hvor sikkert er det fælles medicinkort (fmk)?
DESCRIPTION
Hvor sikkert er FMK? Hvilke udfordringer ligger der i at få decentrale regioner med egen sikkerhedspolitik til at få en sikker adgang til et centralt system?TRANSCRIPT
Hvor sikkert er FMK?
Hvilke udfordringer ligger der i at få decentrale regioner med egen sikkerhedspolitik til at få en sikker adgang til et centralt system?
ved Jan Riis, [email protected]
Hvem er jeg?
· Jan Riis, stiftende partner i Lakeside A/S · Datalog fra Århus Universitet · Involveret i diverse infrastrukturrelaterede projekter i
sundhedssektoren – SOSI (Ribe Amt / RSD / Danske Regioner / SDSD) – OCES2 i regionerne (Danske Regioner / RSI) – Sign-On projektet (SDSD) – FMK infrastruktur (NSI)
Hvorfor er sikkerhed særlig vigtig i FMK?
· Paradigmeskift, vi danner skole for fremtiden
· Data indleveres til Lægemiddelstyrelsen … og deles med sundhedsfaglige ud over hele landet
· LMS er ansvarlig for data … og retmæssig adkomst til dem
Stigende K
ompleksitet
Identitetssikring ”Hvem er du?”
Autorisation ”Hvad må du?”
Behandlingsrelation ”Hvilken relation
har du til patienten?”
Samtykke / Frasigelse
Relevans
”Hvad siger patienten?”
”Er adgangen relevant?”
Retmæssig adkomst (generelt)
Sikre bedst mulig it-teknisk understøttelse
Identitetssikring Bevis at du er den du udgiver dig for! (NemID / Digital Signatur)
Autorisation
Behandlingsrelation
Spørg myndigheder! Uddannelse – spørg SST Lokalt tildelte rettigheder – spørg regionen (f.eks.)
Registre - Generel, Historisk, Henvisning Er du valgt som praktiserende læge for pt.? Har du tidligere været i kontakt med pt.? Er der henvist til dig?
Eksempler på it-kontroller
Lad os zoome ind på Identitetssikring
· Hvordan kan LMS sikre sig, at du er den du udgiver dig for? · Fremlæg almenkendte akkreditiver
– ”Flerfaktor autentifikation” – F.eks. husk brugernavn+kodeord+adgang til ”dims” – Eller Smartcard, Near-Field teknologi , Biometri
· Sikre at akkreditiver er udstedt ”sikkert” – Administrationsprocedurer – Var brugeren fysisk tilstede ved bestilling/udlevering – Blev der vist billedlegitimation?
Regulering af teknologi og procedurer
· National Institute of Standards and Technology (NIST) – Special Publication NIST 800-63 – Autentifikationsniveauer (1 til 4) – Det er en betydelig opgave at leve op til niveau 3 (FMK).
· OCES (Digital Signatur / NemID i Danmark) – Opfylder NIST niveau 3 både på teknologi og procedurer – Underlagt meget skrappe revisionskrav
Så hvor sikkert er FMK?
· NIST niveau 3 vha. Digital Signatur (OCES) · Autorisation
– Sundhedsfaglig autorisation kontrolleres (autorisationsregistret) – Evt. bemyndigelse kontrolleres gennem egen mekanisme
· Behandlingsrelation – På vej gennem FMKi projektet
· Samtykke / Privatmarkering – Kontrolleres gennem egen mekanisme
· Systemer certificeres
Hvad skal der til for at f.eks. regionerne kan få adgang på anden vis?
· Først og fremmest skal LMS overbevises om det smarte i at lukke op for andre mekanismer end OCES
· Dernæst skal der implementeres teknologi og procedurer, der lever op til NIST niveau 3 – Flerfaktorautentifikation – Sikre administrationsprocedurer – Revisionsprocedurer skal ligeledes overholde kravene i NIST-3
· Dele af ovenstående kan være dækket af eksisterende sikkerhedspolitikker
Spørgsmål ?
Kontakt: Jan Riis Lakeside A/S tlf. +45 21607252 email: jri<at>lakeside.dk