Sambi

Det senaste om Sambi

Sambi var projektet för säker åtkomst inom vården. Här blir du uppdaterad om det senaste om Sambi.

Operatörer börjar godkännas (31 mars 2020)

Nu har eHälsomyndigheten godkänt Sambi som första operatör. Då Svensk e-identitet var först att lämna in sin ansökan till myndigheten har vi haft synpunkter på hanteringen vilket nu gett effekt.

Svensk e-identitet granskas

När Sambi godkändes som operatör var det naturligt att Svensk e-identitet reagerade då det senaste budskapet från myndigheten var att det inte gick att godkänna operatörer mot nuvarande regelverk, en uppdatering av regelverket var ju heller inte möjligt då bland annat SKR krävt lättnader i kravställningen.

Efter ett möte med myndigheten har granskningen av Svensk e-identitet påbörjats. Redan på fredag den 3 april planeras en komplettering av vår tidigare ansökan att lämnas in, därefter fortsätter granskningen. Godkännandet kommer under våren 2020.

Tidsbegränsade godkännanden

Vi som blir operatörer i det här skedet får ett tidsbegränsat tillstånd på 12 månader. Bakgrunden är att det förväntas bli ändringar i regelverket vilket innebär att operatörerna kommer att behöva granskas på nytt när de nya regelverken är på plats.

Viktigt steg för Svensk vård och omsorg

Att operatörer kommer på plats är ett viktigt steg för att vård- och omsorgsgivare ska få en chans att uppfylla de befintliga och nya krav som åligger dem avseende informationssäkerhet. Det gäller både den tekniska säkerheten i form av tekniker för säker inloggning men framförallt stöd i införandet av den administrativa informationssäkerheten.

Fler metoder för inloggning

Förutom att operatörerna ger stöd i införande av informationssäkerhet så öppnas en frihet och flexibilitet för vilken metod som måste användas vid inloggning. Idag är vården i stort sett låst till SITHS-kort men Svensk e-identitet som operatör ger stöd för alla identiteter som godkänns av Digitaliseringsmyndigheten (DIGG). Det innebär att successivt kommer de system som används inom vård och omsorg tvingas öppna upp sig för BankID, Freja eID+ och andra utgivare som godkänns av DIGG. Det enda som krävs är en licens hos en operatör som Svensk e-identitet för att andra identiteter än SITHS ska kunna användas.

Vi ger LiV till vården

LiV – Legitimering i Vården är vår operatörstjänst som är väldigt enkel att komma igång med. Den ger stöd för allt från fritidsförskrivare till regioner. Läs mer om LiV.

Sambiombud

Vi fortsätter som Sambiombud. När en organisation ska ansluta till Sambi kan det göras på två sätt, antingen via direktanslutning eller via ombud. I vår ombudstjänst ingår allt för en enkel anslutning, både den administrativa informationssäkerheten och en organisationsunik inloggningstjänst, vilket krävs för de som väljer Sambi.

Kontakt

Vill ni diskutera, fråga eller kommentera operatörsrollen, kontakta Jörgen Hellgren via jorgen.hellgren@e-identitet.se eller 073-4301818

 

Oklart läge för Sambi (20 februari 2020)

Sambi var tidigare den inslagna vägen men sedan kom Ineras lösning som ett alternativ och allt blev väldigt rörigt. Regelverken för anslutning till eHälsomyndighetens tjänster kunde nu inte ställas av Sambi utan hamnade naturligt hos eHälsomyndigheten. Regelverken måste ju vara lika för alla parter som ansluter till myndigheten. Regelverket togs fram under våren och sommaren 2019 och presenterade för intressenterna (Inera, Sambi och Svensk e-identitet) under oktober 2019.

Operatörer ersätter Sambi

I det nya regelverket preciserade två nya roller och begrepp, operatör och aktör. Aktören är vårdgivaren och alla aktörer måste vara anslutna till en Operatör. Operatören ska säkerställa att aktören uppfyller både administrativa och tekniska säkerhetskraven. Operatören kan även tillhandahålla den tekniska Accesstjänst som skapar biljetterna för inloggning till eHälsomyndigheten. Svensk e-identitet valde att inkludera denna och hela Operatörstjänsten från Svensk e-identitet beskrivs mer här. Tidplanen var att eHälsomyndigheten skulle granska och godkänna Svensk e-identitet som operatör den 31 januari 2020 men så blev det inte…

Status för Sambi, Operatörer och säker åtkomst

Den 12 februari meddelar ehälsomyndigheten att de inte kan godkänna oss som operatörer. Bakgrunden är att regionernas IT-direktörer, SKR och Inera inte kan acceptera eHälsomyndighetens krav på informationssäkerhet. Dessa tre aktörer utövar så hårt tryck på eHälsomyndigheten att myndigheten tvingas backa från kraven. De stora aktörerna klarar helt enkelt inte av att uppfylla vare sig de tekniska kraven, administrativa kraven eller de krav på ledningssystem för informationssäkerhet som ställs.

Återigen hamnar höjning av informationssäkerhet, en öppenhet för annat än SITHS och Ineras tjänster samt en federativ arkitektur som kan effektivisera vården i ett limbo. Nu kan vi inget annat göra än att invänta hur hårt dessa aktörer lyckas pressa tillbaka eHälsomyndighetens krav. Med stor sannolikhet kommer vi se att de krav som ställts genom Sambi och senare direkt via eHälsomyndigheten kommer att lättas upp en hel del.

Konsekvens och tips

Konsekvensen av det nu uppkomna läget är att vad Säker åtkomst till eHälsomyndighetens tjänster innebär är i skrivande stund 100% oklart. Det innebär att vårt råd till både systemleverantörer och vårdgivare är att inte göra någonting alls gällande Säker åtkomst. Allt ni väljer att göra kan visa sig vara helt fel. eHälsomyndigheten kommer såklart att behöva kommunicera det här men när det sker och vad som kommer att sägas går inte att sia om nu. De håller nog gärna tyst så länge som möjligt om det prekära läget. Angående införande av NLL så kommer det enligt lag inte att kunna skjutas på i tid. Det som är oklart är vilka krav som ska ställas på systemleverantörer, inloggningstjänster och vårdgivare gällande säker åtkomst. Ni som är medlemmar i Sambi har gjort allting rätt och den lösningen kommer i alla lägen att fungera för Säker åtkomst till eHälsomyndighetens tjänster. Tyvärr kommer vi nog se att det finns lättare vägar att gå för de som inte gjort hemläxan att uppfylla de tidigare informationssäkerhetskraven.

Sambi vs Operatör

Om eHälsomyndighetens plan att införa Operatörer och Aktörer förverkligas så blir Sambi troligen en av operatörerna. Svensk e-identitet fortsätter som Sambiombud och som en accesstjänst till Sambi om Sambi blir en Operatör. Svensk e-identitet tar även fram en egen operatörstjänst vid namn LiV – Legitimering i Vården.

 

 

E-hälsomyndighetens regelverk öppnar upp för fler aktörer (25 november, 2019)

E-hälsomyndigheten har presenterat ett nytt regelverk som öppnar upp för fler operatörer. Bland annat innebär det att fler aktörer kommer att kunna erbjuda Säker åtkomst till eHälsomyndighetens tjänster och att styrgruppen för Sambi löses upp.

Information från E-hälsomyndigheten

Svensk e-identitets åtkomstalternativ LiV – Legitimering i Vården för säker åtkomst

Osäkert för Sambi (5 september, 2019)

E-hälsomyndigheten har skjutit fram tidplanen och ändrat förutsättningarna för Säker åtkomst vilket får konsekvenser både för vård- och omsorgsgivare och systemleverantörer men även för Sambi och Svensk e-identitet. Senast 1 maj 2020 ska systemleverantörer vara anslutna till version 17.1 i E-hälsomyndighetens handbok, antingen med den gamla säkerhetslösningen i 16.1 eller via 17.1 vilket kräver säker åtkomst.

Vad innebär det för vårdgivare?

Vårdgivare med systemleverantörer som väljer att ansluta via säkerhetslösningen i version 16.1 behöver inte ansluta till Sambi eller Ineras federation nu. Väljer däremot leverantören att ansluta via 17.1 med säker åtkomst så måste ni ha Sambi eller Ineras federation på plats senast 1 maj 2020.

Kontakta er systemleverantör

Vårdgivare bör ställa frågan till sina systemleverantörer om de planerar att ansluta till version 17.1 med eller utan säker åtkomst. Det troliga är att de väljer anslutning utan säker åtkomst för att vid anslutning till version 20.1 aktivera säker åtkomst.

Den enklare anslutningen viaversion 16.1 kan användas fram till att systemleverantören ansluter till version 20.1 och den Nationella läkemedelslistan (NLL), dock som längst till 1 juni 2022. I praktiken styr alltså systemleverantörens anslutning till NLL när vårdgivare senast behöver säker åtkomst på plats. Den ”tvingande” anslutningen kommer att göras löpande från 1 juni 2020 till 1 juni 2022.

Leder till konsekvenser för informationssäkerheten

När SKL under påtryckning från SLIT-gruppen (landsting och regioners IT-chefer och IT-strateger) fick eHälsomyndigheten att godkänna Ineras lösning som en alternativ lösning för säker åtkomst tog eHm därmed automatiskt ansvaret att godkänna vilka lösningar som är accepterade för åtkomst till myndighetens information. Med anledning av det tar eHM nu fram ett regelverk som måste uppfyllas av Inera, Sambi och andra aktörer som vill erbjuda motsvarande lösningar för Säker åtkomst.

Problem med samordning leder till oviss framtid för Sambi
Sambis största vinst var att både teknik och den administrativa informationssäkerheten kunde hanteras och förenklas med EN gemensam federation. Godkännandet av Inera som alternativ till Sambi satte fingret på att svensk vård och omsorg (regioner, kommuner, privata vård- och omsorgsgivare, veterinärer och apotek) inte lyckades samordna sig kring en gemensam lösning. Konsekvensen blir att Sambi nu går mot en oviss framtid där billigare och enklare alternativa lösningar kommer att erbjudas av olika aktörer. Det i sin tur leder till att systemleverantörerna kommer behöva bygga in stöd för flera ”IdP:er” som hanterar de tekniska bitarna och den administrativa informationssäkerheten åt vård- och omsorgsgivarna. Fördelen är att det blir en konkurrensutsatt marknad där vård- och omsorgsgivarna själva väljer vilken leverantör de vill använda.

eHälsomyndighetens agerande försvårar

Svensk e-identitet satsade stort på att som ombud för Sambi utveckla lösningar för att vård- och omsorgsgivare skulle kunna ansluta sig mycket enkelt och snabbt till Sambi. eHälsomyndighetens godkännande av Ineras alternativa lösning försvårar situationen då vårdgivarna nu vacklar i valet om Sambi som lösning för Säker åtkomst.

Legitimering i Vården ger nytt LiV

Svensk e-identitet är ju dock inte de som ger sig i första taget. Vi har redan anpassat våra Sambitjänster för att kunna erbjuda en helt ny typ av IdP som uppfyller alla krav som eHälsomyndigheten kommer att ställa. Vår nya tjänst innebär att vårdgivaren köper licenser online och kan välja valfri identitet (godkänd av DIGG) för inloggning där hela informationssäkerhetspaketet samt stöd för att hantera nödvändiga användarattribut ingår. Den kommer att fungera som ett fullgott alternativ till både Ineras och Sambis lösning för ”Säker åtkomst” enligt eHälsomyndighetens definition. Den är enkel, flexibel, framtidssäkrad och tillhandahålls till ett så lågt pris att även fritidsförskrivarna kan använda den. Den har inga begränsningar på vem som kan eller får använda den då den är framtagen för att passa alla former och storlekar av vårdgivare.

Läs mer om LiV – Legitimering i Vården

Våra råd till vårdgivare

Kontakta er systemleverantör för att få svar på om de ansluter till version 17.1 med eller utan säker åtkomst.
Ni som redan är anslutna till Sambi, häng kvar tills federationens framtid är tydligare.

Ni som inte har valt väg för säker åtkomst kan avvakta anslutning ytterligare en tid. Vi erbjuder fortfarande Sambiombudstjänsten för de som vill gå vidare med Sambi redan idag.

Avvakta anslutning (22 maj, 2019)

Läget är just nu väldigt oklart kring tidplan och vilka krav eHälsomyndigheten ställer. Vår rekommendation är därför att avvakta anslutning till Sambi – oavsett om det sker via Sambiombud eller på egen hand. Vi avråder även anslutning till Ineras lösning i nuläget. eHälsomyndigheten arbetar just nu på ny kravställning och förtydliganden för vad som gäller, samtidigt som det troligen kommer nya enklare sätt att uppfylla eHälsomyndighetens krav för vårdgivare. Inom ett par veckor tror vi att det kommer ny information och nya rekommendationer.