Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13, 20. mars 2014
Agenda Informasjonsdeling Identitets- og tilgangsstyring PKI-basert eid Profesjonell og privat bruk av eid
Behov Mer effektiv informasjonsdeling på tvers av virksomhetsgrenser i helse- og omsorgssektoren Nåsituasjon Helseopplysninger utleveres elektronisk på tvers av virksomhetsgrenser i helse- og omsorgssektoren Målbilde Elektronisk tilgang til helseopplysninger med sporbarhet på tvers av virksomheter i helse- og omsorgssektoren
Nåsituasjon Målbilde for identitets- og tilgangsstyring Sikkerhetsinfrastruktur (Felleskomponenter for helse- og omsorgsektoren)
Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren Sikkerhetsinfrastrukturen er selve grunnmuren for elektronisk samhandling og en forutsetning for en enkel og sikker tilgang til helseopplysninger i IT-systemer på tvers av virksomheter i helse- og omsorgssektoren. Tilgangskontroll på tvers 1. Identitetshåndtering PKI-basert eid 2. Autorisasjonsinformasjon Tilgangsregler og informasjonsgrunnlag for tilgangskontroll 3. Innebygd personvern for innbygger logganalyse IKT-infrastrukturer
Komponenter for identitets- og tilgangsstyring
PKI - organisering og etablering Leveranse modell Profesjonell og privat bruk av eid Identitets forvaltning PKI-basert eid Behov Anvendelse Etablere CAkomponent Nasjonal/ internasjonal krav 1. Behov og anvendelse Elektronisk tilgang til informasjon og sporbarhet på tvers av virksomheter i helse- og omsorgssektoren. Organisatorisk endringsevne og mobilitet Avansert signatur Sporbarhet 2. Nasjonale og internasjonale krav esignaturloven, eforvaltningsforskriften, Selvdeklareringsforskriften, PKI kravspesifikasjon og rammeverket EU forordningen for eid og tillitstjenester 3. Etablere CA komponent Organisering av CA, daglig ledelse, infosikkerhet Sertifikatpolicyer og avtaleverk eid produksjonsapparat Tillitsmodeller 4. Identitetsforvaltning Registrering og sertifikatforespørsel Utstedelse Publisering Innhold i sertifikatet etc 5. Leveransemodell Etablere PKI under offentlig eierskap Kjøp av PKI i markedet Kombinasjon av kjøp i markedet og etablering av egen PKI 6. Profesjonell og privat bruk av eid
Profesjonell og privat bruk av eid Behov Juridiske forhold eforvaltningsforskriften esignaturloven Personopplysningsloven Arbeidsgivers styringsrett og ansvarsforhold Omdømme Relasjoner Personvern Overvåkning Tekniske forhold Tilbakekalling Lukket nettverk Drift
Føringer for 2014 Statsbudsjett, S.prp 1 (2013-2014), kap 720 «For å ivareta krav til informasjonssikkerhet skal det utredes å etablere en nasjonal sikkerhetsinfrastruktur for identifisering av helsepersonell. Utredningen skal omfatte ansattes ansvarsområder og autorisasjoner slik at tilgang til helseopplysninger kun gis de som har tjenstlig behov for det. Videre skal det vurderes løsninger for samtykke, reservasjon, sperring og fullmakter for innbyggerne.» Sykehustalen 6 jan 2014, IKT Bent Høie «Løsninger for sikker identifisering av helsepersonell og loggføring av oppslag skal sikre at vi har god kontroll over hvem som har hatt tilgang til våre helseopplysninger.» Tildelingsbrev fra Helse- og omsorgsdepartementet «Helsedirektoratet skal utrede og foreslå løsninger for en nasjonal sikkerhetsinfrastruktur for identifisering av helsepersonell, som underlag for å sikre at tilgang til helseopplysninger kun gis de som har tjenstlig behov for det»