Gå till innehåll

Uteblivna leveranser av uppdaterad Net iD Enterprise kan leda till allvarliga problem i vården

Inera har fortfarande inte fått den beställda uppdateringen av Net iD Enterprise från Telia, som är vår leverantör av tjänsten SITHS. Anledningen är enligt Telia att deras underleverantör SecMaker vägrar att leverera uppdateringar efter version 6.5. Detta kan leda till att personal inom vården inte kan logga in i verksamhetskritiska e-tjänster med sina SITHS-kort.

Detta nyhetsbrev redovisar situationen så som den beskrevs på mötet den 14 mars 2019 med Ineras programråd för kommuner respektive regioner, SLIT-gruppen och regionernas Arkitekturråd samt SITHS policygrupp. Efter sammanfattningen nedan finns mer detaljerad bakgrundsinformation och information om vad Inera gör för att långsiktigt komma till rätta med denna besvärliga situation.

Sammanfattning av läget och Ineras rekommendationer

Den programvaruversion, Net iD Enterprise 6.5, som idag levereras inom ramen för tjänsten SITHS kan i kombination med vissa senare uppdateringar av Windows 10 medföra problem att logga in i webbaserade e-tjänster. Dessa problem uppstår enligt leverantören SecMaker inte med senare versioner av Net iD Enterprise. Samtidigt vägrar SecMaker att leverera dessa senare versioner till Telia så att de kan ingå i leveransen av tjänsten SITHS till Inera och Ineras kunder.

SecMaker hävdar i sin kommunikation, på sin webbplats och i direkt kommunikation med Ineras kunder, att Inera är orsaken till SecMakers val att inte leverera enligt det avtal man har med Telia. Inera står därmed för tillfället utan praktisk möjlighet att tillhandahålla fungerande programvaror, vilket i sin tur kan leda till att personal inom exempelvis vården inte kan komma åt verksamhetskritisk information.

Ineras syn på situationen och Ineras rekommendationer till sina kunder är att

  • Ni som kunder enligt gällande supportavtal har rätt till nya versioner och felrättningar. Ni ska hävda detta i era eventuella kontakter med SecMaker. Leverans av nya versioner sker via Telia.
  • Inera kommer att via Telia fortsätta hävda rätten till version 6.7 och senare versioner under 2019
  • Telia kommer att fortsätta diskussionerna med SecMaker för att säkerställa fortsatt support av Enterpriseklienten
  • Vi rekommenderar er att inte teckna ett separat avtal med SecMaker, då det påverkar Telias möjligheter att garantera funktionalitet i leverans av den kompletta SITHS-tjänsten.

Inera agerar kraftfullt för att hitta lösningar på den uppkomna situationen, så vi råder er att avvakta så långt som möjligt med att vidta egna åtgärder.

Ni måste dock själva utvärdera läget och besluta om lämplig väg framåt. Inera inser till fullo att ansvaret för att säkra den egna verksamheten alltid ligger i den egna organisationen och respekterar de beslut ni fattar.

Om ni väljer att sluta egna avtal för leverans av SecMakers produkter är vår rekommendation att sluta ett kort avtal med möjlighet till förlängning.

Klicka på plustecknet för att läsa mer

Visa/Dölj mer information

Bakgrund och mer information

  • Bakgrund och mer information

    Bakgrund

    Bakgrunden till nuvarande situation finns att söka i det avbrutna samverkansavtalet mellan Inera och Försäkringskassan om en ny nationell identifieringstjänst att använda i tjänsten ”E-identitet för offentlig sektor” (Efos).

    Samverkansavtalet slöts mellan Inera och Försäkringskassan på våren 2016 och reglerade skyldigheter och rättigheter för båda parter.

    Ineras skyldighet och ansvar var att:

    • Samla in fullmakter
    • Delta i migrering och koordinera Telia
    • Bidra till vidareutveckling
    • Hantera support
    • Delta i samverkan samt att följa densamma
    • Förvalta Ineras del av identifieringslösningen (Ramverk)

    Leveransen av Efos-tjänsten avtalades genom Försäkringskassan vilket medförde att de ansvarade för:

    • Erforderliga upphandlingar, avrop och leverantörsstyrning
    • Genomförande av implementationsprojektet, migrering av data samt driftsättning
    • Löpande drift och applikationsförvaltning

    Under projektets gång uppstod svårigheter att klara beslutade lanseringstillfällen och vid tre tillfällen gick Inera med på omfattande revideringar av tidplanen samt bidrog med finansiering för att kunna fullfölja leveransen.

    Under 2018 ställde Inera tydliga krav på att Försäkringskassan skulle komma till rätta med leveranserna och att de fullt ut skulle ta den leverantörsroll som avtalats vilket ledde till att bemanningen inom Försäkringskassans projektgrupp utökades i flera steg.
    I takt med att projektets bemanning utökades identifierades omfattande problem i leveransen, och efter en lång tids turbulens sade Försäkringskassan den 22 januari 2019 upp samverkansavtalet. Förklaringen enligt Försäkringskassans pressmeddelande var bland annat att ”…..Under arbetets gång har vi sett att behoven från våra kunder ser så pass olika ut att det rimliga är att avbryta arbetet och att var och en fokuserar på att lösa sina frågeställningar på varsitt håll…”.

    De största orsakerna till problemen var enligt Inera:

    • Bristfälliga underlag för att färdigställa lösningen. I SecMaker’s ansvar låg att ta fram detaljerade designspecifikationer och användnings/testfall samt förankra dessa, något som aldrig skedde, detta är den starkast bidragande orsaken
    • Svag projektledning samt leverantörsstyrning från Försäkringskassan
    • Bristande kvalitetssäkring av SecMakers leveranser till acceptanstest vilket resulterat i osäkerheter vad gäller både kvalitet och säkerhet

    Det bör noteras att ursprunglig kravställning ligger fast och är i stort sett oförändrad.
    Ineras syn på ersättning för genomfört utvecklingsarbete inom Efos är att Inera har i enlighet med avtalet via Försäkringskassan betalat SecMaker för den utveckling som genomförts. Inera har mer än väl fullgjort sina åtaganden. Inera ser inte att SecMaker kan hävda att de har rätt till ytterligare ersättning för utförd utveckling.

    Konsekvenser av uppsägningen av samverkansavtalet

    Inera står – som en konsekvens av uppsägningen - utan avtal som möjliggör leverans av Efos-tjänsten då följande saknas:

    • Avtal för att färdigställa samt driftsätta lösningen så att den möter Ineras krav
    • Avtal för etablering av erforderlig infrastruktur
    • Avtal för drift- och förvaltningstjänster avseende den kompletta lösningen
    • Avtal för kortavrop

    Det ”Exit-avtal” som tecknats med SecMaker saknar praktiskt värde eftersom

    • det är ett fristående licensavtal som ger en rätt, men ingen skyldighet, att avropa ytterligare Efos-licenser omfattande 13 produkter, där ingen kan användas inom nuvarande SITHS, och att
    • avtalet förutsätter en godkänd och driftsatt Efos-lösning.

    Rådande avtalsläge med Telia inklusive underleverantörer 

    Inera har tvingats att under ytterligare en period fortsätta använda Telia som leverantör för SITHS. I dagsläget gäller följande:

    • Ineras nuvarande avtal för SITHS-tjänsten med Telia gäller fram till 2019-03-31.
    • Inera har för avsikt är att förlänga detta avtal ytterligare en period.
    • Telia har varit en pålitlig och stabil leverantör med vilken Inera har och har haft goda relationer.
    • Telia har licensavtal med SecMaker avseende Net iD Enterprise. Detta avtal gäller enligt uppgift till och med 2019-11-30 och omfattar löpande uppdateringar.
    • Genom Ineras avtal med Telia, har Ineras kunder rätt till två nya versioner per år.
    • Trots att SecMaker har ovanstående skyldigheter och redan tagit fram paketeringar av Net iD Enterprise, som åtgärdar problemen med senare Windows-versioner, vägrar SecMaker att göra nämnda paketeringar tillgänglig för Ineras kunder. Detta utgör enligt vår syn ett avtalsbrott från SecMakers sida.

    Parallellt med att Efos-projektet genomförts har Inera via Telia fortsatt att löpande betala SecMaker för de licenser och den support som utnyttjats inom SITHS-tjänsten.

    SecMakers kommunikation

    SecMaker har på olika sätt kommunicerat sin bild av läget, hur vi hamnat där och vem som är ansvarig för den uppkomna situationen. Vissa delar av den information som lämnats är korrekt medan annan är direkt felaktig.

    Det som vi främst uppfattar som felaktigt är:

    • SecMaker påstår att Inera ensidigt har valt att frånträda det avtal som upphandlats. Detta är inte korrekt. Det var Försäkringskassan som i slutet av januari 2019 sade upp samverkansavtalet mellan Försäkringskassan och Inera med omedelbar verkan.
    • SecMaker hävdar att Inera är den part som i huvudsak försatt alla i den situation som vi befinner oss i. Detta är inte korrekt då Inera hela tiden hänvisat till det enda tillämpliga avtal man har, det med Telia.
    • SecMaker beskriver sig själva som den enda part som är villig att ”lösa” situationen. Detta är inte korrekt då såväl Inera som Telia vid upprepade tillfällen inbjudit till samtal för att i samförstånd lösa situationen med SecMaker.
    • SecMaker hävdar att Telia och därmed Inera och alla dess kunder saknar rätt till nya paketeringar av Net iD. Detta är förstås inte heller korrekt då nuvarande avtal mellan Telia och SecMaker inte löper ut förrän i november 2019.

    Installation av Enterpriseklienten 6.6 under kvartal 1 2018

    I sin argumentation kring varför Inera och dess kunder skall betala enligt det avtal som nu endast kan tillämpas av Försäkringskassan, har olika argument framförts. Vi uppfattar alla som grundlösa. Den huvudsakliga argumentationskedjan hävdar att installationen av paketeringen ”Net iD 6.6 Efos” skulle utgöra grund för fakturering kopplat till SITHS.
    Att detta installationsarbete inleddes grundades i felaktig information som SecMaker lämnade avseende att Efos-portalen skulle vara klar för lansering i april 2018, vilket krävde att Ineras kunder behövde förbereda sig genom att införa denna paketering av Enterprise-klienten.

    Kort efter att informationen om detta hade gått ut till Ineras kunder visade det sig att Efos-portalen var långt ifrån klar och att installationerna av 6.6 därmed ej skulle inletts vid nämnda tidpunkt. Detta förhållande är inget som Inera eller Ineras kunder kan hållas ansvariga för. Denna situation bör lösas genom att SecMaker tillhandahåller motsvarande paketering inom ramarna för avtalet med Telia.

    Angående prissättning av Net iD Enterprise licenser

    • Prissättningen inom Efos-projektet är inte relevant som utgångspunkt för eventuella prisförhandlingar avseende Net iD Enterprise-klienten för SITHS.
    • Efos-avtalet omfattar 13 produkter och av dessa används endast en (1) produkt inom SITHS-tjänsten (Net iD Enterprise-klienten).
    • Inga funktioner som utvecklades inom Efos-projektet behövs för att vidmakthålla SITHS-tjänsten. 
    • Idag betalar Inera ca 2 MSEK/år för licenser och support för den enda nödvändiga produkten, Net iD Enterprise-klienten.
    • SecMaker begär ca 48 MSEK/år för de 13 produkterna där Net iD Enterprise-klienten ingår.
    • SecMaker vägrar att separat sälja det Inera vill köpa, Net iD Enterprise-klienten.
    • SecMaker försöker, trots den skada som de förorsakat Inera och Ineras kunder, hävda att Ineras kunder ska betala en gång till för redan betalda licenser och support genom att hyra ut Net iD Enterprise-licenser direkt till Ineras kunder, samt att de dessutom ska betala en betydligt högre kostnad utan att få någon utökad funktionalitet.

    Angående SecMakers direktkontakter med Ineras kunder

    SecMaker har kontaktat ett antal av Ineras kunder i syfte att förmå dem att teckna hyresavtal för Net iD Enterprise. SecMaker hävdar att man inte har rätt till Net iD Enterprise 6.6 eller senare paketering via Ineras avtal med Telia.

    Ineras syn är att gällande licens och supportavtal ger Ineras kunder har rätt att använda 6.7 och att två nya paketeringar ska levereras via Telia under 2019.

    Ineras syn är vidare att licensavtal med SecMaker måste hanteras via Telia. Om Ineras kunder får problem i tjänsten SITHS med licenser levererade via direktavtal med SecMaker kan Inera/Telia kanske inte uppfylla sina service- och supportåtaganden inom SITHS-tjänsten fullt ut.

    Angående Ineras och Telias samtal med SecMaker

    Både Inera och Telia har haft en serie möten med SecMakers ledning. Dessa har i huvudsak varit resultatlösa. SecMaker saknar förståelse för den nya situation som uppstått när Försäkringskassan avslutat samverkan med Inera. I den uppkomna situationen agerar SecMaker opportunt med målet att kraftigt höja sina intäkter.

    Akuta problem samt rekommenderade åtgärder

    Ineras bedömning är att ni som kunder enligt gällande supportavtal har rätt till nya versioner och felrättningar. Ni ska hävda detta i era eventuella kontakter med SecMaker. Leverans av nya versioner sker via Telia. Inera kommer att via Telia fortsätta hävda rätten till version 6.7 och senare versioner under 2019. Telia kommer att fortsätta diskussionerna med SecMaker för att säkerställa fortsatt support av Enterpriseklienten.
    Vi rekommenderar er att inte teckna ett separat avtal med SecMaker, då det påverkar Telias möjligheter att garantera funktionalitet i leverans av den kompletta SITHS-tjänsten.

    Inera agerar kraftfullt för att hitta lösningar på den uppkomna situationen, så vi råder er att avvakta så långt som möjligt med att vidta egna åtgärder. Ni måste dock själva utvärdera läget och besluta om lämplig väg framåt. Inera inser till fullo att ansvaret för att säkra den egna verksamheten alltid ligger i den egna organisationen och respekterar de beslut ni fattar.

    Om ni väljer att sluta egna avtal för leverans av SecMakers produkter är vår rekommendation att sluta ett kort avtal med möjlighet till förlängning.

    Ineras pågående arbete

    Förutom att Inera fortsätter bringa reda i den besvärliga situationen med tillgången till uppdaterade paketeringar av Net iD Enterprise som beskrivs ovan arbetar Inera med att hitta lösningar för att säkerställa tillgången till en säker och tillgänglig SITHS-tjänst, men också att så fort som möjligt hitta vägar för minska beroendet av leverantörsunika lösningar som medför inlåsningseffekter. Självklart sker dessa insatser i nära samarbete med våra kunder.

    De viktigaste pågående arbetena är

    • Förlängning av SITHS-avtalet med Telia
    • Införande av LOA3 som en del av SITHS-tjänsten 
    • Införande av WebTrust SSL via Telia
    • Utredning av kortsiktig alternativ lösning för autentisering
    • Vidareutveckling av strategin för Identifiering och åtkomst
    • Förberedelser för ny upphandling av tjänst för Identifiering och åtkomst

    Inera kommer att fortsätta informera om framsteg på dessa områden i kommande nyhetsbrev.

Klicka för att öppna fönster för kundservice Kontakta oss

Kontakta oss

Telefon

Kundservice, felanmälan och support

Scrolla till toppen av sidan