Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren

Transkript

1 IS-2120 Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren Forstudie 1

2 Heftets tittel: Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren Utgitt: 11/2013 Bestillingsnummer: IS-2120 ISBN-nr Utgitt av: Kontakt: Postadresse: Besøksadresse: Helsedirektoratet e-helse og IT/Arkitektur seksjonen (EISA) Pb St Olavs plass, 0130 Oslo Universitetsgata 2, Oslo Tlf.: Faks: Heftet kan bestilles hos: Helsedirektoratet v/ Trykksaksekspedisjonen e-post: Tlf.: Faks: Ved bestilling, oppgi bestillingsnummer: IS-2120 Forfattere: Espen Møller Jon Ølnes Linda Knutsen Mona Holsve Ofigsbø Utgitt i samarbeid med: Norsk Helsenett SF 2

3 Forord Helsedirektoratet har gjennomført forstudien «Nasjonal sikkerhetsinfrastruktur for helse- og omsorgsektoren» (NSI) på bakgrunn av Statsbudsjettet 2013, kap 720 og tildelingsbrev fra Helse- og omsorgsdepartementet (HOD). Sitat fra Statsbudsjettet: «Det foreslås å etablere sikker identifisering av helsepersonell. En mulig løsning kan være etablering av et profesjonskort med eid (høyt sikkerhetsnivå). Løsningen må etableres i henhold til en nasjonal sikkerhetsinfrastruktur og omfatte alle aktørene i sektoren. Løsningene skal understøtte både lokale og nasjonale behov som f.eks. e-resept, nasjonal kjernejournal og tilgang til opplysninger på tvers av virksomhetsgrenser» Dette er ytterligere forankret i Meld.St nr. 9 ( ) «Én innbygger én journal», hvor de overordnede målene er: «Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger», «Innbygger skal ha tilgang på enkle og sikre digitale tjenester» og «Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning, styring og forskning». Forstudien har utredet behov for felleskomponenter i en nasjonal sikkerhetsinfrastruktur som vil utgjøre et nødvendig fundament for det ene overordnede målet i Meld.st.9 ( ): «Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger». Dette ivaretar også oppdraget fra Statsbudsjettet 2013 (se avsnitt over). Fokus for NSI er sikker samhandling og informasjonsdeling på tvers av virksomheter i helse- og omsorgssektoren slik at helsepersonell og annet personell med behov skal ha tilgang til all relevant pasientinformasjon uavhengig av hvor informasjonen er lagret. Felleskomponentene skal dekke helse- og omsorgssektorens behov for identitets- og tilgangsstyring på tvers av hele sektoren. Dette innebærer en felles infrastruktur for: Elektronisk identitet (PKI-basert eid) og autentisering, Autorisasjonsinformasjon (personlige autorisasjoner, ansettelsesforhold og roller, tjenstlig behov) som grunnlag for automatisert tilgangsstyring til informasjon, og Informasjon knyttet til innbyggers medbestemmelse og personvern (samtykke, reservasjon, sperring, fullmakt) representert på en måte som gjør den egnet for bruk i automatisert tilgangskontroll. Arbeidet i NSI forstudien understøttes ytterligere i lovforslagene til ny pasientjournallov og ny helseregisterlov som har høringsfrist 15.okt Dersom lovforslagene vedtas i den form de er presentert i høringssnotatet vil det åpnes for tilgang på tvers av virksomhetsgrenser. 1

4 I tillegg til hovedrapporten er det skrevet 4 delrapporter som utdyper de enkelte områdene i hovedrapporten ytterligere: Tilgangskontroll på tvers av virksomhetsgrenser PKI - organisering og etablering Samhandlingsarkitekturer Juridiske forhold Prosjektet har vært ledet av Helsedirektoratet og har vært et samarbeid med Norsk Helsenett SF, hvor felles styringsgruppe fra bedriftene har vært ledet av divisjonsdirektør Christine Bergland fra Helsedirektoratet. Prosjektgruppen har bestått av Jannie de Grjis, Linda Knutsen, Espen Møller, Jon Ølnes og Mona Holsve Ofigsbø fra Helsedirektoratet, og Ola Vikland, Sindre Solem, Hans Jørgen Varfjell og Andre Meldal fra Norsk Helsenett SF (NHN). Prosjektet har gjennomført fire referansegruppemøter og en rekke kartleggingsmøter med sektoren for å få frem sektorens behov og interesser (se Figur 1 for møteaktivitetene og vedlegg 1 kartlegging). I tillegg har arbeidet vært presentert, diskutert og forankret i: Helsedirektoratets interne arkitekturforum Norsk Helsenetts interne arkitekturgruppe Nasjonal IKT Fagutvalg ehelsegruppens fag- og arkitekturutvalg ehelsegruppen Norsk Helsenetts ledergruppe Helsedirektoratets divisjonsledergruppe Rapportene overleveres Helse- og omsorgsdepartementet med anbefalinger om videre arbeid med nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren. Referansegruppen har bestått av: Oddgeir Strømsnes (Helse Nord IKT) Terje Hellemo (Helse Nord IKT) Pål Gaute Sætre (Helse Vest IKT AS) Lars Erik Baugstø-Hartvigsen (Helse Vest IKT AS) Bradley Kevin Folsom (Helse Stavanger HF) Hallgeir Nisja (Helse Midt-Norge, Hemit) Torill Kristiansen (Helse Midt-Norge, Hemit) Anne Marie Øverhaug (Helse Sør-Øst) Jon Gupta (Helse Sør-Øst) Peter Holmes (Folkehelseinstituttet) Asbjørn Finstad (KS, Drammen kommune) Rune Sandland (KS, Drammen kommune) Thor Bragstad (KS, Trondheim kommune) Kirsti Pedersen (Oslo Kommune) Linn Brandt (Den Norske Legeforeningen) Steinar Lund (observatør fra Helse- og omsorgsdepartementet) 2

5 Figur 1: Møter utført med sektoren, og forankringsmøter i prosjektet 3

6 I n n h old Forord 1 Bakgrunn 6 Sammendrag 8 Forkortelser 10 1 Innledning 11 2 Behov Problem- og situasjonsbeskrivelse Virksomhetenes samfunnsoppdrag Helsepersonellets oppgaveløsning Innbyggers opplevelse av helse- og omsorgstjenestene Normativt målbilde Normativt målbilde for helsepersonell Normativt målbilde for innbyggeren Avgrensning 18 3 Samhandlingsarkitekturer 19 4 Juridiske forhold Tilgang til helseopplysninger på tvers av virksomheter Personvernmessige vilkår Nye krav fra EU/EØS 22 5 Tilgang på tvers av virksomhetsgrenser Investeringsbehov Tilgangskontroll Tilgangskontroll utført i hjemmevirksomheten Tilgangskontroll basert på felles autorisasjonskilder Autentisering Fem alternative nivåer for identifisering og autentisering Personidentifikator Virksomhet- og organisasjonsidentifikatorer Tjenstlig behov Autorisasjon Innebygd personvern for innbyggere Loggføring og sporbarhet 34 6 PKI - organisering og etablering Investeringsbehov 35 4

7 Ønskede sideeffekter 36 Etablering av PKI-basert eid for helse- og omsorgssektoren 37 Identitetsforvaltning 38 Skille mellom rolle som privatperson og ansatt 38 Leveransemodell 38 Internasjonal erfaring 40 7 Etablering av nasjonal sikkerhetsinfrastruktur Felleskomponenter, sikkerhet og forvaltning Felleskomponenter for identitetshåndtering Autorisasjonskilder Personvernkilder Helsenettet 46 8 Videre arbeid Anbefalte tiltak Forslag til forprosjekter 49 9 Referanser 51 Vedlegg 1 Kartlegging 53 Vedlegg2 NSI og offentlig sektors felleskomponenter 55 5

8 Bakgrunn Dagens samhandling er basert på meldingsutveksling (bilateral utlevering), både på papir og elektronisk, mellom virksomheter. Dette har vært eneste mulighet fordi en i stor grad har implementert identitets- og tilgangsstyringen nært knyttet til applikasjoner og IT-systemer, noe som resulterer i silobaserte løsninger som illustrert i Figur 2. Figur 2: Identitets- og tilgangsstyring pr applikasjon/it-systemer, kun eksempel på noen applikasjoner. Utfordringene med tilgang til informasjon på tvers av virksomheter som er begrenset til utlevering, illustrert i Figur 3, er: Kopi av informasjonen lagres i flere systemer, Kreves en manuell prosess i virksomheten som skal utlevere, noe som innebærer en forsinkelse i tilgangen, Utleveres kopi som kun gir status ved tidspunktet for utlevering. Det er ingen felles oppdatering av informasjonen. Ved endringer i avgivende eller mottakende virksomhet oppdateres informasjonen kun lokalt. Figur 3: Meldingsutveksling basert på Adresseregisteret som håndterer meldingskryptering, dette som del av sikkerhetsinfrastrukturen. 6

9 I dag har vi en situasjon hvor det er vanskelig, selv innenfor kontrollerte og avgrensede omgivelser som et helseforetak, å gi helsepersonell tilgang til helseopplysninger konkret avgrenset til det tjenstlige behovet. Flere sentrale politiske dokumenter [1][2] beskriver behov for bedre samhandlingsmønstre mellom virksomheter som i større grad enn i dag fremmer kvalitet, pasientsikkerhet og effektivitet i helsetjenestene, og som underbygger befolkningens forventninger om koordinerte helsetjenester. Befolkningen har en forventning om at de som er involvert i innbyggerens helsetjenester proaktivt er koordinert og informert seg i mellom. Flere aktører trenger tilgang til en innbyggers helseopplysninger, og en passiv utlevering av opplysninger er ikke tilstrekkelig for å møte forventningene i befolkningen. Partene må ha mulighet til å oppdatere informasjonsgrunnlaget mellom seg. I sum tilsier dette at personvernet trenger å styrkes, men samtidig balanseres med behovet for nødvendig tilgang til informasjon. Forstudien argumenterer for at det da er nødvendig å bevege seg fra en praksis med kun bilateral utlevering av informasjon som vist i Figur 3, basert på forespørsel til den enkelte virksomhet og det enkelte helsepersonell, til en virkelighet hvor et informasjonsgrunnlag kan, om tjenstlig nødvendig, deles og oppdateres på tvers av virksomhetsgrenser. Elektronisk deling av helseopplysninger mellom helsepersonell i ulike virksomheter fordrer at man er i stand til å ta stilling til det tjenstlige behov på tvers av virksomhetene. I tillegg til dette må innbyggerens personvern ivaretas, noe som for eksempel innebærer at innbygger har mulighet til å nekte helsepersonell innsyn selv om et tjenstlig behov foreligger. Tilgangskontroll er den mekanismen som innvilger innsyn i helseopplysninger. For at tilgangskontroll på tvers av virksomheter skal kunne skalere til flere virksomheter må det være mulig å ta stilling til det tjenstlige behovet på en automatisert måte. 7

10 S a m m e ndrag Forstudien «Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren» har identifisert tiltak som bør iverksettes for å muliggjøre tilgang til og oppdatering av helseopplysninger på tvers av virksomheter. Forstudien anbefaler at dette gjøres ved å etablere tiltrodde, nasjonale identitets-, autorisasjons- og personvernkomponenter som benyttes i tilgangskontroll. På et nasjonalt nivå bør det også defineres hvilke policyer («regler») som skal legges til grunn for å avgjøre det tjenstlige behovet. Disse må samsvare med lover, forskrifter og regelverk. En tilgangskontroll forutsetter at man har nødvendig tillit til at den som ber om tilgang faktisk er den vedkommende utgir seg for å være, slik at riktig person får tilgang og handlinger kan knyttes til riktig person. Forstudien argumenterer for at det er nødvendig å benytte en PKI-basert eid i tilgangskontrollen for at tilliten skal være ivaretatt på en skalerbar måte (både til andre offentlige etater og internasjonale forhold). I tillegg vil en slik løsning kunne gi større forvaltningsbesparelser enn andre, mindre sikre alternativer. Det foreslås å gjøre en samfunnsøkonomisk analyse for å kunne lage et beslutningsunderlag for hvordan PKI skal samordnes, herunder hvilken leveransemodell som skal benyttes for helse- og omsorgssektoren. Forstudien anbefaler at det etableres en sikkerhetsinfrastruktur som skal forvalte informasjonskilder som benyttes i tilgangskontroll på tvers av virksomheter, samt for å ivareta felles samordning, styring og forvaltning knyttet til identitetsstyring (PKI). Forstudien skisserer flere tiltak som er nødvendige for at sikkerhetsinfrastrukturen kan realiseres. Det gjøres oppmerksom på at en slik sikkerhetsinfrastruktur ikke er etablert pr. i dag, men at det er flere komponenter som eksisterer som for eksempel HelseCSIRT og Adresseregisteret [12] (benyttes for meldingskryptering, vist i Figur 3). Denne forstudien fokuserer på identitets- og tilgangsstyring for applikasjoner som benyttes på tvers av virksomheter, hvor innbyggers personvern bør være en integrert del av den automatiserte tilgangskontrollen (såkalt innebygd personvern). Forventningene fra Meld.st. nr. 9 ( ) «Én innbygger én journal» [2] gjør at flere av dagens løsninger i RHF ene, kommunene, Kjernejournal, eresept, individuell plan etc. har behov for at noen av tiltakene påbegynnes innen kort tid, og disse tiltakene bør vurderes tatt inn i den nasjonale handlingsplanen for e-helse ( ). 8

11 Flere av løsningene (applikasjoner) som er illustrert i Figur 4 og som er forankret i Meld.st. nr.9 ( ) [2], vil ha behov for effektiv og sikker informasjonsdeling. Som det går fram av figuren er NSI-komponentene deler av den totale IKTinfrastrukturen til helse- og omsorgssektoren. Forstudien anbefaler videre å etablere felles styring og koordinering av tiltakene for å sikre koordinert bevegelse mot målbildet, samt ivaretakelse av behov og endringsbehov på tvers av tiltak. Figur 4: Målbildet for sikkerhetsinfrastrukturen for å realisere informasjonsdeling på tvers av applikasjoner som er forankret i Meld. St. nr. 9 ( ) «Én innbygger én journal». Figuren gir kun noen eksempler på applikasjoner som er nevnt i Meld. St. nr. 9 9

12 For k o r t elser ABAC Attribute based access control ACL Access control list CA Certification Authority (sertifikat utsteder) CSIRT Computer Security Incidence Response Team Dnr D-nummer fra Folkeregisteret eid Elektronisk Identitet epsos European Patients Smart Open Systems, EU-prosjekt FAD Fornyings-, administrajons-, og kirkedepartementet EPJ Elektronisk pasientjournal FH-nr Felles hjelpenummer FNR Fødselsnummer HF Helseforetak HOD Helse- og omsorgsdepartementet HPR Helsepersonellregisteret HPR-nr Helsepersonellnummer HR Human Resources system, dvs. lønns- og personalsystem HSP-nr Helsesektorens personellnummer (foreslått ny identifikator) KRD Kommunal og regionaldepartementet NHN Norsk Helsenett NPR Norsk pasientregister NAV Arbeids- og velferdsetaten NSI Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren PKI Public Key Infrastructure RHF Regionale helseforetak RA Registration Authority/Registreringsautoritet RBAC Role based access control RESH Register over enheter i spesialisthelsetjenesten SSL Secure socket layer SSO Single Sign-On (engangspålogging) TLS Transport layer security 10

13 1 I n n ledning Helse- og omsorgssektoren i Norge består av et meget stort antall virksomheter med behov for å samhandle og dele informasjon elektronisk. En IKT-infrastruktur er et tiltak for å løse skaleringsproblemer og for å realisere samhandlingsarkitekturer. Siden sikkerhet er ett område som må skalere til sektornivå, må sikkerhetsinfrastrukturen være del av IKT-infrastrukturen. Fokus i forstudien er sikkerhet i samhandling og informasjonsdeling mellom virksomheter i sektoren. Forstudien tar utgangspunkt i, og er avgrenset til, politiske beslutninger i form av stortingsmeldinger. IT-løsninger internt i virksomhetene er i utgangspunktet ikke del av forstudien, men i den grad det er hensiktsmessig, kan gjerne elementer av en sikkerhetsinfrastruktur også brukes i virksomhetsinterne systemer. Tilkopling til en IKT-infrastruktur vil oftest medføre spesifikke krav til interne systemer. En IKT-infrastruktur kan være distribuert med vekt på krav til systemene i de enkelte virksomhetene eller sentralisert med stor vekt på felleskomponenter. Når sentraliserte komponenter benyttes, må både funksjonalitet og grensesnitt beskrives, og ansvar, policy og avtaleverk etableres for hver enkelt komponent. Et helt sentralt element for en sikkerhetsinfrastruktur er hvilken tillitsmodell som skal understøttes, det vil si hvilke aktører og komponenter som er tiltrodde. Svak tillit til de enkelte virksomhetene og deres systemer vil føre til større behov for en sentralisert sikkerhetsinfrastruktur. Dersom en ønsker å basere seg på sterk tillit til virksomhetene og deres systemer, kan det medføre større behov for tilsyn, sertifiseringer og liknende tiltak som sikrer at hver enkelt virksomhet og system er tillitsverdig. Som minimum må en sikkerhetsinfrastruktur dekke: Regler for identifisering (navngivning) av alle aktuelle «entiteter». Regler for registering, oppdatering og representasjon av autorisasjoner. Tjenester som sikrer at kryptografiske mekanismer fungerer på tvers. Vanligste løsning er PKI-tjenester som sikrer at alle «entiteter» som har behov for det, kan autentiseres «på tvers» på en slik måte at kommunikasjon med entiteten i ettertid kan sikres med kryptografiske metoder. Det kan være forskjellige PKI-løsninger for forskjellige entiteter (personer, IT-systemer, webbaserte tjenester, virksomheter, utstyr). Realisering av PKI-tjenester kan være mer eller mindre sentralisert eller distribuert, blant annet avhengig av tillitsmodell. Spesifikasjon av hvilke funksjoner som skal understøttes av kryptografien, for eksempel autentisering, signering og kryptering, og hvordan (formater, protokoller etc.) dette skal representeres. Hva som trengs her, er svært avhengig av hvilke prosesser og typer kommunikasjon som skal understøttes. Krav til sikkerhet og kvalitet i tjenester og funksjoner, for eksempel krav om spesialelektronikk (smartkort og annet) og policykrav til tjenester. Det kan defineres forskjellige kravsett og policyer for forskjellige sikkerhetsnivåer. Sikkerhet må være dekket av avtaleverk for tilknytning til og bruk av IKTinfrastrukturen. Etablering av eller henvisning til regimer for tilsyn, sertifisering og liknende. 11

14 Sikkerhetsinfrastruktur skal støtte opp under sikkerhetsfunksjonalitet som: Autentisering bevis for at oppgitt identitet er korrekt. En kan ha behov for å identifisere og autentisere personer, virksomheter og organisasjonsenheter, IT-systemer og tjenester, utstyr og komponenter. For kommunikasjon mellom forskjellige virksomheter må identifisering (navngivning) gi mening på tvers av virksomheter. Autorisasjon tildeling av tilgangsrettigheter den enkelte har for å få tilgang til de ulike applikasjoner, IT-systemer og informasjon. Tilgangskontroll må gjøres i tilknytning til ressursen det bes om tilgang til, men kontrollen kan baseres på informasjon som formidles i en sikkerhetsinfrastruktur. Autorisasjoner for tilgang til helseopplysninger er et komplekst område som inkluderer personlige autorisasjoner som helsepersonell, rolleinformasjon, ansattforhold. Konfidensialitet beskyttelse mot uautorisert innsyn i informasjon. For kommunikasjon mellom virksomheter må dette baseres på kryptografi. Integritet beskyttelse mot endringer av informasjon. For kommunikasjon mellom virksomheter må dette baseres på kryptografi. Personvern for innbygger rettigheten en har til privatliv. Tilgang til helseopplysninger må være i henhold til pasientens samtykke, reservasjonsrett, sperring, fullmakt og/eller innsyn i egen logg. Sporbarhet at handlinger i en eller annen forstand kan «bevises» i ettertid ved f.eks. logganalyser. Dette inkluderer avdekking av uautoriserte tilganger. Når prosesser innebærer samhandling på tvers av virksomheter, må en også kunne spore handlinger på tvers. Fokus i forstudien er tilgangskontroll på tvers av virksomhetsgrenser, dvs. autentisering, autorisasjon, aksesskontrollmodeller, personvern for innbygger og sporbarhet. Autentisering avgrenses til personer (ansatte og andre med roller innen sektoren) og omhandler også PKI-basert eid. Forstudien har ikke fokusert på autentisering av virksomheter og andre ikke-menneskelige entiteter og heller ikke på funksjonalitet for konfidensialitet og integritet. Dette er imidlertid også viktige områder, og disse må dekkes i videre arbeid. En nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren tilrettelegger for informasjonsdeling på tvers av virksomhetsgrenser og derav økt samhandling. Det vil derfor være behov for felleskomponenter for identitets- og tilgangsstyring som den enkelte virksomhet innhenter informasjonen fra, for å kunne dele personopplysninger på en sikker måte. Formål, rettslig grunnlag som ansvar og avtaleverk, grensesnitt, policyer, drift og forvaltning må beskrives for felleskomponentene. I tillegg må komponentene være autoritative i den forstand at organisasjonen som eier komponenten, tar ansvar for at informasjonen er oppdatert og korrekt. Eksempler på applikasjoner og tjenester som vil ha behov for en nasjonal sikkerhetsinfrastruktur, er nasjonal kjernejournal, eresept, individuell plan, sårjournal, nasjonale helseregistre og generell tilgang på tvers av IT-systemer i forskjellige virksomheter. I tillegg må sikkerhetsinfrastrukturen støtte fremtidige samhandlingsløsninger, teknologier og arkitekturer. 12

15 2 B e h ov Behovsanalyse skal sikre at de beskrevne behovene gjenspeiler samfunnets virkelige behov, og dermed at valgte løsninger bidrar til oppfyllelse av helse- og omsorgssektorens oppgaver i samfunnet. Behovsanalysen skal også bidra til at løsningskonsepter ikke blir valgt uten en tilstrekkelig vurdering av alle interessenter, aktører og deres behov. Behovsanalysen består, som vist på figuren under, av flere elementer som sammen danner en komplett analyse. På grunn av stramme tidsrammer for forstudien må deler av behovsanalysen utsettes til senere faser. Vi har valgt å fokusere på normative behov i denne fasen, og da primært i et innbyggerperspektiv og et helsepersonellperspektiv, samt et virksomhetsperspektiv. I forstudien har det også blitt gjort en kartlegging av det avgrensede problemområdet og pågående tiltak hos flere av interessentene, men dette materialet har ikke blitt systematisert i forstudien. Figur 5: Behovsanalyse. Trafikklysene angir i hvilken grad aktiviteten har inngått i forstudien. Utgangspunktet for behovsanalysen er en beskrivelse av dagens situasjon og utfordringer. Denne utgjør en motivasjon for at noe bør gjøres og fungerer som en avgrensning av problemområdet for behovsanalysen. Et normativt målbilde er en beskrivelse av en ønskelig situasjon basert på normative behov og skal således kunne sies å være et politisk forankret målbilde. Prosjekt- eller investeringsutløsende behov kan identifiseres i spennet mellom dagens situasjon og det normative målbildet som tegnes. Det redegjøres for disse i kapittel 5 og 6. 13

16 2.1 Problem- og situasjonsbeskrivelse «Vi har i liten grad systemer som understøtter pasientens behov for helhet i pasientforløpet. Derimot har vi mange systemer som er rettet inn mot deltjenestene. Ansvar og oppgaver er fordelt på to forvaltningsnivå, kommunene forvalter primærhelsetjenesten og omsorgstjenestene, og stat/helseforetak forvalter spesialisthelsetjenesten. I tillegg er det mange organisatoriske oppsplittinger både innad i kommunen og innad i helseforetakene. Vi har rettighets-, finansierings-, beslutnings-, brukermedvirknings- og prioriteringsbestemmelser rettet inn mot henholdsvis spesialisthelsetjenester og kommunale tjenester, men vi har i liten grad systemer som er rettet inn mot pasientens samlede behov. De ulike aktørene har i liten grad ansvar for å legge til rette for en god veksling med andre aktører. Alle måles og belønnes på det de gjør innenfor egen «søyle» og ikke på det de gjør på tvers. Dette inkluderer også at vi ikke har beslutningssystemer som avklarer hvordan myndighetene på en helhetlig måte vil stille opp overfor aktuelle behov [1]». Behovsanalysen skal beskrive konteksten og motivasjonen for å gjennomføre tiltak. Vi beskriver problemområdet ut i fra perspektivene i Figur 6. Utgangspunktet for beskrivelsene er utfordringer knyttet til manglende samhandling i helse- og omsorgssektoren som illustrert av sitatet over. Figur 6: Perspektiver på problemområdet (bilder: Colourbox) Virksomhetenes samfunnsoppdrag Helse- og omsorgstjenester leveres av virksomheter, det være seg et helseforetak eller en fastlegepraksis. Den sentrale styringen og finansieringen av tjenestene er rettet mot virksomhetene heller enn det enkelte helsepersonell. Behovet for samhandling, det vil si koordinering og oppgaveløsning, på tvers av virksomheter, har økt i takt med spesialisering av oppgaver og den generelle etterspørselen etter helse- og omsorgstjenester. Det er større behov for å kunne fordele oppgaver mellom virksomheter og sikre at oppgavene blir fulgt opp. Imidlertid har redskapene for å samhandle ikke endret seg vesentlig, noe som blant annet skyldes rammer gitt av regelverket. På øverste nivå avhenger samhandling av at arbeidsprosesser blir samordnet mellom partene som skal samhandle. En større 14

17 grad av samordning vil kreve dynamisk deling av informasjon heller enn statisk utlevering av kopi av informasjon til enkelte parter på enkelte tidspunkt. Økt mobilitet i befolkningen, herunder helsepersonell og pasienter, representerer også utfordringer for virksomhetene. Det samme gjelder omorganiseringer som fusjonering og fisjonering av virksomheter. Samhandlingsreformen peker på en rekke utfordringer knyttet til samordning av prosessene. En av disse er at helsesektorens informasjons- og prosess-støtte i all hovedsak er rettet mot intern virksomhet. Mange selvstendige aktører prioriterer IKTløsninger ut fra lokale behov og mål. Dette har resultert i mange forskjellige systemer som ikke godt nok støtter helhetlige pasientforløp og elektronisk samhandling på tvers av virksomheter og tjenestenivåer [3]. Informasjon og prosess er i dag sementert av regelverk og virksomhetsinterne informasjons- og prosess-støttesiloer. I tillegg til den juridiske hindringen for å dele informasjon, finnes det heller ingen mekanismer for å avgjøre tjenstlig behov, tilgangskontroll og sporbarhet på tvers av virksomheter. Forutsetningene for å kunne samhandle elektronisk er derfor svært begrenset Helsepersonellets oppgaveløsning Helsepersonell vet ikke om de har tilgang til all nødvendig informasjon for å yte helsetjenester med optimal kvalitet og minst mulig risiko. Informasjonsgrunnlaget i de lokale IKT-systemene er ofte mangelfullt, siden det ikke er mulig å dele informasjon mellom de virksomhetene som sammen yter innbyggerens helsetjenester. Dagens praksis med forsendelse av informasjon, per post eller elektronisk melding, gir ikke i seg selv tilstrekkelig samhandling mellom partene. Punkt-til-punkt orientert forsendelse av informasjon sikrer ikke nødvendig tilgang til oppdatert informasjon for involverte parter fremover og tilbake i tid. Informasjon er i utgangspunktet bare «sann» i det øyeblikket den blir utlevert, og det finnes ingen mekanisme for å ivareta oppdatering av et felles informasjonsgrunnlag mellom aktørene i et pasientforløp. Helsepersonell har bare tilgang til sin lokale «sannhet». De ulike aktørene opererer på lokale informasjonskopier, og det finnes derfor ingen klart sann informasjonskilde for partene som yter lokale helsetjenester til en pasient. Det er ingen transparens i informasjon og prosesser mellom systemene utover utleveringer i forbindelse med ansvarsoverføring. System nummer to kan eksempelvis ikke «se» om pasienten har blitt henvist til en tredjepart i etterkant av epikrisen, om det er tatt blodprøver eller røntgenbilder som det ikke foreligger svar på, eller om det er planlagt nye avtaler i det første systemet. Hjemmesykepleien kan ikke i sitt system se at pasienten har blitt innlagt på sykehuset. Fastlegen vet ikke om sykehuset har handlet på henvisningen som hun sendte. Vedkommende vet ikke om henvisningen i det hele tatt har blitt lest og registrert på sykehuset. Helsepersonell har ingen mulighet til å vite hvor den siste, oppdaterte informasjonen befinner seg når pasienten beveger seg mellom virksomheter. Helsepersonell må derfor begynne på nye datainnsamlinger og ringerunder og må oppdatere sitt system manuelt når pasienten har vært innom andre aktører. Man vet heller ikke om noen 15

18 data er endret i det forrige systemet etter at «brevene» (henvisning/epikrise) ble laget. Kan man fullt ut stole på at innholdet i henvisningen eller epikrisen er oppdatert? Vet man om den utskrivende legen faktisk sjekket prøvesvaret som kom etter at epikrisen ble skrevet? Vet man i det hele tatt om det ble tatt en blodprøve? Har det vært andre aktører inne i bildet her som man ikke har mottatt epikrise fra? Helsepersonell vet verken om de har all relevant informasjon, eller om informasjonen de har er til å stole på. Denne «systemsvikten» utsetter pasienter for risiko, og helsepersonell må bruke mer av sin tid til å innhente og kvalitetssikre informasjon, inkludert nye prøver og undersøkelser som potensielt repeterer undersøkelser som allerede er utført andre steder. Tid som skulle vært brukt til å diagnostisere, behandle og informere pasienten Innbyggers opplevelse av helse- og omsorgstjenestene «Systemsvikten» bidrar også til at pasienter opplever helse- og omsorgstjenestene som fragmenterte og lite koordinerte. Pasienten er i for stor grad informanten og koordinatoren mellom aktørene og kan føle seg som en kasteball i en sektor som ikke i tilstrekkelig grad «bryr seg». Et viktig menneskelig behov er å oppleve kontroll og styring over sitt eget liv. Dette innebærer blant annet å kunne delta mer aktivt og med større innflytelse i de tjenestene man mottar fra helse- og omsorgssektoren. Selvbetjeningsløsninger er et eksempel på at innbyggeren selv kan være aktiv deltager mot tjenestene. En annen viktig faktor for opplevelse av kontroll og styring er innsyn i egne helseopplysninger, samt muligheten til å hindre innsyn fra andre. «Systemsvikten» og mangfoldet av systemer og virksomheter gjør det vanskelig for innbyggerne å få innsyn i alle sine helseopplysninger. Per i dag kan helseopplysninger i hovedsak bare utleveres manuelt på papir, gjerne ved personlig oppmøte. Innbyggeren sitter heller ikke nødvendigvis med den totale oversikten over i hvilke virksomheter og systemer informasjon finnes. Det er per i dag en krevende oppgave for innbyggere å hindre innsyn fra gitte helsepersonell og organisatoriske enheter, samt å hindre innsyn i enkeltopplysninger. 2.2 Normativt målbilde Innretningen for en normativ behovsanalyse er å definere et normativt målbilde basert på overordnede, politisk vedtatte beslutninger. Investeringsbehovet kan i tilfeller hvor de politiske målsettingene beskriver den ønskede behovsdekningen på en presis måte identifiseres som de investeringene som skal til for å fylle gapet mellom det eksisterende og det ønskede framtidige nivået for behovsdekning [5]. Imidlertid vil ikke presisjonsnivået i de aktuelle normkildene her være godt nok til å enkelt identifisere investeringsbehovet. Problemområdet er komplekst. Vi vil i delkapitlene gjøre rede for investeringsbehov og eventuelle ønskede sideeffekter. 16

19 Følgende kilder er lagt til grunn for det normative målbildet, med vekt på de to første kildene: Samhandlingsreformen [1] Stortingsmelding nr. 9: Én innbygger en journal [2] Stortingsmelding nr. 10: God kvalitet trygge tjenester [3] Stortingsmelding nr. 11: Personvern utsikter og utfordringar [4] Figur 7: Normativt målbilde som legges til grunn for forstudien Normativt målbilde for helsepersonell I fremtiden skal helsepersonell utøve tjenester med økt kvalitet og pasientsikkerhet, på tross av økt etterspørsel og økte krav til effektivitet. En forutsetning for dette er at helsepersonellet har tilgang til et nødvendig informasjonsgrunnlag som muliggjør både en effektiv og pasientsikker praksis. De økte forventningene til helsetjenestene og den helsefaglige utviklingen tilsier at helse- og omsorgstjenestene vil spesialiseres ytterligere i årene fremover, og sektoren skal derfor være i stand til å koordinere oppgavene effektivt og trygt mellom seg, slik at innbyggeren føler seg godt ivaretatt Normativt målbilde for innbyggeren I fremtiden skal innbyggeren gis muligheten til å i større grad kunne foreta informerte valg og påvirke egenskaper til tjenestene som vedkommende forbruker. Dette kan for eksempel dreie seg om å kunne velge hvem som skal utføre tjenester som de er innvilget rettighet til. I en fremtidig situasjon hvor informasjon deles mer effektivt og omfattende mellom systemer, virksomheter og helsepersonell, skal innbyggeren ha enkel tilgang til å styre innsyn i egne helseopplysninger. For at innbyggeren skal kunne delta mer aktivt i oppgaveløsning for sin egen helse, skal innbyggeren ha tilgang til sine egne helseopplysninger. I tillegg skal innbyggeren ha mulighet til å kommunisere elektronisk med helsepersonell og virksomheter om helsetjenestene. 17

20 2.3 Avgrensning Veien mot det normative målbildet er lang og vil være avhengig av en lang rekke tiltak. Den første avgrensningen vi gjør for denne forstudien er å begrense omfanget av problemområdet til elektronisk samhandling, det vil si elektronisk understøttelse av samhandling. Deretter avgrenser vi oss fra funksjonalitet i systemene som helsepersonell benytter, og innretter oss mot hvordan informasjon kan deles mellom virksomheter, og hvilken IKT-infrastruktur som kreves for at dette skal være mulig. Vi deler det avgrensede problemområdet opp i to områder: 1. Tilgangskontroll på tvers av virksomheter Autentisering Autorisasjon (inkl. aksesskontrollmodeller) Tjenstlig behov Innebygd personvern for innbygger Sporbarhet 2. Autentisering og sporbarhet på tvers av virksomheter basert på PKI PKI-basert eid Samordne PKI for helse- og omsorgssektoren Disse to problemområdene blir behandlet i henholdsvis kapittel 5 og 6. 18

21 3 S a m h a ndlingsarkitekturer For å identifisere riktige tiltak som understøtter det normative målbildet, må vi sikre at tiltak passer inn i «økosystemer» som samvirker om å løse ut målbildet. Den metodiske tilnærmingen vi bruker er å beskrive forskjellige samhandlingsarkitekturer for helse- og omsorgssektoren, for så å beskrive hvordan infrastrukturkomponenter kan virke i disse. For å sikre at tiltak understøtter alternative scenarier over tid er innretningen at IKT-infrastrukturen bør støtte et mangfold av samhandlingsarkitekturer og organisasjonsmodeller innad i helse- og omsorgssektoren. En samhandlingsarkitektur uttrykker et overordnet konfigurasjonsmønster av systemer og integrasjoner for å forvalte informasjonsgrunnlag i helse- og omsorgstjenestene. En sikkerhetsarkitektur vil være en integrert del av den enkelte samhandlingsarkitektur (se Figur 8). Med sikkerhetsarkitektur mener vi måten sikkerhetsfunksjoner skal tilby sikkerhetsmekanismer (konfidensialitet, integritet og tilgjengelighet) i det enkelte system. Disse sikkerhetsfunksjonene er igjen avhengig av komponenter fra en sikkerhetsinfrastruktur for å kunne utføre sin funksjon. Et eksempel på en funksjon i sikkerhetsarkitekturen er utøvelse av tilgangskontroll. Denne funksjonen er igjen avhengig av komponenter som autorisasjons- og personvernkilder i sikkerhetsinfrastrukturen (se Figur 8) for å kunne være funksjonell. Vårt arbeid har fokus på sikkerhetsinfrastrukturen. Figur 8: Rammeverk for samhandlingsmodell, kommunikasjon, arkitektur og IKT-infrastruktur 19

22 I det ene ytterpunktet vil systemer og informasjonshåndtering være distribuert til hver enkelt virksomhet med hver sine systemporteføljer hvor informasjon kun kan deles bilateralt. I det motsatte ytterpunktet vil all informasjon for alle virksomheter håndteres i ett felles system eller database (se Figur 9). Figur 9: Ytterpunkter for distribusjon og sentralisering av informasjon Den første varianten er et uttrykk for situasjonen i dag, og er av ehelsegruppens fagog arkitekturutvalg vurdert som en uhensiktsmessig arkitektur for fremtidig samhandling i helsesektoren [6]. Når det gjelder den andre varianten, er det ikke nødvendigvis slik at det er hensiktsmessig å bruke ett system for absolutt alle behov. Denne problemstillingen vil imidlertid utredes i en egen utredning fra Helsedirektoratet på oppdrag fra Helse- og omsorgsdepartementet. Uansett er det rimelig å forvente en konsolidering av systemlandskapet til vesentlig færre systemer enn i dagens situasjon. Dette er noe alle de regionale helseforetakene har strategier for. I det videre arbeidet legger vi til grunn at fremtidige samhandlingsarkitekturer vil ta utgangspunkt i et systemlandskap ett eller annet sted mellom de to ytterpunktene. For å forstå samhandlingsarkitekturenes behov og krav til sikkerhetskomponenter, foreslår vi at en i videre arbeid evaluerer aktuelle samhandlingsarkitekturer i forhold til definerte evalueringskriterier av både ikke-teknisk og teknisk art. Motsatt vil også krav og behov i balansering av personvern og tjenstlig behov til informasjon kunne rette krav til samhandlingsarkitekturene. De identifiserte spørsmål og kriterier er beskrevet i delrapporten «Samhandlingsarkitektur» [35]. 20

23 4 J u r idiske forhold Dagens regelverk setter føringer for tilrettelegging av samhandling og etablering av nasjonal sikkerhetsinfrastruktur i helse- og omsorgssektoren (NSI). I delrapporten «Juridiske forhold» [36] utdypes de ulike problemstillinger som er knyttet til samhandling og etablering av nasjonal sikkerhetsinfrastruktur. Noen av de juridiske problemstillingene er tatt med underveis i de andre delrapportene [33][34][35]. 4.1 Tilgang til helseopplysninger på tvers av virksomheter Innad i en virksomhet vil deling av helseopplysninger i hovedsak ikke være problematisk i henhold til dagens regelverk. I utgangspunktet foreligger det imidlertid et forbud mot tilgang til helseopplysninger i andre virksomheter. Virksomheter tillates heller ikke å dele journalsystemer. Det må være ett system per virksomhet. En virksomhet kan, etter en forhåndsvurdering av nødvendigheten, utlevere en kopi av informasjon til en annen virksomhet. Lovverket åpner også unntaksvis for direkte tilgang til informasjon i andre virksomheter, men slik unntaksbestemmelsene er formulert, gir de i praksis svært begrenset grad av samhandling. Slik lovverket er utformet, hindrer det i stor grad elektronisk samhandling på tvers av virksomheter i sektoren. I skrivende stund er forslag til ny pasientjournallov og ny helseregisterlov på høring [7]. Disse lovene skal erstatte dagens helseregisterlov [8]. Forslaget til pasientjournallov fjerner skillet mellom tilgang til informasjon internt i en virksomhet og i andre virksomheter og vil dermed åpne for tilgang på tvers av virksomhetsgrenser. Virksomheter tillates også å dele journalsystem under visse betingelser. Hvis lovforslagene vedtas i den form de er presentert i høringsnotatet [7], vil dette fjerne de fleste formelle hindringer for deling av informasjon i helse- og omsorgssektoren. Forstudien har ikke utført en detaljert analyse av konsekvensene av lovforslagene for en nasjonal sikkerhetsinfrastruktur, men de viktigste elementene er oppsummert i delrapporten «Juridiske forhold» [36]. 4.2 Personvernmessige vilkår Personvernlovgivningen gir også føringer for bruk av felleskomponenter som inneholder personopplysninger. Det er viktig å merke seg at visse grunnkrav til behandling av personopplysninger må være oppfylt før slike felleskomponenter kan tas i bruk. Dette kan eksempelvis være krav til formål, behandlingsgrunnlag, databehandlingsansvarlig m.m. Kravene vil gjelde uavhengig om man ønsker å etablere nye felleskomponenter eller videreføre bruken av eksisterende felleskomponenter for sektoren. Samtidig må man ta i betraktning de personvernrettighetene som innbyggerne har etter dagens lovgivning, eksempelvis krav til innsyn i behandling av opplysningene, innhenting av samtykke, registrering av fullmakter m.m. I videre arbeid med nasjonal sikkerhetsinfrastruktur er det også viktig å merke seg den debatten som pågår i offentlig sektor, om hvorvidt man i større grad skal benytte seg av en reservasjon mot registrering i stedet for samtykke fra den registrerte, og hvilken betydning dette har for pasientsikkerheten. Dette må sees i sammenheng med bruk av sperring, omtalt i delrapporten «Tilgangskontroll på tvers av virksomhetsgrenser» [33].Uavhengig av hvordan en velger å balansere 21

24 bruken av virkemidlene samtykke, reservasjon og sperring fremhever forstudien behovet for å hensynta disse forholdene fra starten av i arbeidet med en nasjonal sikkerhetsinfrastruktur i henhold til prinsippet om innbygd personvern (privacy by design). Innbyggerens valg må innhentes, lagres og presenteres med mekanismer som gjør at informasjonen kan brukes i automatisert tilgangskontroll på tvers av virksomheter. Mekanismer for å understøtte innbyggers personvern må også omfatte fullmakt og innsyn både i egen informasjon og i hvem som har hatt tilgang til denne informasjonen (logger). 4.3 Nye krav fra EU/EØS Samtidig må arbeidet med nasjonal sikkerhetsinfrastruktur se hen til den utviklingen som skjer innenfor EU/EØS-området. Europakommisjonen har publisert forslag til forordninger både på personvernområdet og om et felles rammeverk for elektronisk identifikasjon, elektronisk signatur og andre relaterte tillitstjenester. Dette vil gi føringer også for Norge og bør derfor følges opp i et videre arbeid med NSI. 22

25 5 T i l gang på tvers av virksomhets g r e nser Dette kapittelet er et sammendrag fra delrapport «Tilgangskontroll på tvers av virksomhetsgrenser» [33]. 5.1 Investeringsbehov For å utløse en prosess for investering på dette området bør det etableres en grunnleggende forståelse av behovet, og hva en investering kan løse. Vi vil ikke i denne forstudien konkretisere investeringsbehovet, men peke overordnet på områder. Det er med andre ord for konkretiseringer i det videre arbeidet. Investeringer vurderes som nødvendigfor å dekke to grunnleggende behov: 1. Grunnlag for utførelse av tilgangskontroll på tvers av virksomheter i helseog omsorgssektoren For at informasjon skal kunne deles mellom virksomheter i helse- og omsorgssektoren, må det etableres et fundament for å kunne kontrollere tilgang til informasjon og systemer mellom virksomheter eller i nasjonale løsninger. I dette ligger det at det må etableres mekanismer som kan ivareta tillit mellom virksomhetene, herunder datakilder og regler til tilgangskontrollen som partene har tilstrekkelig tillit til. Denne forstudien beskriver et overordnet målbilde for hvordan et fundament for dette kan se ut. Det foreslås at det jobbes videre med målbildet i forprosjekter for å identifisere konkrete investeringsbehov. 2. Grunnlag for nye personvernmekanismer Ved større grad av deling av informasjon mellom systemer og virksomheter øker behovet for å styrke personvernmekanismene. Innbyggerne bør kunne begrense helsepersonells innsyn i innbyggerens egne helseopplysninger etter vedkommende sitt eget ønske. I dag er det slik at innbyggere må henvende seg til den enkelte virksomhet for å begrense innsyn og kontrollere hvem som har hatt tilgang til helseopplysningene. Når sensitiv informasjon i større grad deles mellom virksomheter, vil det være krevende for innbyggeren selv og for forvaltningen å følge opp personvernbehovet til den enkelte. Det er derfor behov for å etablere et fundament og ulike innbyggertjenester for ivaretakelse av personvern. Vi beskriver i forstudien en skisse av et overordnet målbilde. Det vil være behov for å gjøre videre utredning av målbildet, før investeringsbehovet kan konkretiseres i forprosjekter 23

26 5.2 Tilgangskontroll Tilgangskontroll til helseopplysninger er en balanse mellom tilgjengelighet og personvern. En for streng tilgangskontroll til informasjon vil gå ut over kvalitet, effektivitet og pasientsikkerhet i helsetjenestene. Samtidig er det viktig at informasjon kun er tilgjengelig ved behov. For å beskytte innbyggernes personvern er helsepersonell i Norge underlagt en streng taushetsplikt og skal ikke tilegne seg taushetsbelagte opplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller at det foreligger særskilt hjemmel i lov eller forskrift. I den digitale verden vil en tilgangsstyre etter regler som er knyttet opp mot taushetsplikten. Tilgangsstyring skal sikre at tilgang til applikasjoner, IT-systemer og informasjon er i henhold til gjeldende autorisasjonspolicyer, og skal forhindre uautorisert tilgang. I tillegg til helsepersonell vil det være viktig at tilgangskontrollen ivaretar administrativt personell og annet personell som har roller knyttet opp mot helsehjelp. Tilgangskontroll må også omfatte personell som ikke har et fast ansettelsesforhold, som for eksempel innleide vikarer og studenter, utenlandsk helsepersonell, og personell fra andre sektorer som har roller i helsehjelpen. Et eksempel på behov for tilgang fra andre sektorer er personell involvert i forbindelse med individuell plan i kommunene. En tilgangskontroll avgjør: hvem som skal få tilgang, på hvilke betingelser og hva har en lov å gjøre (lese, skrive etc.). Dagens prosesser for utlevering av informasjon mellom virksomheter er i stor grad basert på at en person (helsepersonell) manuelt utleverer (sender) informasjonen, eksempel på dette kan være elektronisk meldingsutveksling. Framtidige løsninger for informasjonsdeling mellom virksomheter må baseres på at tilgangskontrollen gjøres automatisk i IT-systemene, ikke på manuelle prosesser. De fem mekanismene som understøtter en automatisert tilgangskontroll er: Autentisering Tjenstlig behov Autorisasjon Innebygd personvern for innbygger Loggføring og sporbarhet NSI forstudie har fokus på automatisert tilgangskontroll på tvers av virksomhetsgrenser og hvordan informasjonen kan deles. Vi har identifisert to prinsipielle tilnærminger for hvordan informasjonen kan deles: Tilgang til informasjon i hverandres løsninger (bilateralt, eksempelvis pasientjournaler i de lokale EPJ systemene) Tilgang til informasjon i sentraliserte løsninger (eksempelvis nasjonal kjernejournal) 24

27 Videre har vi identifisert to alternativer for hvordan tilgangskontrollen for disse to tilnærmingene kan utføres: 1. Tilgangskontroll som utføres i hjemmevirksomheten (se avsnitt 5.2.1). 2. Tilgangskontroll som baseres på felles autorisasjonskilder (se avsnitt 5.2.2) Tilgangskontroll utført i hjemmevirksomheten «Hjemmevirksomheten» er den virksomheten som angjeldende helsepersonell (eller andre som skal ha tilgang) er tilknyttet i den aktuelle situasjonen. Det vil si at personen er pålogget IT-systemer, for eksempel EPJ, i hjemmevirksomheten og i forbindelse med pasientbehandling trenger tilgang til informasjon i systemer i en annen virksomhet eller i en sentralisert løsning. Figur 10: Tilgangskontroll utført i hjemmevirksomheten Når tilgangskontroll utføres i hjemmevirksomheten (vist i Figur 10), er det denne virksomheten som avgjør tjenstlig behov for tilgang til informasjon i den andre virksomheten. Dersom hjemmevirksomheten bestemmer at autorisasjoner er i orden, vil IT-systemet sende en forespørsel til den andre virksomheten på vegne av personen som skal ha tilgang. Den virksomheten som skal gi tilgang, vil i utgangspunktet stole på at autorisasjonen er på plass og vil gi tilgang basert på forespørselen. Dette krever stor grad av tillit til hjemmevirksomheten. Virksomheten kan imidlertid eksekvere lokale policyer som kan begrense tilgang for eksempel basert på hvilken virksomhet eller enhet som spør, eller på hvilken rolle som er oppgitt i forespørselen. Lokale policyer kan også ha regler på personnivå forutsatt at personen (helsepersonellet) er identifisert på en måte som gir mening for virksomheten (felles identitet på tvers). Dersom virksomheten som skal gi tilgang, skal eksekvere lokale policyer, må den informasjonen som oppgis fra hjemmevirksomheten (personens identitet, rolle, grunnlag for tjenstlig behov, samtykke osv.) være tilstrekkelig standardisert. Skalering av denne modellen krever en ordning med sertifisering av virksomhetene etter gitte kriterier som må oppfylles før tilgang til informasjon i andre virksomheter kan tillates. For eksempel må krav til intern informasjonssikkerhet overholdes, og virksomheten må ha full kontroll på identitet, roller og autorisasjoner for personer. 25

28 Virksomheten som skal gi tilgang, må sjekke at sertifisering er i orden for hjemmevirksomheten. Dette kan eventuelt dokumenteres ved at hjemmevirksomheten finnes i et register over «godkjente» virksomheter eller gjennom et sertifikat som bekrefter sikkerhetsnivået. Uten en slik sertifiserings-ordning må tillit bestemmes individuelt mellom hvert par av virksomheter som skal utveksle informasjon, og en slik modell vil ikke skalere. Fordeler Fungerer mellom virksomheter som har tillit til hverandre. Sanntidskommunikasjon Ulemper Tillitsmodell hvor alle må stole på hverandre. Tilgangsstyring kun på autentisering av virksomhet. Skalerer dårlig med hensyn på sektorens behov for samhandling. Utfordringer knyttet til grensesnitt, avtaleverk etc. Tabell 1: Oppsummerte fordeler og ulemper ved å utføre tilgangskontroll basert på hjemmevirksomhetens tilgangskontroll Tilgangskontroll basert på felles autorisasjonskilder Det andre alternativet er at tilgangskontroll utføres av den virksomheten som skal gi tilgang til informasjonen, basert på autentisering av personen som skal ha tilgang, og informasjon fra felles autorisasjonskilder som implementeres som felleskomponenter i sikkerhetsinfrastrukturen (vist i Figur 11). Komponentene må være autoritative i den forstand at de inneholder oppdatert og korrekt informasjon som alle virksomheter kan stole på. Figur 11: Tilgangskontroll basert på felleskomponenter En slik løsning må baseres på en felles identitet av personer på tvers av hele sektoren, et felles system for autentisering (fortrinnsvis med PKI-basert eid) og standardiserte rollebegreper, informasjonsmodeller (semantikk) og grensesnitt. Dette er illustrert i Figur

29 Fordeler Sanntidskommunikasjon Identitet og autorisasjon blir kontroller før tilgang gis Små aktører blir ivaretatt gjennom nasjonale løsninger Skalerer til sektorens behov for deling av informasjon Nasjonale autorisasjonskilder er påbegynt Ulemper Overgangsperioder må ivaretas Tabell 2: Oppsummert fordeler og ulemper ved å utfører tilgangskontroll basert på felleskomponenter. Vi vil i de påfølgende delkapitlene beskrive hvordan de fem mekanismene som må understøtte automatisert tilgangskontroll, kan implementeres for å understøtte det normative målbildet som er beskrevet i kapittel Autentisering Autentisering vil si å verifisere en påstått identitet, og en må derfor inneha noe som bekrefter denne identiteten dette kalles for autentiseringsfaktor. Det finnes tre typer autentiseringsfaktorer [10]: Noe du vet (passord, pinkode) Noe du er (biometri som fingeravtrykk, irisgjenkjenning, ansiktsgjenkjenning) Noe du har (nøkkelkort, smartkort, passordkalkulatur) Identifisering og autentisering av en person i helse- og omsorgssektoren er nødvendig for to formål: Muliggjøre kontroll av personens autorisasjoner slik at det kan gis tilgang til applikasjoner, systemer og informasjon. Autentisering er ikke en mekanisme i tilgangsstyring, men tilgangsstyring fordrer at autentisering er gjennomført før en kan får tilgang til informasjonen. Skape en sikker knytning (sporbarhet) mellom handlinger og den personen som har utført handlingene. Ved tilgang til eller endring av helseopplysninger må en loggføre hvem som har utført en gitt handling. En eid benyttes for å oppnå en sikker autentisering for personer som skal logge seg inn i systemene, og består av et navn (brukernavn eller identifikator) og autentiseringsfaktor. Det er i hovedsak to typer eid er: Basert på delt hemmelighet (eks. passord, engangspassord) eller basert på PKI-teknologi Fem alternative nivåer for identifisering og autentisering Når en person skal ha tilgang til informasjon i andre virksomheter, må det avklares hvilke krav som stilles for å identifisere og autentisere personen. Under skisseres fem alternative nivåer for å formidle brukerens identitet fra en virksomhet til en annen. Alternativene er nærmere beskrevet i delrapporten «Tilgangskontroll på tvers av virksomhetsgrenser» [33]. Valg av alternativ vil blant annet være avhengig av tilliten mellom virksomhetene, av informasjonens sensitivitet og av regelverk. 27

30 Ytterligere vurderinger er nødvendig for å vurdere i hvilke tilfeller og under hvilke forutsetninger ulike alternativer kan brukes. Spesielt må en se på krav til identifisering og autentisering for tilgang til helseopplysninger. Regelverksutfordringer ved tilgang til personopplysninger på tvers av virksomheter omtales i delrapporten «Juridiske forhold» [36]. Med «hjemmevirksomhet» menes den virksomheten som en person har sin tilknytning til når vedkommende ber om tilgang. De fem foreslåtte nivåene er: Nivå 1: Kun identifisering av virksomhet ingen identifisering av person På dette nivået identifiseres ikke personen all informasjonsdeling er mellom virksomheter. Det er kun virksomhetene, eventuelt underliggende organisasjonsenheter, som identifiseres og autentiseres. Dette er mest aktuelt ved meldingskommunikasjon, men en kan også lage løsninger for interaktiv tilgang med en «tunnel» mellom virksomhetene og tilgang til brukergrensesnitt gjennom denne. Virksomheten som skal gi tilgang, må ha full tillit til at hjemmevirksomheten gjør dette på bakgrunn av en handling fra en person som har de nødvendige autorisasjoner. Siden en ikke vet hvem denne personen er, vil det ikke være muligheter for sporbarhet (logging) på personnivå utenom hjemmevirksomheten. Nivå 2: Identifisering av person i hjemmevirksomheten På dette nivået blir personen identifisert fra hjemmevirksomheten som ber om tilgang, men det foreligger ikke noe bevis for at autentisering er utført. Virksomheten som skal gi tilgang, må ha full tillit til at autentisering er utført i hjemmevirksomheten, og at det er korrekt identitet som oppgis. Identifisering av person gjør det mulig for virksomheten å logge tilgangen med knytning til person. Nivå 3: Autentisering av person utført i hjemmevirksomheten Dette nivået likner på nivå 2, men hjemmevirksomheten som ber om tilgang til informasjon, sender med et token, for eksempel på SAML-format, som inneholder personens identitet, og som er utstedt av en autentiseringstjeneste. Dette er bevis for at personen er autentisert. Virksomheten som skal gi tilgang, må stole på at hjemmevirksomheten sender token for korrekt person. Nivå 4: Omdirigering til hjemmevirksomheten for autentisering Dette nivået kan likne litt på nivå 3, men forskjellen er at personen blir omdirigert fra den virksomheten som skal gi tilgang, til hjemmevirksomheten for å utføre autentiseringen. Det gir en ytterligere grad av sikkerhet i forhold til nivå 3, da virksomheten som skal gi tilgang har kontroll på omdirigeringen til personens hjemmevirksomhet. Dersom personen allerede er autentisert, kan hjemmevirksomhetens autentiseringstjeneste utstede nytt token uten ny autentisering (engangspålogging, SSO) og så dirigere personen tilbake. Nivå 5: Ny autentisering utføres i regi av virksomheten som skal gi tilgang På dette nivået må brukeren gjennom en ny autentisering for å få tilgang, selv om han er autentisert i sin hjemmevirksomhet. Dette er det eneste nivået som krever at brukeren har en eid som kan brukes utenfor egen virksomhet. Fortrinnsvis bør brukeren ha en PKI-basert eid som kan brukes for alle autentiseringer. 28

31 5.3.2 Personidentifikator Ved identifisering av en person på tvers av virksomheter bør en bruke en identifikator som unikt identifiserer personen på tvers av hele sektoren. Lokale brukernavn gir ikke mening på tvers av virksomheter, og andre navn er ikke garantert å være unike. «Vanlig navn» på personen kan eventuelt brukes i tillegg til identifikatoren dersom det er ønskelig at dette logges. Dette vil gi økt brukervennlighet når en innbygger ber om innsyn i logg. Det er to identifikatorer som benyttes for personell i helse- og omsorgsektoren i dag: HPR-nummer (helsepersonellnummer) som tildeles av Statens Autorisasjonskontor (SAK) til alle personer som har en autorisert helseprofesjon. Fødselsnummer (FNR) og D-nummer (Dnr) tildeles alle personer som er registrert i Folkeregisteret. Ingen av disse identifikatorene dekker alt personell i helse- og omsorgssektoren. I tillegg er bruk av FNR, jf. personopplysningsloven 12, at «fnr skal bare benyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for slik identifisering. Datatilsynet kan pålegge en behandlingsansvarlig å bruke identifikasjonsmidler som nevnt i første ledd for å sikre at personopplysningene har tilstrekkelig kvalitet». En kan vanskelig argumentere for at bruk av den ansattes FNR er nødvendig for tilgang til helseopplysninger. Tvert i mot kan en argumentere med at bruk av FNR vil utgjøre en trussel mot den ansattes personvern ved at det kan foretas uønsket kopling mot den ansattes privatsfære. Vi vil derfor foreslå å utrede innføring av en ny identifikator som omfatter alt personell 1 : HSP-nummer (helsesektorens personellnummer) vil være et unikt nummer som omfatter alt personell for helse- og omsorgssektoren. Det må ikke forveksles med interne ansattnummer eller HPR-nummeret, men rent teknisk sett kan dette være en utvidelse av HPR-nummeret. For pasienter brukes FNR/Dnr, men det finnes i tillegg en identifikator som brukes for pasienter uten FNR/Dnr eller der FNR/Dnr ikke er kjent: FH-nummer (felles hjelpenummer) som tildeles av Norsk Helsenett for pasienter som ikke kan identifiseres med sin virkelige identitet, eller fordi de ikke har fått tilordnet FNR/Dnr. En mulig utvidelse av bruken av FH-nummer er å tildele dette til personell i sektoren når personellet verken har HPR-nummer eller FNR/Dnr. Valgt identifikator vil være en primærnøkkel for tilgangskontroll og logging, og det er noen utfordringer knyttet til bruk av de ulike identifikatorene. Det er derfor utført en overordnet vurdering [33] for å sikre at valgt identifikator dekker nødvendig behov for å gjennomføre en tilgangskontroll. Det er behov for å ivareta identifisering av alt personell, personvernhensyn for personellet, enkel og god forvaltning av identifikatoren, rask og sikker tildeling, og at identifikatoren ikke kan forveksles underveis ved gjennomføring av tilgangskontrollen. I tillegg må identifikatoren være skalerbar til både offentlig sektor og internasjonale forhold. 1 Inkluderer også for eksempel utenlandske personer, administrativt ansatte, frivillig arbeidende, studenter og innleid personell fra vikarbyrå. 29

32 HSP-nr HPR-nr FNR/Dnr FH-nr Dekker alt personell i helsesektoren V _ 2 _ 2 Personvern V V V Rask tildeling V V V Enkel og god forvaltning (V) 3 (V) 3 (V) 3 Bruk av én identifikator ved gjennomføring i tilgangskontrollen V Tabell 3: Vurdering av unike personidentifikatorer Som det går fram av tabellen er FNR/Dnr et dårlig alternativ som identifikator for personell i sektoren for tilgang til helseopplysninger. Dagens HPR-nummer er heller ikke dekkende for alle behov Virksomhet- og organisasjonsidentifikatorer Ved identifisering av en virksomhet eller organisasjonsenhet på tvers av virksomhetsgrenser bør en bruke en unik identifikator. Navn på virksomheter og organisasjonsenheter er sårbare for endringer og vil ikke være unike over tid. Når det gjelder de fem nivåene for identifisering og autentisering av person som beskrevet over, hviler nivåene 1-4 på en forutsetning om at virksomhetene som skal dele informasjon, er gjensidig (identifisert og) autentisert overfor hverandre. Videre vil også sperring av organisasjonsenheter på tvers av virksomhetsgrenser kreve virksomhets- eller organisasjonsidentifikator. Vi foreslår derfor at en i videre arbeid utreder valg av identifikator for virksomheter og organisasjonsenheter i forbindelse med deling av informasjon i sektoren. Det er i dag to identifikatorer som brukes på virksomhetsnivå i helse- og omsorgsektoren: Organisasjonsnummer brukes for å identifisere juridiske personer (enheter) i Norge, tildeles ved registrering i Enhetsregisteret [11] og utstedes av Brønnøysundregistrene. Organisasjonsnummer kan ikke brukes for avdelinger og enheter uten at disse registreres separat i Enhetsregisteret. Apoteks-konsesjonsnummer tildeles ved konsesjon til å eie et bestemt apotek i en bestemt kommune. Konsesjonsnummeret vil normalt beholdes selv om apoteket flytter internt innen en kommune og også skifter apoteknavn. Det er Statens Legemiddelverk som tildeler disse numrene. I tillegg brukes to identifikatorer på organisasjonsenheter i helse- og omsorgsektoren: 2 Kombinasjon av FNR og FH-nr kan gi mulighet for å omfatte alt personell. 3 Det er ikke utført vurderinger, men siden helsesektoren er eier av disse identifikatorene er det muligheter for god og enkel forvaltning. 30

33 ReshID er identifikator for enheter i spesialisthelsetjenesten. Dette tilbys sektoren gjennom en tjeneste fra Norsk Helsenett [12]. HerID er identifikator som benyttes for å identifisere avsendere og mottakere av elektroniske meldinger i sektoren [12]. Denne identifikatoren identifiserer ikke organisasjonsenhetene direkte, men kan knyttes til dem. Vurderinger av unik virksomhets- og organisasjonenhetsidentifikator bør gjøres opp mot vurderingene av alternativ 1-5 for identifisering og autentisering av personer på tvers av virksomhetsgrenser. Det er også andre forhold som vil påvirke valg av identifikatorer, for eksempel hvilket detaljeringsnivå som kreves når det gjelder identifisering og autentisering av organisasjonsenheter. Valg av virksomhets- og enhetsidentifikator må derfor konsekvensutredes. 5.4 Tjenstlig behov Utover personvernmekanismer, som for eksempel samtykke til behandling av opplysninger eller sperring av opplysninger, er tilgang til informasjon i prinsippet basert på om det enkelte helsepersonell har et tjenstlig behov eller ikke. Det avgjørende for om det foreligger et tjenstlig behov er om helsepersonellet har et begrunnet behov for opplysningene ved behandling av pasienten eller ved administrasjon av pasientbehandling, jf. helsepersonelloven 21 og 21a [9]. Per i dag er det fortsatt slik at tildeling av rettigheter til innsyn i journalopplysninger er basert på lokal, skjønnsmessig vurdering innenfor den databehandlingsansvarlige virksomheten, hvor rettigheter til å gi andre tilgang til informasjon gjerne delegeres langs en helseadministrativ akse. I helseforetak kan for eksempel rettigheten til å gi tilgang innenfor en avdeling være delegert til avdelingsoverleger. Dersom det er behov for bredere tilganger, må en henvende seg til andre avdelingsoverleger eller til andre høyere opp i det delegerte hierarkiet. Innenfor helseforetakene vurderer man i utgangspunktet ikke om helsepersonellet har tjenstlig behov for tilgang til den enkelte journal. Tilganger vurderes mer generelt, gjerne basert på profesjon, roller og innenfor de organisasjonsenheter man utøver sine roller. Automatisert tilgangskontroll til informasjon på tvers av virksomhetsgrenser kan ikke gjøres ved forhåndstildeling av rettigheter til enhver person i enhver virksomhet som kan tenkes å få behov for tilgang til informasjonen. Tilgangskontrollen må være regelstyrt basert på autoritativ informasjon om den enkeltes autorisasjoner. Denne informasjonen må være tilgjengelig i en nasjonal sikkerhetsinfrastruktur for å kunne realisere samhandlingsarkitekturer i de ulike virksomhetene i helse- og omsorgssektoren. For å vurdere hvilke autorisasjonskilder som det er behov for, er det sett nærmere på den tilknytning som personell har til pasientens helsehjelp eller i administrasjon av helsehjelp [33]. Det er fire hovedkategorier for tilknytning som kan gi grunnlag for tjenstlig behov for tilgang til informasjon: Til en virksomhet eller organisasjonsenhet, Til en sak (prosess/pasientforløp), Til et informasjonselement (i dag ofte et dokument), Til en kontakt- eller ansvarsperson. 31

34 5.5 Autorisasjon Autorisasjoner i denne konteksten er tildeling av tilgangsrettigheter den enkelte har for å få tilgang til ulike applikasjoner, IT-systemer, informasjon etc. Disse uttrykkes gjennom policyer med tilhørende attributter i en tilgangskontrollmodell. I hovedsak kan tilgangskontrollmodeller (aksesskontrollmodeller) deles inn i tre kategorier: Aksesskontrolliste (ACL) hvor autorisasjoner er tilordnet vedkommendes navn eller identitet [13], Rollebasert aksesskontroll (RBAC) hvor autorisasjoner er tilordnet roller som for eksempel sykepleier, lege etc. [14], Attributtbasert aksesskontroll (ABAC), også kalt policybasert tilgangskontroll, hvor autorisasjoner er basert på ulike attributter som er knyttet til en person [15]. Det kan være rolle, ansattforhold, godkjente virksomheter, profesjonsforhold etc. For tilgang til løsninger som nasjonale helseregistre, virksomhetsovergripende behandlingsrettede helseregistre eller tilgang til informasjon på tvers av virksomheter må tilgangsreglene/policyene være basert på de samme definerte autorisasjonene. Det vil for eksempel være behov for å vite hvor vedkommende er ansatt så vel som hvilke roller vedkommende har. Delrapporten «Tilgangskontroll på tvers av virksomhetsgrenser» [33] konkluderer med at tilgangskontroll «på tvers» bør løses med ABAC. Autorisasjonsattributter som er identifisert og blitt vurdert til å være nødvendig informasjon for å kunne realisere foreslåtte policyer, er [33]: Informasjon om ansettelsesforhold 4, Pasientens relasjoner til virksomhet/organisasjonsenhet som yter helsehjelp, historisk, aktiv eller planlagt, Helsepersonell sitt profesjonsforhold, Hvilke roller den enkelte har, Informasjon om organisasjonsenheter, Informasjon om virksomheter, Informasjon, inkludert prosessidentifikator, om spesifikke pasientforløp, Pasientens kontaktpersoner, Pasientens bostedsadresse, Pasientens kontaktinformasjon. Informasjonen må være autoritativ i den forstand at enhver virksomhet i sektoren må ha så høy tillit til at informasjonen er korrekt og oppdatert at virksomheten kan bruke dette til automatisert tilgangskontroll til pasientopplysninger i sine IT-systemer. Delrapporten «Tilgangskontroll på tvers av virksomhetsgrenser» [33] argumenterer for at det i høy grad vil være formålstjenlig å samle autorisasjonsinformasjon i sentraliserte registre som blir felleskomponenter i en nasjonal sikkerhetsinfrastruktur. Dette må imidlertid utredes nærmere i videre arbeid blant annet fordi en del informasjon (ansettelsesforhold, roller) uansett må vedlikeholdes lokalt i virksomhetene. 4 Må ivareta alt personell: Fast ansatte, vikarer, engasjement, utenlandske, studenter, frivillig arbeid og innleid personell fra vikarbyrå. 32

35 Ved etablering av et register som felleskomponent er det nødvendig å vurdere om registret vil inneholde personopplysninger eller ikke. Dette fordi personvernlovgivningen stiller krav til at et register med personopplysninger må ha veldefinerte formål som kan begrense bruken. De autorisasjonselementer som er identifisert, kan kategoriseres i fire felleskomponenter, illustrert i Figur 12: Autorisasjonskilde for personell (Personellkomponent) Autorisasjonskilde for virksomheter og organisasjonsenheter (Organisasjonskomponent) Autorisasjonskilde for pasientens bosted og kontaktinformasjon (Personregisteret) Autorisasjonskilde for pasientens kontaktpersoner (Personregisteret eller et eget kontaktregister) Dersom tjenstlig behov skal knyttes til en spesifikk behandlingsprosess, trenger en i tillegg en unik prosessidentifikator som identifiserer prosessen på tvers av de involverte virksomhetene. Prosessidentifikatoren må knyttes til de andre autorisasjonskildene for å spesifisere hvem som har roller i prosessen. Prosessidentifikator kan brukes for pasientadministrative prosesser, henvisninger osv. NSI forstudie har ikke sett på løsninger for prosessidentifikator. Det vil være viktig å fastslå hvem som skal registrere, oppdatere, drifte og forvalte felleskomponenter. Dersom et register innhenter informasjon fra en annen kilde, vil det være viktig å plassere det juridiske ansvaret der det hører hjemme. For eksempel er det sannsynlig at et sentralt Personellkomponent vil innhente informasjon fra lokale HR-systemer (personalsystemer) i virksomhetene. Ansvaret for korrekt informasjon om ansettelsesforhold med mer vil da naturlig ligge hos den enkelte virksomhet. Figur 12: Felleskomponenter for autorisasjonsinformasjon for helse- og omsorgssektoren I et videre arbeid må en vurdere hvilke krav som skal stilles til felleskomponenter som inneholder autorisasjonsinformasjon som skal benyttes i en automatisert tilgangskontroll. De krav som må belyses er: Formål, rettslig grunnlag og ansvar, Datakvalitet autoritativ, korrekt registrert og oppdatert informasjon, Sentralisert eller distribuert, drift og forvaltning, Standardisering av informasjonsinnhold (semantikk), representasjon (syntaks), grensesnitt med mer. 33

36 5.6 Innebygd personvern for innbyggere De IT-løsningene som er i bruk i sektoren i dag, er i liten grad tilrettelagt for at innbyggerne skal kunne involvere seg i behandling av sine personopplysninger. Ved å legge til rette for at innbygger kan gi elektronisk samtykke til eller reservasjon mot behandling, og eventuelt også sperre tilgang til sine opplysninger, vil en kunne bidra til at personvernet til den enkelte styrkes. Det vil derfor være viktig og hensiktsmessig å «bygge inn» personvern i alle utviklingsfaser av en nasjonal sikkerhetsinfrastruktur. En slik løsning blir ofte omtalt som «innebygd personvern» eller «privacy-by-design» [16]. En nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren bør legge til rette for at innbyggerne skal kunne gi elektronisk samtykke, reservasjon, sperring og fullmakt for tilgang til sine helseopplysninger både internt i virksomheter og for informasjonsdeling mellom virksomheter. Eksempler på tjenester som i dag trenger slik funksjonalitet, er nasjonal kjernejournal, individuell plan, og eresept. Det betyr at personvernkilder må defineres som felleskomponenter innen sikkerhetsinfrastrukturen slik at IT-systemer kan implementere personvern som en integrert del av tilgangskontrollen for å oppnå «innebygd personvern». I forbindelse med etablering av en nasjonal sikkerhetsinfrastruktur må en vurdere ulike forhold rundt bruk av samtykke, reservasjoner, sperringer og fullmakt for nasjonale løsninger og tilgang på tvers. I tillegg må systemene i sektoren gjøre det mulig for innbyggeren å få innsyn i sin egen logg både fra hver enkelt virksomhet og når informasjon er delt mellom virksomheter. 5.7 Loggføring og sporbarhet Et viktig personvernprinsipp er at den enkelte skal kunne kontrollere hvilke opplysninger andre har om en selv, og samtidig be om at disse opplysningene enten rettes eller slettes. En viktig forutsetning for at innsynsretten skal kunne praktiseres er at loggføringen er presis slik at det er en sikker knytning mellom handlinger og den personen som har utført handlingene. For tilgang til informasjon på tvers av virksomheter inkluderer dette en sikker knytning mellom person og vedkommendes ansettelsesforhold. Når informasjon deles på tvers av virksomheter, bør som nevnt tidligere personer og virksomheter/enheter identifiseres med identifikatorer som er unike på tvers av hele sektoren. Dette er ikke minst viktig for å kunne spore handlinger unikt til person og virksomhet gjennom logger. NSI forstudie anbefaler utredning av et unikt HSPnummer for identifisering av personer i sektoren. Bruk av identifikatorer i logger i stedet for lokale brukernavn vil også legge bedre til rette for tjenester der innbyggere kan be om innsyn i logger for et behandlingsforløp også der dette forløpet involverer flere virksomheter. 34

37 6 PKI - organisering og etableri n g Dette kapittelet er et sammendrag av delrapport «PKI - organisering og etablering» [34]. Merk at NSI forstudie kun har berørt PKI-basert eid for personer. Det er også behov for å se på PKI-løsninger for virksomheter og organisasjonsenheter (virksomhetssertifikater) og eventuelt også andre «ikke-menneskelige» objekter. Dette må gjøres i videre arbeid. 6.1 Investeringsbehov For å utløse en prosess for investering for etablering av PKI bør det etableres en grunnleggende forståelse av behovet og hva en investering kan løse. Vi beskriver her behov som trenger dekning gjennom investeringer i de tiltak som identifiseres: 1. Elektronisk tilgang til informasjon og sporbarhet på tvers av virksomheter i helse- og omsorgssektoren I delrapporten «Samhandlingsarkitektur» [35] argumenterer vi for at samhandling mellom virksomheter krever samordning av arbeidsprosesser mellom virksomhetene, og at dagens mekanisme for informasjonshåndtering, utlevering av kopi, ikke er tilstrekkelig for å få dette til. En samordning av arbeidsprosesser krever tilgang til og muligheten til å oppdatere felles informasjon og å tilordne ansvar og oppgaver på tvers av virksomheter. Dette krever en høy grad av sporbarhet til personer og virksomheter. I delrapporten «Tilgangskontroll på tvers av virksomhetsgrenser» [33] argumenterer vi for at, gitt det store antallet virksomheter i sektoren, er det ikke mulig å unngå krav om høyeste nivå for eid for felles håndtering av informasjon mellom virksomheter, med unntak av «mindre konstellasjoner» hvor tilliten mellom virksomhetene er høy. Høyeste nivå for eid kan kun oppnås ved bruk av PKI-basert eid med spesialelektronikk som smartkort eller liknende. Dersom målsetningen er å bevege seg fra enkel utlevering av informasjon til felles deling og oppdatering av informasjon i sektoren, finnes det i realiteten ingen realistiske alternativer til PKI for å ivareta nødvendig tillitsnivå og krav til sporbarhet på tvers av virksomheter. 2. Behov for personlig signatur i elektronisk samhandling For noen typer informasjon foreligger det krav til «avansert elektronisk signatur» som definert i esignaturloven [17]. Dette gjelder per i dag for e-resept, sykemelding, oppgjørsmelding og legeerklæring. Disse meldingene kan bare signeres med PKI-basert eid. Med utvidelse av den digitale samhandling kan det tenkes at nye behov for denne typen signaturer vil oppstå. 3. Organisatorisk endringsevne og skalerbarhet i helse- og omsorgssektoren Helse- og omsorgssektoren er i konstant endring. Virksomheter fusjoneres og fisjoneres. Det er en betydelig kostnad knyttet til å integrere og konvertere identiteter og etablere ny identitetshåndtering i nye organisatoriske konstruksjoner og nye tekniske løsninger. 35

38 PKI muliggjør samordnet identitetsforvaltning for personell i helse- og omsorgssektoren, noe som vil kunne gjøre det enklere og mindre kostnadskrevende å gjennomføre organisasjonsendringer i sektoren. 4. Mobilitetsevne og enklere forvaltning for helsepersonell i helse- og omsorgssektoren, nasjonalt og internasjonalt Ansatte i helse- og omsorgssektoren flytter i større grad på seg og skifter jobb oftere enn før. I dag bruker man betydelige ressurser på forvaltning av brukere i helsesektoren. Dette inkluderer blant annet opprettelse, endring av brukere og passordforvaltning. Med en felles forvaltet elektronisk identitet for personell i helsesektoren vil det kreves mindre forvaltning ved bytte av jobb, og en persons handlinger vil i større grad kunne være sporbare på tvers av eksisterende og tidligere arbeidsforhold. Det vil være mulig å stoppe alle tilganger i alle helsevirksomheter for en gitt person, for eksempel ved misbruk eller ved avslutning av arbeidsforhold i sektoren. 6.2 Ønskede sideeffekter Sideeffekter er effekter som en antar ikke i seg selv uttrykker sterke nok behov til å utløse den overordnede investeringen. De vil heller ikke nødvendigvis være dekket av investeringen. Men den overordnede investeringen vil legge til rette for at videre investeringer kan realisere effektene. Fire identifisert sideeffekter: 1. Mindre tidsbruk ved pålogging for personell i helse- og omsorgssektoren Gjentatte, nye autentiseringer mot forskjellige systemer med forskjellige brukernavn og passord beskrives av helsepersonell som et irritasjonsmoment og en «tidstyv» i arbeidet. I noen tilfeller har det innvirkning på arbeidsprosessene ved at personell samler opp oppgaver i løpet av arbeidsdagen som må utføres i ett bestemt system, istedenfor å gjøre disse fortløpende. I andre tilfeller «låner» en person identitet fra en annen som allerede er pålogget, og slipper derfor å gjøre å logge på selv. Ønsket situasjon for brukerne er «sømløs» tilgang gjennom at én autentisering gir tilgang til alle relevante systemer. Dette krever sikker løsning for engangspålogging (SSO single sign-on) i virksomhetene. Slike løsninger er i utgangspunktet uavhengige av hvilken autentiseringsmekanisme (hvilken eid) som benyttes ved pålogging, men når en rekke applikasjoner og informasjon kan nås gjennom å gjøre kun én autentisering, øker risikoen relatert til sikkerhetsbrudd. Den ene påloggingen som gjøres, må derfor være basert på en brukervennlig og sikker autentiseringsmekanisme. 2. Bedre understøttelse av mobilitet i arbeidssituasjonen Løsninger med bruk av smartkort for pålogging til nettverk/operativsystem er gjerne tilrettelagt for mobilitet ved at brukerens sesjon kan «flyttes» fra en PC til en annen. Brukeren trekker ut smartkortet, setter det inn i ny PC og taster PINkode, og får opp igjen samme sesjon. Dette øker brukervennligheten ved at brukeren slipper å logge inn på nytt til alle systemer og applikasjoner. 36

39 3. Smartkort/ID-kort med flere formål PKI-basert eid med høy sikkerhet krever bruk av smartkort eller annen spesialelektronikk. Dersom en bruker smartkort, legger en til rette for en samordning også for andre anvendelser av kort, som fysisk ID-kort, adgangskontroll til bygninger, utskrift og småpengebetaling (kantiner etc.). Dette kan organiseres for hver enkelt virksomhet eller samordnes for hele eller deler av sektoren. NSI forstudie har ikke analysert bruk av kort til andre formål enn eid. Behovet for samordning av annen bruk av kort, for eksempel om det er behov for et felles helsepersonellkort (fysisk ID-kort), må gjøres i videre arbeid. 4. Bedret informasjonssikkerhet i virksomhetene Det er enighet om at brukernavn/passord som autentiseringsmekanisme generelt er for svakt for tilgang til sensitive personopplysninger, herunder helseopplysninger. Utgangspunktet er at en bør bruke så sterk autentisering som mulig, men også sørge for at løsningene er brukervennlige nok. Bruk av PKI-basert eid med smartkort eller liknende kan være et godt alternativ. Overgang til PKI-basert autentisering i virksomhetene vil kreve en god del innsats med tilrettelegging av pålogging til nettverk/operativsystem og/eller til IT-systemer og applikasjoner. 6.3 Etablering av PKI-basert eid for helse- og omsorgssektoren Det anbefales at PKI-løsninger for sektoren etableres på en samordnet måte. Uten samordning er det en klar risiko for at forskjellige virksomheter i sektoren etablerer egne PKI-løsninger som ikke kan virke sammen. Samordning betyr sentral styring og sentralt gitte krav til etablering og drift av PKI-løsningene. Dette tilsier at etablering av PKI-løsninger må følge sektorens styringslinjer, og at det vil være HOD som vil ha ansvaret for samordningen. Selve det konkrete arbeidet kan delegeres fra HOD til underliggende virksomheter. Det anbefales å benytte felles sertifikatpolicyer for sektoren og vurdere å utvikle egne policyer for å kunne reflektere sektorens krav til løsningene. En sertifikatpolicy er styrende for hvem som skal kunne få eid, hvordan eidene skal kunne brukes, ansvarsforhold, identifisering (registrering) av brukere og sikkerhetkrav til PKIsystemene. Etablering av PKI og sertifikatpolicy må gjøres i henhold til internasjonalt og nasjonalt regelverk når det gjelder både juridiske og teknologiske forhold. Videre arbeid må avklare hvilket regelverk som er styrende, og hva som er valgbart. Løsningene bør være basert på europeiske standarder innen området for å tilrettelegge for internasjonal samhandling, og i tillegg bør løsningene være basert på «Kravspesifikasjon for PKI i offentlig sektor» [18] så langt denne dekker sektorens behov. 37

40 6.4 Identitetsforvaltning Forvaltning av PKI-basert eid består av flere funksjoner som må organiseres og utføres med tilstrekkelig sikkerhet. Ansvar kan i varierende grad sentraliseres eller distribueres. Oppgaver som er knyttet til identitetsforvaltning er: Registering og sertifikatforespørsel, utstedelse/sertifisering, publisering, innhold i sertifikatet, utlevering, midlertidig eid, tilbakekalling, suspensjon, utløp og fornyelse. En spesielt kritisk funksjon er registrering av brukere for utstedelse av eid. Prosessene må sikre at eid utstedes til korrekt person og bare til personer som skal ha eid. For høy sikkerhet kreves det personlig frammøte med legitimasjon av god kvalitet, noe som betyr at store deler av registreringsprosessen må være distribuert. En PKI-løsning for sektoren krever derfor etablering av et distribuert nettverk av tiltrodde registreringsautoriteter. For større virksomheter bør en kunne etablere dette internt for eksempel som del av personaltjenestene. For andre virksomheter kan en se på muligheter for å bruke offentlige kontorer, gjerne som fellesløsning for eid til ansatte i andre deler av det offentlige. Det er også mulig å bruke Postens PUM (Personlig Utlevering Mottakingsbevis) slik dagens eid-utstedere i markedet (Buypass, BankID, Commfides) gjør. Registreringsløsninger for sektoren må utredes i videre arbeid. 6.5 Skille mellom rolle som privatperson og ansatt Et område som er belyst i delrapporten «PKI - organisering og etablering» [34], er om en skal etablere et prinsipielt skille mellom PKI-basert eid til bruk i arbeidsforhold og i rent privat sammenheng. Det er i utgangspunktet ingen tekniske forhold som hindrer bruk av en privat eid i jobbsammenheng eller en jobb-eid i private sammenhenger. 6.6 Leveransemodell En samordnet innføring av PKI-løsninger i sektoren betyr at en må finne en samordnet leveransemodell for løsningene. Ett aspekt av dette er om en skal: 1. Etablere egne PKI-løsninger for sektoren under offentlig eierskap, 2. Kjøpe eider fra leverandører i markedet (leverandørenes standardløsninger eller tilpassede løsninger), 3. Kombinere disse to tilnærmingene. Et annet aspekt av leveransemodell er mulige alternative tillitsmodeller: Sentralisert: Én sentral utsteder som forsyner alle personer i sektoren med eid, Hierarkisk: Separate sertfikatutstedere for forskjellige deler av sektoren (ut fra geografiske, organisatoriske eller andre retningslinjer), men samlet i ett system ved at alle er underlagt en «rot-utsteder» som sørger for sentral styring av hele systemet. Distribuert: Egne sertifikatutstedere for forskjellige deler av sektoren, for eksempel ved at hver helseregion og andre virksomheter har sin egen løsning. 38

41 Valg av leveransemodell for eid må gjøres basert på en samfunnsøkonomisk analyse som må vurdere kostnader ved etablering og bruk av egne PKI-løsninger opp mot kjøp i markedet. Analysen må også omfatte ikke-økonomiske faktorer som privat og profesjonell bruk av eid, styringsmuligheter, sikkerhetsnivå og funksjonalitet. I mangel av en samfunnsøkonomisk analyse kan NSI forstudie ikke konkludere på leveransemodell. En konklusjon kan imidlertid trekkes: En må ha fornuftige overgangsordninger som hensyntar dagens etablerte PKI-løsninger i sektoren. Dette dreier seg om bruk av Buypass eid i primærhelsesektoren for signering av meldinger, og løsninger i helseregionene med både Buypass eid og eider utstedt i egne PKI-løsninger, begge lagret i samme Buypass-smartkort. 39

42 6.7 Internasjonal erfaring Kartlegging av forhold i andre land er gjort primært ved en gjennomgang av EUs rapport «ehealth strategies» [22] fra januar 2011 (hovedrapport og rapporter om 34 enkelte land). Vi har ikke systematisk undersøkt forhold utenfor Europa og heller ikke systematisk undersøkt endringer i Europa siden EUs rapport ble publisert. Vi har imidlertid noe «uformell» informasjon om enkelte land og løsninger, og dette er til en viss grad tatt med i det følgende. EU publiserte i desember 2012 en oppdatert aksjonsplan for e-helse for årene [23] som erstatning for tidligere plan fra Aksjonsplanen inneholder ikke eksplisitte tiltak innen eid, men bygger på «ehealth strategies» som har en god del observasjoner når det gjelder eid, for eksempel [22]: The need to identify a person unambiguously is an important component of any national or regional ehealth infrastructure. This applies not only to citizens/patients and healthcare professionals, but also to healthcare providers and pharmacies. Whereas patient identifiers (ID) were an element of ehealth strategies in most countries (24) in 2006 already and increased to 26 by now (2010), the challenge of professional IDs was somewhat neglected till recently (mentioned by 13 countries only in 2006), but is now an acknowledged topic in 22 countries. The interest to use ecards as a token for professional ID and as access means to ehealth systems has increased considerably in recent times, from only 7 countries reporting such activities in 2006 to 18 in In 9 European countries, smartcard systems for healthcare professional identification are already in place. An essential prerequisite for a functioning healthcare professional identifier is an operational system of healthcare professional registration, which is not always located at the national, but also at the regional level. With regard to healthcare professionals, the situation of identifiers is complex. due to a wide variety of approaches towards assigning responsibility for issuance and management of electronic IDs (professional chambers, central government, insurance companies, special agencies). Another confounding factor is the quite disparate definitions of which professions are indeed to be regarded as health professionals and in need of an electronic ID in the context of national infrastructures. Når det gjelder bruk av helseprofesjonskort, bygger «ehealth strategies» på resultatene fra «HPRO Card Project» [24] som var et EU-støttet prosjekt som så på muligheter for et helseprofesjonskort på EU-nivå. HPRO Card fulgte opp EUs direktiv om gjensidig anerkjennelse av profesjonelle kvalifikasjoner på tvers av medlemslandene [25] som peker på (avsnitt 32) at profesjonskort er et tiltak som kan forenkle mobilitet av personer innen spesifikke profesjoner spesielt ved at utveksling av informasjon mellom personens hjemland og andre land vil bli forenklet. Selv om mye er fokusert på fysiske ID-kort, er også eid en del av dette. Kartleggingen til HPRO Cards viste ved utløpet av 2009 følgende 9 land eller regioner med helseprofesjonskort (smartkort) med eid: Frankrike (alle profesjoner), Sverige (alle profesjoner), Slovenia (alle profesjoner), Nederland (alle profesjoner), regionen Lombardia i Italia (alle profesjoner), Tyskland (leger), tre regioner i Spania 40

43 (leger), Ungarn (leger og farmasøyter), Østerrike (farmasøyter og leger med spesifikke avtaleforhold). I tillegg har Portugal kort for tannleger. I Estland har en etablert bruk av landets ordinære, nasjonale ID-kort for helsepersonell. Norges bruk av Buypasskort med eid nevnes også som en alternativ løsning til helsepersonellkort. Utbredelsen av løsningene varierer. I noen land er kort utstedt til bare en liten del av helsepersonellet, mens andre land/regioner har (tilnærmet) full dekning. ehealth strategies nevner som eksempel at en lege i Lombardia-regionen i Italia ikke kan gjøre jobben sin uten regionens helseprofesjonskort. Videre viste kartleggingen 7 land med kortsiktige prosjekter for utstedelse av smartkort: Finland (alle profesjoner), Slovakia (alle profesjoner), Belgia (farmasøyter), Irland (farmasøyter), Spania (farmasøyter), Sveits (leger), Ungarn (nytt kort for leger). Finland har annonsert utrulling av helsepersonell-smartkort i 2013 (står som kortsiktig prosjekt alt i 2009). Vi vet at det i tillegg er en del bruk av smartkort for helsepersonell i Storbritannia for autentisering mot EPJ og andre anvendelser. Anvendelsene av smartkort og eid er ikke kartlagt. I mange land er signering viktig, og da spesielt eresept. Smartkort brukes for autentisering i en del land. Merk at noen land (for eksempel Tyskland og Italia) skiller skarpt på eid-løsninger for signering og autentisering. I disse landene vil en typisk bruke én eid for autentisering og en annen for signering, men disse kan eventuelt være knyttet til samme smartkort. (Merk at i EU-terminologi er en eid kun en autentiseringsmekanisme. Terminologien sier at en signerer ved bruk av et sertifikat. Uttrykket «signering ved bruk av en eid» gir ikke mening i EU-terminologi. Vi bruker imidlertid innarbeidet norsk terminologi i denne rapporten, det vil si at en PKI-basert eid kan brukes til flere formål: Autentisering, signering og eventuelt meldingskryptering.) Som nevnt i kulepunkt fem over er det forskjellige tilnærminger til PKI-løsningene for eid. PKI kan være etablert av bransjeorganisasjoner, nasjonale eller regionale myndigheter, forsikringsselskaper eller spesielle organer. Det er i liten grad gitt informasjon om hvilke land som har hvilke løsninger. epsos er en storskala pilot under EUs CIP-program (Competitiveness and Innovation Programme). epsos tester ut eresept og «patient summary» (tilsvarende kjernejournal) på tvers av land i Europa. epsos overlater identitetshåndtering til hvert enkelt land ved at identifisering og autentisering alltid gjøres i helsepersonellets hjemland [26]. epsos forutsetter registre over helsepersonell og virksomheter. For hvert land finnes en NCP (National Contact Point), og disse NCPene koples sammen til epsos infrastruktur. Et land må, gjennom NCPinfrastrukturen, kunne gå god for identiteten til sine nasjonale aktører. Bortsett fra at identitet må være unik er det ikke spesifikke krav til identifikatorbruk. Det er heller ikke spesifikke krav til autentiseringsmekanisme, men epsos refererer til tillitsnivåer for autentisering. En autentiseringsmekanisme på ett tillitsnivå kan bare brukes for tilgang til tjenester på eller under samme tillitsnivå. Identitetsløsningen er i praksis en føderering mellom NCPene. Det anbefales i et videre arbeid å se nærmere på erfaringer som andre land har gjort ved etablering og bruk av eid for personell i helse- og omsorgssektoren. 41

44 7 E t a blering av nasjonal sikkerhetsinfrastruktu r Nasjonal sikkerhetsinfrastruktur (NSI) er en del av IKT-infrastrukturen til helse- og omsorgssektoren. NSI forstudie har vært avgrenset til nødvendige felleskomponenter for identitets- og tilgangsstyring for å oppnå samhandling og informasjonsdeling mellom virksomheter. En del av dette området er PKI-basert eid til personell innen sektoren. I tillegg vil den nasjonale sikkerhetsinfrastrukturen ha behov for å tilrettelegge for sikker kommunikasjon på tvers av virksomhetsgrenser. I dag brukes nesten utelukkende asynkron meldingskommunikasjon mellom virksomheter (meldinger sendes på ett tidspunkt, og blir mottatt på et senere tidspunkt). Det synes klart at effektiv samhandling og informasjonsdeling mellom virksomheter vil kreve andre former for kommunikasjon i tillegg til dagens meldingsutveksling. Dette kan dreie seg om synkron meldingsutveksling system til system (web services) eller on-line tilgang til brukergrensesnitt mot fellesløsninger (som nasjonal kjernejournal) og systemer i andre virksomheter. Kommunikasjonsløsningene protokoller og grensesnitt må ha tilstrekkelig sikkerhet og må integreres med løsningene for identitets- og tilgangsstyring. Noen av mekanismene for informasjonssikkerhet vil være tiltak knyttet til det fysiske nettverket som for eksempel overvåkning, varsling og forebygging av dataangrep på nettverket. Beskyttelse mot slike angrep er viktig med hensyn på tilgjengelighet, konfidensialitet og integritet. En har vurdert dette området som så viktig at det er etablert et eget, lukket nettverk for helse- og omsorgssektoren, helsenett. 7.1 Felleskomponenter, sikkerhet og forvaltning En nasjonal sikkerhetsinfrastruktur skal bestå av felleskomponenter som underbygger informasjonssikkerhet på tvers av hele sektoren. NSI forstudie har sett på felleskomponenter innen tre områder: Identitetshåndtering inkludert PKI-basert eid til personer, Autorisasjonsinformasjon, Innbyggers personvern. Felleskomponentene skal tilrettelegge for realisering av hensiktsmessige samhandlingsarkitekturer [35]. For alle felleskomponenter må en avklare juridiske forhold som definert formål, rettslig grunnlag og ansvar. I tillegg må felleskomponentene følge etablerte standarder (grensesnitt, formater, semantikk), ha tilstrekkelig datakvalitet og være underlagt meget gode rutiner for sikkerhet, drift og forvaltning. Det er i prinsippet tre typer hovedgrupperinger av opplysninger som felleskomponenter kan inneholde, hvor det stilles ulike krav til etablering og sikkerhet, dette er utdypet i delrapporten «Juridiske forhold» [35]: Sensitive personopplysninger Personopplysninger Ikke-personopplysninger 42

45 Når informasjon fra en felleskomponent blir brukt til automatisert tilgangskontroll i ITsystemer, må datakvalitet og sikkerhet i felleskomponenten gjenspeile sikkerhetskravene for den informasjonen som aksesseres i IT-systemene. Dersom en autorisasjonskomponent inneholder feilaktig informasjon, vil det kunne medføre at en person ikke får tilgang til de opplysningene vedkommende trenger for å yte helsehjelp, eller at personen får tilgang til helseopplysninger han/hun ikke skulle hatt. Dette gjelder enten feilen skyldes mangelfull oppdatering eller et bevisst angrep med manipulering av informasjon i autorisasjonskilden Felleskomponenter for identitetshåndtering Effektiv samhandling og informasjonsdeling på tvers av helse- og sosialsektoren krever et felles identitetsbegrep for personell innen sektoren. Spesielt innebærer dette at en person må kunne identifiseres unikt i hele sektoren. NSI forstudie anbefaler utredning av en ny personidentifikator, HSP-nummer, som skal dekke alt personell ansatte og andre som har roller i virksomheter i sektoren. Eventuell innføring av HSP-nummer må vurderes opp mot bruk av eksisterende identifikatorer (fødselsnummer og helsepersonellnummer) som imidlertid har identifiserte svakheter knyttet til dekning av alle aktuelle personer, personellets personvern med mer. Identifiserte felleskomponenter for identitetshåndtering er: Personregisteret for grunndata om personer, Komponenter for utstedelse og administrasjon av PKI-basert eid etter valgt leveransemodell (sertifikatutsteder, registreringsløsninger, katalog), Eventuelt felles autentiseringstjeneste i helsenettet (behov og funksjonalitet må utredes nærmere trengs komponenten, og i tilfelle kun til autentisering eller også som fødereringshub og for integrasjon med registre). Personregisteret er i utgangspunktet en delvis kopi av Folkeregisteret gjort tilgjengelig i helsenettet. En egen kopi er nødvendig av flere grunner: Informasjonen må være tilgjengelig i helsenettet, Sikkerhetskrav må ivareta sonedeling som del av sikkerhetsarkitekturen [28], Rask og lav responstid ved oppslag, Historisk sammenstilling av evt. tidligere brukte identifikatorer som D-nummer og felles hjelpenummer, og Nødvendig å tilpasse informasjonen til sektorens behov. Et eksempel på tilpasning er at kopling mellom personidentifikatorer (HSP-nummer, helsepersonellnummer, fødselsnummer) kan etableres i Personregisteret. Personregisteret vil også være kilde for visse former for autorisasjoner, se neste avsnitt. Arbeid med Personregisteret må sees i sammenheng med Skattedirektoratets moderniseringsprogram for Folkeregisteret [30] for å spille inn helsesektorens behov. Felleskomponenter for PKI-basert eid vil bli definert ut fra hvilken modell som en samfunnsøkonomisk analyse vil anbefale å gå videre med for sektoren. Komponentene som en leveransemodell uansett må dekke, er sertifikatutstedelse 43

46 (CA), registrering av brukere (RA) og publisering av informasjon (katalog og statustjenester). Avhengig av valg av nivåer for identifisering og autentisering av personer for tilgang mellom virksomheter (se avsnitt 5.3.1) kan det være behov for en felles autentiseringsløsning (ala ID-porten) i helsenettet. Noen nivåer er basert på identitetsføderering mellom virksomheter, og dette kan kreve en arkitektur med en felleskomponent som «fødereringshub». Behov for slike komponenter og eventuell funksjonalitet må utredes nærmere. Figur 13: Felleskomponenter for identitetshåndtering: personregisteret og CA komponent(er) Autorisasjonskilder Automatisert tilgangskontroll til informasjon må være basert på autoritativ informasjon om autorisasjoner. Denne informasjonen må ha en datakvalitet og sikkerhet som gjør den egnet til å underbygge tilgangskontroll til sensitive personopplysninger. Komponenter for autorisasjonsinformasjon kan være distribuert, for eksempel lagret i de enkelte virksomhetene i sektoren, men NSI forstudie anbefaler at en utreder videre etablering av felleskomponenter for sikkerhetsinfrastruktur som autorisasjonskilder. Spesifikt antas det å være behov for følgende (se Figur 14): Autorisasjonsinformasjon for personell (Personellkomponent), Autorisasjonsinformasjon for organisasjonsenheter og virksomheter (Organisasjonskomponent), Autorisasjonsinformasjon for pasientens bosted og kontaktinformasjon (Personregisteret), Autorisasjonsinformasjon for pasientens kontaktpersoner (Personregisteret eller et eget kontaktregister). Personellkomponenten vil motta oppdatert informasjon fra personalsystemer (HRsystemer) i virksomhetene. Denne komponent kan kombineres med bl.a. Helsepersonellregisteret (HPR). Det er i tillegg avdekket et mulig behov for prosessidentifikator for å identifisere behandlingsprosesser. Tildeling og oversikt over prosessidentifikatorer kan gjøres gjennom et eget register, men dette må i tilfelle utredes nærmere. Bortsett fra organisasjonskomponent vil registre inneholde personopplysninger, og de må derfor oppfylle krav gitt av personvernlovgivningen når det gjelder for eksempel plassering av databehandleransvar og formål og grunnlag for behandlingen. 44

47 En personellkomponent vil typisk inneholde informasjon om rolle, helseprofesjon og ansettelsesforhold. Videre trengs det kontaktinformasjon (eksempel er pasientens fastlege, hjemmehjelp etc.) som ikke finnes i Folkeregisteret, men som kan legges til enten i Personregisteret eller i et eget kontaktregister. Eksempler på tjenester med behov for denne typen informasjon er nasjonal kjernejournal og e-resept. Et organisasjonskomponent vil inneholde informasjon om virksomheter og organisasjonsenheter som kan få tilgang til ulike helseopplysninger. Det vil være behov for å ha oversikt over private virksomheter som har tidsbegrensede avtaler med spesialist- og primærhelsetjenesten. I tillegg må en ha oversikt over organisasjonsenheter på avdelingsnivå som kan fordre avgrensninger til tilgang til enkelte helseopplysninger (eksempelvis vil ikke alle avdelinger få tilgang til psykiatriske opplysninger). Autorisasjonsinformasjon om pasienten vil eksempelvis være pasientens bosted (dersom tilganger skal styres etter geografiske kriterier), informasjon om foreldrebarn, verge og liknende relasjoner. Dette vil typisk ligge i Personregisteret. Dette må sees i sammenheng med Skattedirektoratets moderniseringsprogram for Folkeregisteret» [30], dvs. spille inn sektorens behov for autorisasjonsinformasjon som vi trenger å ha tilrettelagt i personregisteret. Figur 14: Felleskomponenter for autorisasjonsinformasjon: personregister, personellkomponent og organisasjonskomponent Personvernkilder Ved etablering av samhandlingsarkitekturen er det viktig at også personvernkomponenter, vist i Figur 15, blir felleskomponenter i sikkerhetsinfrastrukturen. Dersom innbyggerens rett til samtykke, sperring, reservasjon og fullmakt skal være effektiv, må denne informasjonen være tilgjengelig for automatisert tilgangskontroll i IT-systemene. Nasjonal kjernejournal er et eksempel på at innbygger kan reservere seg mot løsningen og at kjernejournal har dette som en integrert del av tilgangskontrollen. Representasjon og lagring av personverninformasjon må utredes nærmere. Det er sannsynlig at generell informasjon, for eksempel reservasjoner, generelle samtykker («all min informasjon skal være tilgjengelig på tvers av virksomheter»), generelle sperringer («ikke noe av min informasjon skal være tilgjengelig for følgende personer eller virksomheter») og de fleste fullmakter kan lagres sentralisert. Det kan i tilfelle opprettes ett eller flere registre for dette. Merk at spesielt informasjon om sperringer vil være sensitive opplysninger. 45

48 Det kan imidlertid være ønske om samtykker eller sperringer også på meget detaljert nivå i ytterste konsekvens ned til å sperre tilgang til enkeltopplysninger mot enkeltpersoner i sektoren. Personverninformasjon på dette detaljeringsnivået må høyst sannsynlig lagres i tilknytning til de opplysningene de gjelder for. Figur 15: Felleskomponenter for å ivareta personvern: taushetsbelagt informasjon, samtykke, reservasjon, fullmakt og sperring 7.2 Helsenettet Helsenettet er summen av alle tilknyttede aktører, løsningene de benytter samt de kommunikasjonstjenestene og -komponentene som muliggjør sikker utveksling av pasientinformasjon i dag gjennom meldingskommunikasjon. Informasjonen som flyttes i helsenettet transporteres over dedikerte virtuelle nett som ligger i de kommersielle leverandørenes fysiske infrastruktur. Dette betyr at pasientinformasjonen ikke flyter over i andre, åpne nettverk, og helsenettet er dermed en tryggere arena å eksponere tjenester og utveksle sensitiv informasjon på. Skjermingen fra Internett gjør også at tjenester og vesentlige deler av nettverksinfrastrukturen ikke er like sårbare for rettede angrep. Tilknytningen til helsenettet styres av en avtale mellom virksomheten som ønsker tilknytning og alle andre tilknyttede virksomheter, via Norsk Helsenett SF som avtalepart. Avtalen er forankret i «Norm for informasjonssikkerhet i helse-, omsorgsog sosialsektoren» [32], hvor virksomhetene forplikter seg til å følge krav som sørger for at pasientopplysninger håndteres sikkert. Tilknytningen innebærer at virksomheten blir en samhandlingspart i helsenettet og dermed kan sende og motta meldinger med pasientopplysninger. HelseCSIRT er en funksjon i Norsk Helsenett SF som skal være helse- og omsorgssektorens felles kompetansesenter for informasjonssikkerhet. Senteret skal spre kompetanse om IKT-trusler og beskyttelsesmekanismer og kontinuerlig overvåke trafikken på helsenettet. Målet er å forebygge og avhjelpe uønskede IKTsikkerhetshendelser og ondsinnede inntrengingsforsøk. 46

49 8 V i d e re arbeid Det er skissert flere tiltak som er nødvendig for at en nasjonal sikkerhetsinfrastruktur skal kunne understøtte effektiv samhandling og informasjonsdeling på tvers av virksomhetsgrenser. Sentrale aktører som RHF ene, kommunene, samt nasjonale tjenester som kjernejournal, helseregistre og kvalitetsregistre har behov for at noen av tiltakene iverksettes på kort sikt, og disse tiltakene bør vurderes tatt inn i nasjonal handlingsplan for e-helse ( ). Andre tiltak anbefales på mellomlang sikt, og dette er tiltak som bør sees opp mot nasjonal e-helsesatsing. Det anbefales å etablere felles styring og koordinering av tiltakene for å sikre felles bevegelse mot et etablert målbilde, samt ivaretakelse av behov og endringer på tvers av tiltak. 8.1 Anbefalte tiltak I videre arbeid med nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren anbefales følgende tiltak (nummerert liste): Nr Tiltak Beskrivelse 1 Samordning av PKI i helse- og omsorgssektoren Det foreslås å gjøre en samfunnsøkonomisk analyse for å kunne lage et beslutningsunderlag for hvordan PKI skal samordnes, herunder hvilken leveransemodell som skal benyttes for helse- og 2 Valg av personidentifikator (PID) omsorgssektoren. Bruk av FNR for identifisering av personell i sektoren frarådes, og helsepersonellnummer dekker ikke alt personell. En bør derfor utrede innføring av et nytt HSP-nummer (helsesektoren personellnummer) som en utvidelse av helsepersonellnummeret. 3 PKI-basert eid Det er behov for å sees nærmere på etablering av CA, Ra er, utarbeide sertifikatpolicyer, avtaleverk, identitetsforvaltning etc 4 Valg av identifikatorer for virksomheter og organisasjonsenheter Valg av identifikatorer for virksomheter og organisasjonsenheter må konsekvensutredes. 5 Autentiseringsnivåer Evaluere sikkerhetsnivå for identifisering og autentisering av personer og tilhørende løsninger for identitetsføderering. Tabell 4: Tiltak knyttet til Identitetshåndtering Nr Tiltak Beskrivelse 6 Autorisasjonspolicyer Utredning av nasjonale policyer for tilgang til informasjon og policybasert tilgangsmodell. 7 Standardisere roller Standardisere rollebegreper på et nasjonalt nivå Tabell 5: Tiltak knyttet til autorisasjonsdelene av tilgangsstyring 47

50 Nr Tiltak Beskrivelse 8 Utredning av personvernhensyn Kompleksiteten rundt personvern øker ved tilgang på tvers og det vil derfor være behov for utredning av personvernkonsekvensene. For å sikre gode løsninger i tilgang på tvers må det en tverrfaglig vurdering av juridiske og tekniske forhold for vekting 9 Personvernkomponenter av bruk av samtykke, reservasjon vs sperring. Spesifisere syntaks og semantikk for samtykke, reservasjon, sperring og fullmakt for automatisert tilgangskontroll. Gjøre juridisk og teknisk vurdering av mulig scope for felles registre for samtykke, reservasjon, sperring og fullmakt. 10 Logganalyse Se på metoder for innsyn i logger på tvers av virksomheter. Se på forbedrede metoder for logganalyse. Vekting av bruk av samtykke opp mot reservasjon og sperring må gjøres. Videre må en vurdere om logganalyser skal kunne benyttes til straffesaker og hva som vil kreves for dette. Tabell 6: Tiltak knyttet til innbyggers personvern Nr Tiltak Beskrivelse 11 Kravspesifikasjon felleskomponenter Definere tilfredsstillende krav for etablering og bruk av felleskomponenter. En må avklare juridiske forhold som definert formål, rettslig grunnlag og ansvar. I tillegg må felleskomponentene følge etablerte standarder (formater, semantikk), ha tilstrekkelig datakvalitet og være underlagt meget gode rutiner for 12 Integrasjon/ grensesnitt sikkerhet, drift og forvaltning. Spesifisere grensesnitt for integrasjon (innlegging og uthenting av informasjon) med registre/felleskomponenter som inneholder personopplysninger. Det er kun den foreslåtte organisasjonskomponenten som ikke inneholder personopplysninger. 13 Personregister Personregisteret foreslås som felleskomponent for identitetsforvaltning. Det er behov for analyse av nødvendige endringer i Personregisteret for å inkludere forskjellige identifikatorer (valgt PID). 14 CA komponent Det må gjøres analyse av eid-utstedelse i valgt leveransemodell for samordning av PKI sertifikatpolicyer, avtaleverk, ansvar, behov for kvalifisert/selvdeklarert med tilsyn etc. Utarbeide nødvendige funksjoner knyttet til identitetsforvaltning for eid, spesielt system for registrering av brukere med personlig frammøte (RA komponenten). Bestemme innføringsløp og overgangsordninger piloter, geografisk innføring, knyttet til spesifikke tjenester etc. 48

51 15 Personellkomponent Personellkomponent foreslås som felleskomponent for all personell i helsesektoren, inkludert ansatte, vikarer, utenlandsk personell, studenter som yter helsehjelp, forskere o.l. Det er behov for å spesifisere syntaks og semantikk for autorisasjonsinformasjon knyttet til person (roller, ansattforhold, personlige autorisasjoner). Behov for å konsolidere med eksisterende registre (HPR, LSR, evt. andre) 16 Organisasjonskomponent Det er behov for å spesifisere syntaks og semantikk for autorisasjonsinformasjon knyttet til virksomheter og organisasjonsenheter. Behov for å konsolidere med eksisterende registre (RESH, Adresseregister, evt. andre), og arkitektur/løsninger for autentisering av virksomheter og organisasjonsenheter TLS/SSLsesjoner, virksomhetssignatur etc. På lengre sikt vurdere bruk av prosessidentifikator for behandlingsprosesser Tabell 7: Felleskomponenter for Identitets- og tilgangsstyring i helse- og omsorgssektoren Delrapportene: «Tilgangskontroll på tvers av virksomhetsgrenser» [33] og «PKI organisering og etablering»[34] inneholder begge egne kapitler for «videre arbeid» som skisserer hvilke tiltak som bør iverksettes på kort, mellom og lang sikt. Her vil en i tillegg finne en mer detaljert beskrivelse av de ulike tiltakene. 8.2 Forslag til forprosjekter Det anbefales å organisere videre arbeid i flere forprosjekter da NSI forstudien har mange tiltak knyttet til tilgang til informasjon på tvers av virksomhetsgrenser. Før forprosjekter kan iverksettes må det besluttes av HOD som oppdragsgiver at tiltak fra NSI forstudien kan forankres i nasjonal handlingsplan for e-helse ( ). Vi vil derfor anbefale at NSI-tiltakene blir organisert i ulike forprosjekter og utredninger: 1. Identitets- og tilgangsstyring a. Utrede og anbefale leveransemodell for å samordne PKI i sektoren. Tiltak: 1 og 2 b. Forprosjekt: NSI eid på tvers av helse- og omsorgssektoren Tiltak: 3, 4, 5, 12, 13 og 14 c. Forprosjekt: NSI - tilgangsstyring på tvers av helse- og omsorgssektoren Tiltak: 6, 7, 12, 15 og 16 49

52 2. Innbyggers personvernhensyn a. Personvernutredning. Tiltak 8 b. Forprosjekt: Innebygd personvern og felleskomponenter. Tiltak 9 c. Forprosjekt: Logganalyse. Tiltak Utarbeide kravspesifikasjon for å etablere felleskomponenter innen identitetsog tilgangsstyring. Tiltak 11 Figur 16: Forlag til videre arbeid fra NSI tiltakene (illustrasjon). Når de ulike forprosjektene kan påbegynnes er avhengig av beslutninger, budsjett og ressurser. Figuren er ment som en illustrasjon for organisering, avhengigheter og tidsløp. 50