Generelle spørsmål og svar
Denne siden inneholder noen generelle spørsmål og svar
Hvorfor trenger vi PKI ved informasjonsutveksling?
PKI er en forkortelse for Public Key Infrastructure. Enkelt forklart kan man si at PKI er en løsning for elektronisk legitimasjon og signatur som sikkert identifiserer både person og virksomhet.
PKI er viktige fordi det muliggjør elektronisk samhandling i en mye større grad og med høyere sikkerhet enn tidligere. Sikkerheten og fleksibiliteten som PKI-løsningen tilbyr gjør det mulig å benytte nye tjenester og kommunikasjonsformer som det ikke ville være trygt nok å bruke ellers.
Bruk av PKI vil gi bedret informasjonssikkerhet ved utveksling av elektroniske meldinger, slik at uvedkommende hindres innsyn ved meldingsutveksling mellom helsepersonell.
Oppsummert gir PKI følgende fordeler:
- Sikker identifisering av avsender og mottaker: PKI sikrer at meldingene kun kommer til korrekt mottaker, og gir også trygghet for hvem avsenderen er.
- Beskyttelse mot innsyn: Ved bruk av PKI vil man kunne overføre meldinger kryptert uten på forhånd å avtale hvilke nøkler man skal bruke.
- Beskyttelse mot endring: PKI sikrer også at meldingen kommer frem til mottakeren i samme form som den sendes.
- Mulighet for signering: PKI gir mulighet for å signere en melding med en elektronisk signatur slik at innholdet knyttes entydig til avsender.
- Forenklet administrasjon: Man slipper å etablere og oppdatere krypteringsnøkler for alle parter man kommuniserer mot
Til hva eller når brukes PKI? Hva er forskjellen på personlig PKI (sertifikat) og PKI på virksomhetsnivå?
PKI er en forkortelse for Public Key Infrastructure. Enkelt forklart kan man si at PKI er en løsning for elektronisk legitimasjon og signatur, og brukes på to nivåer - virksomhetsnivå og personlig nivå.
Bruk av PKI på virksomhetsnivå foregår i stor grad uten at brukeren/helsepersonellet merker det, og sørger for sikker utveksling av informasjonen. PKI på virksomhetsnivå kan brukes på alle typer medisinske meldinger. Bruk av PKI bidrar til at man slipper å avtale krypteringsnøkler ol. mellom hver part som skal kommunisere. Det vil ikke være mulig å realisere mange-til-mange kommunikasjon i helsesektoren uten en eller annen form for PKI på virksomhetsnivå.
PKI på personlig nivå brukes i dag for å signere sykemelding og legeoppgjør til NAV. Det kan også brukes for pålogging til nettsteder som Altinn og andre som har støtte for dette. En liste for de kort som benyttes i helsesektoren i dag finnes på: http://www.buypass.no/brukersteder.htm. Noe som imidlertid anses som viktigere er at man med den sikkerheten som løsningene kan tilby vil være i stand til å utvikle helt nye tjenester, som sikre diskusjonsforum og nye samarbeidsformer som ikke er mulig uten trygg og sikker infrastruktur i bunnen.
PKI med personlig signatur vil også bli nødvendig for eResept.
Hva koster det å ta i bruk PKI på legekontor?
Engangskostnadene til anskaffelse av PKI omfatter pris for sertifikater, kortleser, lisens for PKI-programvare og integrasjon mellom PKI og pasientjournalsystem, og for systemleverandørenes installasjon. Det påløper ikke driftsutgifter eller bruksavgifter utover dette, men sertifikatene utløper og må fornyes etter 3 år.
Sosial- og helsedirektoratet kan gi tilskudd til første gangs anskaffelse og installasjon av PKI på legekontor. Nærmere informasjon om priser og tilskudd kan fås fra legenes EPJ-leverandører.
Hvorfor får man personlig PKI kun på smartkort?
I en kort periode var personlig PKI tilgjengelig både på smartkort og som softwareløsning som kunne installeres på den enkelte PC. De softwarebaserte personlige sertifikatene med høyt sikkerhetsnivå er ikke lenger tilgjengelig i markedet. Dette skyldes både at PKI-leverandørene tilpasset seg Fornyings- og administrasjonsdepartementets ”Kravspesifikasjon for PKI i offentlig sektor”, og krav som følge av harmonisering mot europeiske standarder for kvalifiserte signaturer. Helsevesenet har derfor måttet skifte til smartkortløsninger.
Smartkort bidrar til økt sikkerhet ved at den hemmelige nøkkelen som unikt identifiserer den som signerer eller logger seg på en tjeneste kun er tilgjengelig når smartkortet er i leseren og pin-kode er tastet inn. Den hemmelige nøkkelen kan heller ikke kopieres ut fra smartkortet.
I en software-basert løsning vil det være mulig å kopiere den hemmelige nøkkelen, uten at brukeren vil merke at nøkkelen er kommet på avveie.
For tilgang til f.eks. hjemmekontorløsninger eller tjenester som inneholder sensitive personopplysninger stiller "Norm for informasjonssikkerhet i helsesektoren" krav om sikker autentisering. Smartkortløsningen i helsevesenet tilfredsstiller dette kravet, og kan derfor brukes for dette formålet. Kortet inneholder en elektronisk ID som kan benyttes for flere formål, og samme kort kan benyttes både på jobb og hjemme.
Hvorfor trenger vi en "elektronisk konvolutt" (rammeverk) for meldingskommunikasjon?
Ved å standardisere på et felles rammeverk for meldingskommunikasjon vil helsesektoren ha en enhetlig omforent måte å utveksle meldinger på og en plattform som støtter de krav til sikkerhet og pålitelighet som sektoren stiller. Samme løsning kan benyttes for å håndtere alle typer meldinger og vedleggsformater på en ensartet måte.
Rammeverket støtter funksjoner for å automatisk sende meldinger på nytt med mindre man ha fått kvittering for at meldingen er mottatt, evt. varsle dersom meldingen ikke kommer frem til mottaker. Rammeverket beskriver også hvordan meldinger skal signeres og krypteres for å sikre at meldingene ikke kan endres eller at informasjonen blir tilgjengelig for uautoriserte.
ELIN-prosjektet har stilt krav til leverandørene om å følge rammeverket.
Mer informasjon om ebXML-rammeverket og PKI.
Hva skal vi med adresseregisteret?
Adresseregisteret-HER er det autoritative adresseregisteret for e-meldinger i helsenettet. Det er der eneste sted du kan finner unik identifisering og adresseinformasjon for alle roller i den elektroniske meldingsflyten i helsevesenet.
Registeret åpner for en forenkling av rutingen av meldinger i helsevesenet, både internt i en organisasjon eksternt mot andre parter. Det er derfor en fundamental tjeneste for mange- til mange - kommunikasjon i helsenettet. Adresseregisteret-HER tilbyr en ytterligere forenkling av hverdagen for helseaktørene ved å eliminere behovet for ajourhold av lokale adresseregistre for e-meldinger.
Kvaliteten på informasjonen heves ved at denne type adresseinformasjonen kun trenger å oppdateres ett sted, én gang, og kun av den juridiske enheten som eier informasjonen, dvs. det enkelte sykehus, legekontorer mm.
Når alle bitene i puslespillet er på plass, skal du kunne søke opp f.eks. et nytt laboratorium eller en ny fastlege i Adressekatalogen-HER, sammenfatte den meldingen du ønsker å sende, og så vil den underliggende programvaren håndtere resten. Kommunikasjonsløsningen din kan selv finne fram til riktig kommunikasjonsadresse, finne krypteringsnøkkel osv. Når meldingen din er sendt vil du få en kvittering tilbake som gir det sikkerhet på at meldingen er kommet fram til mottaker.
PKI, ebXML-rammeverket og adresseregisteret i Norsk Helsenett vil til sammen sørge for at man kan bli kvitt parallell sending av papirmeldinger med påfølgende gevinster.
Se også informasjon fra Norsk Helsenett AS
Hvorfor test- og godkjenning av meldinger?
Test- og godkjenningsordningen er et tilbud til aktører i helse- og omsorgssektoren og har som formål å sikre enhetlig bruk og korrekt implementering av nasjonale standarder for meldingsutveksling.
Testserveren hos KITH gjør det mulig for leverandører å teste korrekt utvekslingsformat (syntaks) og lovlig innhold og logiske avhengigheter (semantikk) av egenproduserte xml-meldinger mot gjeldende KITH standarder Denne testingen sikrer at meldinger som utvikles vil være av god kvalitet før testingen tar til mellom aktørene i sektoren, noe som er ressurs- og tidsbesparende.
Ved å godkjenne meldingene sine hos KITH vil aktørene være sikret at alt innhold i meldingene er riktig og at standarden er fulgt. Dette vil medføre en ekstra sikkerhet knyttet til kvaliteten på meldingsimplementeringen og vil bidra til kortere testperioder i sektoren og redusert ressursforbruk. Oversikt over godkjente systemer finnes på www.kith.no/godkjenninger
Hvorfor er det viktig med kvitteringsmekanismer ved meldingsoverføring?
Kvitteringsmeldinger ivaretar muligheter for å etablere gode rutiner for avvikskontroll, og det er utviklet kvitteringsmeldinger for å sikre forsendelsen på ulike nivåer og en avviksmelding for å gi tilbakemelding.
Transportkvitteringer gir trygghet for at meldingen har kommet frem til mottakers postkasse og gir mulighet for å kunne sende meldingen på nytt hvis positiv kvittering ikke er mottatt innen et gitt tidsrom. Transportkvitteringer er en del av ebXML.
Applikasjonskvitteringer gir trygghet for at meldingen er på et format som kan leses av mottaker (fagsystemet kan tolke innholdet), og muliggjør fjerning av papiret. Applikasjonskvittering er ikke kun er teknisk løsning, men krever også omforente rutiner for feilsøking og feilretting om noe går galt.
Avviksmelding med bruk av dialogmeldingen er en formalisert metode for å gi elektroniske tilbakemeldinger for feil som er oppdaget etter en menneskelig gjennomgang av innholdet. Her kan man for eksempel gi avsender beskjed om meldingen er feilsendt slik at avsender også får anledning til å rette opp feil adresseinformasjon, manglende samsvar med prøvesvar og faktisk innsendt materiale etc.