Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Relevanta dokument
Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Manual inloggning Svevac

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Krav på säker autentisering över öppna nät

Mobilt Efos och ny metod för stark autentisering

Informationssäkerhet

Riktlinje för informationshantering och journalföring

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Manual - Inloggning. Svevac

Patientdatalagen. Juridik- och Upphandlingsstaben

Manual - Inloggning. Svevac

Informationssäkerhet i patientjournalen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Arkitekturella beslut Infektionsverktyget. Beslut som påverkar arkitekturens utformning

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Portförändringar. Säkerhetstjänster 2.1 och framåt

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Systemadministration. Webcert Fråga/Svar

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Införande av Pascal ordinationsverktyg för elektroniska dosordinationer

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

RÅD Checklista för avtal rörande sammanhållen journalföring

Checklista. Konsumentinförande via Agent, Nationell Patientöversikt (NPÖ)

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Manual - Inloggning. Svevac

Kändisspotting i sjukvården

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

BILAGA 1 Definitioner Version: 2.01

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Checklista. För åtkomst till Svevac

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Handledning i informationssäkerhet Version 2.0

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Bilaga 1 - Handledning i informationssäkerhet

Ditt nya smarta etjänstekort!

till Säkerhetstjänster x

Aktiva Val. Journalfilter i TakeCare

BILAGA 1 Definitioner Version: 2.02

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Sekretess, lagar och datormiljö

Stark autentisering i kvalitetsregister

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Anvisning för gemensamma konton, G-konto

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

BILAGA 1 Definitioner

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

BILAGA 1 Definitioner

Logghantering för hälso- och sjukvårdsjournaler

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Framtagande av mobil tjänst inom Region Skåne

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

EyeNet Sweden stark autentisering i kvalitetsregister

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.2

Nationell patientöversikt en lösning som ökar patientsäkerheten

Anvisning Gemensamma konton GIT

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Svevac - Beskrivning och tjänstespecifika villkor

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Loggkontroll - granskning av åtkomst till patientuppgifter

Testa ditt SITHS-kort

Apotekens Service. federationsmodell

Stark autentisering i kvalitetsregister

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Juridik och informationssäkerhet

Elevlegitimation ett konkret initiativ.

NPÖ Nationell patientöversikt

Introduktion. September 2018

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Underlag till möte om Sambis testbädd och pilotverksamhet

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Sammanhållen journalföring

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Pascal tillämpningsanvisning Anrop av Pascal via uthopp från annan applikation

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Åtkomst till Vårdtjänst via RSVPN

Termer och begrepp. Identifieringstjänst SITHS

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Pascal ordinationsverktyg ersätter e-dos

Informationssäkerhet, ledningssystemet i kortform

Transkript:

Anvisningar för användare vid användning av e- Tjänster Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Innehåll Målgrupp... 2 Revisionshistorik... 2 Sammanfattning... 3 Användarens ansvar... 3 e-arbetsplatsens ansvar... 3 IdP n ansvar... 3 e-tjänstens ansvar... 3 Inledning... 4 Syfte... 4 Bakgrund... 4 Avgränsningar... 4 Förutsättningar... 5 Lagstiftningar... 5 Författningssamlingar... 5 SOSFS 2008:14 [R2]... 5 Hälso- och sjukvårdspersonalens och andra befattningshavares ansvar... 5 Rekommendationer på krav som bör ställas på användaren... 6 Referenslista... 7 Sid 1/7

Målgrupp Målgruppen för detta dokument är utvecklare och förvaltare av e-tjänster som samverkar i en SAML SSO-miljö. Primärt för Inera s e-tjänster som samverkar med Säkerhetstjänsternas SSO-miljö. Dokumentet ska tjäna som ett stöd för e-tjänsternas användaranvisningar. Revisionshistorik Version Datum Författare Kommentar 0.1 2013-12-16 Björn Skeppner Första utgåva 0.2 2013-12-17 Björn Skeppner Smärre justeringar 0.9 2013-12-18 Björn Skeppner Justerad efter synpunkter 1.0 Björn Skeppner Justerad efter första remissomgång Bidragande till detta dokument har varit (alfabetisk ordning): Namn Organisation/Företag Ewa Jerilgård Ulf Palmgren CeHis Cesam Sid 2/7

Sammanfattning Den sammantagna säkerheten i en Single Sign On-miljö (SSO) bygger på att alla medverkande parter uppfyller kraven, så att tillit till ingående parter uppnås. Parterna är: Användaren e-arbetsplats (PC, läsplatta etc) Identitetsutfärdaren (IdP:n) e-tjänsten (applikationen, SP:n) Användarens ansvar Är att följa lagar & föreskrifter som är applicerbara inom applikationens användningsområde Tillse att ingen obehörig har åtkomst till inloggad e-tjänsten. Vilket t.ex innebär att användaren är skyldighet att logga ut & stänga e-tjänsten då e-arbetsplatsen lämnas obevakad. Alternativt att låsa sin e-arbetsplats för åtkomst. e-arbetsplatsens ansvar Är att tillse att kommunikationen med e-tjänsten och IdP n sker med förväntad säkerhet. För att detta ska kunna uppfyllas krävs att den är rätt konfigurerad och har erforderlig programvara installerad och uppdaterad IdP n ansvar Är att identifiera och autentisera en användare och utställa ett identitetsintyg (SAMLbiljett) till de e-tjänster som aktören avser att nyttja e-tjänstens ansvar Är att validera riktigheten i identitetsintyget (SAML-biljetten) och utifrån dess behörighetsstyrande attribut tilldela/neka tillgång till funktioner inom e-tjänsten. Sid 3/7

Inledning Syfte Syftet med detta dokument är att klargöra vilka krav som ställs på en användare av e-tjänster som levereras av Inera. Bakgrund Detta dokument är ett av tre dokument som levereras såsom en leverans av uppdraget: Uppdrag - Hantering av säkerhetsaspekter vid inloggning med SITHS-kort [R1] som i sin tur har sitt ursprung av de incidentrapporter Inera-INC-22948 och Inera-INC-22953 som inkom till Ineras servicedesk under september 2013 och resulterade i en rapport: Rapport Säkerhetsproblem - SSO 2013-09-12 [R2]. De två andra dokumenten som uppdraget levererar är: Anvisningar för e-arbetsplats som används vid inloggning med smarta kort/certifikat [R3] Anvisningar för användare vid användandet av e-tjänster [R4] Uppdraget skall således hantera riktlinjer & krav på följande delar: e-arbetsplatsen användarens arbetsstation e-tjänsten den applikation som användaren nyttjar Användarens ansvar och skyldigheter Avgränsningar Detta dokument syftar endast till att ge förvaltningar/leverantörer av e-tjänster underlag till anvisningar och användarkrav till de användare som är brukare av e-tjänsten. Sid 4/7

Förutsättningar Lagstiftningar Patientdatalagen SFS 2008:355 [R1] 4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet Inre sekretess 1 Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Författningssamlingar SOSFS 2008:14 [R2] Hälso- och sjukvårdspersonalens och andra befattningshavares ansvar 20 Den hälso- och sjukvårdspersonal, entreprenör, uppdragstagare eller annan som arbetar för en vårdgivare eller som har slutit avtal med en vårdgivare ska 1. ansvara för att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för obehöriga, 2. ansvara för att datorer eller andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst, och 3. endast ta del av patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap. 4 och 5 patientdatalagen (2008:355) behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Sid 5/7

Rekommendationer på krav som bör ställas på användaren Att användaren inte ska lämna en e-arbetsplats obevakad då användaren är inloggad på en e-tjänst med patientinformation Att om användaren lämnar e-arbetsplatsen tillfälligt ska användaren antingen logga ut ur alla e-tjänsten eller aktivera personligt lösenordsskyddad skärmsläckare eller motsvarande samt avlägsna sin e-legitimation (ex SITHS-kortet) Att då användaren loggar ut ur e-tjänsterna för att lämna sin e-arbetsplats även avslutar samtliga webläsarfönster samt avlägsna sin e-legitimation (ex SITHS-kortet) Att användaren inte får ändra inställningarna på e-arbetsplatsen som rör hantering av e- tjänstekort, exempelvis inställningar för smartkortsläsare och Net id Att användaren bara använder e-arbetsplatsen i enlighet med verksamhetens regelverk Att användaren rapporterar misstänkta incidenter som kan tänkas påverka e- Arbetsplatsens skyddsnivå Att e-arbetsplatsen endast får vara ansluten till av verksamheten godkända nätverk Att användaren ska skydda och ej avslöja PIN-koden till sin e-legitimation (ex SITHSkortet) Sid 6/7

Referenslista Ref Dokumentnamn Dokument R1 Patientdatalagen SFS 2008:355 http://www.riksdagen.se/sv/doku ment- Lagar/Lagar/Svenskforfattningss amling/patientdatalag- 2008355_sfs-2008-355/ R2 Socialstyrelsens http://www.socialstyrelsen.se/s osfs/2008-14 R3 Riktlinje för klientdator som används vid inloggning med smarta kort/certifikat R4 Riktlinjer för användare vid användandet av e- Tjänster URL URL Sid 7/7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss