Informasjonssikkerhet i e-resept

Innledning

Konfidensialitet, integritet, tilgjengelighet og kvalitet er definert i Norm for informasjonssikkerhet i helsesektoren. I tillegg stilles krav til sporbarhet i e-resept. 

Identifisering, autentisering og autorisering av brukere er sentrale sikkerhetstiltak for å sikre konfidensialitet, integritet og tilgjengelighet av data og tjenester i e-resept.

I e-resept benyttes Public Key Infrastructure (PKI) for å sikre kommunikasjonens integritet og konfidensialitet, samt til å signere forsendelser digitalt for å knytte disse med sikkerhet til avsender (autentisering). Se også: PKI i e-resept.

Virksomhetssertifikater vil brukes til å signere meldingskonvolutter og til å kryptere disse.

Personlig sertifikat nivå høyt benyttes for rekvirenter som skal signere elektroniske resepter.

Identifisering

Identifisering handler i denne sammenheng om å avgjøre hvilket individ eller organisasjon som står bak et dokument eller har utført en handling. For at en identifisering skal være endelig, må identifikatoren være unik, dvs. kun knyttet til én person eller virksomhet. For virksomheter benyttes organisasjonsnummer registrert i Enhetsregisteret som unike identifikator. For rekvirenter er HPR-nummeret og fødselsnummeret unike identifikatorer, og i samband med elektroniske resepter utfyller disse hverandre. HPR-nummer er likevel den primære identifikator. Den er en offentlig opplysning, og er den ID som er knyttet til rekvirentens virke. Fødselsnummeret brukes primært til autentisering (se under).

Autentisering

Autentisering kan beskrives som det å etablere et visst nivå av tillit til en påstått identitet. I en elektronisk resept skjer autentiseringen ved elektronisk signatur (Se PKI i e-resept) og vi oppnår sterkest autentisering ved å kontrollere fødselsnummer i sertifikatet resepten er signert med mot HPR-registeret og HPR-nummer på resepten.

Autorisering

Autorisering av rekvirenter i e-resept (i Reseptformidler, hos Helfo, utleverer og DMP) bruker HPR-registeret som autoritativ kilde. Nøkkelen i dette registeret er HPR-nummeret. Hvis HPR-nummeret er autentisert, så legges opplysningene i HPR-registeret til grunn for forholdet til individet som har dette HPR-nummeret: vedkommende autoriseres da i henhold til HPR-registerets opplysninger.

Konfidensialitet

Kryptering med mottakers virksomhetssertifikat (offentlig nøkkel) sikrer konfidensialitet (beskyttelse mot innsyn) under transport. Kun mottaker vil ha mulighet til å lese innholdet.

Kryptering skal minst benytte ”3DES”, men partene må være i stand til å håndtere meldinger med nyere og sterke algoritmer.

Bestilling av reseptbelagte varer på Internett: Kryptering skal minst benytte RSAES-OAEP og AES-256.

Integritet

I e-resept er det krav til bruk av personlig sertifikat nivå høyt for rekvirenter som skal signere elektroniske resepter. Elektroniske resepter skal enten være signerte med slikt sertifikat eller signert med identitesbevis av godkjent system. Dette sikrer ikke-benekting og autentisitet, samt integritet (innholdet er uendret).

I e-resept skal integritet under overførsel mellom aktører sikres ved bruk av signering med avsenders virksomhetssertifikat.

Signering skal minst benytte SHA256 som hash-algoritme.

Se også: Signering av e-resept meldinger

Håndtering av nedetid hos CA

Reseptformidleren skal kontrollere at sertifikatet er gyldig og også slå opp hos CA og hente rekvirents personnummer for kontroll mot HPR.  Et sertifikats gyldighet sjekkes mot CRL (sperreliste), mens personnummer hentes ved OCSP-oppslag online mot CA. For å sikre oppetid aksepteres at resultatet av OCSP-oppslaget caches i Reseptformidleren i inntil 24 timer.

Dersom CA ikke er tilgjengelig er det mulig å benytte cachet verdi i inntil 24 timer til før Resepthåndteringen stanses opp. For CRL aksepteres at gammel CRL benyttes i maksimalt 12 timer etter at ny CRL skulle vært mottatt.

Tilgjengelighet

Pasientsikkerhet forutsetter at elektroniske resepter ikke bare er sikret mot innsyn og misbruk, men at de er tilgjengelige. Reseptinformasjon må være tilgjengelige når utlevereren eller rekvirenten har behov for innsyn. Dette stiller krav til rekvirent og utleverer system i tråd med gjeldende praksis, men viktigere er kravene til Reseptformidleren og Norsk Helsenett.

Reseptformidlerens skal driftes med krav om oppetid på 99,99 % målt på månedlig basis. Dette svarer til 4 minutters nedetid per måned. Reseptformidleren skal driftes fullt redundant, med doble nett-tilkoblinger til det nasjonale hovednettet i Norsk Helsenett. Det stilles også krav til at Norsk Helsenett driftes med 99,99 % tilgjengelighet på sine sentrale løsninger målt på månedlig basis.

Kvalitet

I e-resept skal kvalitet sikres ved felles datagrunnlag i FEST, strukturerte meldinger, bruk av hodemelding og bruk av kodeverk. Det stilles krav om at alle aktører i e-resept skal bruke FEST som datagrunnlag og at faglig informasjon som finnes i FEST brukes som basis for meldingene der hvor dette er mulig. 

Det stilles krav om at alle aktører i e-resept kvalitetssikrer informasjonen som er brukerdefinert og at det ikke skal være mulig å legge inn informasjon som fører til feil, eller at bruker unngår å legge inn informasjon i nødvendige felt. Til rekvirent stilles det krav om at reseptID IKKE skal endres ved resending av melding.

Videre stilles det krav til at alle aktører som skal kommunisere i e-resept skal godkjennes av NHN for sending og mottak av alle relevante meldinger, samt at det stilles krav til at alle aktører har vært gjennom e-resepts testregime.

Kontroll av signeringstidspunkt

Når dokumenter signeres av rekvirenten skjer dette uten at en tiltrodd tredjepart går god for at signeringen faktisk skjer på den dato som er angitt som forskrivningsdato. For å sikre at det ikke skrives resepter frem eller tilbake i tid skal Reseptformidleren sikre at differansen mellom reseptens forskrivningsdato og Reseptformidlerens systemklokke ved mottakstidspunktet ligger innenfor +/- 2 timer.  Reseptformidleren skal avvise resepter som den mottar, dersom avviket er større.

Historiske resepter kan ha opptil 7 dagers avvik mellom forskrivningsdato og mottak av Reseptformidleren.

Mottakstidspunktet fra Reseptformidleren skal benyttes som utgangspunkt for beregning av siste tidspunkt for mulig utlevering. Mottakstidspunktet lagres i SKO.

Reseptformidleren skal oppdatere sin systemklokke slik at den aldri er mer enn 1 sekund fra referansetiden (ntp.uio.no) .

Sporbarhet

Med sporbarhet menes mulighet for å følge informasjon gjennom hele levetiden og mulighet for å finne logget informasjon som gjør det mulig å rekonstruere informasjonsflyten.

Sporbarhet er også en viktig forutsetning for å kunne oppdage og håndtere uønskede hendelser i Reseptformidleren.

Sporbarhet skal sikres med en kombinasjon av tre forskjellige mekanismer som samlet gjør det mulig å rekonstruere et forløp. Disse mekanismene er:

  • Logging

  • Opprettelse av SKO

  • Lagring av dokumenter

Logging

Alle parter skal gjennomføre logging som er nødvendig for å overholde de regler for informasjonssikkerhet som normen for informasjonssikkerhet i Helsesektoren fastsetter. 

Alle aktører skal logge alle inn- og utgående meldinger for å sikre sporbarhet av transaksjoner. Minimum skal alle aktører i forbindelse med meldingsmottak og forsendelse logge (eller på annen måte ta vare på):

  • Meldings-ID

  • Meldingspart (avsender/mottaker)

  • Tidspunkt

Logging i systemene skal videre sikre at eventuelt misbruk av opplysninger fra Reseptformidleren kan avdekkes. Dette stiller krav til at avsender av meldingene M9.1, M9.3, M9.11 og M10 logger hvilken bruker som sender meldingen.

I tillegg til krav om logging av meldinger og interaksjon med andre aktører er det også krav om logging av all systembruk utført av autorisert administrativt personale. Forsøk på uautorisert bruk skal også logges.

Se også 

I tillegg til loggingen vil signaturkontrollobjektet (SKO) overføre viktig informasjon om reseptens signering og gyldighet.

Opprettelse av SKO

Reseptformidleren skal for alle innkomne resepter opprette et Signaturkontrollobjekt (SKO) hvor Reseptformidleren dokumenterer hvilke tester som er gjennomført ved mottakelse av meldingen. Dette objektet skal så følge resepten i alle meldinger hvor resepten blir formidlet med unntak av M9.6 til rekvirent. 

Lagring av dokumenter

Det er for partene i e-resept krav om dokumentasjonsplikt knyttet til flere lover og forskrifter. Hver part skal overholde dokumentasjonsplikter som er relevante for deres virksomhet og på den måten sikre sporbarhet for dokumenter i tidsrommet lover og forskrifter krever.