Forprosjekt for PKI i helsenett Forrosjektrapport Versjon 1.0 Dato 21.01.02 KITH Rapport 3/02 ISBN 82-7846-127-9
Forprosjekt PKI i helsenett KITH-rapport TITTEL Forprosjekt for PKI i helsenett Forrosjektrapport Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Forfatter(e) Bjarte Aksnes, Arnstein Vestad, Eva Henriksen, Eva Skipenes, Inger Elisabeth Kvaase m.fl. Oppdragsgiver(e) Sosial- og Helsedepartementet 73 59 86 00 Telefaks 73 59 86 11 e-post firmapost@kith.no Foretaksnummer 959 925 496 Rapportnummer R 3/02 ISBN 82-7846-127-9 Godkjent av URL http://www.kith.no/rapportarkiv/pkiforp.pdf Dato 21. januar 2002 Antall sider 53 Kvalitetssikret av Haakon Brænden Prosjektkode SHD-PKI01 Gradering Jacob Hygen Adm. direktør Sammendrag Vi har kartlagt ulike behov for PKI-tjenester innen helsevesenet. Ut fra kartleggingen anbefaler vi at for de fleste anvendelser innenfor helsevesenet kan løsninger uten bruk av smartkort (tilsvarende sikkerhetsnivå 2 fra utredningen Uten penn og blekk ) gi en tilfredsstillende sikkerhet, i det minste i for å komme i gang med elektronisk kommunikasjon. Løsninger på nivå 3 (f.eks. ved bruk av smartkort) bør vurderes etter hvert som markedet utvikler seg, og man får mer erfaring med teknologien. Vi anbefaler at helsevesenet tar i bruk virksomhetssertifikater og personlige sertifikater, enten av typen offentlig personsertifikat eller profesjonssertifikat. Spesielt vil vi anbefale at det for epikriser og henvisninger i startfasen benytter virksomhetssertifikater i kombinasjon med vanlig elektronisk signering i journalsystemet, f.eks. ved bruk av initialer. For offentlige personsertifikater bør det kunne tas i bruk løsninger som tilbys fritt i markedet. Ved bruk av offentlige personsertifikater eller virksomhetssertifikater vil det ikke være behov for å bygge opp egne ordninger for helsevesenet. Bruk av profesjonssertifikater for helsepersonell vil derimot kreve at det opprettes en egen ordning for dette. Det må i tilfelle tas et sentralt initiativ for å etablere en slik ordning, og det må etableres avtale med en (eller flere) sertifikatautoritet(er). Med bakgrunn i arbeidet i arbeidsgruppen er det utarbeidet strategier med hensikt å muliggjøre og etablere PKI-baserte tjenester for helsevesenet. Strategiene er anbefalinger for videre tiltak som et hovedprosjekt og andre aktiviteter på området bør ta utgangspunkt i.
Innhold Kapittel 1 Bakgrunn...4 1.1 Prosjektets organisering 4 1.2 Oppsummering av konklusjoner 5 Kapittel 2 Definisjoner...7 Kapittel 3 Oversikt over helsevesenets PKI-behov...10 3.1 Epikriser og henvisninger 12 3.2 Elektroniske resepter 13 3.3 Elektroniske laboratoriesvar 14 3.4 Overføring av journal 14 3.5 Uformell kommunikasjon mellom helsepersonellfeil! Bokmerke er ikke definert. 3.6 Melding til sentrale helseregistre 17 3.7 Kommunikasjon mellom primærhelsetjenesten, sykehus og pleie- og omsorgssektoren (PO-tjenestene) 18 3.8 Kommunikasjon mellom primærhelsetjenesten og pasienter 19 3.8.1 Fra pasient til lege...20 3.8.2 Fra lege til pasient...20 3.8.3 Toveis kommunikasjon lege - pasient...21 3.8.4 Mellom flere pasienter...21 3.8.5 Spesielle hensyn ved bruk av PKI for pasienter...22 3.9 Nettbasert tilgang til journalinformasjon 22 3.10 Autentisering av nettverksinfrastruktur 24 3.11 Kommunikasjon mellom RTV og helseforetakene 24 3.12 Kommunikasjon mellom RTV og medlemmer av folketrygden 25 3.13 Annen kommunikasjon med RTV 26 3.13.1 Innrapportering av arbeidstakeropplysninger over AA-veven...26 3.13.2 Elektronisk innsending av sykmeldinger...26 Kapittel 4 Anbefalte sikkerhetsnivå...28 4.1 Vurdering av sikkerhetsnivå 28 4.2 Sikkerhetsbehov og sikkerhetsnivå 30 4.3 Forslag til sikkerhetsprofiler 31 4.4 Anbefaling for sikkerhetsnivå 32 Kapittel 5 Sertifikatbehov...33 5.1 Sertifikattyper 33 5.1.1 Virksomhetssertifikater...33 5.1.2 Ansattsertifikater...34 5.1.3 Profesjonssertifikat...34 5.1.4 Offentlige personsertifikater...35 5.2 Sertifikatbehov i helsevesenet 35 5.2.1 Virksomhetssertifikater...35 5.2.2 Personlige sertifikat (individsertifikat)...36 5.2.3 Ansattsertifikat...37 5.2.4 Profesjonssertifikat...38 5.2.5 Offentlige personsertifikater...38 5.2.6 Kombinasjoner av sertifikattyper...39 5.3 Konklusjon 40 ii
Kapittel 6 Organisering av PKI i helsenett...41 6.1 Generell beskrivelse av en PKI-struktur 41 6.2 Registreringsfunksjon for offentlige personsertifikat 41 6.3 Registreringsfunksjon for profesjonssertifikat 42 6.3.1 Løsning 1...42 6.3.2 Løsning 2...44 6.3.3 Løpende driftsoppgaver...44 6.3.4 Tjenester for revokering...44 6.4 Innspill fra Datatilsynet 44 6.5 En alternativ PKI-struktur 45 6.5.1 PKI-pilot i Nordnorsk Helsenett...45 6.5.2 Begrensninger og muligheter ved løsningen...46 6.6 Andre katalogtjenester 47 6.6.1 Helsetjenesteenhetsregisteret...47 6.6.2 HER og sertifikater...48 6.7 Konklusjon 49 Kapittel 7 Strategi for bruk av TTP-tjenester i helsenett...50 7.1 Strategi for PKI i helsenett 51 iii
Forprosjekt PKI i helsenett Kapittel 1 Bakgrunn Formålet med Forprosjekt for PKI i helsenett har vært å legge til rette for sikker autentisering og identifisering av parter i elektronisk samhandling, og sikker informasjonsoverføring i helsenett, basert på bruk av elektronisk signatur og kryptering. Prosjektet skulle klarlegge hvilke krav som må stilles til elektroniske signaturer ved ulike former for informasjonsutveksling i helsenett, og hvordan arbeidet med sertifikatutstedelse og andre tiltrodde tredjepartstjenester kan organiseres i helsevesenet. Denne rapporten er forprosjektets sluttrapport og dokumenterer arbeidsgruppens resultater og anbefalinger for et hovedprosjekt for etablering av PKI i nasjonalt helsenett. Utgangspunktet for arbeidet har vært å konkretisere og klassifisere helsevesenets behov for og krav til elektronisk signatur i ulike sammenhenger: - for intern bruk i den enkelte virksomhet, f.eks. for signering av nedtegnelser i journal - for samhandling mellom virksomheter: meldingsutveksling, e-post mm. - for samhandling mellom helsepersonell og pasient - for nettbasert tilgang til journalsystemer og lignende (for eksempel for ambulerende helsepersonell) - på lengre sikt: for å gi pasienten tilgang til egen journalinformasjon og evt. for å ivareta samtykkefunksjon - behov for sertifikater for nettverksinfrastruktur Ut fra denne behovoversikten har arbeidsgruppen utarbeidet anbefalinger for sertifikattyper med utgangspunkt i de fire sertifikattypene i Uten penn og blekk, vurdert sikkerhetsbehov for de ulike bruksområdene og skissert mulige alternativer for organisering av PKI-tjenester i helsenett. Til slutt skisseres en anbefalt strategi for etablering og utbredelse av PKI og PKI-baserte løsninger. 1.1 Prosjektets organisering Prosjektet har vært organisert som et prosjekt under Program for Nasjonalt Helsenett etablert av sosial- og helsedepartementet. Styringsgruppe for prosjektet har vært Haakon Brænden, Inger Elisabeth Kvaase og Alfred Ehrenclou (alle representerte SHD). Prosjektleder har også møtt i styringsgruppen. Prosjektets arbeidsgruppe har hatt en bred teknisk, organisatorisk og juridisk kompetanse og har bestått av: Prosjektleder: Bjarte Aksnes, KITH Prosjektdeltakere: Eva Henriksen, NST
Eva Skipenes, NST Svein Burkeland, RTV Elisabeth Sunde, RTV Finn Pedersen, Statens helsetilsyn Per Haugum, Statens autorisasjonskontor for helsepersonell Inger Elisabeth Kvaase, SHD (nå Sosial- og helsedirektoratet) Tor Olav Grøtan, KITH Arnstein Vestad, KITH KITH har fylt sekretariatrollen og sammenfattet sluttrapporten. Katarina de Brisis har vært referanseperson for prosjektet. Det har også vært kontakt med Datatilsynet og IT-avdelingen ved Haukeland sykehus. 1.2 Oppsummering av konklusjoner Arbeidsgruppen har vurderte PKI-behovene for en rekke typer kommunikasjon som foregår eller vil foregå elektronisk i helse- og sosialsektoren i framtiden. Ved hjelp av innspill fra NST, KITH, SHD og RTV har vi særlig sett på: Hvilken type informasjon som overføres Behovene for PKI-løsninger og funksjonalitet som signering, ikkebenekting, integritetssikring, konfidensialitet osv. Hvilke sikkerhetsnivå og tillitsnivå løsningene trenger Bruksområdene kan i hovedsak i deles inn i tre hovedgrupper: Kommunikasjon innen forvaltningen, f.eks. mellom helseforetakene og førstelinjetjenesten, mellom foretakene og RTV. Eksempler på kommunikasjon er henvisning, epikrise, røntgen/lab.svar, sykemeldinger osv. Kommunikasjon mellom forvaltningen og forbrukermarkedet, f.eks. timebestilling hos primærhelsetjenesten, kommunikasjon med fastlege osv. Kommunikasjon mellom forvaltningen og næringsliv, f.eks. resept, røntgen/labsvar til private aktører, innrapportering til RTV osv. Hovedkonklusjonen fra kartleggingsarbeidet er at det eksisterer en rekke kommunikasjonsbehov som kan muliggjøres, forenkles eller gjøres sikrere ved bruk av PKI-baserte tjenester i helse- og sosialsektoren. For de ulike bruksområdene har arbeidsgruppen vurdert behovene for sikkerhetsfunksjonalitet og på hvilket sikkerhetsnivå løsningene bør ligge. Med utgangspunkt i sikkerhetsnivåene i utredningen Uten penn og blekk (NOU 2000:10) er det foreslått tre sikkerhetsprofiler, høy, medium og lav, som dekker ulike sikkerhetsbehov og krav. I hovedsak konkluderes det med at de fleste kritiske anvendelser i helsesektoren kan benytte sikkerhetsprofil medium som bygger på kvalifiserte sertifikater, men ikke stiller krav til sikker signaturframstillingsenhet. I de tilfeller hvor det er behov for automatisk rettsvirkning av signaturen bør sikkerhetsnivå 3 benyttes. For enkelte anvendelser kan nivå 1 benyttes hvis risikoanalyser tilsier det. 5
Utredningen Uten penn og blekk beskriver fire hovedtyper sertifikater: Virksomhetssertifikater, ansattsertifikater, profesjonssertifikater og offentlig personsertifikat. Innen helsevesenet ser arbeidsgruppen primært behov for to hovedgrupper sertifikater: Virksomhetssertifikater som identifiserer organisasjoner og avdelinger og kan benyttes til autentisering av disse, signering og kryptering på vegne av virksomheten, autentisering av tjenester i nett osv. Personlige sertifikater, dvs. sertifikater som identifiserer enkeltpersoner. De ulike typene er offentlige personsertifikat, ansattsertifikat og profesjonssertifikat. Særlig vil offentlig personsertifikat være aktuelt for kommunikasjon med pasienter, og profesjonssertifikater for signering og autentisering av helsepersonell der det er særlig behov for å knytte signaturen til enkeltpersoner. Ansattertifikater vurderes ikke nødvendig. Virksomhetssertifikater og personlige sertifikater vil i stor grad benyttes i kombinasjon med katalogtjenester (se definisjoner s. ) og andre databaser for å gi tilgang til informasjon som ikke egner seg for å legge inn i sertifikatene, særlig informasjon som endres ofte. Rapporten konkluderer med at det ikke vil være behov for egne løsninger for helsevesenet for bruk og utstedelse av virksomhetssertifikater og offentlig personsertifikat. Bruk av profesjonssertifikat for helsepersonell vil kreve at det opprettes en egen ordning for dette. Det foreslås at hvis det tas et sentralt initiativ for dette, må statens autorisasjonskontor for helsepersonell ha en sentral rolle for å ivareta registreringsfunksjonen. For profesjonssertifikater foreslås det at sertifikatene skal inneholde minst mulig informasjon utenom det som er nødvendig for å gjøre oppslag i katalogtjenester, dette for å unngå at informasjonen i sertifikatet blir uaktuell. Det skisseres også en PKI basert på egne sertifikatautoriteter innenfor helsenettet, en løsning som kan være anvendbar for flere formål som ikke stiller særskilt høye sikkerhetskrav. 6
Kapittel 2 Definisjoner For flere definisjoner se vedlegg 4 i Uten penn og blekk. Autorisering 1. en person med en spesiell autorisasjon går god for innholdet. 2. Å godkjenne at en aktør får tilgang til informasjon eller til å utføre spesielle handlinger. Autentisering det å kunne verifisere en påstått identitet Avansert elektronisk signatur Fra lov om elektronisk signatur: en elektronisk signatur som a) er entydig knyttet til undertegneren, b) kan identifisere undertegneren, c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering Digital signatur en elektronisk signatur basert på bruk av et offentlig/privat nøkkelpar som kan benyttes til å autentisere avsender eller den som signerer et dokument og sikre at innholdet i meldingen er uendret. Elektronisk signatur data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner (fra Lov om elektronisk signatur) Helsenett - en sikkert elektronisk infrastruktur som knytter sammen ulike helsevirksomheter og andre godkjente parter. Med sikkert forstås det er trafikken inn og ut av nettverket, samt mellom de ulike aktørene, er begrenset og kontrollert. Det er også lagt vekt på garantert tilgjengelighet og oppetid for nettverket. Katalogtjeneste en tjeneste som gjør det mulig å få tilgang til felles innformasjon i et informasjonsnettverk, som epost-adresser, sertifikater, meldingsformater mm. Konfidensialitet at informasjon ikke gjøres tilgjengelig for uautoriserte Kryptering forvrenging av innhold, slik at det bare kan leses av mottaker (ved bruk av PKI gir også kryptering autentisering av mottaker) Kvalifisert elektronisk signatur en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem (f.eks. enkelte typer smartkortløsninger) Kvalifisert sertifikat: et sertifikat som fyller kravene definert i lov om elektronisk signatur, utstedt av en utsteder som fyller kravene i samme lov. Dette betyr at sertifikatet er utstedt av en aktør som er underlagt tilsyn og krav til informasjonssikkerhet i virksomheten. 7
Ikke-benekting knytning av innhold til avsender, slik at denne i ettertid ikke kan nekte for å stå bak det, typisk at avsender av en melding ikke kan benekte ekteheten av en digital signatur på meldingen. Integritet at ikke innholdet kan endres på en uautorisert måte uten at det oppdages PKI Public Key Infrastructure (norsk: offentlig nøkkelinfrastruktur) En infrastruktur som understøtter sikker kommunikasjon over usikre medier vha. et par offentlige og private nøkler som er ervervet og delt gjennom en tiltrodd tredjepart. En PKI består normalt av (se også figuren): En sertifiseringsautoritet (SA) som utsteder og verifiserer digitale sertifikater En registreringsautoritet (RA) som verifiserer opplysninger som skal inngå i et sertifikat før det utstedes Katalogtjenester som tilgjengeliggjør sertifikatene Endesystemer som gjør bruk av sertifikatene for ulike sikkerhetstjenester (f.eks. kryptering, autentisering, ikke-benekting/signering) TTP-tjenester Endesystem Registrerings- Sertifikatautoriteautoritet PKI Katalog Katalogoppslag revokeringssjekk Sikret kommunikasjon Endesystem Figur 1- Generell oversikt over PKI-tjenester Pseudonymisering å erstatte personidentifiserbare data med et pseudonym, som gjør det mulig å følge hver enkelt person gjennom systemet uten at identiteten røpes. Revokering mulighet for å trekke tilbake sertifikater før utløpstiden. 8
Sertifikat et sertifikat gir en knytning mellom en offentlig nøkkel og identiteten til eieren av den tilhørende private nøkkelen. Tiltrodd tredjepart (TTP) En TTP er en virksomhet som yter en eller flere sikkerhetstjenester og som de kommuniserende partene har tiltro til. 9
Kapittel 3 Oversikt over helsevesenets behov for PKI PKI vil kunne benyttes i en rekke sammenhenger i helsevesenet for å for å dekke sikkerhetsbehov for konfidensialitet, integritet, ikke-benekting eller autentisitet. Det følgende kapittelet kartlegger noen områder og bruksmåter som synes aktuelle og som kan tjene som bakgrunn for valg av sikkerhetsnivå og for å fastslå hvilke typer sertifikater helsevesenet vil ha behov for. Oversikten fokuserer på de viktigste anvendelsene vi ser for oss i dag. Arbeidsgruppen har tatt utgangspunkt i en modell som deler anvendelsene inn i 3 ulike markeder, nemlig offentlige forvaltning (government), privat næringsliv (business) og forbrukermarkedet (consumers), samt grenseflatene mellom disse markedene (se figuren). Vi vil i dette prosjektet ha hovedfokus på de anvendelsene som har tilknytning til offentlige forvaltning (og helseforetakene), inkludert kommunikasjon med både forbrukermarkedet og privat næringsliv. Samme inndeling er også benyttet i en samordningsgruppen for Digital signatur/pki i forvaltningen som har fungert under ledelse av Arbeids- og administrasjonsdepartementet høsten 2001. Anvendelsene av PKI i helsevesenet kan deles inn i følgende 3 hovedområder, med noen eksempler fra hvert område (se også figur 2): Innen offentlig forvaltning/helsevesen(g2g): f.eks. henvisning, epikrise, labsvar, journaler, legeregninger, poliklinikkoppgjør (POLK) Mellom offentlig forvaltning/helsevesen og forbrukermarkedet (G2C): f.eks. timebestilling, prøvesvar, innkallinger, kommunikasjon med fastlege, egenjournal, bestilling av skjema E.111, kommunikasjon med folketrygdenssaksebehandler Mellom offentlig forvaltning og næringsliv (G2B): f.eks. resept, røntgen/labsvar fra private aktører, innkjøp (e-handel), innrapportering til arbeidstaker- og arbeidsgiverregisteret (AA-veven), elektronisk innsending av sykemeldinger 10
G2G G2C G2B B C Figur 2 - Behov for PKI i helsevesenet Behovet for og kravene som må stilles til bruk av PKI-løsninger for ulike kommunikasjonsløsninger i helsevesenet påvirkes av en rekke ulike faktorer som tilgang til teknisk utstyr, kompetanse samt økonomiske og menneskelige ressurser. En viktig faktor for hvilke løsninger som vil være aktuelle for utbredelse på kort sikt vil være størrelsen på de virksomhetene som inngår i kommunikasjonen og hvor like de ulike virksomhetene som skal kommunisere er i sine valg av organisasjonsstruktur, tekniske løsninger samt organisasjonens mulighet for å legge rammebetingelser for de virksomheter den kommuniserer med. For hvert enkelt område har arbeidsgruppen sett på en rekke ulike aspekter knyttet til kommunikasjonen: - Hvilken type informasjon er det snakk om? - Hvilket behov ser vi for PKI-løsninger? Er det nødvendig? Evt. hvorfor? - Hva trenger vi PKI til i denne sammenheng? Signering, autentisering og/eller kryptering? Hva er viktigst av disse? - Hvilket sikkerhetsnivå er det behov for? - Er det behov for å signere det som sendes eller det som mottas, eller begge deler? - Hvilken rolle har signaturen? Autoriserende, for å bekrefte integritet, ivareta ikke-benektning? Er det krav om signatur på tilsvarende dokument i papirversjon? - Hva er behovet for sertifikater? Skal det benyttes smartkort eller tilsvarende? Vi har laget en figur (figur 3) som gir en overordnet oversikt over en del sentrale kommunikasjonsbehov der det kan være aktuelt å benytte PKI-løsninger i helsevesenet. Pilene illustrerer sikret kommunikasjon som går mellom de ulike 11
aktørene. Vi vil siden diskutere hvert av behovene. Figuren dekker de viktigste behovene vi har sett på. RTV POLK Sykehus 1 Sykehus 2 Legeoppgjør Primærlege 1 Primærlege 1 Henvisning/ epikrise Resept Pasientjournal Primærlege 1 Apotek Primærlege 1 Labsvar Laboratorium Figur 3 - Generell oversikt over noen kommunikasjonstyper med behov for PKI-løsninger 3.1 Epikriser og henvisninger Henvisninger benyttes normalt når pasienter overføres fra en behandlingsenhet til en annen, f.eks. fra en allmennlege til enten poliklinikk, spesialist eller for innleggelse ved sykehus. Henvisningen inneholder normalt informasjon om de funn den henvisende instansen har gjort og hvorfor henvisning er ønskelig. I og med at det er innført fritt sykehusvalg kan en pasient i prinsippet henvises til et hvilket som helst sykehus, og dette tilsier at løsningene må være i stand til å sende henvisninger til en rekke aktører. En Epikrise er et utskrivingsnatat (rapport om sykehusoppholdet eller undersøkelsen), som skrives når en pasients kontakt med en instans i helsevesenet avsluttes, f.eks. ved utskrivelse fra sykehus, og inneholder informasjon om resultatet av undersøkelser, hvilken behandling som er gjennomgått, anbefalt behandlingsopplegg og behov for oppfølging. Epikrise og henvisning er derfor tett relatert og sikkerhetsbehovene i stor grad like. Informasjonen som overføres er personsensitiv, og det er derfor i henhold til personopplysningsloven behov for kryptering av informasjonen.. Når elektroniske epikriser er fullt utbredt vil enkelte sykehus sende ut hundrevis av epikriser hver dag til en lang rekke mottakere, både primærleger, sykehjem og andre institusjoner. Elektroniske henvisninger vil også benyttes av en rekke brukere, særlig som resultat av innføringen av fritt sykehusvalg. En slik løsning vil forutsette en PKIarkitektur som gjør tilgjengelig offentlig nøkkelmateriale for alle brukergruppene, både for kryptering, autentisering og digital signatur. 12
Informasjonen i epikrisen er et sluttdokument som stadfester hvilken behandling pasienten har gjennomgått under oppholdet/behandlingsperioden og må derfor være kvalitetssikret og signert av utskrivende lege i pasientjournalen. Henvisningen omfatter informasjon som vil ligge til grunn for videre undersøkelser. Slik informasjon forutsetter en form for autentisering og integritetssikring for å garantere at informasjonen stammer fra riktig avsender. I og med at sporbarhet ift. hvem som har skrevet epikrisen/henvisningen ivaretas av pasientjournalen, vil det være mindre behov for at meldinger som inneholder epikriser eller henvisninger er ikke-benektbare. Ut fra dette bør det ikke være nødvendig med kvalifiserte elektroniske signaturer for henvisning og epikrise og heller ikke sertifikater på smartkort, og nivå 2 burde dermed være tilstrekkelig. 3.2 Elektroniske resepter Elektroniske resepter vil sendes både av primærleger, spesialister og leger på sykehus. Hvilke løsninger som vil benyttes for å implementere elektroniske resepter er ennå uklart, både meldingsbaserte løsninger og løsninger basert på web-teknologi er aktuelle kandidater. Det som skiller overføring av resepter fra en rekke andre kommunikasjonsbehov er særlig at pasienten tradisjonelt har brakt med seg sin resept og i ettertid selv valgt hvilket apotek resepten skal benyttes på. Apoteker er private aktører som opererer i et konkurranseutsatt marked hvor pasienten er kunden og kan fritt velge hvilket apotek han vil benytte ut fra en rekke årsaker som geografisk plassering, pris, service og kundepleie. Hvis pasienten reiser eller skifte bosted har papirresepten også gjort det mulig å få tilfredsstilt medisinbehovene uavhengig av hvor pasienten befinner seg. Dette medfører at elektroniske resepter som baserer seg på at et gitt apotek velges mens pasienten befinner seg på legekontoret vil kunne føles lite fleksibelt. Resepter kommuniserer at en gitt pasient er vurdert til å ha et medisinsk behov som tilsier at han skal ha tilgang til medisiner som ikke er tilgjengelig for fritt salg, til dels også sterkt vanedannende legemidler. Vurderingen er utført av en lege som er gitt forskrivningsrett av det offentlige og innebærer et juridisk forpliktende ansvar for legen ift. god legeskikk og en medisinsk forsvarlig avgjørelse. Resepten skal inneholde både legens nummer i helsepersonellregisteret samt legens signatur. Dette innebærer en sterk føring for at underskriften på en elektronisk resept må være juridisk bindende. I påvente av sikre løsninger for elektroniske resepter har Statens Helsetilsyn hittil likestilt elektroniske resepter med resepter som overføres pr. telefaks. Dette innebærer rent praktisk bla. at kun en begrenset mengde legemidler kan forskrives på denne måten og at repeterende resepter ikke kan benyttes. Siden resepter kan gi tilgang til legemidler som er både sterkt vanedannende og ettertraktede på det illegale markedet øker risikoen knyttet til at elektroniske resepter blir forsøkt forfalsket. Det bør derfor stilles særskilt sterke krav til sikkerhetsløsningene knyttet til slike resepter, dersom reseptene skal kunne benyttes ved forskrivning av legemidler av klasse A (narkotiske midler). For elektroniske resepter i klasse A bør det stilles krav om en ikke-benektbar signatur, m.a. for å kunne avsløre forsøk på forfalskning. I dag benytter legene en egen reseptblokk med nummererte resepter for slike medikamenter, og omfanget av A- resepter er relativt lite i forhold til B-resepter. En praktisk løsning kan derfor være 13
at man fortsatt benytter papirresepter for A-resepter inntil det foreligger elektroniske løsninger som kan gi kvalifiserte signaturer. For B-resepter vil risikoen for forfalskning være noe mindre, men absolutt tilstede. Det bør derfor benyttes en elektronisk signatur som gir mulighet for ikkebenekting, men den automatiske rettsvirkningen vil ikke være så vesentlig. En løsning på sikkerhetsnivå 2 bør dermed være tilstrekkelig for B-resepter. 3.3 Elektroniske laboratoriesvar Det største bruksområdet for elektronisk dataoverføring i helsevesenet har til nå vært overføring av laboratoriesvar (fra kliniske kjemiske laboratorier og mikrobiologiske lab-er). Labsvar omfatter bl.a. at svar på prøver som er analysert på et laboratorium overføres til primærleger eller til pasientsystemer på sykehusene. Laboratoriene kan være både private aktører eller avdelinger på sykehus. Siden labsvar kan inneholde sensitive personopplysninger er kryptering en nødvendig sikkerhetstjeneste hvis meldingen går utenfor egen virksomhet, f.eks. for labsvar som sendes til primærleger. Elektroniske labsvar har tradisjonelt ikke blitt signert med avansert elektronisk signatur. Til nå er det i hovedsak benyttet symmetrisk kryptering med DESalgoritmen, noe som til en viss grad kan gi opphavsautentisering. Ved overgang til kryptering med asymmetriske algoritmer vil det derfor være behov for avanserte elektroniske signaturer for å gi samme grad av opphavsautentisering og sikring av integritet. Labsvar leveres av laboratorier og ikke individuelle ansatte ved laboratoriene. Individuelle ansatte kan ha det formelle ansvaret for kvaliteten på den prosessen som leder til et labsvar, men det bør ikke være nødvendig med en kvalifiserte elektroniske signatur for labsvar. Labsvarene bør kunne behandles mest mulig automatisk for å tilfredstille behovet for hurtig og effektiv behandling. Dette betyr at det er ønskelig med software-baserte sertifikater for signatur, hvilket tilsvarer sikkerhetsnivå 2. Sertifikatene bør være knyttet til organisasjonen eller enheten som er ansvarlig for labsvarene, dvs. virksomhetssertifikater. 3.4 Overføring av journal I tilknytning til fastlegereformen har elektronisk overføring av pasientjournaler mellom primærleger fått økende aktualitet. Når en pasient skifter fastlege skal pasienten kunne bringe med seg sin journal til den nye legen. Pr. i dag foregår dette i stor grad ved at journalen skrives ut, men det eksisterer også en forenklet meldingsstandard som beskriver hvordan denne informasjonen kan overføres elektronisk. Overføring av en hel pasientjournal vil kunne innebære at en meget stor mengde sensitive opplysninger knyttet til en enkelt person skal transporteres, enten pr. diskett eller over et nettverk. I begge tilfeller bør kryptering anbefales og i det siste tilfellet påkreves. Overføring av pasientjournaler vil foregå fra en rekke primærleger og til en rekke ulike primærleger, og løsninger basert på PKI vil derfor være meget aktuelle. 14
Siden denne type overføring kun foregår i spesielle situasjoner, initiert av den enkelte pasient, er sikkerhetsaspektene tilgjengelighet og integritet marginalt viktige ift. sikringen av konfidensialitet. Dette medfører bl.a. at behovet for avanserte elektroniske signaturer vil være mindre. Dette gjelder særlig hvis overføringen foregår pr. diskett da den fysiske kontrollen med disketten vil være tilstrekkelig. For overføring over nettverk, f.eks. med e-post vil behovet være større, men ikke avgjørende for om slik overføring kan aksepteres. Risikoen knyttet til at noen skulle slette en pasientjournal under transport og sende en annen journal som erstatning virker lav og sannsynligheten for at noe slikt oppdages er høy, f.eks. ved at det ankommer to ulike pasientjournaler til legen eller at journalen ikke inneholder opplysninger som den skulle inneholde. Selv om den foregående diskusjonen tyder på at behovet for avansert signatur er lite vil en løsning med PKI-basert kryptering medføre at den nødvendige infrastrukturen for signaturer på tilsvarende sikkerhetsnivå er tilstede. Siden bruken av signaturer vil gi en viss økning i sikkerhetsnivået vil det derfor være naturlig å ta i bruk en slik løsning. Ift. behovet for sporbarhet og ikke-benekting for innholdet i journalen stiller lovverket 1 allerede krav om at leger (i dette tilfellet legen som avleverer journalen sin) skal oppbevare journaler i et visst antall år og det vil derfor være mulig å sammenligne mottatt journal med originalen. Det synes derfor ikke nødvendig med smartkort-baserte løsninger for overføring av pasientjournaler. 3.5 Annen elektronisk kommunikasjon mellom helsepersonell En utstrakt bruk av PKI vil generelt gi en sikrere elektronisk kommunikasjon mellom helsepersonell. I tillegg til den formaliserte kommunikasjonen i form av strukturerte meldinger som overføres mellom aktører i helsevesenet (f.eks. labsvar og epikriser), vil kommunikasjonen også kunne innebære multimedia kommunikasjon mellom helsepersonell over video, e-post eller web. Denne typen kommunikasjon kan grupperes slik: - Fjernkonsultasjon: I stedet for at pasienten reiser til spesialisten (eller omvendt), foretas konsultasjonen ved hjelp av elektronisk kommunikasjon. I slike tilfeller er det oftest spesialisten som er behandlingsansvarlig. Pasienten møter opp på sitt lokale legekontor/helsesenter, legen eller annet helsepersonell foretar undersøkelsen og gjør de nødvendige målinger, og resultatene formidles til spesialisten i den andre enden. Det som overføres er multimedia-informasjon i form av tekst, lyd, stillbilder, video. Lyd og bilde kan også stamme fra medisinske måleapparater (ultralyd, røntgen, EKG, elektronisk stetoskop, spirometer, endoskop, etc). Kommunikasjonen kan være videobasert, web-basert eller e-post-basert. - Fjernvisitt er en variant av fjernkonsultasjon: Pasienten kan være innlagt på et lokalt sykehus eller helsesenter, mens det er spesialist/legeteam på et sentralt sykehus som har ansvaret for og overvåkningen av pasienten. Fjernvisitt er oftest videobasert, mens måleresultatene kan overføres som tilleggsdata ved siden av. Dialyseprosjektet mellom Tromsø og et par sykehus i Finnmark er eksempel på denne typen kommunikasjon. 1 Lov om helsepersonell og Journalforskriften 15
- Kollegakonsultasjon, second opinion og faglig veiledning fra andre helsearbeidere gjøres ofte uten pasient til stede, og pasientopplysningene kan i mange tilfeller være anonymisert. Dette skiller seg fra fjernkonsultasjon ved at det er den legen/helsearbeideren som har behandlingsansvar som spør om og får råd fra andre helsearbeidere. Denne typen kommunikasjon kan være videobasert, web-basert eller e-post-basert. - Diskusjonsgrupper for ulike problemstillinger eller ulike kategorier av helsepersonell kan være web-basert eller e-post-basert. Pasientopplysningene er vanligvis anonymisert. Diskusjonsgrupper kan også benyttes for kollegakonsultasjon og faglig veiledning. Graden av konfidensialitet og behovet for kryptering er avhengig av om personinformasjon er knyttet til helseopplysningene, dvs om pasientene kan identifiseres. I alle disse tilfellene vil autentisering være viktig. Digital signatur vil i første rekke være et middel for å oppnå integritet og ikke-benektning. Denne kommunikasjonen omfatter normalt ikke formelle dokumenter som krever en juridisk bindende elektronisk signatur av nivå 3. PKI-behovene for denne typen kommunikasjon kan oppsummeres slik: Fjernkonsultasjon: - Autentisering av begge parter i kommunikasjonen er nødvendig. - Kryptering for å ivareta konfidensialitet, fordi helseopplysningene vil være relatert til identifiserte personer. - Digital signatur for å oppnå integritet, spesielt for informasjonen som overføres til spesialisten. Hvis spesialisten gir svar tilbake med råd om behandling, vil digital signatur av informasjonen fra spesialisten være nødvendig for å sikre ikke-benektning. Fjernvisitt: - Ved videobasert kommunikasjon vil PKI-basert autentisering ikke være nødvendig, fordi partene ser hverandre og kan identifisere hverandre gjennom bilde og tale. - Kryptering av kommunikasjonen for å ivareta konfidensialitet, spesielt ved IP-basert video. Kollegakonsultasjon: - Autentisering av begge parter i kommunikasjonen er nødvendig. - Digital signatur for å oppnå integritet og ikke-benektning. Det siste er spesielt viktig hvis det gis råd om behandling. - Dersom informasjonen er anonymisert, er konfidensialitet og behovet for kryptering ikke av betydning. Men dersom en pasient blir identifisert, vil det være sterkt behov for kryptering. Diskusjonsfora: - Autentisering av hver part som kopler seg til diskusjonen er nødvendig. Kun de som er innmeldt i gruppen skal gis tilgang, dvs at det bør finnes en tilgangskontroll-mekanisme i tillegg til autentiseringen. 16
- Det som kommuniseres vil vanligvis ikke være av en slik art at det er behov for å oppnå integritet og ikke-benektning ved hjelp av digital signatur. - Pasientinformasjonen vil vanligvis være anonymisert, konfidensialitet og behovet for kryptering vil dermed ikke være av betydning. Dersom det er et sterkt krav om at det som kommuniseres skal holdes innenfor den aktuelle diskusjonsgruppa, kan tilgangskontroll suppleres med kryptering. 3.6 Melding til sentrale helseregistre Lov om helseregistre 2 nevner følgende sentrale personregistre som kan ha data om enkeltpersoner og personidentifiserende kjennetegn: Dødsårsaksregistret (melding sendes via kommunelegen) Kreftregisteret Medisinsk fødselsregister Meldesystemet for infeksjonssykdommer Det sentrale tuberkuloseregisteret System for vaksinasjonskontroll (SYSVAK). Meldinger til disse registrene inneholder sensitive personopplysninger som må krypteres ved elektronisk overføring. Både helsepersonell og virksomheten som sådan kan pålegges meldeplikt (med hjemmel i forskrift til helseregisterloven). I utgangspunktet er det helsepersonellet som har ansvaret for å nedtegne opplysningene som er pålagt meldeplikt, mens den virksomheten som vedkommende er ansatt i plikter å sørge for at helsepersonellet kan oppfylle meldeplikten på en sikker måte. Helsepersonellet som melder må være trygg på at helseopplysningene ikke kommer på avveie og ikke kommer uvedkommende i hende. Det kan tenkes ulike elektroniske meldingsrutiner: enkelthendelser utløser meldinger som går enkeltvis direkte fra journalsystemet: f.eks. slik at behandlingsansvarlig lege signerer og sender meldingen når journalnedtegnelsen signeres meldinger samles opp og sendes samlet over en periode (som er det vanlige i dag) fra et ekspedisjonssted. Det kan f.eks. skje ved at det pasientadministrative systemet henter meldingene fra journalsystemet, og videresender til registret. Meldingen til Meldesystemet for smittsomme sykdommer skal skje fortløpende. Melderutiner og systemer på sykehus/andre avgivere må organiseres slik at administrativt personale og helsepersonell som ikke er direkte involvert i behandlingen av pasienten ikke får innsyn i mer informasjon enn det de skal ha. Internt i virksomheten kan dette løses gjennom soneinndeling og aksesskontrollsystemer uten kryptering. 2 Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) 2001 17
Det er trolig mest praktisk og sikkert at enkelthendelser meldes. Meldinger til Dødsårsaksregistret skal sendes via kommunelegen, som kontrollerer skjema, og eventuelt innhenter tilleggsopplysninger hvis skjema ikke er fullstendig utfylt. Enkelte virksomheter kan finne det formålstjenlig å samle opp en viss type meldinger og sende dem samlet, f.eks. hver måned. Vi er litt usikker på hva en vil tjene ved en slik fremgangsmåte, og hva ulike rutiner krever av systemene. Sikkerhetsbehov: Signering: alle journalnedtegnelser skal signeres av behandlingsansvarlig lege. Det stilles ingen formelle krav til signaturløsning. Opplysningene i meldingen er å betegne som en journalnedtegnelse. I forslag til forskrift til Dødsårsaksregisteret stilles det krav om at meldingen skal signeres. Det stilles ingen formelle krav til signaturløsning. Det er ikke stilt et slikt krav i forskriftsutkastene til Kreftregisteret og Medisinsk fødselsregister. Ikke benekting: Hovedkilde for dokumentasjon/sporbarhet (ikke benekting) vil være journal. Kryptering: Alle personidentifiserbare meldinger må krypteres ved overføring Autentisering: Det er behov for sikker identifisering av avsender av meldingen. Dette kan evt. være på virksomhetsnivå (hvis ikke behandlingsansvarlig signerer og sender direkte). Den som evt. signerer på vegne av virksomheten går da god for at innholdet er signert av behandlingsansvarlig. Integritet: beskjedent behov (liten interesse for forfalskning/forvrengning av meldingsinnhold til register) 3.7 Kommunikasjon mellom primærhelsetjenesten, sykehus og pleie- og omsorgssektoren (PO-tjenestene) Denne kommunikasjonen går mellom hjemmetjenestens sonekontor (f.eks. ute i en bydel) og det tilhørende primærlegekontoret eller legevakt. Det som kommuniseres kan være: - henvendelser, f.eks. rapportering om endret tilstand for en pasient; bestilling av legetime - forespørsler, f.eks. spørsmål om en bestemt pasients behandling - meldinger, f.eks. om endring av medisinering - epikriser fra spesialstlegekontorer og sykehus til PO-tjenesten Dette er uformell kommunikasjon som i dag vanligvis gjøres via telefon til primærlegen. Legen man skal ha fatt i er ikke alltid like lett tilgjengelig, slik at det fra hjemmetjenestens side er ønskelig å erstatte dagens telefonkommunikasjon med bruk av e-post. I tillegg til denne mer uformelle kommunikasjonen går det en mer formalisert kommunikasjon mellom hjemmetjenesten og sykehus i forbindelse med utskriving av pasienter, f.eks. informasjon til hjemmetjenesten om behov for oppfølging og ev. behov for hjelpemidler i hjemmet. Behovet for PKI er relatert til autentisering, signering og kryptering: 18
- Autentisering av virksomheten (hjemmetjenesten, legesenteret) anses som det viktigste. I de fleste tilfellene er det nok å vite at spørsmålene og svarene på disse virkelig kommer ifra hjemmetjenesten og legesenteret, henholdsvis, og ikke ifra utenforstående. Bruk av virksomhetssertifikat vil være tilstrekkelig for å oppnå dette. Det er stor gjennomtrekk av personale, spesielt i hjemmetjenesten, noe som kan gjøre det uhensiktsmessig å basere seg på personsertifikater for de ansatte. - I noen tilfeller er det ønskelig å bruke digital signatur for å oppnå ikkebenektning. Et eksempel kan være melding fra primærlegen om ny medisinering. Da er det en fordel å vite nøyaktig hvem som har godkjent en melding om ny medisinering. I dag skal det gå skriftlig beskjed fra legekontoret til hjemmetjenesten om ny medisinering, men av og til gjøres dette først muntlig over telefon. Hvis det oppstår tilfeller av feildosering, kan det være juridisk usikkert om det var legen som sa feil eller om det var hjemmesykepleier som husket feil eller doserte feil. For å få til slik ikkebenektning er det nødvendig med bruk av personlig signatur og sertifikat fra primærlegens side. Ved bruk av digital signatur oppnås også integritet, men dersom dette er den eneste hensikten vil det være tilstrekkelig at det er virksomhetens signatur og sertifikat som brukes. - Kryptering er nødvendig for å bevare konfidensialiteten til informasjonen i meldingene som overføres. Meldingene vil inneholde sensitive opplysninger som f.eks. beskrivelse av oppførsel til psykiatriske pasienter, og bør derfor sikres godt. Krypteringen trenger ikke nødvendigvis å være PKIbasert, men hvis PKI likevel er tatt i bruk, kan det brukes til dette også. En stor fordel med å bruke PKI-basert kryptering er at det letter utvekslingen av krypteringsnøkler. For dette formål er det virksomhetens krypteringsnøkler og sertifikat som bør brukes. Det er viktig for tilgjengeligheten (muligheten til dekryptering) når en ev. spesifisert mottaker ikke er tilstede. For de formål som er beskrevet her anses det ikke nødvendig at pasientene har egne PKI-sertifikater. Smartkort for hjemmetjenestens brukere vil i mange tilfeller ikke fungere så godt. Pasientene er i varierende grad i stand til å ta vare på eller bruke nye medier, og kan ha lite interesse for og/eller ønske om å ta slike løsninger i bruk. Men også hjemmetjenesten ser for seg muligheten for at pasienter/pårørende kan kontakte dem via e-post. Hjemmetjenesten har da behov for at den som henvendelsen kommer fra blir autentisert. Behovene og problemstillingene omkring dette vil falle sammen med det som beskrives i neste avsnitt. 3.8 Kommunikasjon mellom primærhelsetjenesten og pasienter Dette omfatter ulike retninger for kommunikasjon: - Enveis kommunikasjon fra pasient til primærlege (fastlege) - Enveis kommunikasjon fra primærlege (fastlege) til pasient - Toveis kommunikasjon mellom lege og pasient 19
En spesiell type kommunikasjon i denne kategorien er - Gruppekommunikasjon med flere pasienter samtidig For pasientene vil bruk av PKI-løsninger for disse typene kommunikasjon forutsette at pasienten har et personsertifikat. For primærhelsetjenesten kan det i mange tilfeller være tilstrekkelig med et sertifikat for virksomheten, men vi ser også behov for personlig sertifikat for den enkelte lege. 3.8.1 Fra pasient til primærlege Informasjonen som kommuniseres kan være ganske forskjellig: - Uformell kontakt som f.eks. timebestilling, ønske om reseptfornyelse, ønske om utvidelse av sykemelding. Dette er den typen henvendelser som pasienten i dag vanligvis gjør via telefon. - Egenrapportering av tilstand, etter avtale med primærlegen. - Måleresultater i framtida kan man se for seg automatisk overvåkning fra kroppsbårne instrumenter også hos hjemmeværende pasienter. Behovet for PKI er relatert til autentisering av pasient og lege, signering og kryptering: - Autentisering av mottaker er nødvendig, pasienten bør være sikker på at meldingen går til riktig lege, i alle fall til riktig legekontor. Autentisering av avsender (pasienten) er mindre viktig. - Hensikten med bruk av digital signatur vil i første rekke være integritet, å verifisere at innholdet er uendret. Dette kan være viktig for de to siste typene bruk dersom egenrapportering eller måleresultater skal være grunnlag for videre behandling. Måleresultater kan være både kritiske og sensitive, og en god sikkerhetsstruktur er nødvendig for å unngå feilsendinger og misforståelser. - Kryptering er nødvendig for å bevare konfidensialiteten til informasjonen som overføres. Informasjonen som pasienten sender vil til en viss grad være sensitiv, men her kan man tenke seg at det er opp til pasienten selv å avgjøre behovet for kryptering. 3.8.2 Fra primærlege til pasient Informasjonen som kommuniseres kan være: - Innkalling til behandling - Utsendelse av prøvesvar - Utskrift av journal Dette er informasjon som i dag vanligvis sendes som brev i posten. Behovet for PKI er relatert til autentisering av lege og pasient, signering og kryptering: - Autentisering av mottaker er nødvendig, legen bør være sikker på at informasjonen går til riktig pasient. På avsendersiden kan det være tilstrekkelig at virksomheten (legesenteret) autentiseres. 20
- En viktig hensikt med bruk av digital signatur vil her være integritet, å verifisere at innholdet er uendret. Dette er spesielt viktig for de to siste typene informasjon: prøvesvar og journalutskrift. Integritet kan oppnås ved å bruke virksomhetens (legesenterets) signatur og sertifikat. - Kryptering er nødvendig for å bevare konfidensialiteten til informasjonen i meldingene som overføres. I denne kommunikasjonen er helsevesenet ansvarlig for den sensitive informasjonen som overføres, og kryptering er påkrevd. 3.8.3 Toveis kommunikasjon lege - pasient Informasjonen som kommuniseres er av typen nettbasert konsultasjon/behandling. Denne kommunikasjonen kan f.eks. være web-basert (f.eks nettdoktor ). Oppfølging og dialog er en viktig del av denne typen informasjon. Behovet for PKI er relatert til autentisering av begge parter, signering og kryptering: - Gjensidig autentisering av begge parter er viktig i dette tilfellet. Pasienten må vite akkurat hvilken lege han er i kontakt med, og legen må være sikker på at han behandler riktig pasient. Det er derfor behov for personlige sertifikater på begge sider. - Fra legens side må digital signatur benyttes for å oppnå ikke-benektning, og dette må være legens personlige signatur. Ved denne signeringen vil det samtidig oppnås integritet for informasjonen som overføres. Integritet kan også være viktig for den informasjonen som går tilbake til legen fra pasienten. - Det er sensitiv informasjon som overføres, og kryptering er derfor nødvendig for å bevare konfidensialiteten. 3.8.4 Mellom flere pasienter Denne typen kommunikasjon omfatter samtalegrupper/diskusjonsgrupper som bl.a. kan finnes innen psykisk helsevern. Dette kan være åpne grupper eller lukkede, enten med eller uten representanter fra helsevesenet. I denne rapporten vil vi forutsette at gruppene har med representant fra helsevesenet og at de ikke er åpne for enhver. Et spesielt sikkerhetsbehov i denne sammenheng er behovet for anonymisering eller pseudonymisering av deltakerne. Mange vil nekte å delta i slike grupper med sin rette identitet. Dette behovet kan i første omgang synes å være i konflikt med bruk av PKI der verifisering av identitet er en kjernefunksjonalitet. Bruk av PKI kan likevel relateres spesielt til autentisering, dvs til verifisering av identiteten til gruppen (ev. nettstedet ) og gruppedeltakere. - Autentisering av gruppen og gruppedeltakerne er nødvendig, både når det gjelder helsepersonell og de anonyme deltakerne. Selv om pasientene deltar under pseudonym, må man være sikker på at bare de registrerte deltakerne er med, ingen utenforstående. Dette kan kanskje innebære at man bruker personsertifikat som er utstedt til pseudonym? 21
For denne typen kommunikasjon ser man ikke behov for bruk av digital signatur for oppnå ikke-benektning eller til å verifisere integriteten til informasjon som formidles fra den enkelte deltaker. Heller ikke behovet for kryptering er framtredende dersom anonymiseringen fungerer. 3.8.5 Spesielle hensyn ved bruk av PKI for pasienter En PKI-løsning som er fungerer godt for helsevesenet fungerer ikke nødvendigvis like godt for pasientene. Pasientene er en enda mindre homogen gruppe enn helsepersonellet er, og løsningene som velges må være tilfredsstillende for mange ulike typer brukere. Spesielt må følgende ivaretas: - Maskinuavhengighet det må velges løsninger som kan benyttes på det utstyret pasienten allerede har hjemme, dvs. et vidt spekter av utstyr - Brukervennlighet løsningene må være enkle å ta i bruk for mange ulike grupper av pasienter - Vedlikehold og support løsningene må praktisk talt være vedlikeholdsfrie på pasientens side Hvem som skal foreta tildeling av personsertifikater til pasienter er et annet viktig punkt som må avklares, dvs hvem som skal inneha RA-funksjonaliteten med identifisering av de pasientene som skal få sertifikat. Svaret på dette vil bl.a. avhenge av hvor stor pasientgruppen er. Hvis de pasientene som det skal utstedes sertifikat til er en begrenset gruppe, f.eks. alle pasientene for et bestemt legesenter, kan man tenke seg at den aktuelle delen av helsevesenet (her: legesenteret) ivaretar RA-rollen. Dersom sertifikatene derimot skal utstedes til oss alle (potensielle pasienter), bør det benyttes løsninger som tilbys fritt i markedet, f.eks. i form av offentlige personsertifikater. 3.9 Nettbasert tilgang til journalinformasjon Nettbasert tilgang til journalinformasjon innebærer at spesifisert autorisert helsepersonell gis tilgang til å lese informasjon som for en gitt pasient allerede finnes hos andre virksomheter i helsevesenet, dvs at informasjonen, hele eller utvalgte deler av den, gjøres tilgjengelig 3 for spesifisert helsepersonell i andre virksomheter. En PKI-løsning for nettbasert tilgang til journalinformasjon vil måtte dekke ulike behov: - Ved nettbasert tilgang til journalinformasjon er autentisering en viktig forutsetning. Det gjelder både autentisering av den person (lege, ev. pasient) som ønsker å aksessere journalelementet, og av den server der informasjonen er gjort tilgjengelig Autentisering av den som ønsker aksess er en nødvendighet for å sikre at den som får tilgang til pasientens informasjon virkelig har blitt autorisert for (dvs. blitt innvilget tilgang til) den gitte informasjonen. 3 I følge lovverket må det å gjøre slik informasjon tilgjengelig være en bevisst handling i forståelse med pasienten (gjort med pasientens samtykke). Det er ikke tillatt å hente ut informasjon på annen måte. 22
- For å ivareta konfidensialitet er det behov for kryptering når informasjon overføres. Bruk av PKI-basert kryptering har en klar fordel ved at det letter utvekslingen av krypteringsnøkler. Det kan synes tilstrekkelig at det er virksomhetenes krypteringsnøkler og sertifikat som brukes, men for å ivareta kravet om autorisasjon, det at den (legen) som får tilgang til informasjon er den som har blitt innvilget slik tilgang, kan det være at dennes personlige sertifikat må benyttes. Det er også en rekke andre hensyn og problemstillinger som kommer fram i forbindelse med nettbasert tilgang til journalinformasjon: - Pasienten må gi sitt samtykke til at informasjonen gjøres tilgjengelig. Dette skal være et såkalt informert samtykke, dvs at samtykket er avgitt på bakgrunn av tilstrekkelig informasjon. Den som ber om et samtykke har også ansvar for å forvisse seg om at informasjonen faktisk er oppfattet og forstått. - Det er behov for en blålysfunksjon for å sikre at manglende sertifikat ikke hindrer helsehjelp. Noe som primært er et anliggende for aksesskontrollsystemet) Enhver bruk av blålysfunksjon må imidlertid logges/dokumenteres og rapporteres - Helsepersonellets rolle eller relasjon til pasienten (som kan være tidsbegrenset) vil være av betydning for om det gis tilgang til journalinformasjonen. o o o Helsepersonell skal ikke ha generell tilgang til informasjon om enhver pasient. En lege skal f.eks. ikke kunne lese enhver pasientjournal bare fordi han er lege, og skal heller ikke ha tilgang til tidligere pasienters journaler dersom han ikke lenger har et behandleransvar for vedkommende Ulike kategorier av helsepersonell (ulike roller) skal ha tilgang til ulike typer informasjon: hjelpepleier trenger f.eks. ikke den samme informasjon som legen trenger Helsepersonell skal bare ha tilgang til den nødvendige informasjonen, dvs de skal ikke se/lese informasjon som er irrelevant for det aktuelle kasus. Helsepersonellets taushetsplikt vil alltid være grunnlaget for avgjørelsen om det skal gis tilgang til pasientens journalinformasjon. Det er den som gir slik tilgang som må forvisse seg om at den annen part har rett til og behov for tilgang. Nettbasert tilgang til journalinformasjon vil i første rekke være noe som foregår mellom virksomheter internt i helsenettet. Hjemmetjenesten kan også være en slik virksomhet. Når det gjelder å gi pasienten selv tilgang til egen journalinformasjon, så kan dette enten gjøres ved å gi pasienten tilgang fra en maskin som befinner seg i helsenettet (f.eks. på sykehuset eller legekontoret), eller ved å gi pasienten tilgang fra sin personlige hjemme-pc. Det siste vil være en langt større sikkerhetsmessig og teknisk utfordring enn det første. 23