Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13 Norstella eID, 20. mars 2014 Agenda  Informasjonsdeling  Identitets- og tilgangsstyring  PKI-basert eID Profesjonell og privat bruk av eID Norstella eID 20.03.2014 Behov Mer effektiv informasjonsdeling på tvers av virksomhetsgrenser i helse- og omsorgssektoren NåHelseopplysninger utleveres elektronisk på tvers av situasjon virksomhetsgrenser i helse- og omsorgssektoren Målbilde Elektronisk tilgang til helseopplysninger med sporbarhet på tvers av virksomheter i helse- og omsorgssektoren Norstella eID 20.03.2014 Nåsituasjon Målbilde for fo identitets- og tilgangsstyring Sikkerhetsinfrastruktur (Felleskomponenter for helse- og omsorgsektoren) Norstella eID 20.03.2014 Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren Sikkerhetsinfrastrukturen er selve grunnmuren for elektronisk samhandling og en forutsetning for en enkel og sikker tilgang til helseopplysninger i IT-systemer på tvers av virksomheter i helse- og omsorgssektoren. Tilgangskontroll på tvers 1. Identitetshåndtering • 2. Autorisasjonsinformasjon • 3. PKI-basert eID Tilgangsregler og informasjonsgrunnlag for tilgangskontroll IKT-infrastrukturer Innebygd personvern for innbygger • logganalyse Norstella eID 20.03.2014 Komponenter for identitets- og tilgangsstyring PKI - organisering og etablering 1. Behov og anvendelse – – – – 2. Nasjonale og internasjonale krav – – 3. Profesjonell og privat bruk av eID 4. Leveranse modell PKI-basert eID 5. Identitets forvaltning 6. Registrering og sertifikatforespørsel Utstedelse Publisering Innhold i sertifikatet etc Leveransemodell – – – Etablere CAkomponent Organisering av CA, daglig ledelse, infosikkerhet Sertifikatpolicyer og avtaleverk eID produksjonsapparat Tillitsmodeller Identitetsforvaltning – – – – Nasjonal/ internasjonal krav eSignaturloven, eForvaltningsforskriften, Selvdeklareringsforskriften, PKI kravspesifikasjon og rammeverket EU forordningen for eID og tillitstjenester Etablere CA komponent – – – – Behov Anvendelse Elektronisk tilgang til informasjon og sporbarhet på tvers av virksomheter i helse- og omsorgssektoren. Organisatorisk endringsevne og mobilitet Avansert signatur Sporbarhet Etablere PKI under offentlig eierskap Kjøp av PKI i markedet Kombinasjon av kjøp i markedet og etablering av egen PKI Profesjonell og privat bruk av eID Norstella eID 20.03.2014 Profesjonell og privat bruk av eID Behov Juridiske forhold eForvaltningsforskriften eSignaturloven Omdømme Tekniske forhold Personopplysningsloven Arbeidsgivers styringsrett og ansvarsforhold Relasjoner Personvern Overvåkning Tilbakekalling Lukket nettverk Drift Norstella eID 20.03.2014 Føringer for 2014 Statsbudsjett, S.prp 1 (2013-2014), kap 720 «For å ivareta krav til informasjonssikkerhet skal det utredes å etablere en nasjonal sikkerhetsinfrastruktur for identifisering av helsepersonell. Utredningen skal omfatte ansattes ansvarsområder og autorisasjoner slik at tilgang til helseopplysninger kun gis de som har tjenstlig behov for det. Videre skal det vurderes løsninger for samtykke, reservasjon, sperring og fullmakter for innbyggerne.» Sykehustalen 6 jan 2014, IKT – Bent Høie «Løsninger for sikker identifisering av helsepersonell og loggføring av oppslag skal sikre at vi har god kontroll over hvem som har hatt tilgang til våre helseopplysninger.» Tildelingsbrev fra Helse- og omsorgsdepartementet «Helsedirektoratet skal utrede og foreslå løsninger for en nasjonal sikkerhetsinfrastruktur for identifisering av helsepersonell, som underlag for å sikre at tilgang til helseopplysninger kun gis de som har tjenstlig behov for det » Norstella eID 20.03.2014