Signering av e-resept meldinger
Innhold:
Bakgrunn
Det lovhjemlet krav om rekvirentens signatur på resept. Både Rekvirerings- og utleveringsforskriften, og Reseptformidlerforskriften kravstiller dette.
Reseptformidlerforskriften §2-4 stiller krav om at "Alle meldinger som sendes Reseptformidleren, skal være elektronisk signert på et høyt nivå som den dataansvarlige fastsetter. Resepter skal være signert av autorisert helsepersonell med rekvireringsrett".
"Signatur" har to hensikter i denne sammenhengen: Integritetsbeskyttelse, dvs at dokumentet er beskyttet mot uoppdagede endringer og entydig og sikker identifikasjon av rekvirent/avsender. Reseptformidleren validerer både integriteten og avsenderens autorisasjon som helsepersonell og rekvireringsrett.
Alle meldinger som krever personlig sertifikat er ivaretatt med:
PKI/Personlig sertifikat fra godkjent sertifikatutsteder og nøkkelbruk "Ikke-avvisning". Dette sertifikatet er vanligvis utstedt som et Smartkort beskyttet med PIN kode. RF kontrollerer at personlig sertifikat er gyldig.
Signatur basert på virksomhetssertifikat med HelseID-token som bekreftelse på rekvirentens identitet. RF kontrollerer virksomhetssertifikat og HelseId token.
Meldinger som ikke krever personlig signatur signeres med virksomhetssertifikat. Dette er meldinger som sendes av systemer og ikke krever menneskelig involvering.
Meldinger som skal signeres
Meldinger som signeres med personlig signatur:
M1 Resept
M5 Tilbakekalling av resept
M9.5 Forespørsel om resepter på pasient
M9.7 Forespørsel om utleveringer på resept
M9.11 Forespørsel om Legemidler i bruk
M25.1 Legemidler i bruk
M27.1 Registrering av LIB-ansvarlig lege
M18 signeres på innholdsnivå med utleverers virksomhetssertifikat.
M25.2 og M25.3 skal signeres på innholdsnivå med avsenders (utleverers) virksomhetssertifikat.
M9.21 Hent endrede multidosepasienter krever ikke personlig signatur på innholdsnivå. For rekvirent som benytter HelseID kan meldingen sendes inn med token uten identitetsbekreftelse. Meldingen signeres med avsenders virksomhetssertifikat.
For de resterende meldingene er virksomheten ansvarlig avsender og innholdsmeldingen er ikke digitalt signert.
Krav til personlig signatur
All bruk av e-resept forutsetter etterlevelse av Normen, og godkjenning for bruk mot Reseptformidleren.
Signering skal være en bevisst handling fra brukeren, og det skal være mulig for brukeren å forstå hva som signeres.
Resept kan signeres elektronisk på to måter:
Signatur basert på personlig sertifikat (PKI).
Signatur basert på HelseID med person-id og virksomhetssertifikat/eSegl
Figuren nedenfor viser reseptdokument og vedlegg for disse signeringmåtene. PKI til venstre og HelseID til høyre. M1 Resept er her brukt som eksempel
SKO signaturen finnes bare på resepter som utleveres til apotek og bandasjist (og videre til Helfo)
Signatur basert på HelseID med person-id og virksomhetssertifikat/eSegl
Signatur etter denne metoden inkluderer rekvirentens nasjonale id (personnummer/d-nummer) samt HPR nummer (i hodemeldingen) og rekvirentens identitet er således entydig og sikkert bekreftet. Identiteten benyttes for oppslag i helesepersonellregisteret for kontroll av autorisasjon og rekvireringsrett.
Signatur basert på HelseID påføres ved at systemet som signerer resepten vedlegger JWT token (Java Web Token) som bekrefter rekvirentens identitet.
Identitetsbevis - HelseID access token
HelseID access token skal legges ved som HTTP Authorization header.
HelseID access token skal ha følgende claims for identitetsbekreftelse:
helseid://claims/identity/pid: <nasjonal identitet>
helseid://claims/identity/security_level: 4
helseid://claims/identity/assurence_level: high
(det er andre krav til format og innhold i token som ikke er dekket her)
HelseID access token legges til M1 og M25.1 som vedlegg. Årsaken til at identitetsbeviset legges som vedlegg i disse meldingene er at meldingene er persistente og at identitetsbeviset skal følge med i meldingens levetid. Vedlegg til meldinger er beskrevet i eget dokument: Vedlegg til meldinger - ehelse
HelseID access token (JWT token) vedlegges i <RefDoc> struktur på følgende måte:
<MsgHead>
...
<Document>
<RefDoc>
<MsgType DN="Vedlegg" V="A"/>
<MimeType>application/json</MimeType>
<Description>HelseID</Description>
<Content>
<Base64Container>..Base64Data...</Base64Container>
</Content>
</RefDoc>
</Document>
...
</MsgHead>
Se også: Komme igang med rekvirenttjenesten med HelseID
Virksomhetssertifikat
Signatur med virksomhetssertifikat påføres meldingen (M1/M25.1) i eget felt spesifisert for dette i Hodemeldingen (Signature):
"Elektronisk signatur. En XML-realisering av meldingen skal benytte XML Digital Signature i henhold til XML-Signature Syntax and Processing W3C Recommendation 12 February 2002, http://www.w3.org/TR/xmldsig-core/ " (NB: spesifikasjonen er revidert i 2013)
Signaturen skal være påført med virksomhetssertifikat på spesifisert nivå av driftsleverandøren som sender inn resepten.
Signatur basert på personlig sertifikat (PKI)
Signatur etter denne formen inkluderer rekvirentens offentlige sertifikat. Dette benyttes videre for entydig og sikker identifikasjon av rekvirent via oppslag hos sertifikat-utsteder. Identiteten benyttes for oppslag i helesepersonellregisteret for kontroll av autorisasjon og rekvireringsrett.
Signaturen skal være påført med et Personlig sertifikat på spesifisert nivå av rekvirenten som sender inn resepten. Signaturen har etter denne metoden to formål:
Rekvirentens signatur på resept. Signeringssertifikatet knytter rekvirenten til signaturen.
Integritetsbeskyttelse av innholdet i en resept/PLL.
For signering av resept etter denne metoden påføres meldingen (M1/M25.1) et signaturelement i eget felt spesifisert for dette i Hodemeldingen (Signature):
Se: PKI i e-resept
"Elektronisk signatur. En XML-realisering av meldingen skal benytte XML Digital Signature i henhold til XML-Signature Syntax and Processing W3C Recommendation 12 February 2002, http://www.w3.org/TR/xmldsig-core/ " (NB: spesifikasjonen er revidert i 2013)
Reseptformidlerens kontroll og videre behandling
Reseptformidleren gjør omfattende kontroller av autorisasjon og rekvireringsrett ved mottak av resept. I tillegg valideres signaturer og gyldighet av alle benyttede sertifikater.
Deretter genereres en kopi av resepten med et signaturkontollobjekt (SKO) som bekrefter valideringene og kontrollene som er gjort på mottakstidspunktet. SKO objektet fungerer som dokumentasjon av foretatt kontroll, samt at tilleggsinformasjon om rekvireringsrett og autorisasjon inkluderes. SKO signeres med Reseptformidlerens sertifikat. SKO sendes bare med på resepter som utleveres til apotek og bandasjist. Utleverer sender resepter med SKO til Helfo i oppgjørskravmeldingen (M18). Se: Signaturkontrollobjektet (SKO)
Definisjoner
|
|
---|---|
Elektronisk signatur | De to løsningene som benyttes i e-resept har forskjellig tilnærming, men løser begge kravet til entydig og sikker identifikasjon av rekvirent, og beskyttelse mot endring av resept og PLL etter innsending (integritetsbeskyttelse) |
Personlig sertifikat | Sertifikat som er utstedt til en person av en Certificate Authority som er godkjent for bruk i e-resept, med policy som identifisererer det som personlig sertifikat: |
Virksomhetssertifikat /eSegl | Sertifikat som er utstedt til en virksomhet, hovedenhet eller organisasjonsledd av en Certificate Authority som er godkjent for bruk i e-resept, med policy som identifiserer det som et virksomhetssertifikat eller elektronisk segl. Nøkkelbruk (Key usage) for signatur skal være Ikke-avvisning = Non-repudiation = Content comitment (0x40). Sertifikatet skal minst støtte signatur-algoritme sha256WithRSAEncryption |
Elektronisk resept | Begrenses her til å omfatte meldingen M1 i gyldige versjoner som spesifisert av Direktoratet for e-helse. |
HelseID | Tjeneste og format for sikker identifikasjon av systemer og personer i helsetjenesten. Integrert med nasjonale identitetstilbydere. For å kunne benyttes som grunnlag for signatur på e-resept meldinger skal brukeren være logget inn på høyt nivå. Detaljer knyttet til bruk av Helse-ID finnes på:HelseID |
Hodemeldingen | Struktur i XML for koding av meldinger i helsesektoren. Hodemeldingen inneholder avsender, mottaker, pasient,signatur samt fagmeldingen (F.eks. M1 - Respet) med eventuelle vedlegg. Hodemeldingen spesifiserer eget element for signatur med referanse til W3C spesifikasjon "XML Signature Syntax and Processing": XML Signature Syntax and Processing Version 1.1 (w3.org) |