Inom vård, hälsa och omsorg finns ett stort behov av att samarbeta digitalt och dela information över organisationsgränser. Sambi är en infrastrukturtjänst för säker åtkomst och tillitsfull digital samverkan. Sambi erbjuder en gemensam grund där medlemmarna enas om hur man kan lita på varandras digitala tjänster och inloggningslösningar.

Sambi drivs av Internetstiftelsen, en oberoende och allmännyttig organisation som verkar för ett internet som bidrar positivt till människan och samhället.

Internetstiftelsen välkomnar alla aktörer inom vård-, hälso- och omsorgssektorn inklusive tandläkare och veterinärer att bli medlemmar i Sambi.

Sambi vänder sig till vård, -hälso och omsorgssektorn och samlar alla aktörer, från kommuner och regioner till privata aktörer och ensampraktiserande. Exempel på en aktör är:

• Kommun
• Region
• E-tjänsteleverantör av till exempel ett journalsystem eller förskrviningstjänst för e-recept
• Apotek
• Tandläkare
• Veterinär

Lär mer om vilka roller som finns i Sambi här.

Det finns flera nyttor med att vara medlem i en federation som Sambi. En av nyttorna är att det blir en enhetlig hantering av användarkonton och inloggning till e-tjänsterna. Dessutom kan alla medlemmar lita på varandras digitala tjänster och inloggningslösningar eftersom Sambi tillitsgranskar de delar av medlemmarnas LiS (Ledningssystem för informtaionssäkerhet) som rör Sambi.

Sambi gör det möjligt att enkelt integrera till olika tjänster på ett säkert och standardiserat sätt. Sambi är plattformsoberoende och tillåter flera olika e-legitimationer. Det innebär att ni kan välja den eller de e-legitimationer som ni inom organisationen bedömer vara mest lämpliga för en för en specifik tillitsnivå och/eller åtkomst.

Det är viktigt att komma ihåg att ett medlemskap i Sambi inte automatiskt skapar vinsterna. En anslutning kräver initialt viss teknisk anpassning till de system som ska anslutas men i gengäld behöver man göra integrationen endast en gång och därefter är det enkelt att skala upp utan att behöva göra om i arkitekturen.

Lär mer här om hur Sambi fungerar och vilka nyttor din organisation kan skapa.

Om din organisation har anställda eller uppdragstagare som är verksamma inom vård, hälsa eller omsorg, inklusive tandläkare, apoteksaktörer och veterinärer, eller om din organisation erbjuder e-tjänster till dem så kan din organisation bli medlem i Sambi.

Bli medlem som användarorganisation

Det finns två vägar att bli medlem:

1. Med stöd av Sambiombud.
2. På egen hand.

Att bli medlem på egen hand innebär tre steg:

1. Fyll i anmälan för tillitsgranskning och skriv under tillitsgranskningsavtal.
2. Genomgå tillitsgranskning med godkänt resultat.
3. Fyll i ansökan om medlemskap och skriv under anslutningsavtalet.

Bli medlem som tjänsteleverantör

Som tjänsteleverantör blir du medlem på egen hand. Det innebär tre steg:

1. Fyll i anmälan för tillitsgranskning och skriv under tillitsgranskningsavtal.
2. Genomgå tillitsgranskning med godkänt resultat.
3. Fyll i ansökan om medlemskap och skriv under anslutningsavtalet.

Om du vill ladda ner Sambis avtal och bilagor kan du ta del av dem på den här sidan.

De tekniska kraven för Användarorganisationer och Tjänsteleverantörer för att ansluta till Sambi beskrivs i Sambis tekniska profil som finns publicerad på den tekniska wikin.

Utöver de tekniska kraven för en Användarorganisation som vill ansluta sig handlar det i grova drag om att användarna behöver ha tillgång till en godkänd e-legitimation, organisationen behöver ha eller representeras av en IdP (Identity Provider)som är ansluten till en attributkälla som kan tillhandahålla de attribut som krävs för åtkomst till en e-tjänst.

IdP:n behöver vara kompatibel med Sambis tekniska profil (SAML 2.0) och samtliga komponenter och processer som ingår i organisationens identitets- och behörighetshantering behöver omfattas av ett systematiskt informationssäkerhetsarbete i enlighet med Sambis tillitsramverk.

En organisation kan ansluta till Sambi med egen teknik och ett eget ledningssystem för informationssäkerhet, på egen hand eller via Sambiombud/Sambiombud begränsad. Vad som är den lämpligaste vägen beror på organisationens förutsättningar och förmågor.

Just nu är aktörer inom vård, -hälsa och omsorgssektorn påverkade av Nationella läkemedelslistan (NLL) och givet den korta tiden till lagen träder i kraft så kan det vara en god idé för organisationer som ska bli användarorganisation att välja Sambiombud eller Sambiombud begränsad. Sambiombudet hanterar hela den tekniska plattformen och merparten av kravmassan i Sambis tillitsramverk medan Sambiombud begränsad hanterar all teknik och hela kravmassan i Sambis tillitsramverk. Begränsningen i Sambiombud begränsad handlar om att endast personidentifierande och organisationsidentifierande attribut (typiskt personnummer och organisationsnummer) är betrodda vilket innebär att e-tjänster som kräver fler attribut inte kan nyttjas med denna ombudslösning.

NLL fungerar dock för legitimeringsyrken och för andra roller om fullmakter hanteras via mina ombud (för mer information om detta hänvisar vi till E-hälsomyndigheten).

Alla avgifter för medlemskap och tillitsgranskning finns <här>. Notera att Sambi tar endast betalt för granskning och medlemskap. Vilka övriga kostnader som faller ut för en medlem beror helt på förutsättningarna för organisationen och vilken väg de väljer att ansluta till federationen. Ett av syftena med federationen är att möjliggöra starka tillitskedjor som kan skalas ut till en avsevärt lägre kostnad än vad som är möjligt utan en gemensam standard och infrastruktur.

Avgift för tillitsgranskning

Normalt sett utgår det en granskningsavgift per granskningstillfälle. En granskning omfattar en <funktion>, med ett sammanhållet säkerhetsarbete, för identitets- och behörighetshantering.

Granskningsavgift om 40 000 kr utgår för:

• Den första granskningen (för gruppföreträdare räknas initial granskning i kombination med slutlig granskning som ett granskningstillfälle).
• En återkommande tillitsgranskning.
• En eventuell omgranskning, exempelvis efter en tillitsgranskning som delgetts resultatet Ej godkänd.

Medlemsavgift för användarorganisation

Användarorganisationens medlemsavgift i Sambi är baserad på antal anställda i användarorganisationen enligt tabellen nedan. Avgiften är och anges exklusive moms. Här kan du se vilken avgift som gäller för din organisation.

Det fins två huvudsakliga roller i Sambi: användarorganisation och tjänsteleverantör. För att underlätta anslutningen för en användarorganisation kan man också ha en roll som Sambiombud.

För att hjälpa dig som står inför en anslutning till Sambi att jämföra olika förutsättningar, behov och lösningsvägar, har vi tagit fram några exempel på hur anslutningen kan gå till och vilken roll som passar just er organisation. Läs mer om olika behov och val av roll på den här sidan.

Det är även möjligt för en medlem att vara både användarorganisation och tjänsteleverantör.

Att tillitsgranska är en viktig del av Sambi. Som tjänsteleverantör ska ni kunna lita på användarorganisationens funktion som identitetsintygutgivare (IdP) inklusive e-legitimationer och attribut.

På den här sidan kan du läsa mer om vad en tillitsgranskning innebär för just din organisation och hur du ska gå till väga för att ansöka om att bli tillitsgranskad.

Sambi tillitsgranskar endast de delar som rör Sambi och i korthet handlar det om att:

• Tjänsteleverantörerna ska kunna lita på identiteten och behörigheten hos användaren av en tjänst. Med det menas att man ska kunna lita på att användaren är den som hen utger sig för att vara och att hen verkligen representerar Användarorganisationen i en viss angiven roll.
• Användarorganisationen ska kunna lita på Tjänsteleverantören vad gäller dennes behörighetsstyrning och skydd av inloggningsuppgifterna kopplat till respektive tjänst.

För Sambi är det viktigt att alla medlemmar har ett strukturerat säkerhetsarbete och att organisationen genomför en riskanalys. Enklast och bäst är att följa standarden ISO/IEC 27001. De åtgärdsförslag som riskanalysen kommer fram till, ska utgöra en grund för det strukturerade säkerhetsarbetet. Även detta regelverk ska bifogas tillitsdeklarationen. Myndigheten för samhällsskydd och beredskap (MSB) har publicerat ett metodstöd för systematiskt informationssäkerhetsarbete. Den finns att ladda ner här.

Kontakta oss gärna på info@sambi.se om du har frågor om tillitsgranskning.

En tillitsdeklaration är en självdeklaration över sökandes säkerhetsarbete och ska utgå från det vid var tid gällande tillitsramverket. Underlaget ska innehålla en tillitsdeklaration med de kompletterande dokument som behövs för att styrka deklarationen. Kompletterande dokument som förväntas bifogas är riskanalys, beskrivning av ledningssystem för informationssäkerhet samt internrevision och uppföljningsarbete som görs för att underhålla den sökandes säkerhetsarbete.

Här finns mer information om vad som förväntas ingå i en tillitsdeklaration.

Den eller dem som har fått ett godkänt granskningsresultat ska genomföra en återkommande granskning vart tredje år. Processen för en återkommande tillitsgranskning är densamma som för den initiala.

Federationsoperatören återgranskar dig regelbundet enligt ditt avtal och beslut. Det gör vi för att kunna upprätthålla samma tillit för medlemmar över tid, i federationen. Återgranskningen går till på samma sätt som för den initiala tillitsgranskningen.