Sikker Elektronisk Samhandling i helsesektoren

Transkript

1 SESAM Sikker Elektronisk Samhandling i helsesektoren T T P Du ersyk! Dr.Iversen Prosjektbeskrivelse og hovedkonsepter Versjon 1.0 Mai 1999 KITH Rapport R 10/99

2 KITH-rapport Tittel SESAM Prosjektbeskrivelse og hovedkonsepter Forfatter(e) Bjarte Aksnes Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post [email protected] Foretaksnummer Oppdragsgiver(e) NFR, SHD Rapportnummer R 10/99 ISBN Godkjent av Sammendrag URL Dato 25.mai 1999 Antall sider 19 Kvalitetssikret av Arnstein Vestad Prosjektkode SESAM Gradering Åpen Jacob Hygen Adm. direktør SESAM-prosjektets hovedmålsetning er å legge til rette for sikker elektronisk handel og kommunikasjon av sensitiv og ikke-sensitiv informasjon, og ta dette i bruk i stor skala i helsesektoren. SESAM vil ta utgangspunkt i resultatene fra tidligere NFR-støttede prosjekter på området tiltrodd tredjepartstjenester (TTP-tjenester) og digitale signaturer i regi av bl.a KITH og Norsk EDIPRO, samt TrustHealth, og videreutvikle, demonstrere og evaluere løsninger for sikker elektronisk samhandling/handel i stor skala. Tiltrodde tredjepartstjenester er sikkerhetstjenester i elektroniske nettverk utøvet av en uavhengig organisatorisk og teknisk enhet som av andre parter er tiltrodd å ivareta sikkerhetsfunksjoner og -oppgaver på deres vegne. SESAM vil fokusere på følgende pilotanvendelser av TTP- og sikkerhetsløsninger: 1. Sikker EDI (Elektronisk meldingsutveksling mellom legekontor og apotek/trygdeverket) 2. Sikker E-post (Elektronisk utveksling av strukturert og ustrukturert pasientinformasjon mellom primærhelsetjenesten og 2. Linjetjenesten. ) 3. Sikre web-tjenester Vi vil dessuten fokusere på en utvikling, utprøving og evaluering av helsepersonellkort som er foreslått som et prioritert utviklingsområde i Sosial- og Helsedepartementets rapport "Elektroniske pasientkort i norsk helsetjeneste". SESAM ønsker å ta i bruk Tiltrodde- tredjepartstjenester som er tverrsektorielle og interoperable, og som dermed ikke er spesifikke for helsesektoren, og vi ønsker å se dette i sammenheng med avtaler som er inngått gjennom Forvaltningsnettet dersom dette er hensiktsmessig. TTP-tjenester vil tilbys av prosjektpartnerne Posten SDS og Telenor Bedrift, og vi ønsker i en senere fase av prosjektet å teste ut interoperabilitet og kryssertifisering mellom ulike TTP-tilbydere.

3 Forord Kompetansesenter for IT i helsesektoren tok i 1998 initiativ til SESAMprosjektet m.a. som en videreføring av det NFR-støttede prosjektet SITH (Sikre og tiltrodde telematikktjenester i helsesektoren). Prosjektet kom i gang i slutten av 1998 og er planlagt å vare ut år Denne rapporten gir en kortfattet oversikt over prosjektets bakgrunn, sentrale målsetninger og organisering, samt beskriver hovedkonsepter i sikkerhetsløsningene som SESAM tar for seg. Rapporten vil ikke gå inn på hvilke konkrete (tekniske) løsninger som vil brukes i prosjektet. Rapporten er utarbeidet av rådgiver Bjarte Aksnes ved Kompetansesenter for IT i helsesektoren AS, med støtte av sjefsrådgiver Kenneth R. Iversen, også KITH. Delprosjektlederne Bjørn Haraldsen og Terje Borge Olsen har også kommet med nyttige innspill.

4 Innhold INNLEDNING... 1 Bakgrunn 1 Samarbeid 2 MÅLSETNINGER... 4 Formål 4 Hovedmålsetning 4 Delmål 4 Fokus for prosjektet 5 Helsepersonellkort (HPK) 5 Helsenett og Forvaltningsnett 5 DELPROSJEKT OG DEMONSTRATORER... 7 Sikker EDI 7 Sikker e-post 9 Sikre web-tjenester 11 Helsepersonellkort (HPK) 11 TTP-tjenester og sikkerhetsløsninger 11 PROSJEKTORGANISERING Styringsgruppe 14 Partnere og leverandører 14 SIKKERHETSTJENESTER OG MEKANISMER Sikkerhetstjenester 15 Sikkerhetsmekanismer 15 Tiltrodd Tredjepart (TTP) 17 REFERANSER... 19

5 Innledning Kapittel 1 Innen helsevesenet kommuniseres det store mengder av informasjon som er sensitiv og kritisk for behandling av pasienter. En stadig større andel av denne informasjonen behandles ved hjelp av elektroniske media, og det er et sterkt behov for at informasjonssikkerheten ivaretas tilfredsstillende også ved elektronisk behandling, kommunikasjon og lagring av informasjon. Digitale signaturer og kryptering vil være vesentlig for å kunne ivareta denne sikkerheten, og for at slike løsninger skal kunne fungere i stor skala mellom ulike aktører vil en være avhengig av Tiltrodde Tredjepartstjenester (TTP). Bakgrunn SESAM bygger videre på SITH prosjektet Bygger på resultater fra TrustHealth Mer helse for hver bit I det Forskningsråd støttede prosjektet "Sikre og tiltrodde telematikktjenester i helsesektoren" (SITH) som ble avsluttet 31/ , ble det utviklet og prøvd ut TTP-tjenester og sikkerhetsløsninger for elektronisk meldingsutveksling (elektronisk samhandling med EDI og epost) i liten skala. Disse løsningene ble tatt i bruk i to mindre demonstratorer for henholdsvis elektronisk overføring av resept og elektronisk overføring av strukturert epost. I SESAM har vi som målsetningen å videreutvikle og ta i bruk slike løsninger i en større skala. Norges Apotekerforening (NAF) ønsker gjennom sitt Resept-prosjekt å prøve ut en ny reseptmelding ved tre legekontor og et apotek i Sogn- og Fjordane. Dette vil inngå som en del av SESAM-prosjektet, hvor samtidig de nødvendige sikkerhetsløsninger vil bli benyttet. SESAM-prosjektet vil bygge på resultatene fra EU-prosjektet TrustHealth 1 (avsluttet i juli 1997) som har definert spesifikasjoner for sikkerhetsfunksjoner ved bruk av helsepersonellkort og tiltrodde tredjepartstjenester. TrustHealth 1-prosjektet videreføres i TrustHealth 2- prosjektet som vil demonstrere hvordan disse resultatene kan tas i bruk i stor skala, også på tvers av landegrensene. Enkelte delprosjekt under SESAM vil være norske nasjonale demonstratorer for TrustHealth 2. SESAM vil dermed kunne delfinansieres fra EU gjennom TrustHealth 2- prosjektet. I Sosial- og helsedepartementets IT-handlingsplan «Mer helse for hver bit» er det satt opp en del konkrete mål for området EDI og epost. 1

6 INNLEDNING Departementet legger opp til at EDI og epost, basert på standardiserte løsninger, skal tas i bruk i full skala og på flere områder i handlingsplanperioden. Delmål M sier følgende: "Innen utgangen av år 2000 skal elektronisk meldingsutveksling (EDI og epost) være hovedregelen og papirbasert overføring skal utgjøre unntakene, forbeholdt spesialforsendelser og pakkepost." SESAM ønsker å bidra til å oppnå denne målsetningen ved å gjennomføre en storskala utprøving av sikker elektronisk meldingsutveksling. Et av de skisserte tiltakene T1.2.2 i handlingsplanen er å "Prøve ut og etablere sikre infrastrukturtjenester (TTP-tjenester) for meldingsbasert kommunikasjon". SESAM vil være en utprøvingsarena for bruk av TTP-tjenester i stor skala i helsesektoren. SHDs tiltaksplan støtter SESAM Sosial- og Helsedepartementet har i sin tiltaksplan for Informasjonsteknologi i helse- og sosialsektoren: Utfordringer og tiltak (februar 1999) sagt at de vil stimulere til og støtte opp om prosjekter for utprøving av sikker elektronisk samhandling mellom nivåer og aktører i helse- og sosialsektoren. Et slikt prosjekt som allerede er iverksatt er SESAM-prosjektet (se tekstboks fra tiltaksplanen). Sikker elektronisk samhandling (SESAM) SESAM-prosjektet skal i 1999 foreta en storskala utprøving av sikkerhetstjenester i nett med utgangspunkt i ulike anvendelser som elektroniske resepter og andre EDI-meldinger, samt annen elektronisk samhandling basert på e-post og Web-dialog. Prosjektet skal også utrede og utprøve helsepersonellkort (smartkort for digital signering, identifisering, bekreftelse av helsepersonellets autorisasjoner m.m). Prosjektet gjennomføres i et samarbeid mellom RTV, Telemedisinsk avdeling, Aker sykehus med tilhørende bydelshelsetjenester, legekontorer og apotek i Oslo, Sogn- og Fjordane, Midt-Norge og Nord-Norge, relevante leverandører og med KITH som prosjektleder. SESAM-prosjektet er finansiert av Sosial- og helsedepartementet, Arbeids- og administrasjonsdepartementet, Forskningsrådet, Rikstrygdeverket og Norsk Apotekerforening. Datatilsynets nye retningslinjer i informasjonssikkerhet Datatilsynet har revidert sitt eget regelverk, og har kommet med nye Retningslinjer i informasjonssikkerhet, med mer vekt på administrative og organisatoriske sikkerhetstiltak, enn rent tekniske løsninger. I tilknytning til dette arbeidet har Datatilsynet samarbeidet med Sosial- og helsedepartementet, Statens helsetilsyn og KITH for å etablere veiledninger for EDI og Internett-tilkopling for helseinstitusjoner. SESAM vil være en utprøvingsarena for disse veiledningene. Det er også en forutsetning for prosjektet at Datatilsynet samtykker i å kjøre de beskrevne pilotprosjektene, som blant annet vil innebære elektronisk overføring av sensitiv personinformasjon. Samarbeid Sosial- og helsedepartementet har satt i gang et arbeid med å utarbeide kravspesifikasjoner og evt anbudsmateriale for TTP-tjenester og 2

7 INNLEDNING sikkerhetsløsninger ved EDI og Epost i helsevesenet. Disse kravspesifikasjonene vil utgjøre et nødvendig grunnlag for å stille krav til TTP-tjenestene i SESAM. Samarbeid med Intramed i Tromsø SESAM vil etablere et samarbeid med prosjektet Intramed i regi av Telemedisinsk avdeling ved Regionsykehuset i Tromsø. Intramedprosjeket er finansiert av Norges forskningsråd under ININ-programmet Infrastruktur for Informasjonsutveksling. Intramed har som formål å forbedre samhandlingen og samarbeid mellom helseinstitusjonene i regionen (HR-5) ved å knytte sykehus og legekontor sammen i et Nordnorsk helsenett. Prosjektet ønsker å bidra til å etablere et nasjonalt helsenett ved å demonstrere hvordan et regionalt helse-ekstranett kan brukes til å understøtte de mest sentrale behov helsevesenet har for telemedisinsk informasjonsutveksling. Med helse-ekstranett menes et lukket nett av intranett basert på åpen og standard Internetteknologi der kun helsearbeidere med rett autorisasjon har tilgang til de telemedisinske løsningene. SESAM ønsker gjennom dette samarbeidet å utvikle og teste ut noen av de samme sikkerhetsløsninger (kryptering, signering, TTP) som tenkes brukt i delprosjektene for sikker epost og EDI, for transport av medisinske dokumenter over Internett, intranett og ekstranett ved bruk av Internett-teknologi som smtp, ftp og http. Næringsrettet IT-plan Næringsrettet IT-plan fremlagt av Nærings- og handelsdepartementet i 1998 har også et betydelig fokus på sikker elektronisk samhandling og inneholder følgende konkrete forslag: I løpet av 1998 vurderes nødvendige tilpasninger i lov- og regelverk, inkludert løsninger for digitale signaturer og tiltrodde tredjeparter. Sette i gang pilotprosjekter for å påskynde utviklingen av elektronisk handel i Norge. Løsninger som skal realiseres og prøves ut i SESAM vil direkte kunne anvendes i forbindelse med elektronisk handel. Vi ønsker også å trekke inn Norges Regnesentral som besitter verdifull kompetanse innen informasjonssikkerhet og prosjektledelse. NR vil dessuten kunne bidra i forhold til samordning med lignende prosjekter som er igangsatt. 3

8 MÅLSETNINGER Målsetninger Kapittel 2 I dette kapittelet vil vi beskrive SESAM prosjektets hovedmål og delmål. Vi vil også si litt om prosjektets fokus samt forholdet til Forvaltningsnett og Helsenett. Formål Det er et stort behov for å kunne samle, behandle og utveksle helseopplysninger på en måte som gjør at de til enhver tid er fullstendige, oppdaterte og tilgjengelige for helsepersonell som har behov for den. SESAM-prosjektet ønsker å bidra til en mer effektiv og sikker elektronisk samhandling i helsesektoren, ved å arbeide for en sikker utveksling av helseopplysninger og andre former for informasjon elektronisk. Hovedmålsetning SESAM skal legge til rette for sikker elektronisk handel og kommunikasjon av sensitiv og ikke-sensitiv informasjon, og ta dette i bruk i stor skala i helsesektoren. Delmål 1. Ta i bruk sikker EDI, epost og web-tjenester i stor skala for elektronisk samhandling og kommunikasjon av pasientinformasjon innen helsevesenet. 2. Implementere og prøve ut anvendelser av sikkerhetsløsninger for elektronisk kommunikasjon av sensitiv informasjon. 3. Høste brukererfaringer fra storskala bruk av sikkerhetsløsningene. 4. Ta i bruk standarder og krav fra Standardiserings- og samordningsprogrammet og beslektede europeiske standardiseringsaktiviteter, som SEMRIC, COCO, CEN-TC Være en pådriver for å etablere og ta i bruk nasjonale tiltrodde tredjepartstjenester (TTP), og sikre at disse kan samhandle. 6. Utrede, prøve ut og høste erfaringer fra bruk av helsepersonellkort. 4

9 MÅLSETNINGER Standardiserte løsninger Bygger på eksisterende og kommersielle applikasjoner HPK sine funksjoner Fokus for prosjektet SESAM vil fokusere på å ta i bruk standardiserte TTP- og sikkerhetsløsninger der dette er hensiktsmessig, og blant annet anvende resultater fra norske og europeiske standardiseringsaktiviteter som Standardiserings- og samordningsprogrammet, TrustHealth, SEMRIC (DGIII), CoCo (DG XIII) og CEN TC251 WG6. Prosjektet vil også bidra til å utvikle og prøve ut nye standardiserte EDI-meldinger (f.eks Reseptmelding). Alle anvendelsene vil bygge på eksisterende og kommersielle applikasjoner som er utbredt og i daglig bruk. Det vil også legges vekt på at noen må eie løsningene som vi bygger ut i prosjektet. Dette for å sikre en fremtidig storskala bruk, og for å sikre leverandørene fremtidig levedyktighet. Prosjektet har ikke som mål å utvikle nye applikasjoner fra grunnen av. Helsepersonellkort (HPK) Vi vil fokusere på en utvikling, utprøving og evaluering av helsepersonellkort som er foreslått som et prioritert utviklingsområde i Sosial- og Helsedepartementets rapport "Elektroniske pasientkort i norsk helsetjeneste". Denne rapporten slår fast at "Et helsepersonellkort bør finnes før pasientkort tas i bruk som en nasjonal løsning. Løsningen forutsetter at et operativt helsenettverk er etablert for å håndtere nøkler for identifisering/autentisering av helsepersonell." Helsepersonellkort er kort som utstedes til helsepersonell. Det kan brukes som et ledd i en sikkerhetsløsning for IT, for å kontrollere helsepersonellets aksess til systemer, til nettverk for elektronisk kommunikasjon og til informasjon i pasientkortet. Det kan ha funksjoner for identifisering/autentisering av korteier, digital signatur for å kunne signere elektroniske handlinger eller meldinger, og funksjoner for kryptering/dekryptering som gjør teksten ulesbar for uvedkommende. Et helsepersonellkort kan også gi opplysninger om helsepersonellets autorisasjoner og nåværende roller og ansettelsesforhold. Helsenett og Forvaltningsnett I utredningen Norsk Helsenett: anbefalinger for realisering fram mot år 2001, pekes det på at en TTP-tjeneste er en forutsetning for storskala anvendelse av bl.a EDI og sikker e-post. Denne rapporten deler inn et informasjonsnett i tre ulike nivåer: anvendelser, infostruktur og teknisk infrastruktur (se figuren). Det pekes videre på at TTP-tjenester og sikkerhetsfunksjoner i e-postkontor bør være en del av den teknisk infrastrukturen i et helsenett. 5

10 MÅLSETNINGER Fig 1: Referansemodell for et informasjonsnett Pasienter, helsepersonell, etc Anvendelser Infostruktur Teknisk infrastruktur Fysiske nett, IT-utstyr Anvendelser av informasjons- og kommunikasjonsteknologi (involverer brukere) Felles informasjonsressurser og datagrunnlag Kommunikasjonstjenester og fysiske nettverk Forvaltningsnettet er en tjenestemessig og avtalemessig sammenknytningen av logiske nett (intranett og ekstranett) i norsk offentlig forvaltning. Helsenettet som et sektornett i Forvaltningsnettet Helsesektorens egne krav og behov SESAM vil primært benytte Forvaltningsnettet Helsenettet bygger teknisk og logisk på Forvaltningsnettet, og kan således sies å være et sektornett over, likevel en integrert del av Forvaltningsnettet. Helsenettet vil i utgangspunktet ikke ha behov for eller krav til nettjenester (katalogtjenester, TTP-tjenester etc,) som teknisk sett er spesielle eller annerledes enn det øvrige Forvaltningsnettet, og så langt som Forvaltningsnettet etablerer tjenester som Helsesektoren etterspør, er det ingen grunn til å etablere tilsvarende egne, separate tjenester i Helsenettet. Helsenettet vil derimot kunne ha utvidede krav til sikkerhet, tjenestekvalitet, kapasitet m.m enn det øvrige, allmenne Forvaltningsnettet. Helsesektoren vil også ha behov for å etablere en egen, selvstendig informasjonsinfrastruktur og egne anvendelser knyttet til helsesektorens virksomhet. I SESAM prosjektet ønsker vi primært å benytte Forvaltningsnettet, men vi ønsker også å finne ut om det er områder innen helsesektoren der Forvaltningsnettets avtaler ikke er hensiktsmessige. I slike tilfeller kan det være aktuelt å prøve ut tjenester og leverandører som ligger utenfor Forvaltningsnett-avtalene. Forvaltningsnettet har den 22/ lyst ut anbud på TTP/DS som omhandler TTP-tjenester, digitale signaturer og meldingskryptering, samme dato ble det lyst ut anbud på EDI. Det antas at kontrakter med valgte leverandører på de to områdene kan inngås i april/mai

11 DELPROSJEKT OG DEMONSTRATORER Delprosjekt og demonstratorer Kapittel 3 Prosjektet vil deles inn i flere delprosjekter, som vil være direkte knyttet til demonstratorer innen sikker EDI, e-post og web, mens andre delprosjekt vil ivareta tverrgående aktiviteter som TTP-tjenester og sikkerhetsløsninger, samt utredning av helsepersonellkort. SESAM planlegger å ta sikkerhetsløsningene i bruk gjennom følgende delprosjekter: 1. Elektronisk meldingsutveksling mellom legekontor og apotek/trygdeverket 2. Elektronisk utveksling av strukturert og ustrukturert pasientinformasjon mellom primærhelsetjenesten og 2. linjetjenesten. 3. Sikre web-tjenester 4. Utredning og utprøving av helsepersonellkort 5. TTP-tjenester og sikkerhetsløsninger Sikker EDI For å realisere sikker elektronisk handel og kommunikasjon i helsesektoren er sikker elektronisk datautveksling (EDI) en viktig premiss, og et av delprosjektene som startes innenfor SESAM er derfor Sikker EDI. Delprosjekt Sikker EDI har følgende hovedmålsetning: Ta i bruk elektronisk datautveksling (EDI) for kommunikasjon av strukturert sensitiv informasjon ved bruk av digitale signaturer og tiltrodde tredjeparts-tjenester. Elektronisk resept Med EDI (elektronisk datautveksling) forstår vi her en overføring av strukturerte data fra en applikasjon til en annen, det er altså kommunikasjon mellom ulike datasystemer. I Sikker EDI vil vi spesielt teste ut elektronisk resept. I SESAM planlegger vi å lage en løsning for overføring av elektroniske resepter som er signert og kryptert, samt å forbedre og tilpasse løsningene til flere endesystemapplikasjoner. Vi vil legge stor vekt på å utvikle løsninger 7

12 DELPROSJEKT OG DEMONSTRATORER som er brukervennlige og som vil kunne effektivisere arbeidsprosessene på legekontor og apotek. Bakgrunn I SITH ble det gjennomført et pilotprosjekt for sikker elektronisk overføring av resept (EDI) mellom ett legekontor (Kjell Maartmann Moes legekontor) og et apotek (Grünerløkken apotek) i Oslo. Løsningen ble tatt i bruk for overføring av omlag 200 elektroniske resepter som var signert og kryptert. I SESAM planlegger vi å videreføre denne løsningen i stor skala, samt å forbedre og tilpasse løsningene til flere endesystemapplikasjoner. Delprosjektet Sikker EDI sitt mandat er å etablere løsning(er) for elektronisk overføring av sikre EDI-meldinger (elektronisk resept) mellom et antall utvalgte legekontor og apotek. Dette innebærer mellom anna følgende oppgaver: Ferdigstilling av EDI-melding for elektronisk resept (MEDPRE) Etablere en generell løsning for sikring av EDI-meldinger ved bruk av tiltrodde tredjepartstjenester. Sikre samhandling med RTV sine løsninger Gjøre nødvendige tilpasninger i endesystemapplikasjonene og arbeidsrutinene for legekontor og apotek. Etablering av kommunikasjonsløsning mellom aktuelle legekontor og apotek Motivasjon, opplæring og brukerstøtte til aktuelle brukere. Gevinster ved bruk av elektronisk resept: Unngår at det innføres feil som følge av problemer med å tyde håndskrevne resepter eller pga fingertrøbbel ved inntasting i apotekets system. Apoteket har mulighet for å gjøre medisinen klar før kunden kommer for å hente den. Apoteket slipper arbeidet med å taste inn opplysningene på resepten i apoteksystemet. Sikkerheten ved bruk av elektronisk resepter vil bli mye bedre enn for papirbaserte og ikke minst bedre enn for telefaks-resepter. Redusert fare for misbruk av resepter ved kopiering/forfalskning av underskrifter. Legen slipper å skrive ut resepten på skriver og undertegne for hånd. Demonstratorarena: Vi planlegger å ta disse løsningene i bruk hos omlag leger fordelt på 5-10 legesenter og hos 5 apotek i bydel 5 i 8

13 DELPROSJEKT OG DEMONSTRATORER Oslo, samt hos 3 legekontor og ett apotek i Sogn og Fjordane. Tilsvarende løsninger vil kunne tas i bruk for oversendelse av legeregningsoppgjør mellom legekontor og Rikstrygdeverket. Elektronisk utveksling av strukturert og ustrukturert pasientinformasjon mellom 1.- og 2.- linjetjenestene Sikker e-post I SITH ble det utviklet en løsning for sikker elektronisk overføring av en strukturert epost-melding mellom en sykehusavdeling på Aker sykehus og bydelshelsetjenesten i Bjerke bydel. I SESAM planlegger vi å ta i bruk lignende løsninger for overføring av pasientinformasjon fra avdelinger ved Aker sykehus til et par bydelshelsetjenester. Dette vil sikre et stort volum av pasienter, slik at vi kan få en storskala uttesting av løsningen. De samme sikkerhetsløsningene som er utviklet i pilotprosjektet på Aker, vil kunne tas i bruk for sikker overføring av henvisninger eller epikriser mellom 1.linje- og 2. linjetjenesten. Det er i første omgang fokusert på sykepleieopplysninger for pasienter mellom sykehus og primærhelsetjenesten. Slike opplysninger inneholder sensitiv informasjon om pasienten, og er ofte av stor betydning både for behandling og rehabilitering av pasientene. Det er derfor svært viktig både å sikre informasjonens konfidensialitet og integritet, samt å sikre autentisering av helsepersonellet. Informasjonen er først og fremst ment for pleiepersonell, men også de medisinsk ansvarlige (legene) kan nyttegjøre seg informasjonen. Informasjonen vil ikke bare omfatte behandling og pleie, men også opplysninger knyttet til behov for hjelp og støtte utover dette; hjemmehjelp, handling/innkjøp mm. I en startfase er det plukket ut 3 sengeposter ved sykehuset; akutt geriatri, urologisk sengepost og ortopedisk sengepost. I primærhelsetjenesten vil to hjemmesykepleiedistrikt i to ulike bydeler delta. Det er vist stor interesse og entusiasme blant de deltagende sengeposter og bydeler. 9

14 DELPROSJEKT OG DEMONSTRATORER Akutt geriatri Meldinger Årvoll bydelshelsetjeneste Urologisk sengepost Ortopedisk sengepost St.Hanshaugen bydelshelsetjeneste Aker sykehus Bydeler Sykepleierapport Gevinster av løsningene Organisatoriske utfordringer Brukeraspekter Vi vil i første omgang konsentrere oss om eksisterende sykepleierapporter som i dag benyttes i papirversjon på sykehuset. Denne vil brukes som en Word-mal og fylles ut og oppdateres etter behov. Per i dag er det ikke elektronisk journalføring ved Aker sykehus, men på sikt vil en slik løsning kunne lette utfyllingen av en sykepleierapport. I primærhelsetjenesten har det ikke vært vanlig å sende sykepleierapporter til sykehuset. Der benytter man seg flere steder av systemer hvor det finnes en del dokumentasjon. Det vil bli undersøkt hvorvidt det er mulig å knytte opplysningene i disse systemene opp mot sykepleierapporten. Da kommunikasjonen mellom sykehus og primærhelsetjenesten stort sett har foregått per telefon har denne vært preget av mye venting og vanskeligheter med å treffe riktig person. Skriftlig henvendelser fra sykehus har gått med post eller blitt sendt med pasienten, noe som har vært tidkrevende og ustabilt, mens det til sykehuset har vært lite eller ingen skriftlig henvendelse. Med en e-post løsning ser vi muligheter for gevinster i forhold til tid og kvalitet. I en uttesting blir det viktig å fokusere på hvem som skal sende og motta meldinger, hvor skal meldinger mottas og på hvilke tidspunkt skal det sendes meldinger. En utfordringer her er knyttet opp til at personalet arbeider i turnusordninger, og i helger og høytider er f.eks kontorene i primærhelsetjenesten normalt ikke bemannet. En annen utfordring er knyttet til forordning av medikamenter ved utskrivning av pasienter fra sykehuset og oversendelse av sykepleierapporten. Det er velkjent at det er stor skepsis blant helsepersonell og pasienter knyttet til oversendelse av sensitive opplysninger via e-post. I den forbindelse er det i regi av EU-prosjektet TrustHealth-2 utarbeidet et spørreskjema knyttet til den enkeltes kunnskap om 10

15 DELPROSJEKT OG DEMONSTRATORER Pasienten først Overføring av medisinsk informasjon over web informasjonssikkerhet. Det vil både før og etter selve utprøvingen bli gjennomført en utspørring av deltagerne knyttet til dette emnet. I forbindelse med selve utprøvingen vil det skje en viss opplæring og (forhåpentligvis) en økning i kunnskap og forståelse knyttet til informasjonssikkerhet. Aker sykehus` deltagelse i SESAM-prosjektet vil knyttes opp til "Pasienten først" som er sykehusets gjennomgripende prosjekt for bedre pasienttilfredshet, bedre personaltilfredshet og bedre produktivitet. Det innebærer at prosjektgruppen for "Pasienten først" blir holdt løpende informert og er invitert til å delta i prosjektgruppen for dette delprosjektet. Demonstratorarena: Aker sykehus og tilknyttede bydelshelsetjenester Sikre web-tjenester I samarbeid med prosjektet Intramed (se bakgrunn) ønsker SESAM å utvikle og teste ut sikkerhetsløsninger (kryptering, signering, TTP) for transport av medisinske dokumenter over Internett, intranett og ekstranett ved bruk av Internett-teknologi som smtp, ftp og http. Den konkrete gjennomføringen av dette delprosjektet vil planlegges og koordineres sammen med Intramed-prosjektet som vil utgjøre demonstratorarenaen for dette delprosjektet. Demonstratorarena: Sykehus og legekontor i helseregion V Evaluering og utredning av helsepersonellkort Helsepersonellkort (HPK) Prosjektet vil ta i bruk helsepersonellkort (smartkort ) som kan brukes for å identifisere og lagre opplysninger om helsepersonell. I tilknytning til dette vil vi evaluere bruken av disse, og beskrive alternative anvendelser av et helsepersonellkort. SESAM vil i form av et forprosjekt for HPK utrede krav til sikkerhet, informasjonsinnhold, forholdet til helsepersonellregister og rutiner for kortutstedelse og kortforvaltning for et helsepersonellkort. Arbeidet vil sees i sammenheng med krav til sikkerhetsfunksjoner og TTP-tjenester i Norsk Helsenett. Demonstratorarena: Aker sykehus TTP-tjenester og sikkerhetsløsninger Dette tverrgående delprosjektet skal utvikle og tilby TTP-tjenester og sikkerhetsløsninger til demonstratorene i delprosjekt 1-3. SESAM ønsker å ta i bruk tiltrodde- tredjepartstjenester (TTP-tjenester) som er tverrsektorielle og interoperable, og som dermed ikke er spesifikke for helsesektoren, og vi ønsker å se dette i sammenheng med avtaler som er inngått gjennom Forvaltningsnettet, der dette er hensiktsmessig. TTPtjenester vil tilbys av prosjektpartnerne Posten SDS og Telenor Bedrift, 11

16 DELPROSJEKT OG DEMONSTRATORER og vi ønsker i en senere fase av prosjektet å teste ut interoperabilitet og kryssertifisering mellom ulike TTP-tilbydere. 12

17 PROSJEKTORGANISERING Prosjektorganisering Kapittel 4 I dette kapittelet gir vi en kort oversikt over sentrale aktører i SESAM-prosjektet, samt hvordan prosjektet tenkes organisert. Styringsgr. Ass Prosj. leder Prosj.leder KITH Dp1 Sikker EDI Dp2 Sikker Epost Dp3 Sikker Web Dp4 HPK Dp5 TTP-tjenester og sikkerhetsløsninger Som vist i figuren foreslås prosjektet organisert med 5 ulike delprosjekter med egne resultatansvarlige for hvert delprosjekt. Figuren viser også at Delprosjekt 5 er et tverrgående delprosjekt som skal etablere en teknisk infrastruktur som benyttes i delprosjektene 1-4. Prosjektleder: Bjarte Aksnes, KITH Ass. Prosj.leder: Terje Borge Olsen, PHAROS DA Delprosjektledere: DP1 Sikker EDI: Terje Borge Olsen, PHAROS DA DP2 Sikker Epost: Bjørn Haraldsen, Aker sykehus DP3 Sikker Web: Ikke klart DP4: TTP-tjenester og sikkerhetsløsninger: Telenor og Posten SDS 13

18 PROSJEKTORGANISERING Styringsgruppe Vi foreslår at det opprettes en styringsgruppe bestående av representanter fra prosjekteierne og andre sentrale aktører: - Sosial- og Helsedepartementet - Arbeids- og administrasjonsdepartementet - Rikstrygdeverket - KITH Kompetansesenter for IT i helsevesenet AS Partnere og leverandører Partnere i prosjektet: KITH - Kompetansesenter for IT i helsevesenet AS Posten SDS - Leverandør av kommunikasjonsprogramvare og TTPtjenester Telenor Bedrift - Leverandør av kommunikasjonsprogramvare og TTPtjenester Aker sykehus - Universitetssykehus i Oslo, pilotarena Kjell Maartmann-Moe - Privatpraktiserende lege i Oslo Kommune. Deltager i SITH. Skal koordinere kontakten med deltagende legekontor i Oslo. Grünerløkken apotek v/unni Høyland - Apotek i bydel 5 i Oslo. Var også deltager i SITH. Koordinerer kontakten med deltagende apotek. NAF - Norges Apotekerforening RTV - Rikstrygdeverket Aktuelle underleverandører til prosjektet (avhengig av hvilke elektronisk journalsystemer (EPJ) de aktuelle legene bruker): Infodoc - Leverandør av journalsystem til primærhelsetjenesten. Telenor Infomedica Leverandør av journalsystem til sykehus NAF-Data - Leverandør av elektroniske apotekssystem til apotekene i Norge. Legedata - Leverandør av journalsystem til primærhelsetjenesten. Profdoc - Leverandør av journalsystem til primærhelsetjenesten Norges Regnesentral - Sikkerhetsekspertise 14

19 SIKKERHETSTJENESTER OG MEKANISMER Sikkerhetstjenester og mekanismer Kapittel 5 I dette kapittelet vil vi kort beskrive de sikkerhetstjenestene og -mekanismene som er mest relevante i forbindelse med SESAM-prosjektet. For mer utfyllende beskrivelser vises det til annen litteratur. Sikkerhetstjenester De sikkerhetstjenestene som er mest relevant i forhold til problemstillingene som adresseres i SESAM-prosjektet er følgende: Konfidensialitet innebærer å sikre informasjonen for innsyn fra uvedkommende under transport og lagring Integritet innebærer å sikre at informasjonen ikke er endret (eller slettet) på en uautorisert måte under lagring eller transport Tilgjengelighet å sikre at informasjonen er tilgjengelig for autoriserte entiteter når og der det er behov for det Autentisering innebærer å sikre at en enhet (person/prosess/program) virkelig er den vedkommende gir seg ut for å være. I forbindelse med elektroniske meldinger er autentisering dessuten entydig knyttet til meldingens innhold, dvs. det er ikke mulig å kopiere en elektronisk signatur til en annen melding enn den som opprinnelig ble signert. Ikke-benekting innebærer at en mottaker eller avsender av en melding på et senere tidspunkt ikke kan nekte for å ha henholdsvis mottatt eller sendt meldingen. Autorisering er en tjeneste for å gi en enhet (person/prosess/program) rettigheter (privilegier) i forhold til en avgrenset mengde informasjon eller deler av et informasjonssystem Sikkerhetsmekanismer Offentlige nøkkelsystem Et offentlig nøkkelsystem (Public Key Infrastructure) gir oss mulighet for å generere digitale signaturer. Offentlige nøkkelsystem er basert på asymmetrisk kryptografi, med bruk av private og offentlige nøkler. I et asymmetrisk system kan: - data kryptert med en offentlige nøkkelen kun dekrypteres av den tilhørende private nøkkelen 15

20 SIKKERHETSTJENESTER OG MEKANISMER Autentisering ved bruk av digital signatur Digitale signaturer sikrer oss mot forfalskning Private og offentlige signeringsnøkler - data kryptert med den private nøkkelen kun dekrypteres med den tilhørende offentlige nøkkelen Den private nøkkelen lagres vanligvis på brukerens smartkort mens den offentlige nøkler gjøres allment kjent. En bruker kan autentisere seg ved å bevise at vedkommende kjenner den private nøkkelen, f.eks ved bruk av en digital signatur. Digital signatur Digitale signaturer er en sikkerhetsmekanisme hovedsakelig for å realisere tjenestene autentisering, integritet og ikke-benekting. En digital signatur på en melding legges ved meldingen og er et unikt nummer generert ut fra selve meldingen og identiteten til vedkommende som signerer meldingen. En digital signatur har den egenskapen at den både er knyttet til den private signeringsnøkkelen og selve meldingen. Det vil derfor ikke være mulig å kopiere selve signaturen fra et dokument (el. melding) til et annet, og det vil heller ikke være mulig å gjøre endringer i det signerte objektet uten at signaturen gjøres ugyldig. Signaturen sikrer dermed mot forfalskning av dokumentet både av mottaker og avsender, og den sikrer at avsender ikke kan benekte å ha sendt dokumentet eller innholdet i dokumentet. En digital signatur er basert på asymmetrisk kryptografi, hvor avsenderen besitter to ulike signeringsnøkler. En privat signeringsnøkkel som bare er kjent for avsenderen, og en offentlig signeringsnøkkel som er tilgjengelig for alle potensielle mottakere av signerte meldinger fra denne avsenderen. Enhver mottaker av en signert melding kan ved hjelp av avsenderens offentlige signeringsnøkkel verifisere at signaturen er gyldig og at meldingen ikke er endret etter signering. Meldingen kan også lagres med digital signatur, slik at integritet og autentisitet kan bevares over tid. Kryptering sikrer konfidensialitet Asymmetrisk kryptering Kryptering Kryptering realiserer hovedsakelig tjenesten konfidensialitet. Kryptering kan vi definere som en transformasjon av data fra klartekst til tilsvarende kryptert tekst ved hjelp av tilhørende kryptografisk nøkkel. Kryptering forvrenger det digitale signalet slik at bare rettmessig mottaker (og selvsagt avsender) er i stand til å se det opprinnelige innholdet. For å realisere sikkerhetsmekanismene Digital signatur og (asymmetrisk) kryptering bruker vi et asymmetrisk kryptosystem. Ved asymmetrisk kryptering vil avsenderen av en melding benytte mottakerens offentlige krypteringsnøkkel for å kryptere meldingen. På denne måten vil det bare være den tiltenkte mottakeren som med sin private krypteringsnøkkel er i stand til å dekryptere meldingen. Dersom meldingen skal sendes til flere personer samtidig må avsenderen ved kryptering benytte de offentlige krypteringsnøklene til alle potensielle 16

21 SIKKERHETSTJENESTER OG MEKANISMER mottakere av meldingen. Det er ikke praktisk mulig å beregne den private nøkkelen selv om man kjenner den offentlige nøkkelen. Den private nøkkelen er kun kjent av eieren, og eventuelt den som har generert den, og eieren må sørge for at den oppbevares på en sikker måte. Den sikreste måten å oppbevare nøkkelen på for praktiske formål er på smartkort beskyttet av passord (PIN-kode) el. og med krypteringsalgoritmen implementert på kortet, et såkalt aktivt-kort. Den private nøkkelen vil i en slik løsning aldri forlate kortet, og dette reduserer risikoen for at andre skal få kjennskap til den private nøkkelen betydelig. Hvorfor TTP? TTP-tjenester TTP roller 1. Tjenester 2. Tiltrodd Tiltrodd Tredjepart (TTP) Sikker elektronisk samhandling krever en infrastruktur som kan garantere tillit og samtrafikk mellom aktørene i systemet. Dersom det er få parter som skal samhandle kan tilliten etableres bilateralt, f.eks i form av avtaler mellom hvert par av kommuniserende parter. Det er denne fremgangsmåten som tradisjonelt har blitt benyttet ved EDI-samhandling. Er det derimot mange aktører som skal samhandle, og noen er kanskje ukjente, er det nødvendig at tilliten knyttes til en uavhengig tredjepart som alle aktørene kan stole på, en såkalt tiltrodd tredjepart (TTP). Tiltrodde tredjepartstjenester er sikkerhetstjenester i elektroniske nettverk utøvet av en uavhengig organisatorisk og teknisk enhet som av andre parter er tiltrodd å ivareta sikkerhetsfunksjoner og -oppgaver på deres vegne. En tiltrodd tredjepart er ikke et klart definert begrep, men en samling av roller og tjenester som må ivaretas ved bruk av et offentlig nøkkelsystem. De viktigste rollene er sertifikatutsteder (sertifiseringsautoritet), kortutsteder, nøkkelgenerator, registreringsautoritet og sertifikatvedlikehold (av sertifikatkatalog og tilbakekallingslister). De ulike rollene kan ivaretas av ulike enheter. Tiltrodde tredjeparts-tjenester er et begrep som har tre deler: Tiltrodd, tredjepart og tjenester. Tjenestene det er snakk om skal primært sikre følgene forhold: - At de offentlige nøkler som er i omløp er entydig, ekte, gyldige og knyttet til en enkelt identifisert person eller virksomhet og at dette kan verifiseres av den som mottar en offentlig nøkkel. - At det på en enkel og sikker måte er mulig å få tak i en bestemt persons eller virksomhets offentlige nøkkel. - At avsender og mottaker på en enkel og sikker måte kan verifisere hhv mottakers og avsenders autorisasjon i forhold til informasjonen som skal overføres. Med tiltrodd mener vi at tjenestene som understøtter sikkerheten i det elektroniske nettverket, tilbys av uavhengige parter og på en slik måte at alle som benytter tjenestene kan ha tilstrekkelig tiltro til at alle aspekter 17

22 SIKKERHETSTJENESTER OG MEKANISMER 3. Tredjepart Sertifikat ved sikkerheten av funksjonaliteten er ivaretatt i tråd med de krav som brukere, myndigheter og regelverk stiller. Spesielt viktig er det at man har tiltro til at det skjer en sikker autentisering av nye brukere, f.eks i form av personlig oppmøte og legitimering hos en registreringsautoritet (RA). I begrepet tredjepart ligger det at tjenestene tilbys av andre aktører i nettverket enn de to partene som utveksler dokumenter eller annen informasjon. Dette for å sikre at TTP-en er objektiv i forhold til de andre aktørene. Offentlige nøkler gjøres normalt kjent gjennom sertifikater, som gir en kobling mellom en identitet og en offentlig nøkkel. Sertifikatene er signert av en tiltrodd tredjepart i rollen som sertifikatutsteder. Sertifikatutsteder (el TTP) sin identitet og offentlige nøkkel (el. TTP-ens sertifikat) må være kjent på forhånd, slik at brukerne er i stand til å verifisere sertifikat utstedt av vedkommende TTP. Sertifikatene gjøres normalt tilgjengelig gjennom en sertifikatkatalog som må vedlikeholdes av sertifiseringsautoriteten. Sertifikatene har en gyldighetsperiode, men de bør også være tilgjengelig fra katalogen etter at gyldighetsperioden er gått ut. Dette for å være i stand til å verifisere digitale signaturer som ble signert mens sertifikatet ennå var gyldig. For langtidslagring kan signerte meldinger lagres sammen med tilhørende offentlige sertifikat, slik at integritet og autentisitet kan kontrolleres selv om sertifikatet ikke lenger er tilgjengelig fra kataloger el. 18

23 REFERANSER Referanser Vedlegg A Elektroniske pasientkort i norsk helsetjeneste vurdering av bruksområder og nasjonale tiltak; Sosial- og helsedepartementet Forebyggings- og utviklingsavdelingen; Des 1997 Norsk helsenett: Anbefalinger for realisering fram mot år 2001 Høringsutkast. Versjon 1.1; Kenneth R. Iversen, KITH; 1998 SITH - Sikre og tiltrodde telematikktjenester i helsesektoren - Overordnet modell og funksjonsbeskrivelse. KITH R4/97. Digitale signaturer gir tillit til elektronisk kommunikasjon Forslag til tiltak for aksept og utbredelse; Nærings- og handelsdepartementet; Rådet for IT-sikkerhet; Nov