Samverkan Västra Götaland

Gemensam Information och TjänsteSamordning
49 kommuner i Västra Götaland och Västra Götalandsregionen

GITS, Gemensam Information och TjänsteSamordning
49 kommuner i Västra Götaland och Västra Götalandsregionen

Åtkomst till eHälsomyndighetens informationsmängder

Sammanfattande information rörande åtkomst till eHälsomyndighetens informationsmängder och krav på nödvändig säkerhetslösning

Bakgrund

eHälsomyndigheten (eHM) tillhandahåller tjänster och register som används vid förskrivning och expediering av e-recept, såsom ex läkemedelsförteckning. För att få åtkomst till dessa har myndigheten gått ut med krav på säker åtkomst till dessa uppgifter. Syftet är att uppfylla krav på säkerhet för åtkomst till personuppgifter. I kommunikationen har även information givits om att denna förändring måste vara genomförd innan november 2019.

Utmaningen har till stor del legat i hur fortsatt åtkomst ska ske till NPÖ och Pascal vilka nyttjar eHMs register och tjänster samt eventuell anpassning av egna lokala system som hanterar förskrivning alternativt nyttjar läkemedelsförteckningen. En otydlighet har funnits kring nationell samordning mellan olika aktörer såsom eHM, SKL och Inera med till viss del motstridiga uppgifter. Steg har nu tagits i detta vilket öppnar upp för ytterligare vägval.

En ny överenskommelse mellan eHM och Inera som SKL står bakom, innebär att det nu finns två alternativa vägar för säker anslutning till eHMs tjänster för kommuner och regioner. Avtal har knutits mellan eHM och Inera för att formalisera överenskommelsen och viss översyn kring villkor för fortsättning görs för att säkerställa detta vägval på längre sikt. Möjliga vägval blir därmed:


Inera-federationen

Inera-federationen innebär att eHM har godkänt redan uppsatta säkerhetstjänster för åtkomst. Således kan SITHS, HSA och Ineras IdP användas med tillhörande tillitsramverk och granskningsstruktur för att uppnå krav på strukturerat informationssäkerhetsarbete inom identitet och åtkomst. Inom Inera-federationen kan även egen IdP användas men den behöver då granskas och godkännas av Inera. Denna förändring kan ske över tid och knyter även an till pågående arbete kring gemensamt arbete i Västra Götaland inom identitet och åtkomst.

De organisationer som nyttjar eHMs tjänster enbart genom NPÖ och Pascal ska således kunna använda Ineras tjänster SITHS, HSA och IdP, precis som nu. För detta krävs inget ytterligare arbete eller ökade kostnader då kostnad för att nyttja Ineras IdP till NPÖ och Pascal ingår i priset för dessa tjänster. Säkerhetslösningen är dessutom redan uppsatt och klar. Det som kvarstår är avtalstecknande med eHM för att nyttja deras tjänster och register. Här pågår dialog mellan eHM och Inera om att knyta ett nationellt avtal. Överenskommelse är inte klar och i det fall ingen gemensam lösning nås behöver respektive organisation knyta avtal direkt med eHM. Hamnar vi i denna situation kan arbetet koordineras och samordnas för samtliga kommuner i Västra Götaland.

En begränsning i Inera-federationen är att den enbart kan användas av regioner, kommuner och privata vårdgivare som är offentligt finansierade. Vidare så utgår Inera-federationen från SITHS och således den dispens som gäller för såväl ordinarie som reservkort fram till 30 juni 2020. Befintliga kort uppfyller inte LoA3 fullt ut. Inriktningen är att byta ut certifikaten på dessa kort för att spara både tid och pengar. Motsvarande manöver gjordes 2015 med ok resultat. Inera ska informera om när det kommer att vara möjligt att starta utbytet och hur det ska ske. Så fort information kring detta finns tillgängligt går vi ut med detta.

SAMBI
Genom anslutning till SAMBI får en organisation frihet att själva eller via ombud certifiera vald Identifieringsmetod (e-id), attributskälla (katalog), Intygsgivare (IdP) och informationssäkerhetsarbetet kopplat till identitet och åtkomst (LIS). Efter godkännande är organisationen medlem i SAMBI som användarorganisation och kan då använda certifierad struktur för åtkomst till de tjänster som kopplats till SAMBI. Arbetet är mer omfattande och kostnadsdrivande men ger i gengäld större valfrihet.
Den eTjänst som ska nås behöver också vara godkänd och ansluten via SAMBI och avtal behöver finnas mellan användarorganisation och tjänsteleverantör kring nyttjande.

Tjänster som använder eHMs register eller tjänster
Har man egna tjänster som nyttjar receptregister eller e-recept behöver dessa anpassas till godkänd säkerhetslösning vilket innebär antingen ansluta tjänsten som s.k. Service Provider (SP) till Ineras IdP alternativt SAMBI. Oavsett vägval krävs granskning och följsamhet till uppsatta regelverk samt godkännande av system enligt eHMs godkännandeprocess. Skillnaden i ovan vägval ligger i medlemskap i SAMBI vilket krävs för att ansluta tjänsten via SAMBI.

Slutsats

I det korta perspektivet löser Inera-federationen åtkomst till eHMs tjänster och SAMBI-anslutna tjänster och register där avtal finns knutet mellan användarorganisation och tjänsteleverantör utan extra arbete eller kostnader medan SAMBI ger en större valfrihet kring val av säkerhetstjänster såsom identitetsutfärdare, attributkälla och IdP men med en större arbetsinsats.

Prenumeration
Önskar du prenumerera på information från GITS hemsida, eller önskar du avsluta din prenumeration?
Klicka dig vidare via prenumerationstjänsten

Adress:
Regionens Hus
Lillhagsparken 5
40544 Göteborg

Besöksadress:
Lillhagsparken 5
Hisings backa

Kontakta GITS
gits@vgregion.se

Org Nr: 232 100 0131