Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Relevanta dokument
Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Tjänstelegitimation och privata aktörer i offentlig regi. E-legitimationsdagen :15 14:45 Ulf Palmgren

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Infrastruktur med möjligheter

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Juridik och informationssäkerhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Sentrion och GDPR Information och rekommendationer

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Manual inloggning Svevac

Logghantering för hälso- och sjukvårdsjournaler

Manual - Inloggning. Svevac

Tillsyn - äldreomsorg

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Manual - Inloggning. Svevac

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Mobilt Efos och ny metod för stark autentisering

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Redovisning av nyckeltal för utveckling av ehälsa i kommunerna feb Datum:

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Svensk e-legitimation

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Checklista. För åtkomst till Svevac

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Det finns tre olika sätt för Dagboksinnehavaren att logga in i Dagboken

Svensk författningssamling

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Manual - Inloggning. Svevac

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Behandling av personuppgifter

Utbildningsinnehåll. Introduktion E-tjänstekort. Kortkrav. Korttyper. Rutiner

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

ehälsomyndighetens nya säkerhetskrav

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PhenixID & Inera referensarkitektur. Product Manager

MAS Kvalitets HANDBOK för god och säker vård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

E-hälsa och välfärdsteknik i kommunerna 2016

Patientdatalagen (PdL) och Informationssäkerhet

Vad händer här och nu? E-legitimationsnämndens aktiviteter

Elevlegitimation ett konkret initiativ.

Introduktion. September 2018

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Införande av Pascal ordinationsverktyg för elektroniska dosordinationer

Hantering av personuppgifter i Borås Stad

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Informationssäkerhet i patientjournalen

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Sekretess, lagar och datormiljö

Krav på säker autentisering över öppna nät

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

PERSONUPPGIFTSBITRÄDESAVTAL

Behandling av personuppgifter vid Göteborgs universitet

E-hälsoutvecklingen i kommunerna

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Personuppgiftsbiträdesavtal

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Transkript:

Säker roll- och behörighetsidentifikation Ulf Palmgren, SKL Webbseminarium 181114

Bakgrund Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänsten stack ut gällande Säker roll- och behörighetsidentifikation Presentation från 2018-07-09 finns på: https://ehalsa2025.se/2025-podden/e-halsa-och-valfardsteknik-kommunerna- 2018/

Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänstpersonalen har inte i lika hög utsträckning som hälsooch sjukvårdspersonalen tillgång till säker roll- och behörighetsidentifikation. När det gäller personal i myndighetsutövningen är det 52 procent av kommunerna som anger att all personal använder en säker roll- och behörighetsidentifikation i sitt arbete

Vad är Säker roll- och behörighetsidentifikation?

Säker roll- och behörighetsidentifikation Stark Autentisering (Säker inloggning) Vem du är Behörighetsstyrning (Aktiv och behovsprövad) Vad du kan göra Åtkomstkontroll (Systematisk logguppföljning) Uppföljning om du hade behov Även privatpersonen har rätt till loggutdrag

Stark autentisering (Säker inloggning) Om (integritets-) känsliga personuppgifter är åtkomliga över öppet nät, till exempel Internet, ska användarnas identitet säkerställas med en teknisk funktion som ger en stark autentisering Stark autentisering ett samlingsnamn för tekniska funktioner som säkerställer en användares identitet genom användarcertifikat, engångslösenord eller motsvarande, det vill säga mer än enbart användarnamn och lösenord. Om en autentiseringslösning innefattar fler än en faktor sägs vanligen att den kan uppnå en stark autentisering av användaren.

Stark Autentisering Säker inloggning 2-faktors autentisering Två av följande faktorer ska vara uppfyllda: Något du kan (lösenord, PIN-kod) Något du har (eid-kort, dosa, skraplott, telefon/sms) Något du är (fingeravtryck, röst, retina-scan) Exempel 1, kort/pin PIN Exempel 2, mobil/pin PIN Exempel 2, SMS/engångslösenord Användarnamn Lösenord Engångs lösenord

Behörighetsstyrning Utgångspunkten är att behörigheten ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Krav på att organisationen ska ha rutiner för att tilldela, förändra, ta bort och regelbundet följa upp individuella (tekniska) behörigheter för åtkomst till patientuppgifter.

GDPR Artikel 29 Säkerhet i samband med behandling säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet (åtkomstkontroll), säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes (indatakontroll), förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

Systematisk logguppföljning Informera personalen Informera personalen om att logguppföljning sker, under vilka omständigheter personalen får ta del av uppgifter, att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet samt om följderna av att olovligen ta del av uppgifter. Kontrollera de tekniska förutsättningarna Ta fram rutiner för loggarna genom att bestämma urval och omfattning av loggposterna Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Dokumentera logguppföljningen och följ upp rutinen

GDPR Artikel 25 Loggning 1. Medlemsstaterna ska säkerställa att loggar förs över: insamling, ändring, läsning, utlämning inbegripet överföringar, sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till personuppgifterna. 2. Loggarna bör endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden.

Vilka lösningar finns idag?

Verksamhetens önskemål: En säkerhetslösning, inte många Kommun Ekonomi Miljö & Hälsa Vård & Omsorg Skola Bygglov Socialtjänst Barn-omsorg Gata & Park Överförmyndare Användarnamn lösenord Sms Dosor E-tjänstelegitimation Privat e-legitimation

Vad kan vi göra idag? Se till att E-legitimationer i tjänsten uppfyller Svensk e- legitimation Godkänd av E- legitimationsnämnden som utfärdare av Svensk e- legitimation Fördelar Alla uppfyller ett gemensamt tillitsramverk för e-leg Möjliggör att kunna ingå i federationer E-legitimationer som uppfyller kraven kan notifieras för eidas. Komplettera gärna med leverantör av eid-tjänst för privat användning

Inera: Säker inloggning SITHS-kort Dagens lösning med ID-Kort försett med e-legitimation EFOS (E-identitet för offentlig sektor) Tillsammans med myndigheterna morgondagens gemensamma lösning Ersätter både SITHS-kortet och myndigheternas MCA-kort Mobilt EFOS Inera kommer att leverera en mobil lösning som gör det möjligt för en användare att logga in i e-tjänster med mobiltelefoner och surfplattor.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss