Har ni kommit fram till att ni skulle kunna effektivisera er verksamhet med hjälp av SDK eller av andra skäl vill ansluta er till infrastrukturen? Gå i sådana fall vidare med en djupare analys av behoven hos de verksamheter som kan vara aktuella för att skicka och eller ta emot information via SDK. Det interna utredningsarbetet kan bli ganska omfattande. Därför kan det finnas skäl att samverka med en annan organisation i motsvarande situation, och/eller att avropa konsultstöd. Här beskriver vi några exempel på områden som kan ingå i en fördjupad behovsanalys. På Diggs webbplats kan du läsa mer om vad som är viktigt i förarbetet.
SDK används för att utbyta känslig information som till exempel personuppgifter och patientuppgifter. Dessa uppgifter får inte hanteras via exempelvis e-post. SDK är inte avsett för att utbyta uppgifter som omfattas av gällande säkerhetsskyddslagstiftning.
Den fördjupade behovsanalysen bör identifiera vilken information i de aktuella verksamhetssystemen som är lämplig att kommunicera via SDK. Varje organisation som ansluter sig till SDK ansvarar för att genomföra en klassning av den information som organisationen avser att utbyta via infrastrukturen, samt för att göra nödvändiga riskanalyser. Hos Digg finns mer information om informationssäkerhet inom SDK.
Glöm inte nyttoperspektivet i valet av vilken eller vilka verksamheter som ska anslutas till SDK. Det kan finnas konsekvenser för de verksamhetsprocesser som berörs, till exempel arkiveringstider och andra lagkrav. Om det finns väldigt få motparter eller informationsmängder i ett visst informationsutbyte kan det vara bra att inledningsvis fundera på nyttan. Hos Digg finns stöd för nyttorealiseringar.
Gå även igenom vad SDK innebär för er. Tänk på att alla som hanterar personuppgifter, oavsett om det är inom SDK eller ej, behöver beakta GDPR och se till att hantera personuppgifter enligt gällande lagar och förordningar för sin verksamhet. I regelverket för SDK finns bland annat krav på er egen informationssäkerhet. Ni ansvarar också för säkerheten i den teknik som ni eller era leverantörer använder.
Den löpande användningen av SDK kommer påverka hur ni organiserar er. Det kan behövas utbildningsinsatser och nya rutiner, exempelvis för hur ni uppdaterar SDK:s adressbok. Det är också viktigt att hålla sig informerad om eventuella förändringar inom SDK:s infrastruktur.
För SDK som för andra kommunikationskanaler och system behövs också kontinuitetsplanering.
För att kunna använda SDK behöver ni anskaffa och eventuellt utveckla teknik. Oavsett om ni är sändare eller mottagare av information behövs ett meddelandesystem som består av en meddelandeklient och en meddelandetjänst. Det behövs också en accesspunkt till infrastrukturen. Hos Digg finns checklistor som ger ett bra stöd.
När ni är klara över hur ni vill införa och använda SDK är nästa steg att göra strategiska teknikval. Det är också bra att samtidigt konkret planera för nya arbetssätt och uppföljning av era åtaganden enligt det gemensamma regelverket för SDK.
Stöd för en fördjupad behovsanalys kan avropas från ramavtalet för Managementtjänster:
Managementtjänster – Utredning, ledning och verksamhetsstyrning
Utredningsinsatser kopplat till SDK i verksamheten samt för utredningar rörande IT-säkerhet kan avropas från ramavtalet för Informationsförsörjning.
OBS! Det är även möjligt att i ett senare skede avropa tekniken för SDK från ramavtalet för Informationsförsörjning (meddelandeklienter, meddelandetjänster samt accesspunkt för SDK). Det kan vara affärsmässigt att exkludera den leverantör som ger stöd för en fördjupad behovsanalys från att i ett senare skede lämna anbud vid avrop av teknik.
Stöd för it-säkerhetsrelaterade utredningsinsatser kan avropas från ramavtalet för
IT-konsulttjänster Resurskonsulter.