2019-03-20 Fufinn - Møte med NAV

Utsendt referat i Word:

Dato

Deltakere

Fra NAV

  • Torill Christine Edvardsen, Systemjurist
  • John Martin Furseth, Løsningsarkitekt
  • Rosa Gonzales, Produkteier
  • Håkon Jendal, Løsningsarkitekt
  • Annette Reiakvam, Prosessdriver

Fra KS:

  • Jens Riis, Bergen kommune

Fra Altinn:

Formål med møte

Bilateralt møte i Fufinn

Agenda og diskusjon

Plan og status

Bente Anda gikk gjennom plan for Fufinn våre 2019.

Fufinns planleggingsfase er lagt inn som del av prosjektet Helhetlig tilgangsstyring (HELT) hos Altinn, og basis Fufinn-funksjonalitet vil bli realisert sammen med annen videreutvikling av Altinns autorisasjonskomponent. Fordelene med dette er at arbeidet hos Altinn er finansiert, pilotering kan startes raskt, og arbeidet kan gjøres effektivt da de fleste kravene i Fufinn er sammenfallende med allerede identifiserte utviklingsbehov for autorisasjons-komponenten. Imidlertid betyr dette også at egenskapene til autorisasjonskomponenten på kort sikt kan sette noen begrensninger på hva som kan realiseres av Fufinn-funksjonalitet.

Under gjennomgangen understreket NAV at de ønsker å være tett involvert i arbeidet med veikartet.

Arkitektur for datautveksling mellom registre

Bjørn Langfors beskrev status for arbeid med referansearkitekturer for datautveksling mellom autoritative registre. Det er et behov for referansearkitekturer både for å realisere Fufinn og for å integrere autoritative kilder med Altinn autorisasjon utenfor Fufinn. Det utarbeides forskjellige mønstre for å ivareta integrasjon med registre som har forskjellig teknisk kapabilitet (for eksempel vil det for noen fortsatt være nattlig batch som er mest egnet, mens mot andre vil oppdatering skje hendelsesbasert via feeds). I tillegg vil juridiske forhold og registereiernes behov for kontroll (herunder kontroll på egen cache) stille krav til forskjellige mønstre. Uavhengig av hvilket mønster som benyttes, så må Altinn autorisasjon kunne oppfylle sine SLA krav til bl.a. oppetid og responstid samtidig som eksakt gjengivelse av innhold ivaretas. Det vil være opptil eierne av de autoritative registrene å bestemme hvilken informasjon de vil dele med Altinn autorisasjon

Løs kobling mellom registrene er nødvendig for å sikre skalerbarhet og kunne integrere nye registre. Siv Aglen forklarte at Altinn autorisasjon løsrives mest mulig fra tjenesteutviklingsløsningen ifbm. utviklingen av Altinn studio, dvs. blir et Policy information point for Altinn studio.

Det vil være Altinns ansvar å påse at datakvaliteten vurderes for de autoritative kildene som tas inn og vurderes sammen med de som oppretter og bruker kildene i representasjon. Det juridiske arbeidet mot datakildene er en sentral del av Fufinn.

Status hos NAV

Annette Reiakvam beskrev status hos NAV. De går nå gjennom pågående initiativer i NAV for å sikre koordinering av disse, og det gjøres en vurdering av aktuelle løsningsscenarier. Basert på dette velges den løsning det er ønskelig å gå videre med. Det skal skisseres opp et leveranseløp og utarbeides et budsjett. Dette skal være ferdig 16/5. I dette arbeidet inngår vurdering av hva som bør være hhv NAV-spesifikk og felles funksjonalitet. NAV er opptatt av å jobbe mvp-basert, og ønsker å legge opp til et leveranseløp som raskest mulig leverer verdi.

Diskusjon om hvordan avgjøre hva det gis rettighet/fullmakt til

  • Nav har en foreløpig hypotese om at det vil være et fåtall brukerstyrte fullmakter tverrgående i forvaltningen, i det minste i MVP-sammenheng. Det kan feks. være aktuelt med fullmakter mellom stat og kommune og/eller i saker som spenner over flere aktører.
  • Dagens fullmakter i NAV gjelder i hovedsak for spesifikke tjenester og er sjelden generelle (en generell fullmakt nærmer seg et vergemål). For NAV vil det bli nødvendig å strukturere innholdet i deres fullmakter for å kunne bruke dem i fullmaktsløsningen.
  • NAV har et internt kodeverk for bruk i tilgangsstyring som må videreutvikles. Dette kan bli aktuelt å se opp mot Fufinns informasjonsmodell som en PIP, men det kan også være at det mest hensiktsmessige er at NAV selv avgjør alt vedr. bruk av sine fullmakter.
  • Teksten i fullmaktsløsningen er avgjørende for hva det faktisk gis fullmakt til.
  • NAV mener det er en forutsetning for arbeidet å jobbe med begrepsavklaring og -harmonisering på de sentrale fellesbegrepene som feks: representasjon, fullmakt, samtykke, vergemål, foreldreansvar, navn på rollene knyttet til disse og beskrivelsen av hva representasjonsforholdet gjelder for.
  • Altinn autorisasjon/Fufinn-funksjonaliteten vil primært ha to formål mot NAVs tjenester:
    • Den vil muliggjøre at man kan velge hvem man vil representere. Håkon Jendal foreslo at en «Personvelger» kanskje bør være en felleskomponent. I den forbindelse vil det være et UX-spørsmål om/når man vil velge oppgave før man velger hvem man representerer eller vice versa (med bruk av API'er mot autorisasjonskomponenten kan man uansett velge flyt i tjenesten selv).
      Det understrekes her, at det ikke er tatt noe endelig valg på hvordan man velger hvem man representerer og om dette skal være fellesfunksjonalitet.
    • Policy information point (PIP) ved tilgangsstyring
  • NAVs bruk av Fufinn vil primært være mot digitale tjenester, men det vil også være gunstig med en tjeneste som gjør det enkelt å finne ut om fullmakt foreligger, når en klient møter opp.


Annet

Håkon Jendal: Regner med sammenslåingen av Difi og Altinn under nytt direktorat, at samarbeidet DIFI/Id-porten/Maskinporten og Altinn-autorisasjon blir enda tettere nå, noe som igjen vil gi bedre totale autentiserings- og autorisasjonsløsninger på sikt.

Torill Edvardsen: I utviklingen av Fufinn-funksjonalitet bør man se på de rammene, herunder regelverk, som gjelder på tvers – uavhengig av etat- i forvaltningen. Eksempler på dette er for eksempel forvaltningsloven og arkivloven.

Oppfølgingspunkt

  • Neste møte, ifbm. veikartsarbeidet, 10. april 

  • Felles prosjektinformasjon vil ligge på Confluence og en kanal på slack vil brukes til kommunikasjon, lenker til disse blir sendt ut