SITH Sikre og tiltrodde telematikktjenester

SITH Sikre og tiltrodde telematikktjenester i helsesektoren T T P Du er syk! Dr. Iversen Overordnet modell og funksjonsbeskrivelse NFR-prosjekt 111492/320 KITH R 4/97 ISBN 82-7846-034-5

Overordnet modell og funksjonsbeskrivelse Sammendrag Hovedmålet for SITH-prosjektet er "å beskrive, realisere, demonstrere og evaluere en sikker teknisk infrastruktur og endebruker sikkerhetsløsninger for elektronisk kommunikasjon og utveksling av dokumenter, meldinger og post (EDI, epost og telemedisin) i helsesektoren. Prosjektet skal videre få demonstrert og validert infrastrukturen og løsningene i praktisk, virkelig bruk ved sykehus, legekontor og apotek. Prosjektet skal ta i bruk moderne kryptografiske teknikker og sikkerhetstjenester i nett på en brukervennlig og hensiktsmessig måte, samtidig som det skal sikres at løsningene kan virke sammen på nasjonal og, på sikt, på europeisk basis." Innledningsvis (kapittel 1) beskriver vi en del utfordringer og trender som gir rammer for bruk av informasjons- og kommunikasjonsteknologi i helsesektoren. Vi beskriver sikkerhetsaspekter knyttet til tema som EDI, epost, telemedisin, digitale signaturer, kryptering, tiltrodde tredjepartstjenester og helsepersonellkort. I kapittel 2 gir vi en overordnet funksjonsbeskrivelse for de anvendelsene SITH-prosjektet benytter som demonstratorer; elektronisk overføring av resepter fra legekontor til apotek, røntgenhenvisninger og -svar til/fra sykehus og legekontor og utveksling av elektronisk post mellom sak/arkivsystemer på et sykehus og i en bydelshelsetjeneste. I kapittel 3 følger en overordnet teknisk beskrivelse av tjenester som er nødvendig for å etablere sikre og tiltrodde telematikktjenester i helsesektoren. Tjenester for sikker kommunikasjon deles inn i basistjenester, infrastrukturtjenester og verdiøkende tjenester. Vi tar for oss ulike tiltrodde tredjepartstjenester (TTPtjenester), samt roller som må ivaretas for å få etablert en sikker infrastruktur. Til slutt beskriver vi et scenario som inkluderer bruk av lokale sikkerhetsløsninger og TTP-tjenester.

Tittel Overordnet modell og funksjonsbeskrivelse Versjon 1.0 Forfatter(e) Emneord Prosjekt Oppdragsgiver Tilgjengelighet Kenneth R. Iversen og Bjarte Aksnes Informasjonssikkerhet, EDI, epost, TTP-tjenester NFR-SITH Norges forskningsråd Åpen Antall sider 33 KITH-rapport R 4/97 ISBN 82-7846-034-5 Dato 22.02.97 Ansvarlig signatur Bjørn Engum Direktør

Forord Sikre og tiltrodde telematikktjenester i helsesektoren (SITH) er et prosjekt innen Forskningsrådets program for Medisin og Helse. Målet er å beskrive, realisere, demonstrere og evaluere tiltrodde, hensiktsmessige og brukervennlige sikkerhetstjenester ved bruk av EDI, Epost og Telemedisin innen helsesektoren. SITH startet 1.2.96 og skal etter planen avsluttes 1.10.97. KITH står for prosjektledelsen. Denne rapporten skal gi en bakgrunn og motivasjon for prosjektet, samt gi en overordnet modell og funksjonsbeskrivelse for noen av de anvendelsene som skal demonstreres gjennom SITH-prosjektet; elektronisk reseptoverføring, røntgenhenvisning og -svar, samt elektronisk post via et lokalt sak/arkivsystem. Partnerne i prosjektet er KITH, Telenor, EDI-partner, MaXware, Ullevål sykehus, Aker sykehus, Lege Kjell Maartmann-Moe og Grünerløkkens apotek. Prosjektet finansieres med halvparten i støtte fra Forskningsrådet og den andre halvparten dekkes av egne midler fra partnerne. KITH ved sjefskonsulent Kenneth R. Iversen og konsulent Bjarte Aksnes har stått for utarbeidelsen av denne rapporten. Prosjektpartnerne og seniorkonsulent Tor Olav Grøtan, KITH, har medvirket med kvalitetskontroll av rapporten. i

Innhold INNLEDNING 1 Økende informasjonsflyt økende utfordringer 1 Dokumentutveksling EDI og epost 2 Telemedisin 4 Sikkerhetsaspekter ved dokumentutveksling 5 Papirbaserte dokumenter 5 Elektroniske dokumenter 6 Telemedisin 7 Digitale signaturer 8 Kryptering 8 Tiltrodde tredjepartstjenester 9 Tilkoplings- og endesystemsikkerhet 10 Helsepersonellkort 11 SITH-prosjektets målsetting 11 OVERORDNET FUNKSJONSBESKRIVELSE 13 Resept (EDI) 13 Reseptutsteder (legekontor) 13 Apotek 14 Røntgenhenvisninger og -svar (EDI) 16 Legekontor (sending av røntgenhenvisning) 16 Sykehus (mottak av røntgenhenvisning) 16 Sykehus (sending av røntgensvar) 17 Legekontor (mottak av røntgensvar) 18 Elektronisk post og sak/arkivsystemer 18 OVERORDNET TEKNISK BESKRIVELSE 21 Sikre telematikktjenester i helsesektoren 21 Tjenester for sikker kommunikasjon 22 Tiltrodde tredjeparter og roller 23 Sertifikathåndtering 23 Scenario: Tiltrodde tredjeparter 25 Teknisk beskrivelse av endebrukersystemene 26 BIBLIOGRAFI 27 SCENARIO LEGEBESØK 28 DEFINISJONER OG FORKLARINGER 31 ii

OVERORDNET MODELL OG FUNKSJONSBESKRIVELSE Innledning Kapittel 1 Ulike virksomheter i helsesektoren tar i økende grad i bruk informasjons- og kommunikasjonsteknologi. Dette skjer i hovedsak som følge av en løpende utvikling i måten å organisere og drive helsetjenestene på, i tråd med politiske målsettinger og føringer om effektivisering og økt kvalitet i helsetjenestene. Men det er også klart at teknologiutviklingens "megatrender" påvirker og styrer utviklingen i helsesektoren i betydelig grad. Uansett, det er grunnleggende viktig at teknologien til en hver tid tas i bruk på en måte som ivaretar overordnede mål, krav og hensyn på en best mulig og bevisst avveid måte. SITHprosjektet vil, med utgangspunkt i å beskrive, realisere, demonstrere og evaluere sikre og brukervennlige tekniske løsninger, søke å gi et bidrag til en slik utvikling. Økende informasjonsflyt økende utfordringer Helsesektoren er svært informasjonsintensiv. Foruten selve pasientbehandlingen, er behandling og kommunikasjon av pasientinformasjon kjernen i den store og komplekse organisasjonen som helsesektoren utgjør. Faktisk forbrukes det i helseinstitusjoner mer tid til å håndtere informasjon enn det går med til å ha direkte kontakt med pasienter 1. Økt samarbeid og styring innen helsesektoren 2 vil kreve økt innsamling, behandling og ikke minst utveksling av bl.a pasientopplysninger. Her bringer informasjonsteknologien betydelige muligheter for økt rasjonalisering og bedre kvalitet i helsetjenestene, men også alvorlige trusler knyttet til sårbarhet og personvern. Utviklingen kan bremse opp Det er åpenbart at skal denne utviklingen få fortsette, må det etableres bred tillit til at de IT-løsninger som tas i bruk ivaretar et sterkt pasientvern 3, samtidig som de skal bidra til et mer hensiktsmessig og effektivt helsevesen. Det er fare for at Datatilsynet eller helsemyndighetene selv kan komme til å bremse en mer omfattende utnyttelse av ny teknologi hvis ikke denne tilliten 1 En undersøkelse fra Fyns amt i Danmark fra 1995 viser at over 50 % av arbeidstiden ved sykehusene i amtet går med til informasjonsbehandling mens direkte pasientkontakt utgjør under 30 %. 2 Bl.a som følge av politiske føringer gitt i Stortingets innstilling Innst.S.nr. 165, Om samarbeid og styring Mål og virkemidler for en bedre helsetjeneste. 3 Pasientvern benyttes som samlebegrep for pasientsikkerhet (rask og forsvarlig behandling), pasientrettigheter og personvern.

INNLEDNING etableres og opprettholdes. Sett i forhold til andre sektorer som satser betydelig på IT og nettverk, er det klart at helsevesenet vil være en hovedarenaen for utvikling og grensesetting innen innhenting, behandling og spredning av sensitiv informasjon, i forhold til politiske og faglig-etiske normer og målsettinger. Dette er en utfordring helsesektoren selv må ta hovedansvaret for å møte. Her ligger det betydelige utfordringer i å etablere og vedlikeholde tekniske sikkerhetsløsninger og -tjenester som skal bidra til å gi teknologien den nødvendige tillit. Også de organisatoriske aspektene knyttet til dette byr på betydelige utfordringer. Helsesektoren har gjennom de siste 4-5 år satset betydelig på å få realisert ulike former for elektronisk kommunikasjon av pasientrelatert helseinformasjon, både i form av meldingsbasert kommunikasjon (EDI/epost) og telemedisinske anvendelser, jfr bl.a Regionalt helsenettverk, NorTelemedprosjektet (telemedisin) og RTVs ulike EDI-prosjekter, jfr Figur 1. Figur 1 Noen av dagens kommunikasjonsløsninger Lokalsykehus EDI Regionsykehus Epost Spesialister Telemedisin Nettverkstjenester EDI RTV EDI Epost EDI Primærleger Apotek Internett og intranett Internettjenester er på vei inn også i helsesektoren, både i form av direkte Internettilgang eller ved å integrere tjenestene inn i virksomhetenes interne nettverk (intranettløsninger), eller begge deler. Internett representerer den hittil største sikkerhetsmessige utfordringen for tilstrekkelig sikring av helseinstitusjoners informasjonssystemer og personvernet. Denne utfordringen har både KITH og andre aktører innen sektoren tatt opp og arbeider i dag med å finne tilfredsstillende løsninger. Dokumentutveksling EDI og epost Informasjon har innen helsesektoren tradisjonelt blitt utvekslet i form av (papir-) dokumenter 4. Pasientjournaler, henvisninger, prøvesvar, epikriser og resepter er alle eksempler på formelle dokumenter. Dette er dokumenter som fungerer som "hukommelse" for det enkelte helsepersonell (journalen) eller som kommunikasjonsmiddel mellom helsepersonell. Det er dog viktig å merke seg at disse dokumentene også er juridiske dokumenter. De representerer bl.a en historikk av hendelser relatert til pasientbehandlingen som pasienten eller domstolene kan kreve innsyn i, f.eks i forbindelse med klage- 4 Så og si alltid i form av forhåndstrykte skjema eller blanketter. 2

INNLEDNING saker og rettssaker. Et annet viktig poeng er at de aller fleste dokumenter som inneholder pasientinformasjon er å betrakte som svært sensitive. Sikring av konfidensialitet, kvalitet, integritet og tilgjengelighet Disse forholdene avstedkommer et behov for å beskytte dokumentene. Dokumentene må sikres for å hindre at personer som ikke har en legitim rett til å få innsyn i dem ikke får det (sikre konfidensialitet ivareta personvernet). Videre må det sikres at opplysningene er relevante, korrekte og oppdaterte (sikre kvalitet) og ikke er endret eller slettet på måter som ikke er tillatt (sikre integritet). Til slutt må det sikres god tilgjengelighet til dokumentene, slik at vitale opplysninger kan nås raskt ved legitime behov. Tradisjonelt har helsesektoren ivaretatt denne beskyttelsen godt. Men som nevnt ovenfor, er utfordringene i dag store, og vi ser i dag et økende antall eksempler på at konfidensialitet, kvalitet/integritet og tilgjengelighet blir for dårlig ivaretatt. EDI Standardiseringsprogrammet Det er fortsatt papirdokumentene som dominerer i helsesektoren. Men i løpet av de siste årene har elektronisk datautveksling (EDI 5 ) blir tatt i bruk på stadig flere områder. I dag overfører f.eks de fleste sykehusene en stor del sine klinisk-kjemiske laboratoriesvar til primærlegene ved hjelp av EDI 6. Gjennom Sosial- og helsedepartementets "standardiseringsprogram for informasjonsutveksling i helsesektoren" (Standardiseringsprogrammet) er det i dag utviklet eller under utvikling standarder for en rekke elektroniske dokumenter for bruk i helse- og trygdesektoren, som resepter, laboratoriehenvisninger og -svar for klinisk kjemi, mikrobiologi og røntgen, sykemeldinger, legeregningsoppgjør og epikriser. EDI formidler strukturerte data mellom dataprogrammer, f.eks mellom et laboratoriesystem på sykehuslaboratoriet og primærlegens EDBjournalsystem. EDI-meldinger er av en slik art at data i meldingene kan "tolkes" og integreres i det mottakende EDB-systemet. Når det ikke er noen form for dataintegrasjon mellom avsender- og mottakersystemet snakker vi ikke lenger om EDI, men om elektronisk post. Epost Meldingskommunikasjon som ikke er EDI, defineres som elektronisk post (epost). Epost omfatter således både utveksling av strukturerte/formaterte dokumenter, f.eks tekstbehandlingsdokumenter, og ustrukturerte/uformaterte meldinger av typen fritekst. Felles for disse (og i motsetning til EDI) er at det er mennesker som står for fortolkningen av innholdet, og at datainnholdet ikke er integrert direkte i EDB-systemene hos avsender og mottaker. Det er videre grunn til å skille mellom formell og uformell epost. Formell epost er knyttet til "offisielle" funksjoner i virksomheten. Det bør være et krav at all utveksling av pasientopplysninger med epost skal defineres som formell epost. Videre bør det være et krav om at all formell epost, både hos avsender og mottaker, registreres og arkiveres, og (på sikt automatisk) som 5 EDI = Electronic Data Interchange, elektronisk maskin-til-maskin-kommunikasjon. 6 I størrelsesorden 1 million prøvesvar formidles elektronisk mellom sykehuslaboratorier og primærleger i Norge i 1996. 3

INNLEDNING dokumenter integreres med lokale sak-/arkivsystemer, pasientjournalsystemer el.l. (Hovedpoenget er legalitet, forsvarlighet og etterrettelighet.) Uformell epost (dvs alt som ikke er formell epost) bør kunne benyttes friere, bl.a uten formelle krav til utveksling eller arkivering. (Jfr dog beskrivelse av sikkerhetsaspekter lenger bak i dette kapitlet.) Epost er ikke spesielt utbredt i helsesektoren ennå; kun internt på store sykehus er dette tatt i bruk i større omfang. De fleste fylkeskommuner og sykehus har dog innføring av epost på planen. En større innføring "henger" på at få sykehus pr i dag har søkt om dispensasjon fra Datatilsynets regelverk 7 for å kunne benytte epost både for ikke-sensitive og sensitive dokumenter eksternt. Haukeland sykehus har nylig fått dispensasjon 8 til å kople sitt interne sykehusnett til Internett via en brannmur og herunder utveksle epost med eksterne. KITH har gjennom Standardiseringsprogrammet 9 etablert et pilotprosjekt for å utvikle og prøve ut sikkerhetskonsepter og -løsninger for X.400-basert epost i sykehus for utveksling av både sensitiv og ikke-sensitiv informasjon på en måte som både Datatilsynet og brukermiljøene kan akseptere 10. EDI og epost kan benytte de samme underliggende kommunikasjonstjenester. I Standardiseringsprogrammet er dette definert til å være meldingshåndteringssystemer basert på den internasjonale standarden X.400. Telemedisin Telemedisin er hovedsakelig en samlebetegnelse på medisinsk/klinisk orienterte tjenester som med bruk av teleteknologi kan realiseres selv om de involverte parter er geografisk adskilt. Når pasienter møter sin primærlege eller spesialist, har det normale vært at møtet skjer ansikt til ansikt eller at spesialistens øye er ca 20 cm fra munnen til pasienten når denne gaper og sier "aaaaaa". Telemedisin muliggjør en situasjoner hvor pasienten som sier "aaaaaa" befinner seg på et legekontor på Hitra, mens spesialisten befinner seg på Regionsykehuset i Trondheim. 7 Dispensasjon fra Datatilsynets "Sikkerhetsregulering av delte EDB-systemer", hvor kravet i utgangspunktet er at sensitive registre skal føres i dedikerte EDB-systemer uten tilkopling til eksterne nett med uvedkommende brukere. 8 Haukeland sykehus fikk først avslag fra Datatilsynet, men klaget over vedtaket til Justisdepartementet og fikk der medhold i klagen, d.v.s fikk dispensasjon til å knytte sitt interne sykehusnett til Internett via en brannmurløsning. 9 Arbeidsgruppe 6 Informasjonssikkerhet 10 Prosjektet skal være ferdig i løpet av 1.kvartal 1997. 4

INNLEDNING Figur 2 Noen telemedisinske tjenester [EnFr94] Telemedisin omfatter bl.a fjernkonsultasjon, fjerndiagnose og kompetanseoverføringstjenester. I motsetning til meldings- og dokumentutveksling er telemedisinske tjenester i dag i hovedsak direktekoplete tjenester i den forstand at aktørene i "begge ender av linjen" må være til stede samtidig for at tjenesten skal realiseres. Telemedisin går "off-line" Problemstillinger knyttet bl.a til organisering av arbeidet for f.eks spesialister på sykehus som ofte involveres i telemedisinske tjenester mot ulike lokalsykehus eller primærleger, peker dog i retning av at også flere av de tjenestene som i dag er realisert som direktekoplete tjenester etterhvert omlegges til tjenester som er indirekte koplet, d.v.s en meldingsbasert telemedisin hvor spesialisten mottar lyd/bilde/video/tekstmeldinger (d.v.s multimediameldinger) og kan behandle disse forskjøvet i tid i.h.t egen arbeidsplan. Sikkerhetsaspekter ved dokumentutveksling Papirbaserte dokumenter I "papirverdenen" er dokumenter med pasientinformasjon som skal sendes, normalt påført, gjerne påtrykt, hvem som er avsender (f.eks den ansvarlige legens navn eller både legens og vedkommende institusjons navn). Dokumentene blir også normalt signert av den ansvarlige legen; i noen tilfeller er dette påkrevet i regelverket 11, mens det normalt ikke er påkrevet, men likevel er etablert som fast praksis. Når dokumentene skal sendes legges de i konvolutt med mottakers adresse. Et unntak fra dette er papirresepter som vanligvis utlevers til pasienten som bringer den til apoteket. Signaturfunksjoner Signaturer påført dokumenter, gjerne sammen med påtrykt navn el.l, tjener flere (delvis overlappende) funksjoner [NoED94]. Signaturen (evt sammen med påtrykket): identifiserer dokumentutstederen og knytter utstederen til dokumentet 11 Et eksempel er Forskrift om rekvirering og utlevering av legemidler fra apotek. Her kreves det i 11 at reseptutstederen egenhendig signerer reseptblanketten. 5

INNLEDNING har en bevisfunksjon i forbindelse med en evt domstolsak, klagesak el.l hvor dokumentet blir trukket inn 12 godtgjør at innholdet virkelig er det som vedkommendes underskrift er ment å være knyttet til (samt også f.eks at innholdet er medisinskfaglig godkjent) har en symbolfunksjon, f.eks for å understreke alvoret av en handling har en avslutningsfunksjon som innebærer at en prosess som har løpt forut for signeringen er bekreftet avsluttet. Signaturer og påtrykk påført dokumenter med pasientrelatert informasjon bekrefter og avslutter således en medisinsk prosess og knytter utstederen til denne prosessen og det medisinsk-faglige innholdet i dokumentet. En mottaker av et signert dokument vil også oppfatte et dokument med signatur som uendret om ikke andre forhold eksplisitt skulle tilsi noe annet. Bruk av fargetrykk og blått blekk til underskrifter gjør også mottaker i stand til å bekrefte om et dokument er en original eller en kopi. Sikring av konfidensialitet Tilgjengelighet Når dokumenter legges i lukkede konvolutter med mottakers navn og adresse tjener dette til å sikre konfidensialiteten til dokumentinnholdet. Den lukkede konvolutten sikrer til en viss grad mot innsyn av uvedkommende som måtte få konvolutten i hende. Videre bidrar angivelsen av mottaker utenpå konvolutten til ytterligere sikkerhet om at det kun er den legitime mottakeren som åpner konvolutten og leser innholdet i dokumentet. At mottakers navn og adresse er (korrekt) angitt, evt sammen med avsenders navn og adresse, bidrar også til å sikre at dokumenter som sendes ikke forsvinner og går tapt, men kommer fram til mottaker i løpet av normal tid. Videre kan dokumenter som overføres lagres/arkiveres både hos avsender (kopi) og mottaker slik at forsendelsen og dokumentinnholdet kan verifiseres i ettertid. Elektroniske dokumenter Når dokumenter genereres og oversendes elektronisk ved bruk av EDI og Epost blir forholdene i utgangspunktet (uten konkrete sikringstiltak) ganske annerledes. Det er ikke mulig å påføre underskrifter i tradisjonell forstand. Det er således ikke mulig å knytte avsender til dokumentet og dokumentinnholdet i samme grad. Det er heller ikke mulig å avgjøre om dokumentinnholdet er endret under oversendelsen, heller ikke om dokumentet er en original eller en kopi. For øvrig synes egenskapene å være sammenlignbare med papirdokumenter. Når så f.eks elektroniske resepter genereres og overføres med EDI uten særskilte sikringstiltak, slik situasjonen f.eks er med elektronisk reseptover- 12 F.eks sier Legelovens 19 at en resept kan kreves framlagt for Sosial- og helsedepartementet i evt saker knyttet til tilbakekall av legelisens eller i en klagesak. 6

INNLEDNING føring i Danmark 13, er dette å sammenligne med å skrive ut resepter med blyant på postkort uten å påføre signatur. Kryptografi Det er derfor åpenbart at særskilte sikringstiltak er påkrevet, noe som i dag bl.a løses ved bruk av bruk av kryptografi 14 til digitale signaturer og elektroniske konvolutter (kryptering) sammen med sikkerhetstjenester i de elektroniske nettverkene. Dette kommer vi tilbake til nedenfor og utover i rapporten. Telemedisin Medisinske konsultasjoner mellom pasient og primærlege eller spesialist foregår tradisjonelt i lukkede rom hvor dialogen er beskyttet mot overhøring av uvedkommende. Så lenge primærlegen ikke blir for opptatt av PC-en er det heler ikke noe i veien med "tilgjengeligheten", d.v.s konsultasjonen pågår uavbrutt. Telemedisin Ved bruk av telemedisin stiller dette seg annerledes. Dialogen mellom pasient, primærlege og spesialist kommuniseres over i utgangspunktet åpne nettverk med til dels betydelig avstand mellom (typisk) spesialist på den ene siden og pasient og primærlege på den andre siden. Dette åpner for muligheter for at uvedkommende kan "spille av" dialogen (som kan bestå av både tekst, lyd, bilde og video), samtidig som nettverkskomponenter kan svikte og skape avbrudd og utilgjengelighet. Når det gjelder andre forhold som identifisering, mulighet for endringer o.s.v som er relevant for dokumentutveksling, er dette ikke aktuelle problemstillinger ved telemedisin basert på direktekoplete kommunikasjonstjenester; kommunikasjonen pågår i utgangspunktet "live". Multimedia kommunikasjon Som nevnt, er det derimot mange anvendelser av telemedisin i dag og flere etterhvert som vil basere seg på indirekte kommunikasjon. Dette bringer anvendelsene over til å være basert på multimedia-meldingskommunikasjon. Forsendelse av multimedia-dokumenter skiller seg ikke vesentlig sikkerhetsmessig fra den typen elektronisk dokumentutveksling som omtalt ovenfor, bortsett fra at den ikke har noen papiranalogi. De samme sikkerhetstiltakene må til for å sikre denne dokumentutvekslingen som all annen dokumentutveksling, noe vi skal ta opp igjen senere i en mer teknisk sammenheng. Digitale signaturer Det har lenge vært arbeidet med metoder og teknikker for å sikre elektroniske dokumenter på lik linje med, og helst bedre enn sin papiranalogi. Digi- 13 Det må nevnes at også danskene nå legger opp til å ta i bruk sikkerhetsmekanismer ved elektroniske reseptoverføringer. 14 Kryptografi er "fagområdet som omfatter prinsipper, teknikker og metoder for transformering av data i den hensikt å skjule informasjonsinnholdet, forhindre uautoriserte endringer og/eller forhindre uautorisert tilgang." ISO 7498-2 (Kryptografi krypto kommer av gresk kryptos "skjult" og grafi kommer av gresk graphein "skrive", altså skjult skrift.) 7

INNLEDNING tale signaturer er en type teknologi som tas i bruk i betydelig omfang som en elektronisk erstatning for den håndskrevne signaturen. Digitale signaturer kan i vår sammenheng defineres som "En kryptografisk transformasjon av et elektronisk dokument som legges ved dokumentet." En digital signatur tillater en mottaker av et signert dokument å verifisere innholdet i og opphavet til dokumentet. Signaturen sikrer også mot forfalskning av dokumentet både av mottaker og avsender. Signaturer sikrer også at avsender ikke kan benekte å ha sendt dokumentet eller innholdet i dokumentet. Således kan en tredjepart (f.eks en dommer) i ettertid entydig og ufravikelig knytte avsender til dokumentet og dets innhold og verifisere dokumentets ekthet. En digital signatur er basert på såkalt asymmetrisk kryptografi hvor avsender besitter to ulike kryptografiske nøkler. Den ene er privat for avsenderen og må holdes hemmelig av denne. Den andre er offentlig og kan spres til alle potensielle mottakere av signerte dokumenter fra denne avsenderen. Nøklene har den innbyrdes egenskap at ingen andre kan forfalske signaturer på vegne av avsenderen eller endre innholdet i dokumentet etter signeringen 15 så lenge hun har holdt den private nøkkelen hemmelig. Enhver mottaker som har avsenderens offentlige nøkkel kan, og kun med denne nøkkelen, verifisere at signaturen er gyldig og at dokumentet således virkelig ble signert av påstått avsender og ikke er endret etter avsendelse. For mer teknisk innsikt i digitale signaturer henviser vi til ref [NoED94] og annen litteratur. Kryptering Digitale signaturer sikrer ikke dokumentets konfidensialitet. Derimot finnes det helt tilsvarende kryptografiske teknologier som gjør oss i stand til å realisere elektroniske konvolutter, som selv ikke den skarpeste elektroniske brevkniv kan åpne om du da ikke er den som står som mottaker på konvolutten. Kryptering kan vi definere som "en kryptografisk transformasjon av data fra klartekst til tilsvarende kryptert tekst ved hjelp av en tilhørende kryptografisk nøkkel." Vi eksemplifiserer dette med en asymmetrisk krypteringsteknikk som er helt tilsvarende (men motsatt!) teknikken som ble anvendt for å generere digitale signaturer. I eksempelet over hadde vi to aktører: en avsender av et signert dokument og en mottaker av dokumentet. La oss kalle dem hhv Kjell og Unni. Anta nå at Unni skal sende et kryptert dokument til Kjell. Unni krypterer da dokumentet med Kjells offentlige nøkkel og sender det til Kjell. Kjell benytter sin private nøkkel til å dekryptere, d.v.s gjenskape det originale dokumentet i klartekst. På grunn av nøklenes egenskaper er Kjells nøkkel den eneste 15 Uten at dette oppdages av mottaker. 8

INNLEDNING som kan "åpne konvolutten" som Unni generert med Kjells offentlige nøkkel. Vi trenger også TTP-tjenester Disse to teknikkene vi her har beskrevet utgjør den innerste tekniske kjernen i de sikkerhetstjenester SITH-prosjektet skal realisere og demonstrere i praktisk bruk. Men når vi nå skal ta i bruk slike teknikker i større omfang, trenger vi også noe mer. Først av alt trenger vi brukervennlig teknologi som er integrert med det EDB-utstyr som helsepersonellet benytter til vanlig. Men, hvordan får Kjell, Unni og alle andre som arbeider i helse-norge tilgang til hverandres offentlige nøkler? Hvordan kan Unni være sikker på at det virkelig er Kjells offentlige nøkkel hun har fått tak i 16? For å løse opp i disse og andre problemstillinger, trenger vi sikre elektroniske tjenester som gir størst mulig grad av tiltro til at dokumenter og informasjon samlet sett er best mulig beskyttet under kommunikasjon i elektroniske nettverk. Slike sikkerhetstjenester kan best ivaretas av det vi kaller tiltrodde tredjepartstjenester (TTP-tjenester) i nettverket. Tiltrodde tredjepartstjenester Vi skal gå mer i dybden både teknisk og organisatorisk på denne typen sikkerhetstjenester i kommunikasjonsnettverk utover i denne rapporten og i andre sammenhenger. I denne omgang nøyer vi oss med en kort og overordnet (og derved noe upresis) beskrivelse. TTP-tjenester Tiltrodde tredjepartstjenester er et begrep som har tre deler: Tjenester, tredjepart og tiltrodd. Tjenestene det er snakk om skal primært sikre følgene forhold: At de offentlige nøkler som er i omløp entydig og sikkert er ekte, gyldige og knyttet til en enkelt identifisert person eller virksomhet og at dette kan verifiseres av den som mottar en offentlig nøkkel. At det på en enkel og sikker måte er mulig å få tak i en bestemt persons eller virksomhets offentlige nøkkel. At avsender og mottaker på en enkel og sikker måte kan verifisere hhv mottakers og avsenders autorisasjon i forhold til informasjonen som skal overføres. 17 Tredjepart I begrepet tredjepart ligger det at tjenestene tilbys av andre aktører i nettverket enn de to partene som utveksler dokumenter eller annen informasjon. 16 Som eksempel: Hvis Unni tror hun har Kjells offentlige nøkkel mens hun i virkeligheten har Edgars, kan Edgar få Unni til å akseptere dokumenter som om de var signert av Kjell, mens de altså i virkeligheten var sendt og signert (og derved forfalsket!) av Edgar. 17 Denne typen TTP-tjenester vil ikke bli demonstrert som en del av SITH-prosjektet. KITH arbeider med å få lagt til rette for at Helsetilsynet realiserer denne typen TTP-tjeneste som en del av den pågående omleggingen av Norsk helsepersonellregister (HPR). 9

INNLEDNING Tiltrodd Med tiltrodd mener vi at tjenestene som understøtter sikkerheten i det elektroniske nettverket, tilbys av uavhengige parter og på en slik måte at alle som benytter tjenestene kan ha tilstrekkelig tiltro til at alle aspekter ved sikkerheten av funksjonaliteten er ivaretatt i tråd med de krav som brukere, myndigheter og regelverk stiller. Se kapittel 3 og Vedlegg B for mer detaljerte beskrivelser av ulike typer TTP-tjenester. Tilkoplings- og endesystemsikkerhet Ut over sikkerhetsaspekter knyttet til selve kommunikasjonen og dokumentutvekslingen er det viktig å motvirke risikofaktorer som ved at en virksomhet kopler seg til eksterne, åpne nettverk. Risikofaktorene det her er snakk om er Utilsiktet utlevering av sensitiv informasjon til uvedkommende på det eksterne nettverket. F.eks bør det iverksettes administrative og tekniske tiltak som hindrer utlevering av sensitiv informasjon via uformell, usikret epost, filoverføring el.l Datadrevne angrep som f.eks innhenting av datavirus og annen "ondsinnet programvare". En økende trussel er i dag knyttet til makrovirus i tekstbehandlingssystemer. Direkte innbrudd som følge av at tilkoplingen til det åpne nettverket tillater eller er sårbar for direkte tilgang til interne nettverk og EDBsystemer. SITH-prosjektet vil på dette området tilpasse sine løsninger til de normkrav for EDI og epost som pr dato er under utarbeiding i et samarbeid mellom Datatilsynet, Helsetilsynet og Sosial- og helsedepartementet. Helsepersonellkort Som tidligere nevnt, skal brukere i helsesektoren merke minst mulig til mekanismene som sikrer at dokumentutvekslingen foregår på en betryggende måte, samtidig som de skal ha tiltro til at dette faktisk er tilfelle. Likevel, skal papirdokumenter signeres trenger en både papir og penn. Tilsvarende verktøy må til i en elektronisk hverdag. "Atter et kort!" Den sikreste, og samlet sett mest hensiktsmessige og brukervennlige, elektroniske analogien til en penn å signere med, er et såkalt smartkort, et plastkort med en mikroprosessor (liten datamaskin) inni (og en evt magnetstripe på baksiden). Kortets grunnleggende funksjon er å lagre de private nøklene til korteieren og rent faktisk signere og dekryptere dokumenter som skal sendes. 10

INNLEDNING For å gjøre det attraktivt å ta i bruk et smartkort til en slik funksjon, er det nødvendig å kunne benytte kortet i flere nyttige formål i ulike sammenhenger. Her kommer "helsepersonellkort" inn i bildet. Et slikt kort, som SITHprosjektet skal promotere, kan ha følgende bruksområder ut over det å lagre private nøkler, signere og dekryptere: Gi tilgang til lokale eller sentrale EDB-systemer og dataprogrammer (f.eks et journalsystem eller en nasjonal database/register). Lagre elektroniske autorisasjoner og lisenser (f.eks lisens for å være autorisert helsepersonell med en gitt spesialitet og med gitte rettigheter). Benyttes som ID-kort, f.eks på sykehus. Benyttes i forbindelse med fysisk adgangskontroll, d.v.s åpning og låsing av dører. Få utlevert tøy og gratis kaffe eller frukt på kantina. Det siste bruksområdet er alvorlig ment: For å få utlevert tøy på Sentralsykehuset i Akershus må helsepersonellet benytte et kort 18. På Danderyd sykehus i Stockholm oppmuntres bruken av et lokalt helsepersonellkort (smartkort) bl.a ved at brukere får tilgang til gratis kaffe og frukt som de ellers må betale for. SITH-prosjektets målsetting Mye av den teknologien som må tas i bruk for å realisere det vi har beskrevet tidligere i dette kapittelet, finnes tilgjengelig i dag og er begynt å bli tatt i bruk. Likevel, mye gjenstår. Ulike teknologier skal integreres og brukeraspektene må prøves ut og evalueres i flere sammenhenger, inkludert legekontor, apotek og sykehus. De ulike tjenestene som skal realiseres, krever organisering og at ansvar for ulike roller og funksjoner plasseres og utøves. I tillegg må det utarbeides retningslinjer og regler som regulerer det hele på en hensiktsmessig måte. Hovedmålet i SITHprosjektet I lys av dette er hovedmålet i SITH-prosjektet som følger: "Prosjektet skal beskrive, realisere, demonstrere og evaluere en sikker teknisk infrastruktur og endebruker sikkerhetsløsninger for elektronisk kommunikasjon og utveksling av dokumenter, meldinger og post (EDI, epost og telemedisin) i helsesektoren. Prosjektet skal videre få demonstrert og validert infrastrukturen og løsningene i praktisk, virkelig bruk ved sykehus, legekontor og apotek. Prosjektet skal ta i bruk moderne kryptografiske teknikker og sikkerhetstjenester i nett på en brukervennlig og hen- 18 Dog ikke et helsepersonellkort, men et magnetstripekort som primært brukes for å få tilgang til den elektroniske pasientjournalen. 11

INNLEDNING siktsmessig måte, samtidig som det skal sikres at løsningene kan virke sammen på nasjonal og, på sikt, på europeisk basis." 12

OVERORDNET MODELL OG FUNKSJONSBESKRIVELSE Overordnet funksjonsbeskrivelse Kapittel 2 Kapittelet gir overordnete funksjonsbeskrivelser for de anvendelsene SITH-prosjektet benytter som demonstratorer; elektronisk overføring av resepter fra legekontor til apotek, røntgenhenvisninger og -svar til/fra sykehus og legekontor og utveksling av formell elektronisk post mellom sak/arkivsystemer på et sykehus og i en bydelshelsetjeneste. For elektroniske resepter er det angitt (i parentes) eksempler på hvilke prosedyrer og tekniske funksjoner som kan benyttes ved resepthåndteringen. Resept (EDI) Reseptutsteder (legekontor) Foreskriving Kontroll Signering Reseptutstederen (rekvirenten) foreskriver medikamentene til en pasient på en eller flere resepter. I tilfelle fornyelse av en resept, kan resepten ofte bli utformet av hjelpepersonell. (Foreskriving av medikamenter (med angivelse av medikament, styrke, dosering, preparatform, bruksanvisning etc) gjøres i en egen modul i den elektroniske pasientjournalen. Mottakerapoteket registreres i samme prosedyre.) Rekvirenten kontrollerer om medikamentene er riktig forskrevet og om resepten er riktig utfylt. For at pasienten skal kunne kontrollere resepten(e) og identifisere seg selv og riktig resept ved apoteket, kan pasienten få med seg en kontrollseddel. (Rekvirenten kontrollerer på skjermen det som er skrevet inn. Rekvirenten velger papir- eller EDI-resept ved å klikke på riktig knapp. Journalsystemet utfører nå en automatisk kontroll 19. Ved EDI-resept vil, etter vellykket kontroll, kontrollseddelen skrives ut 20 og resepten(e) bli framvist på skjermen med forespørsel om signering eller kansellering. Kontrollseddelen kan inneholde nødvendige pasient- og medikamentopplysninger og skal unikt identifisere den EDI-resepten som er sendt apoteket.) Rekvirenten sjekker og signerer hver resept før den overføres til apoteket. (Rekvirenten sjekker 21 skjermen og kontrollseddelen og klikker "Signer" når rekvirenten er trygg på at alt er OK og at ingen endringer vil skje. Når denne handlingen er utført, vil resepten(e) være uforanderlig(e) og umiddelbart bli oversendt apoteket.) 19 Faktisk konvertering til EDI-resept (EDIFACT) kan med fordel skje som en del av dette. 20 På helsesektorens Universalblankett!? 21 I praksis: "kaster et blikk på."

OVERORDNET FUNKSJONSBESKRIVELSE Sending Svar på henvendelse fra apoteket Mottakelse av bekreftelse På vegne av pasienten sender rekvirenten resepten(e) til det apoteket som pasienten har valgt 22. (Etter signering vil EDI-resepten krypteres og sendes umiddelbart til apoteket via nettverket.) Rekvirenten svarer på eventuelle henvendelser 23 fra apoteket angående uklarheter i forbindelse med resepten. (SITH-prosjektet vil hvis de nødvendige dispensasjoner fra Datatilsynet gis prøve ut om denne kommunikasjonen også kan skje pr epost.) Rekvirenten mottar eventuell bekreftelse sendt fra apoteket på at resepten er ekspedert. (Dette kan implementeres som en EDI-melding, men antakelig bare når det foretas endringer på resepten på apoteket.) Apotek Mottak av resept Registrering Klarering med reseptutstederen Plukking og kontroll av medikamentene Når resepten er mottatt ved apoteket, vil apoteket foreta den første nødvendige sjekk av f.eks reseptens gyldighet, utstederens identitet, signatur og foreskrivingsrett, osv. (Apotekets EDI-system sjekker jevnlig om EDI-resepter ligger i den elektroniske postboksen 24. EDI-resepten dekrypteres og rekvirentens signatur og derved påstått identitet verifiseres 25. Ved evt feil gis feilrapport til apotekets EDB-system.) Opplysningene på resepten overføres til apotekets EDB-system. Dette gjelder opplysningene om utstederen, om selve resepten (f.eks at resepten er en trygderesept), om pasienten (navn, adresse, etc) og om hver ordinasjon (medikament, bruksanvisning etc). (Den elektroniske resepten overføres til apoteksystemet som umiddelbart skriver ut en papirkopi av resepten(e) 26 og bruksanvisningsetiketter. Reseptutskriften benyttes av apotekteknikeren til å plukke medikamentene. Evt endringer registreres i EDB-systemet før nye utskrifter tas.) Hvis det er uklarheter på resepten, vil utstederen bli kontaktet før resepten kan ekspederes videre. Hvis apoteket ikke raskt får kontakt med rekvirenten pr telefon (eller epost?), blir resepten lagt til side og ekspedert når avklaring skjer på et senere tidspunkt. Pasienten må da vente evt komme tilbake senere. Medikamentene klargjøres før pasienten kommer til apoteket. Rutiner som prising, fakturering til RTV og andre kredittkunder utføres i forbindelse med reseptregistreringen. Apotektekniker plukker medikamentene, kontrollerer at det er riktig medikament (navn, styrke, preparatform etc), kontrolle- 22 EDI-resepter forutsetter at pasienten bestemmer seg for hvilket apotek som skal benyttes. 23 Denne kommunikasjonen kan med fordel skje pr epost. Telefoniske henvendelser forstyrrer som regel en primærlege under konsultasjon av en annen pasient. 24 Eller få resepten direkte overført fra apotekets elektroniske "postboks". SITH-prosjektet vil vurdere alternative tekniske løsninger for å få til dette på en rask og sikker måte. 25 Senere ser vi for oss at også rekvirentens autorisasjoner kan verifiseres automatisk. Dette vil inntil videre måtte skje manuelt. 26 Også dette på helsesektorens Universalblankett!? 14

OVERORDNET FUNKSJONSBESKRIVELSE rer (pasientnavn, bruksanvisning, rekvirentens navn etc) og setter på og signerer bruksanvisningsetiketten. Farmasøyten foretar den siste kontroll og skal før ekspedisjon av resepten ha påført sin signatur på denne. (Farmasøyten signerer manuelt på den endelige reseptutskriften 27.) Figur 3 UTSTEDER APOTEK PASIENT Scenario for reseptoverføring [KITH93] Forskriv Kontroller TID Kontrollseddel Signer Motta Send Resept Motta Elektronisk overføring Resept Svar på henvendelse Uklarhet/ avklaring Kontroller Resept (utskrift) Plukk og verifiser Signer resept Resept, medisin Sjekk kontr.seddel Lever medisin Kontrollseddel Lever Motta bekreftelse Bekreftelse (evt) Resept Arkiver resept Medisin Motta medisin Utlevering Medikamentene utleveres til pasienten når vedkommende kommer og henter ut medikamentene ved apoteket. Medikamentene kan også sendes til en kommisjonær/medisinutsalg for utlevering herfra. Når medikamentene utleveres, skal vedkommende som kommer og henter medikamentene kunne identifisere seg selv, ved f.eks. å vise frem en kontrollseddel som pasienten fikk fra rekvirenten. 27 Dette kan også skje ved at farmasøyten påfører EDI-resepten en elektronisk signatur i apoteksystemet. 15

OVERORDNET FUNKSJONSBESKRIVELSE Arkivering A- og B-resepter, samt telefon- og telefaksresepter arkiveres ved apoteket. (Både den elektroniske resepten og reseptutskriften må lagres på apoteket.) Merk at dagens reseptforskrift 28 ikke omhandler (og derved heller ikke tillater) EDI-resepter. Et foreliggende forslag til revidert reseptforskrift 29 tillater under gitte betingelser EDI-resepter. Røntgenhenvisninger og -svar (EDI) På et legekontor vil legene ha behov for å sende røntgenhenvisninger til røntgenavdelingen på et sykehus, samt å motta røntgensvaret fra sykehuset. I dag gjøres dette ved hjelp av vanlig post eller bud. Denne prosessen vil kunne effektiviseres ved bruk av EDI og epost. Legekontor (sending av røntgenhenvisning) Utfylling Kontroll og signering Sending Etter en konsultasjon av en pasient der legen vurderer at røntgen er nødvendig, fyller legen eller hans medhjelper ut en røntgenhenvisning. Legen kan delegere utfylling av røntgenhenvisning til annet helsepersonell med hjemmel i legelovens 17. Utfylling av røntgenhenvisningen kan gjøres direkte i en egen modul i legens elektroniske journalsystem. Henvisende lege kontrollerer på skjermen om røntgenhenvisningen er korrekt utfylt og signerer så henvisningen etter evt korreksjoner. Når røntgenhenvisningen er ferdig signert sendes den til sykehusets røntgenavdeling. Flere henvisninger kan sendes sammen i en og samme EDIutveksling, også henvisninger for flere pasienter. Sykehus (mottak av røntgenhenvisning) Mottak og kontroll Tidspunkt for forespørsel Når røntgenavdelingen mottar en henvisning, vil det først foretas en kontroll av avsenders identitet og signatur. Det vil videre kontrolleres om avsender har henvisningsrett. Når henvisningen er kontrollert og akseptert, vil opplysningene om pasienten bli lagt direkte inn i røntgenavdelingens røntgeninformasjonssystem (RIS). Pasienten og legen som har henvist vil deretter gis beskjed om tidspunktet for når pasienten skal møte til røntgen. Beskjeden kan i framtiden bli gitt direkte til både lege og pasient 30, evt via EDI, epost eller fysisk post. 28 Forskrift om rekvirering og utlevering av legemidler fra apotek. 29 Datert 06.01.97. 30 F.eks dersom primærlegen har direkte tilgang til røntgenavdelingens bookingsystem (modul i RIS) og henvisningen overføres direkte ("interaktiv EDI") som en del av denne prosessen. 16

OVERORDNET FUNKSJONSBESKRIVELSE Figur 4 Scenario for røntgenhenvisning HENVISENDE LEGE Fyll ut henvisning RØNTGEN- AVDELING PASIENT Kontroller Signer TID Send Røntgenhenvisning Motta Elektronisk overføring Henvisning Kontroller Registrer Finn time Send innkalling Motta innkalling Innkalling (kopi) Henvisning Arkiver henvisning Innkalling Motta innkalling Sykehus (sending av røntgensvar) Undersøkelse og analyse Signering Pasienten møter på sykehuset og røntgenundersøkelsen foretas. Bildene må deretter analyseres og røntgensvar utarbeides. Først er det en lege, ofte assistentlege, som tyder røntgenbildene og gir beskrivelsene. Røntgensvaret får etter dette status som usignert. Deretter skal en overlege gå gjennom svaret og evt gjøre endringer og/eller komme med tillegg i svaret. Det er overlegen som foretar endelig signering av røntgensvaret og gjør det til et medisinsk/juridisk bindende svar. I RIS er det en funksjon hvor man kan få frem alle røntgensvar som har status usignert. Det vil komme klart fram av svaret hvilken lege som i første omgang har utarbeidet de usignerte røntgensvarene og deretter hvilken overlege som har godkjent og signert svaret. Etter å ha kontrollert røntgensvaret og gjort evt endringer, vil overlegen signere røntgensvaret. Når røntgensvaret er signert, vil det sendes elektronisk til henvisende lege. 17

OVERORDNET FUNKSJONSBESKRIVELSE Legekontor (mottak av røntgensvar) Mottak av svar Når det er foretatt en røntgenundersøkelse av pasienten på sykehuset, og røntgensvaret er ferdig utarbeidet og sendt fra sykehuset, vil røntgensvaret mottas elektronisk som en EDI-melding på legekontoret. På legekontoret vil det foretas en kontroll av bl.a avsenders identitet og signatur. Den videre behandlingen av røntgensvaret ligger utenfor SITH-prosjektets rammer. Figur 5 Scenario for røntgensvar HENVISENDE LEGE RØNTGEN- AVDELING Fyll ut usignert svar PASIENT Kontroller Signer TID Motta Røntgensvar Send Henvisning Elektronisk overføring Kontroller Registrer Elektronisk post og sak/arkivsystemer I helsesektoren er det en rekke aktører som vil kunne ha behov for å utveksle elektroniske dokumenter som ikke er på et standardisert EDI-format, jfr beskrivelsene i kapittel 2. Som nevnt her, vil vi skille mellom formell og uformell epost. Utprøving av formell epost SITH-prosjektet vil beskrive, realisere og prøve ut formell epost integrert med et sak-/arkivsystem på et sykehus (Aker sykehus) og tilknyttete bydelshelsetjenester. Integrasjonen med sak-/arkivsystemet skal sikre at epostutvekslingen både er legitim (dvs er knyttet til formalisert og godkjent sending av pasientopplysninger) og sikker (jfr kapittel 2). SITH-prosjektets epost/sak/arkiv-demonstrator vil ta utgangspunkt i utskrivningen av pasienter og den saksbehandlingen som må utføres i forbindelse med at ansvaret for pasienten overføres fra et sykehus til pasientens bydel. Den aktuelle meldingen kalles "Melding om utskrivningsklar pasient". Beskrivelsene må ses som eksempler da endelige prosedyrer er under utarbeiding. 18

OVERORDNET FUNKSJONSBESKRIVELSE Figur 6 SYKEHUS BYDEL Scenario for melding om utskrivingsklar pasient Klargjør Utskrivn.meld TID Påfør Legeopplysn. Påfør Sykepleieopl. Kontroller Mottaker Signer Elektronisk overføring Send Registrer i postjournal Utskrivn.melding Utskrivn. melding Motta Kontroll av melding Arkiver Registrer i postjournal Utskrivn.melding Videre saksbehandling Postjournal All formell post som krever oppfølging eller som det på annen måte kan bli etterspørsel etter senere, skal i utgangspunktet registreres i en postjournal og arkiveres. Dette omfatter all post som inneholder taushetsbelagte pasientopplysninger 31. Når en pasient innlegges på sykehuset blir det reservert en ny sak for pasienten i sykehusets saksbehandlingssystem (evt journalsystem). Melding om innleggelse og all annen korrespondanse knyttet til innleggelsen registreres som dokument i saken. Alle dokumenter i saken markeres som "Fortrolig". 31 Er det snakk om opplysninger til eller fra en pasientjournal skal kommunikasjonen i.h.t Journalforskriften lagres i vedkommende pasients journal. 19

OVERORDNET FUNKSJONSBESKRIVELSE Pasienten er utskrivningsklar Meldingen signeres og overføres Når en lege beslutter at pasienten er utskrivningsklar, gjøres det klar en "Melding om utskrivningsklar pasient". Aktivitetene "Påføring av legeopplysninger" og "Påføring av sykepleieopplysninger" må deretter utføres. Til hver aktivitet registreres det en ansvarlig person, et estimat for tidsforbruk og eventuelt en frist for utførelse av aktiviteten. Legen og sykepleieren kan da ta opp dokumentene på sine arbeidsplasser og fylle inn de nødvendige opplysningene. Til slutt endrer de status på aktiviteten til utført, f.eks ved å sette på sin elektroniske signatur. Det er kun hhv vedkommende lege og sykepleier som har rett til å markere disse aktivitetene som utført. Det må kontrolleres at den oppgitte mottaker av meldingen er en mottaker som det er lovlig å sende sensitiv pasientinformasjon til. Meldingen blir så påført avsenders (digitale) signatur, kryptert og overført til pasientens bydel som epost (X.400). Sakens status i saksbehandlingssystemet endres til "Ferdig", korrespondansen registreres i postjournalen og sakens dokumenter arkiveres; elektronisk og (inntil videre) i papirarkiv. Aktiviteter hos pasientens bydel Hos pasientens bydel vil de motta en epost-melding med dokumentet som et (kryptert og signert) vedlegg. Meldingen dekrypteres og avsenderens signatur verifiseres (med støtte fra nøkkelsertifikater som er lastet ned fra en TTP-tjeneste i nettet). Dersom dette går i orden, vil dokumentet kunne legges inn i bydelens sak-/arkivsystem. Dokumentet registreres i bydelens postjournal, og bydelen kan ta fatt på den videre behandlingen av saken 32. 32 Den videre behandlingen i bydelen inngår ikke i SITH-prosjektet 20

OVERORDNET MODELL OG FUNKSJONSBESKRIVELSE Overordnet teknisk beskrivelse Kapittel 3 Vi vil i dette kapitelet gi en overordnet teknisk beskrivelse av de tjenester som er nødvendig for å etablere sikre og tiltrodde telematikktjenester i helsesektoren. Spesielt vil vi ta for oss ulike tiltrodde tredjepartstjenester (TTP-tjenester) som trengs for å skape en betryggende sikkerhet, samt tillit til at sikkerheten er godt nok ivaretatt for de ulike brukerne. Sikre telematikktjenester i helsesektoren I dette avsnittet vil vi gi en kort beskrivelse av nødvendige sikkerhetsrelaterte tjenester for å oppnå en sikker og tillitvekkende bruk av kommunikasjonsnettverk og telematikktjenester i helsesektoren. Figur 7 viser en modell for sikre telematikktjenester i helsesektoren. Her har vi en bruker (helsepersonell) med et helsepersonellkort (signaturkort) som arbeider mot et sikkert endebrukersystem (f.eks en arbeidsstasjon med et elektronisk pasientjournalsystem). Vi forutsetter foreløpig at endebrukersystemet ikke representerer noen sikkerhetsrisiko, da det er den eksterne kommunikasjonen vi skal se på i dette prosjektet (sikkerheten i endebrukersystemet og tilkoplingen til kommunikasjonsnettet vil bli beskrevet i andre sammenhenger). Figur 7 Modell: Sikre telematikktjenester Bruker med helsepersonellkort Sikker tilkopling brannmur Eksternt nettverk Sikkert endebrukersystem TTP-tjenester Lover, regler og andre retningslinjer Via en sikker tilkopling, representert ved en form for brannmurfunksjonalitet, er endebrukersystemet tilkoplet et eksternt nettverk. Ved hjelp av tilsvarende tilkoplinger kan en eller flere andre helseinstitusjoner være koplet til det samme eksterne nettverket. Modellen viser også TTP-tjenester, eller Tiltrodde tredjepartstjenester, som illustrerer ulike tjenester som må tilbys av andre aktører for å understøtte sikkerheten i det elektroniske nettverket.

OVERORDNET TEKNISK BESKRIVELSE Tjenester for sikker kommunikasjon Figur 8 Tjenester for sikker kommunikasjon Verdiøkende tjenester Sikkerhetslogging Kortutstedelse Tidsstempling Sertifikathåndtering Kataloger Registrering Nøkkehåndtering Tilgangskontroll Basistjenester Infrastrukturtjenester Pseudonymisering Profesjonsregistrering Identifisering & autentisering Navngiving Tjenester knyttet til forretningsverdien ved dokumentutveksling, gitt av avtaler eller formkrav Ingeritet Konfidensialitet Ikkebenekting Tjenester som muliggjør åpen EDI, e-post m.m i større omfang, med parter som ikke kan "stole" på hverandre Grunnleggende tjenester knyttet direkte til kommunikasjon mellom to parter Vi har valgt å dele tjenester for sikker kommunikasjon inn i basistjenester, infrastrukturtjenester og verdiøkende tjenester, jfr. Figur 8 (se vedlegg B for en mer utførlig beskrivelse av hver av tjenestene). Basistjenester Infrastrukturtjenester Verdiøkende tjenester Med basistjenester forstår vi grunnleggende sikkerhetstjenester og -funksjoner som er direkte knyttet til å sikre kommunikasjonen mellom to parter. Dette kan være tjenester som tilgangskontroll, sikkerhetslogging, identifisering og autentisering, sikring av integritet og konfidensialitet og ikkebenekting (mer om hver av tjenestene i vedlegg B). Tjenestene kan også anvendes i andre sammenhenger; for eksempel til å autentisere sluttbruker mot arbeidsstasjonen. Basistjenestene danner et nødvendig grunnlag for både infrastrukturtjenester og verdiøkende tjenester. Infrastrukturtjenester er tjenester som muliggjør en sikker, åpen kommunikasjon, spesielt EDI, i større omfang, selv om alle partene ikke nødvendigvis kjenner eller "stoler" på hverandre. Håndtering av unike navn, nøkler, sertifikat og smartkort er eksempler på tjenester som ikke ville ha vært nødvendig dersom bare noen få kjente aktører skulle kommunisere med hverandre. Merk at både basistjenestene og infrastrukturtjenestene bør være mest mulig transparent for brukerne; brukerne bør ikke se mer til tjenestene enn det som er absolutt nødvendig. Verdiøkende tjenester er knyttet til forretningsverdien ved utveksling av dokumenter og meldinger. Tjenestene kan være gitt av avtaler og overenskomster mellom partene eller av reguleringer gitt av regler og standarder. Eksempel på relevante tjenester for helsesektoren er autorisasjonsregistrering, utstedelse av autorisasjonssertifikat, sikker lagring av dokumenter og pseudonymisering i.f.m helseregistre. 22