Säker digital kommunikation (SDK) skapar förutsättningar för säker och enhetlig hantering av känslig information. Det gäller information som utbyts mellan verksamheter inom offentlig sektor inklusive privata utförare av offentligt uppdrag, exempelvis inom vård, socialtjänst och skola.
Det finns ett stort behov av att förbättra, förenkla och öka säkerheten i hanteringen av känslig information i offentlig sektor. Varje dag utbyts mängder av information mellan kommuner och regioner, statliga myndigheter och privata utförare i handläggningen av ärenden och beslut.
Ofta handlar det om sekretessklassad information som exempelvis vårdplaner, behandlingsplaner, bedömningar av arbetsförmåga och utdrag ur belastningsregistret. Med manuella flöden är det svårt att hitta rätt mottagare och att säkert veta att informationen når fram och inte blir liggande eller kommer på avvägar. Det behövs en stabil, säker och gemensam digital infrastruktur och lösningar som kan användas av alla aktörer.
Den önskade effekten är att såväl verksamheterna, deras handläggare och privatpersoner med behov av offentlig service upplever att det blir tryggare, enklare och snabbare när informationsutbytet mellan offentliga aktörer underlättas.
Säker digital kommunikation ska ge följande nytta:
Trygghet genom att personlig eller känslig information inte sprids till obehöriga
Samma förväntan på spårbarhet och service oavsett verksamhet
Snabbare handläggning och beslut
Bakgrund
Idag sker en stor del av informationsutbytet via fax, brev, telefon och vanlig e-post. Det tar tid, det är svårt att hitta rätt mottagare och att veta att informationen har nått fram. Det finns också en risk att informationen blir liggande eller kommer på avvägar.
Säker digital kommunikation ska lösa detta genom att definiera ett gemensamt sätt att överföra känslig ostrukturerad information på ett enhetligt, effektivt, säkert och överenskommet sätt. Genom att ta fram gemensam infrastruktur för t.ex. adressuppgifter och standarder för säkert meddelandeutbyte som organisationerna kan anpassa sin egen IT-miljö och egna IT-stöd till, så skapar detta förutsättningar för att informationsutbytet blir tryggare, enklare och snabbare.
Beskrivning av konceptet Säker digital kommunikation (SDK)
Beskrivning av vad SDK går ut på
Bilden beskriver att en handläggare hos en användarorganisation har behov av att kunna skicka och ta emot information digitalt via säkra meddelanden. Man vill kunna bli notifierad när man har ett nytt meddelande, och även få kvittens på att ens meddelande kommit fram till mottagaren.
Samma behov finns hos handläggaren hos mottagande organisation. Kommunikationen ska kunna vara dubbelriktad.
Gemensamma delar i SDK:
Gemensamma principer och regelverk för tillit.
Gemensamma tjänster, främst en SDK Adressbok där organisationerna själva lägger in sina digitala kontaktuppgifter på organisations- och funktionsnivå (ej enskilda individer/handläggare).
Det finns ett gemensamt format för SDK-meddelanden och vilka slags bilagor som kan bifogas.
Det finns informations- och it-säkerhetskrav definierade och som alla måste uppfylla för att överföringen ska vara säker.
Lokalt ansvar:
Varje organisation behöver anpassa sina it-verktyg för att kunna skicka SDK-meddelanden och sätta upp sin anslutning till SDK. Det finns specifikationer för hur det görs, och man kan antingen göra det i egen regi eller anlita underleverantör.
Varje organisation behöver också se till att man uppfyller kraven på informations- och it-säkerhet, t. ex. att användarna som ska ha tillgång till funktionsbrevlådor loggar in med stark autentisering och är behöriga.
Kort om konceptet ur ett arkitekturellt perspektiv
Asynkron överföring av meddelanden, dvs. inte realtidskommunikation.
Säker meddelandehantering över internet, dvs. inte beroende av ett särskilt nätverk.
Säker kommunikation mellan sändande och mottagande organisationer, dvs. i grunden inte beroende av ”mellanhänder” eller en “plattform i mitten”.
Arkitekturen är distribuerad med endast nödvändig gemensam IT-infrastruktur.
Robusthet skapas genom lösa beroenden, t.ex. ska sändande part kunna ”skicka” meddelande utan att mottagaren tekniska system just då är tillgängligt.
Kvittens innebär att veta att meddelandet levererats till mottagarens ”brevlåda”. Mottagningskontroll sker genom att ett särskilt kvittensmeddelande sänds tillbaka. Observera dock att det som avses är “mottagetkvitto” och inte “läskvitto”.
Respektive aktörsorganisation ansvarar för hur egen förmåga att använda SDK etableras (val av klientverktyg mm.), där samverkan ska vara möjlig t.ex. kring upphandling.
Gemensamt regelverk för tillit, där respektive användarorganisation ansvarar för
Identitets- och åtkomsthantering för medarbetare/personal, t.ex. korrekt behörighetstilldelning, säker identifiering av slutanvändaren osv.
Att följa grundläggande gemensamma regelverk
Huvudinriktning vad gäller säkerhet är att stödja/klara känsliga personuppgifter, sekretessbelagda uppgifter.
Själva ansatsen eller den konceptuella lösningen för Säker digital kommunikation bygger på eDelivery – ett byggblock från EU-programmet CEF. I Sverige är DIGG färdledande myndighet för eDelivery.
Säker digital kommunikation är ett komplement till andra tjänster
Säker digital kommunikation ska ses som ett komplement till andra etablerade tjänster inom informationsutbyte och kommunikationssätt för samverkan mellan organisationer. Exempel på sådana som är mer sektorsspecifika är Nationell patientöversikt (NPÖ) inom hälso- och sjukvård och Sammansatt bastjänst för ekonomiskt bistånd (SSBTEK) inom arbetsmarknadsområdet.
SDK är även ett komplement till tjänster som möter behov av kommunikation av strukturerat innehåll, eller information av ännu känsligare art.
SDK är relativt lätt att införa med en låg instegströskel inom ett enskilt verksamhetsområde, t.ex. omsorg eller hälso- och sjukvård där behoven är stora. Man kan sedan utvidga och lägga till meddelandeutbyte med andra organisationer inom fler verksamhetsprocesser. eDelivery i sig används även för strukturerat informationsutbyte, vilket möjliggör att på sikt utöka SDK till meddelandeöverföring av känsliga uppgifter med strukturerat innehåll.