämna ut uppgifter på<br />
medium <strong>för</strong> automatiserad behandling. Det finns inte någon legaldefinition av begreppet<br />
direktåtkomst. Begreppet har delvis getts olika innebörd i skilda lagstiftningsärenden. Men<br />
följande tillämpningar utgör direktåtkomst respektive utlämnande på medium <strong>för</strong><br />
automatiserad behandling.<br />
Direktåtkomst<br />
<br />
Där någon utomstående ges tillgång till myndighetens informationssystem <strong>för</strong> att söka,<br />
sammanställa och ta del av uppgifter:<br />
- utan särskilda begränsningar.<br />
<br />
eller<br />
- strikt begränsat till vissa uppgifter genom <strong>för</strong>definierade frågor och svar.<br />
Utlämnande på medium <strong>för</strong> automatiserad behandling<br />
- Manuellt utlämnande på CD, USB-minne och liknande eller via e-post eller annan<br />
över<strong>för</strong>ing via nät.<br />
26
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
- Automatiserat utlämnande efter sökningar och sammanställningar, s.k. batchkörningar,<br />
där svar lämnas med en viss tids<strong>för</strong>dröjning, t.ex. nästa dag vilket skapar en hypotetisk<br />
kontrollmöjlighet.<br />
En modell <strong>för</strong> on-lineliknande utlämnanden<br />
E-<strong>delegationen</strong>s juridiska expertgrupp fick i uppdrag att presentera en juridisk modell <strong>för</strong><br />
on-lineliknande utlämnanden som inte kommer i konflikt med de krav i <strong>för</strong>fattning som gäller<br />
<strong>för</strong> direktåtkomst. Resultatet är en beskrivning av on-lineliknande tjänster, där bastjänster<br />
kan om man uppfyller kraven i rapporten gå under lagstiftningens begrepp utlämnande på<br />
medium <strong>för</strong> automatiserad behandling.<br />
Ett utlämnande på medium <strong>för</strong> automatiserad behandling kan enligt E-<strong>delegationen</strong>s<br />
juridiska expertgrupps bedömning <strong>för</strong>eligga – även utan prövning av en fysisk person och<br />
utan tids<strong>för</strong>dröjt utlämnande – om begärande och utlämnande myndighets<br />
informationssystem och tekniska och administrativa rutiner har utformats så att<br />
a) begärande myndighet <strong>för</strong> varje enskilt fall ansöker om att få ut vissa angivna uppgifter,<br />
b) ansökan kommer in till den utlämnande myndighetens elektroniska brevlåda,<br />
c) beslutsstödssystem in<strong>för</strong>ts i behörig ordning hos utlämnande myndighet, som<br />
automatiserat <strong>för</strong> varje enskilt fall,<br />
1. ut<strong>för</strong> motsvarande kontroller som en befattningshavare skulle ha ut<strong>för</strong>t vid en manuell<br />
prövning, från<br />
- rättssäkerhetssynpunkt (behörighet o.l.), och<br />
- persondataskyddssynpunkt (t.ex. att uppgiften behövs i ett ärende),<br />
2. fattar individuella <strong>för</strong>valtningsbeslut, <strong>för</strong> varje enskild begäran, som kan leda till bifall<br />
eller avslag,<br />
3. expedierar beslut och begärda uppgifter till den begärande myndigheten, och<br />
4. bevarar enligt bl.a. arkiv<strong>för</strong>fattningarna de handlingar som inkommer och upprättas.<br />
Se vidare beskrivning av on-lineliknande tjänster i E-<strong>delegationen</strong>s rapport om<br />
direktåtkomst och utlämnande på medium <strong>för</strong> automatiserad behandling.<br />
4.7.6 Gallring<br />
Vid informationsutbyte kan nya allmänna handlingar uppstå hos myndigheten både i form<br />
av den handling som över<strong>för</strong>ts och i form av loggar.<br />
En handling ska bevaras om det inte finns någon gallringsbestämmelse <strong>för</strong> den. Om en<br />
myndighet inte anser att det är nödvändigt att bevara en handling, kan myndigheten göra<br />
en gallringsutredning och med den som grund skicka en gallringsframställan till den instans<br />
som är behörig att fatta beslut i frågan. Gallringsutredningar ska också göras i samband<br />
med konstruktionen av nya it-system, så att möjligheter att bevara eller gallra kan byggas in<br />
i systemen redan från början.<br />
Utgångspunkten <strong>för</strong> en gallringsutredning är kraven i 3 § arkivlagen (1990:782):<br />
- rätten att ta del av allmänna handlingar (offentlighetsinsynen i myndighetens<br />
verksamhet,<br />
27
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
- behovet av information <strong>för</strong> rättskipning (rättslig analys av handläggningen och<br />
överklagandemöjligheter),<br />
- <strong>för</strong>valtningens behov av information (verksamhetens behov utifrån handläggare och<br />
systemägare) och<br />
- forskningens behov (eventuellt framtida forskningsvärde).<br />
Riksarkivet ger rådgivning i arkiv och gallringsfrågor, se www.riksarkivet.se.<br />
4.7.7 Säkerhet ur ett juridiskt perspektiv<br />
Kontroll av behörighet<br />
Med kontroll av behörighet avses här en juridisk kontroll av vad en individ som <strong>för</strong>eträder<br />
sin organisation kan göra med bindande verkan <strong>för</strong> organisationen 10 .<br />
Vid informationsutbyte inom ramen <strong>för</strong> myndigheternas <strong>samverkan</strong>s- och serviceskyldighet<br />
räcker det att kontrollera att den andra parten är den myndighet som den uppger sig vara,<br />
eftersom en myndighet vanligtvis kan lita på att en handläggare som agerar <strong>för</strong> en annan<br />
myndighets räkning är behörig att <strong>för</strong>eträda myndigheten 11 . Denna princip bygger på<br />
<strong>för</strong>valtningslagens regler om myndigheternas <strong>samverkan</strong>sskyldighet samt att varje<br />
myndighet själv svarar <strong>för</strong> sin interna kontroll.<br />
Vid informationsutbyte mellan en myndighet och en organisation som är part i ett ärende<br />
<strong>för</strong>eträds organisationen alltid av en individ, <strong>för</strong>eträdaren. Regler om <strong>för</strong>eträdares<br />
behörighet finns i bl.a. aktiebolagslagen, avtalslagen och andra <strong>för</strong>fattningar. Eftersom<br />
behovet av <strong>för</strong>enklingar och rationaliseringar är stort tar vägledningen upp hur myndigheter<br />
med stöd av s k ställningsfullmakt under vissa <strong>för</strong>utsättningar kan <strong>för</strong>enkla kontrollen av<br />
behörigheten.<br />
Identifiering<br />
Identifiering på organisationsnivå<br />
Vid <strong>digital</strong>t informationsutbyte inom ramen <strong>för</strong> myndigheternas <strong>samverkan</strong>s- eller<br />
serviceskyldighet räcker det vanligtvis att identifiera organisationen. Det kan vara fråga om<br />
informationsutbyte mellan myndigheter eller mellan en myndighet och ett <strong>samverkan</strong>de<br />
<strong>för</strong>etag som det finns skäl att lita på, t.ex. en bank eller ett <strong>för</strong>säkringsbolag. Samverkan<br />
sker här back-office och bygger på automatiserade lösningar där informationen över<strong>för</strong>s<br />
från dator till dator.<br />
Även när en handläggare initierat ett informationsutbyte som sker dator till dator behöver<br />
handläggaren vanligtvis inte identifieras då organisationerna litar på varandra. Skulle ett<br />
10 Inom it-verksamheten uppfattas kontroll av behörighet ofta som en åtgärd som ut<strong>för</strong>s med organisationens<br />
tekniska system <strong>för</strong> åtkomstkontroll, i dagligt tal kallat behörighetskontrollsystem, BKS. Denna kontroll avser t<br />
ex användarnas befogenhet att använda det egna systemet på visst sätt. Det kan även handla om en situation<br />
där huvudmannen utan att det är fråga om bundenhet vill kontrollera vem som agerar även då detta är<br />
oväsentligt <strong>för</strong> myndigheten att kontrollera. Dessa närmare kontroller får inte blandas samman med kontroller<br />
av juridisk behörighet.<br />
11 Detta gäller även under vissa <strong>för</strong>utsättningar vid informationsutbyte mellan en myndighet och ett <strong>för</strong>etag<br />
som samarbetar. Myndigheten agerar här inom ramen <strong>för</strong> sin serviceskyldighet.<br />
28
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
otillåtet uppgiftslämnande äga rum identifieras aktören med stöd av organisationens<br />
tekniska system <strong>för</strong> åtkomstkontroll.<br />
Vid informationsutbyte dator till dator krävs färdiga it-lösningar och tillgång till såväl teknisk<br />
utrustning som kvalificerad it-personal. Där<strong>för</strong> är dessa lösningar endast användbara vid<br />
informationsutbyte mellan större organisationer som samarbetar.<br />
Vid informationsutbyte inom ramen <strong>för</strong> myndigheternas service- och<br />
<strong>samverkan</strong>sskyldighet räcker det att identifiera organisationen. Den individ som<br />
agerar behöver inte identifieras.<br />
Vid informationsutbyte inom ramen <strong>för</strong> myndigheternas service- och <strong>samverkan</strong>sskyldighet mellan<br />
myndigheter samt mellan en myndighet och en organisation som myndigheten samarbetar med<br />
räcker det att identifiera organisationen. 12<br />
Informationsutbytet kan ske helt automatiserat, med stöd av organisationernas<br />
verksamhetssystem och kommunikationslösningar. Organisationen anses här agera direkt<br />
genom sitt informationssystem. Vid en juridisk bedömning behövs där<strong>för</strong> ingen omväg runt<br />
regler om ställ<strong>för</strong>eträdare eller ombud. I sådana fall finns ingen fysisk person att identifiera<br />
och reglerna om behöriga <strong>för</strong>eträdare blir tillämpliga endast med avseende på den eller<br />
dem som beslutat och driftsatt de tekniska funktionerna.<br />
Även när ett informationsutbyte initierats av en handläggare vid en myndighet eller en<br />
medarbetare vid en annan organisation som myndigheten samarbetar med, behöver den<br />
individ som agerat normalt inte identifieras eftersom aktörerna kan lita på varandra.<br />
Rutiner <strong>för</strong> åtkomstkontroll vid informationsöver<strong>för</strong>ing system till system<br />
Åtkomstkontrollen sker i två steg<br />
Åtkomstkontrollen till information hos en myndighet bör bygga på<br />
- identifiering av den organisation som skickar begäran och<br />
- en kontroll av att begärda uppgifter omfattas av en överenskommelse eller ett avtal om<br />
informationsutbyte.<br />
Åtkomstkontroller vid informationsöver<strong>för</strong>ing system till system bör kunna utformas så att<br />
hanteringen blir enkel och smidig eftersom informationsutbytet bygger på en överenskommelse<br />
eller ett avtal mellan organisationerna. 13 Bedömningar görs på <strong>för</strong>hand av vad som<br />
får lämnas ut och till vem samt under vilka <strong>för</strong>utsättningar ett utlämnande ska få ske.<br />
Parterna utvecklar dessutom särskilt it-stöd <strong>för</strong> informationsutbytet.<br />
Åtkomstkontrollen begränsas där<strong>för</strong> till att en organisation som begär en uppgift är den<br />
organisation, med vilken myndigheten har träffat en överenskommelse om<br />
informationsutbyte samt att begärda uppgifter omfattas av överenskommelsen.<br />
12 I vissa fall kan sådant informationsutbyte även ske med mindre aktörer som inte har möjlighet att anskaffa<br />
särskilda IT-system <strong>för</strong> automatiserad kommunikation. I sådana fall bör såväl organisationen som individen<br />
identifieras, jfr informationsutbyte med organisationer som är part i ärende.<br />
13 Med ”överenskommelse” menas här – till skillnad från ”avtal” – en skriftlig handling där myndigheter som<br />
ingår i samma juridiska person, t.ex. två myndigheter under regeringen, anger vad som skall gälla mellan<br />
dem. Dessa organ kan inte sluta bindande avtal eller få en tvist mellan dem prövad av domstol.<br />
29
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Varje organisation svarar själv <strong>för</strong> sin interna kontroll av medarbetarnas<br />
behörighet, m.m.<br />
Varje organisation svarar själv <strong>för</strong> att<br />
- den interna kontrollen är tillräcklig, så att obehöriga inte i organisationens namn kan begära ut<br />
uppgifter från en (annan) organisation eller få åtkomst till uppgifter som lämnats ut till<br />
organisationen från en annan organisation,<br />
- åtgärder vidtas <strong>för</strong> att säkerställa spårbarheten och informationssäkerheten under över<strong>för</strong>ingen. 14<br />
En <strong>för</strong>utsättning <strong>för</strong> att kunna använda informationsöver<strong>för</strong>ing system till system, där<br />
identifieringen sker på organisationsnivå, är att varje organisation tar fullt ansvar <strong>för</strong> sin<br />
interna hantering. Detta innebär att varje organisation som begär en uppgift från en annan<br />
organisation ska vidta tillräckliga åtgärder <strong>för</strong> kontroll av att handläggare som aktiverar<br />
automatiserade rutiner <strong>för</strong> informationsutbyte har rätt att vidta åtgärden. Den organisation<br />
som lämnar ut de begärda uppgifterna behöver inte kontrollera vilken medarbetare eller<br />
vilket system hos den andra organisationen som begär att få ut en uppgift. Den utlämnande<br />
organisationen behöver därmed inte hålla register över vilka medarbetare hos andra<br />
organisationer som har rätt att få ut uppgifterna (rollregister på individnivå). En god<br />
spårbarhet gör det möjligt att reda ut otillåtna <strong>för</strong>faranden i efterhand.<br />
På motsvarande sätt svarar varje organisation som tar emot uppgifter <strong>för</strong> att endast<br />
behöriga handläggare ges åtkomst till uppgifter som lämnats till organisationens<br />
elektroniska mottagningsfunktion. Ansvaret <strong>för</strong> kontrollen av åtkomst till mottagna uppgifter<br />
ligger på den mottagande organisationen.<br />
Enligt LIS(SS-ISO/IEC 27001:2006) ska varje myndighet upprätta en åtkomstpolicy och<br />
användares åtkomst till information och tillämpningssystemets funktioner skall begränsas i<br />
enlighet med den definierade åtkomstpolicyn.<br />
Loggning och spårbarhet<br />
Enligt LIS ska varje myndighet ut<strong>för</strong>a loggning <strong>för</strong> revisionsloggar som registrerar<br />
användaraktiviteter och övervakning av systemanvändning, övervakningsresultaten ska<br />
granskas regelbundet. Informationsutbytet mellan organisationerna ska upprättas enligt en<br />
informationsutbytesöverenskommelse.<br />
Utifrån LIS reglering av ansvar <strong>för</strong> en myndighet är det rimligt att ansvar <strong>för</strong> åtkomst sker på<br />
den myndighet som hanterar gränssnittet mot användaren. En utlämnande –<br />
personuppgiftsansvarig – myndighet in<strong>för</strong> normalt långtgående säkerhetsåtgärder där en<br />
säker identifiering kan ske. När två myndigheter kommunicerar system till system används<br />
elektroniska certifikat <strong>för</strong> att säkert identifiera myndigheten. I undantagsfall används även e-<br />
legitimation <strong>för</strong> att identifiera användare (handläggare).<br />
14 Myndigheten <strong>för</strong> samhällsskydd och beredskap (MSB) <strong>för</strong>eskriver med stöd av 34 § <strong>för</strong>ordningen<br />
(2006:942) om krisberedskap och höjd beredskap att 6 § En myndighets arbete enligt 4 och 5 §§ ska bedrivas<br />
i former enligt följande etablerade svenska standarder <strong>för</strong> informationssäkerhet;<br />
– Ledningssystem <strong>för</strong> informationssäkerhet – Krav (SS-ISO/IEC 27001: 2006 fastställd 2006-01-19) och<br />
– Riktlinjer <strong>för</strong> styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).<br />
Kraven enligt 31 § PuL på att vidta lämpliga säkerhetsåtgärder måste naturligtvis tillgodoses.<br />
30
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Loggning bör ske hos respektive myndighet och där så krävs bör det finnas en spårbarhet<br />
som kan sammanlänka transaktionen mellan organisationerna.<br />
4.7.8 Rekommendation<br />
Redan när en myndighet inleder sitt arbete med att utveckla ett system <strong>för</strong> automatiserat<br />
elektroniskt informationsutbyte bör rättslig expertis och i <strong>för</strong>ekommande fall myndighetens<br />
personuppgiftsombud involveras i arbetet så att det säkerställs att funktionerna blir <strong>för</strong>enliga<br />
med gällande rätt. Vid behov ska myndigheten samråda med Datainspektionen.<br />
31
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
5 Digital <strong>samverkan</strong><br />
5.1 Inledning<br />
I detta avsnitt presenteras en övergripande metod <strong>för</strong> utveckling främst riktat till dem som<br />
ska realisera <strong>digital</strong> <strong>samverkan</strong>. De flesta aktörer har redan någon form av<br />
utvecklingsmetod, projektmodell mm vilket innebär att tyngdpunkten ligger på aktiviteter<br />
som bedöms vara specifika <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong>.<br />
Vid <strong>digital</strong> <strong>samverkan</strong> är informationen och de tjänster vilka <strong>för</strong>medlar och konsumerar<br />
informationen i fokus.<br />
Utvecklingen sker i följande huvudsteg:<br />
1. Kravfångst<br />
2. Informationsmodellering<br />
3. Tjänsteutveckling<br />
Sammanställ<br />
Publicera<br />
Informations<br />
modellering<br />
Analysera<br />
Modellera<br />
Publicera<br />
Tjänsteutveckling<br />
Analysera<br />
Modellera<br />
Sammanställ<br />
Utveckla<br />
Figur 11. Utvecklingen av informationsmodell och tjänst sker ofta i tre steg.<br />
Utveckla<br />
5.2 Kravfångst<br />
Kravfångst används <strong>för</strong> att identifiera övergripande behov och krav på <strong>digital</strong> <strong>samverkan</strong>.<br />
Den består i direkt och indirekt kravfångst. Den direkta kravfångsten sker ofta med en eller<br />
flera konsumenter som har ett direkt och funktionellt behov att hantera. Men kravfångsten<br />
omfattar även analys av enskilda strategier, <strong>för</strong>utsättningar och behov hos olika aktörer<br />
utifrån ett övergripande samhällsperspektiv.<br />
32
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Scenarioplanering är ett exempel på kravfångst och används med <strong>för</strong>del <strong>för</strong> att bedöma och<br />
söka <strong>för</strong>utse samhällshändelser och trender samt teknisk utveckling som kan ligga till grund<br />
<strong>för</strong> <strong>för</strong>ändrade behov av <strong>digital</strong> <strong>samverkan</strong>. Resultatet från kravfångsten utnyttjas både vid<br />
informationsmodelleringen och tjänsteutvecklingen.<br />
Resultat<br />
<br />
Behovsbild (inkl. avgränsning av informationsbehovet samt övriga <strong>för</strong>utsättningar).<br />
5.3 Informationsmodellering<br />
Trender, politik,<br />
strategisk mål,<br />
tekniska<br />
möjligheter mm<br />
Regleringsbrev mm<br />
Övergripande<br />
behov,<br />
kravfångst,<br />
scenarios<br />
Uppdaterad<br />
objekttypskatalog<br />
Publicera och<br />
använd<br />
Specifika<br />
verksamhetskrav,<br />
informationsbehov<br />
och krav <strong>för</strong> <strong>digital</strong><br />
<strong>samverkan</strong><br />
Objekttypskatalog<br />
Digital <strong>samverkan</strong><br />
Information<br />
Befintliga begrepp<br />
informationsmodeller,<br />
informationsutbytesmodeller<br />
Objekttypskatalog<br />
Nya/ändrade modeller,<br />
scheman, dokumentation,<br />
metadata, exempel mm<br />
Utveckla<br />
Figur 12. Metod <strong>för</strong> utveckling av information vid <strong>digital</strong> <strong>samverkan</strong>.<br />
Förslag till begrepp<br />
informationsmodeller,<br />
informationsutbytesmodeller<br />
och objekttyper<br />
<strong>för</strong> återanvändning<br />
5.3.1 Analysera<br />
Information uppträder aldrig fristående från sitt sammanhang. Informationen finns alltid i en<br />
kontext. Datainsamling görs alltid <strong>för</strong> att tillgodose behov i en specifik verksamhet. Vid<br />
informations<strong>samverkan</strong> och återanvändning av information måste man kunna bestämma<br />
om tillgänglig informationen är relevant <strong>för</strong> en tänkt ny tillämpning.<br />
Börja där<strong>för</strong> med att beskriva informationen som är tänkt att samutnyttjas eller<br />
återanvändas. Gör det i form av begrepps- och informationsmodeller som klassdiagram i<br />
UML kompletterade med klassbeskrivningar.<br />
33
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Resultat<br />
- Begrepps- och informationsmodell.<br />
- Ställningstagande vilka delar av informationen som är relevant <strong>för</strong> den nya<br />
tillämpningen.<br />
5.3.2 Modellera och utveckla<br />
Avgör sedan vad av informationen som ska ingå i informations<strong>samverkan</strong>. Upprätta en<br />
informationsutbytesmodell som blir den gemensamma referensen vid informationsutbyte<br />
inom ramen <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong>.<br />
För att <strong>för</strong>enkla informationsutbytet så mycket som möjligt och <strong>för</strong> att skapa goda<br />
<strong>för</strong>utsättningar <strong>för</strong> flexibilitet vid utvecklingen av tjänster ska informationsmodellen brytas<br />
upp i informationsutbytesobjekt, som vi här benämner objekttyper.<br />
Informationsutbytesmodeller och objekttypsbeskrivningar ska upprättas i maskinellt läsbart<br />
format.<br />
Resultat<br />
<br />
Maskinellt läsbara informationsutbytesmodeller och objekttypsbeskrivningar.<br />
5.3.3 Sammanställ och publicera<br />
Informationsutbytesmodeller och objekttypsbeskrivningar publiceras i en objekttypskatalog.<br />
De finns där tillgängliga som referens vid utveckling av tjänster och <strong>för</strong> tolkning av<br />
innehållet i tjänster.<br />
Resultat<br />
<br />
Uppdaterad objekttypskatalog.<br />
5.4 Tjänsteutveckling<br />
För tjänsteutveckling finns flera etablerade metoder som redan används. Nedan redovisas<br />
en <strong>för</strong>enklad metodbeskrivning med tyngdpunkt på den typ av tjänsteutveckling som är<br />
aktuell vid <strong>digital</strong> <strong>samverkan</strong>.<br />
34
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Trender, politik,<br />
strategisk mål,<br />
tekniska<br />
möjligheter mm<br />
Regleringsbrev mm<br />
Övergripande<br />
behov,<br />
kravfångst,<br />
scenarios<br />
Publicera och<br />
använd tjänst<br />
Specifika<br />
verksamhetskrav,<br />
informationsbehov,<br />
funktionella behov<br />
och krav <strong>för</strong> <strong>digital</strong><br />
<strong>samverkan</strong><br />
Tjänstekatalog<br />
Digital <strong>samverkan</strong><br />
Tjänster<br />
Tjänstekatalog<br />
Nya/ändrade tjänster<br />
Utveckla<br />
Förslag till tjänster och<br />
objekttyper <strong>för</strong><br />
återanvändning<br />
Figur 13. Metod <strong>för</strong> utveckling av tjänster vid <strong>digital</strong> <strong>samverkan</strong>.<br />
5.4.1 Analysera<br />
Då informationsbehovet är känt och relevanta informationsobjekt identifierade och<br />
publicerade i objekttypskatalogen innebär analysfasen främst att bedöma vilka befintliga<br />
tjänster som kan återanvändas samt att bestämma vilka kommunikationsmönster som ska<br />
användas och vilken teknisk anvisning som ska användas.<br />
Resultat<br />
<br />
<br />
<br />
Återanvändningsbarhet.<br />
Kommunikationsmönster.<br />
Val av tekniska anvisningar.<br />
5.4.2 Modellera<br />
I det här steget modelleras tjänster och tjänstekontrakt. Tjänstekontrakt och ingående<br />
datatypbeskrivningar ska upprättas i maskinellt läsbart format.<br />
Resultat<br />
<br />
Maskinellt läsbara tjänstekontrakt och ingående datatypbeskrivningar.<br />
5.4.3 Utveckla<br />
<br />
Utveckla tjänsten enligt vedertagen metod.<br />
35
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
<br />
<br />
<br />
Utveckla testtjänst enligt vedertagen metod.<br />
Säkerställ att testdata finns tillgängligt.<br />
Dokumentera tjänsten.<br />
Resultat<br />
En validerad och dokumenterad tjänst med åtföljande testtjänst.<br />
5.4.4 Sammanställ och publicera<br />
<br />
<br />
<br />
Tjänsten tillgängliggörs hos producenten.<br />
Tjänstekontraktet publiceras i tjänstekatalogen.<br />
Övrig information, exempelvis dokumentation, publiceras så det är tillgängligt <strong>för</strong> alla<br />
parter.<br />
Resultat<br />
<br />
<br />
<br />
Publicerat tjänstekontrakt.<br />
Tillgängliggjord tjänst.<br />
Uppdaterad tjänstekatalog.<br />
5.5 Summering av stegen vid utveckling av en <strong>digital</strong> <strong>samverkan</strong>.<br />
Nedan beskrivs en bruttolista avseende de steg som behöver ske vid utvecklingen av en<br />
fungerande <strong>digital</strong> <strong>samverkan</strong>. Observera att alla beskrivna aktiviteter nedan inte behöver<br />
ske, inte heller behöver aktiviteterna ske i nedan nämnd ordning.<br />
1. Konsumenten har ett behov av att få del av information som finns hos producenten och<br />
tar där<strong>för</strong> kontakt med producenten.<br />
2. Producenten och konsumenten beskriver vid behov tillsammans den information som<br />
behövs och producenten kontaktar begreppsägaren <strong>för</strong> att se om berörda begrepp och<br />
informationsmodeller redan finns definierade i den publika objekttypskatalogen.<br />
3. Kompletterande definitioner av berörd information görs av begreppsägaren i <strong>samverkan</strong><br />
med producenten. Dessa beskrivs som objekttypsbeskrivningar och definitioner, och<br />
publiceras i begreppsägarens objekttypskatalog.<br />
4. Producenten definierar ett XML-schema <strong>för</strong> varje objekt som ska över<strong>för</strong>as och<br />
definierar också själva tjänsten med hjälp av ett XML-schema. Tjänsten publiceras i en<br />
publik tjänstekatalog, som gör det möjligt <strong>för</strong> andra producenter och konsumenter att<br />
utnyttja tjänsten.<br />
5. Konsumenten säkerställer mottagning av informationen genom att utnyttja samma<br />
XML-scheman <strong>för</strong> att tolka över<strong>för</strong>da data.<br />
6. Konsumenten tar del av tjänsteproducentens icke-funktionella tjänstebeskrivningar<br />
(SLA) där säkerhet, tillgänglighet, prestanda och andra viktiga egenskaper hos tjänsten<br />
beskrivs men också mjukare frågor som support-åtaganden och tillgång till testdata.<br />
7. Konsumenten meddelar producenten sina drift<strong>för</strong>utsättningar, volymprognoser dygns-<br />
/årsvariationer i belastning och andra viktiga <strong>samverkan</strong>s<strong>för</strong>utsättningar.<br />
36
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
8. Producenten analyserar hur konsumentens behov kan komma att påverka<br />
tjänsteutnyttjandet som helhet och vidtar nödvändiga åtgärder <strong>för</strong> att vidmakthålla<br />
gällande servicenivåer eller meddela <strong>för</strong>hinder att kunna möta upp de nya behoven.<br />
37
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
6 Informationsutbytesöverenskommelse<br />
6.1 Inledning<br />
Detta avsnitt ska ses som en hjälp till att upprätta ett informationsutbytesavtal eller<br />
överenskommelse. De tar endast upp delar av de punkter som en överenskommelse bör<br />
reglera och främst mellan offentliga parter. Ett mer omfattande exempel på avtal mellan<br />
offentlig och privat part är Kammarkollegiets allmänna villkor i e-<strong>för</strong>valtningsstödjande<br />
tjänster som kan utgöra en inspirationskälla när ett avtal ska upprättas. Kammarkollegiets<br />
allmänna villkor har utgått från standarden ISO20000.<br />
6.2 Avgränsning<br />
<strong>Vägledning</strong>en omfattar inte avtal som ska upprättas med personuppgiftsbiträden vid<br />
anlitande av underentreprenörer och inte heller legala frågor kring immateriella tillgångar<br />
vid utveckling av tjänster. För mer information kring personuppgiftsbiträde se<br />
www.datainspektionen.se.<br />
6.1 Avtal som <strong>för</strong>utsättning <strong>för</strong> att tillhandahålla tjänster<br />
En tjänst som konstrueras enligt denna vägledning är i grunden vidöppen mot världen. Så<br />
kan det inte alltid vara. Restriktioner <strong>för</strong> användningen kommer att vara mer regel än<br />
undantag. Enligt LIS(SS-ISO/IEC 27001:2006) ska informationsutbytet mellan<br />
organisationerna upprättas enligt en informationsutbytesöverenskommelse.<br />
Olika lagar begränsar myndigheternas rätt att tillhandahålla information. Restriktionerna<br />
grundas på såväl hänsyn till personlig integritet som rikets säkerhet och kommersiella<br />
intressen. I många fall krävs där<strong>för</strong> särskild prövning och särskilda villkor innan en<br />
konsument kan få tillgång till en tjänst. Sekretess kan gälla inte bara mellan en myndighet<br />
och allmänheten utan även myndigheter emellan.<br />
Avtalet mellan parterna reglerar inte bara de legala frågorna utan bör även innehålla<br />
servicenivåer och hur parterna ska <strong>för</strong>hålla sig till <strong>för</strong>ändringar i nyttjandet av tjänsten eller<br />
tjänsteutbudet.<br />
6.2 Vad ett <strong>samverkan</strong>savtal brukar omfatta<br />
- Avtalsparter<br />
- Syfte och omfattning<br />
- Servicedeklaration<br />
- Stödfunktioner<br />
- Legala frågar<br />
- Användning av tjänsten<br />
- Förvaltning<br />
- Priser och betalningsvillkor<br />
- Säkerhet och spårbarhet<br />
6.3 Vanliga avtalsmönster<br />
Ett informationsutbytesavtal är ett så kallat bilateralt avtal, ett avtal mellan två parter som<br />
innebär att båda i avtalet ingående parter har ömsesidiga <strong>för</strong>pliktelser gentemot varandra,<br />
avtalet gäller alltså inte bara i ena riktningen. För att underlätta användandet av tjänster bör<br />
avtal utformas <strong>för</strong> att lätt kunna återanvändas av fler avtalsparter.<br />
38
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
Vid multilaterala avtal som sker mellan flera parter där i vissa fall avtalsparterna blir väldigt<br />
många kan man överväga överenskommelser genom ombud. Exempel på där en part är<br />
ombud <strong>för</strong> flera andra parter finns inom vården (CeHis) och Mina meddelanden.<br />
6.4 Parter<br />
Om det kallas informationsutbytesavtal eller överenskommelse beror på vilka parter som<br />
avtalet upprättas mellan. Med ”överenskommelse” menas här – till skillnad från ”avtal” – en<br />
skriftlig handling där myndigheter som ingår i samma juridiska person, t.ex. två myndigheter<br />
under regeringen, anger vad som skall gälla mellan dem. Dessa organ kan inte sluta<br />
bindande avtal eller få en tvist mellan dem prövad av domstol. I andra fall där parterna inte<br />
är mellan myndigheter under regeringen upprättas ett informationsutbytesavtal.<br />
6.5 Syfte och omfattning<br />
Var<strong>för</strong> tjänsten finns, vad ingår i tjänsten såsom referenser till tekniska beskrivningar av<br />
tjänsteinnehållet, antal licenser eller annan omfattning som avtalet medger.<br />
6.6 Servicedeklaration<br />
Här beskrivs tillgänglighet till tjänsten såsom service och underhåll.<br />
- öppettider<br />
- svarstider och anropstillgänglighet<br />
- servicefönster med begränsad eller ingen tillgänglighet<br />
- återstart efter avbrott<br />
- svarstider garanterade och normalsvarstider<br />
- test<strong>för</strong>utsättningar<br />
6.7 Stödfunktioner<br />
6.7.1 Kundstöd<br />
Avtalet bör reglera hur tjänstekonsumenterna kan få stöd vid anslutning och användning av<br />
tjänsten. Vid behov bör man skilja på tekniskt stöd och verksamhetsstöd.<br />
6.8 Legala frågor<br />
Vilka lagrum reglerar hanteringen, det kan finnas lagar som motsäger varandra. Ta in<br />
juridisk kompetens. Utred utlämnandeform, direktåtkomst eller utlämning på elektronisk<br />
media.<br />
Hur <strong>för</strong>delas ansvaret mellan producent och konsument och hur regleras det i avtalet.<br />
Exempel från avtal <strong>för</strong> konsumtion av tjänst: ”Mottagande myndighet garanterar att erhållna<br />
uppgifter ej behandlas i strid mot personuppgiftslagen (1998:204)”.<br />
Se även avsnitt 4.7, Juridisk interoperabilitet.<br />
39
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
6.9 Användning av tjänsten<br />
Villkor <strong>för</strong> hur tjänsten sätts upp och hur tjänsten används. Här beskrivs också villkoren <strong>för</strong><br />
användandet av tjänsten. Rätten till användandet, hur tjänsten tillhandahålls samt villkor <strong>för</strong><br />
eventuellt överlåtande till annan part och villkor <strong>för</strong> att stänga tjänsten.<br />
6.9.1 Avvikelse från uppgörelsen<br />
Det kan finnas behov av att reglera åtgärder vid eventuell avvikelse från uppgörelsen.<br />
6.10 Förvaltning<br />
6.10.1 Samverkansformer<br />
Avtalet bör reglera hur uppföljning av avtalet kan ske såsom rapportering av<br />
tjänsteutnyttjande till tjänstekonsumenter och vid <strong>för</strong>ekommande fall bör konsumenter ange<br />
prognos <strong>för</strong> konsumtionsmönster av tjänst.<br />
6.10.2 Anslutning<br />
Vad som krävs <strong>för</strong> konsumenten <strong>för</strong> att ansluta, se avsnitt 4.5, Informationssäkerhet.<br />
6.10.3 Ändring, tillägg och avveckling<br />
Vid tjänste<strong>för</strong>ändringar bör tjänsteproducenter alltid eftersträva kompabilitet <strong>för</strong> att påverka<br />
konsumenterna så lite som möjligt. Avtalet bör reglera med vilka <strong>för</strong>utsättningar som<br />
tjänsteproducenten kan avveckla tjänster eller skapa nya <strong>version</strong>er av tjänster som kräver<br />
<strong>för</strong>ändringar hos konsumenten.<br />
6.11 Priser och betalningsvillkor<br />
Här regleras eventuella priser, pris<strong>för</strong>ändringar och betalningsvillkor.<br />
6.11.1 Avtalsperiod<br />
Här regleras period och eventuellt <strong>för</strong>farande vid <strong>för</strong>längning av avtalet.<br />
Det är vanligt att avtal mellan myndigheter är tillsvidare med reglering kring uppsägning.<br />
6.11.2 Automatiserat ”avtalstecknande”<br />
Det kan finnas behov av att skilja på i <strong>för</strong>väg tecknade avtal och avtal som tecknas <strong>digital</strong>t i<br />
den stund tjänsten används. Exempelvis punkterna 6,7,9,11 kan vara sådant som inte ska<br />
med i momentant tecknade avtal utan de kan ev. i stället läggas i tjänste-<br />
/implementationsbeskrivning. (standardavtal med specialvarianter)<br />
6.12 Säkerhet och spårbarhet<br />
Här regleras behov av säkerhet såsom:<br />
- Särskilt skyddade nät SGSI.<br />
- Hantering av sekretesskyddade personer.<br />
- Åtkomstkontroll och Spårbarhet<br />
- Hantering av loggar och reglering av spårbarhet.<br />
-<br />
Se vidare avsnitt 4.7.7 Säkerhet ur ett juridiskt perspektiv.<br />
40
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
6.13 Tjänster <strong>för</strong> öppen data (PSI)<br />
Vid skapande av tjänster <strong>för</strong> öppen data kan immateriella rättigheter och marginalkostnader<br />
behöva regleras. Se vägledning från E-<strong>delegationen</strong> om vidareutnyttjande av information.<br />
41
E-<strong>delegationen</strong> <strong>Vägledning</strong> <strong>för</strong> <strong>digital</strong> <strong>samverkan</strong> – Version <strong>2.0</strong>, 2013-04-30<br />
7 Bilagor<br />
Bilagorna kompletteras senare.<br />
7.1 Begreppsdefinitioner<br />
7.2 Tillämpningsexempel 1<br />
7.3 Tillämpningsexempel 2<br />
7.4 Relevanta mallar<br />
42
E-<strong>delegationen</strong><br />
Karlavägen 100, 103 33 Stockholm<br />
Tel: 08-405 10 00<br />
E-post: info@e<strong>delegationen</strong>.se<br />
www.e<strong>delegationen</strong>.se