Bilaga 2. Säkerhetslösning för Mina intyg



Relevanta dokument
Nationell patientöversikt en lösning som ökar patientsäkerheten

Checklista. För åtkomst till Svevac

Införande av Pascal ordinationsverktyg för elektroniska dosordinationer

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

E-legitimationsdagen

Utbildningsinnehåll. Introduktion E-tjänstekort. Kortkrav. Korttyper. Rutiner

Regional strategi för ehälsa i Västernorrland

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Tjänster för elektronisk identifiering och signering

Samverka effektivare via regiongemensam katalog

Svensk e-legitimation

Ordinera dos kommer att kräva SITHS-kort. Marie-Louise Gefwert Inera AB

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

E-legitimationer i Sverige idag

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Tekniskt ramverk för Svensk e- legitimation

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Bilaga 1. Preliminär juridisk rapport

Identifieringstjänst. del av projektet Infrastruktur

Inom kort kommer sjuksköterskor inte längre åt webbapplikationen e-dos om de inte har SITH- kort, Apotekets säkerhetsdosa eller en e-legitimation.

Arkitekturella beslut Infektionsverktyget. Beslut som påverkar arkitekturens utformning

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Marknaden år 2012 för elektronisk legitimering och underskrift inom offentlig sektor

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

2016 går offentlig sektor över till Svensk e-legitimation EUROPOINT

Manual - Inloggning. Svevac

Landsting, regioner och kommuners upphandling av infrastrukturtjänster. Christian Isacsson & Henrik Schildt

10. Regelbok IT-information IT och ehälsa. Primärvårdsprogram 2015

Mobilt Efos och ny metod för stark autentisering

ehälsomyndighetens nya säkerhetskrav

En övergripande bild av SITHS

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Intygstjänster. - Beskrivning och tjänstespecifika villkor

Stockholms läns landsting Landstingsrådsberedningen

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Identitet, kontroll & spårbarhet

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Förslag Regionalt program ehälsa Margareta Hansson, Regionförbundet Örebro Ulrika Landström, Örebro läns landsting

Inera uppdrag, organisation, framtid. Sofie Zetterström, vice vd Offentliga rummet

Interimslösning SITHS delområde HSA-katalogen

Intygstjänster

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Tjänsteavtal för ehälsotjänst

IT forum - kommuner och landsting i Stockholmsregionen

Marknaden år 2011 för elektronisk legitimering och underskrift inom offentlig sektor

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Svevac - Beskrivning och tjänstespecifika villkor

Teknisk infrastruktur för nationell IT-strategi för vård och omsorg samt kommunal e-förvaltning

PhenixID & Inera referensarkitektur. Product Manager

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Intygstjänsterna sparar tid och pengar och höjer kvaliteten

Systemadministration. Webcert Fråga/Svar

Federering i praktiken

Mobilt Efos och ny metod för stark autentisering

Svensk e-legitimation och eidas

Här är vi - och hit är vi på väg! Åke Rosandher, chef CeHis

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Valfrihetssystemet eid 2016 Övergångstjänst. E-legitimationsnämndens informationsmöte 31/5

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

E-legitimationsutredningen SOU 2010:104

Tjänstelegitimation och privata aktörer i offentlig regi. E-legitimationsdagen :15 14:45 Ulf Palmgren

Viktiga steg för gränsöverskridande e-legitimation

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

Avtal om Kundens användning av Pascal Bilaga 1 - Tjänstespecifikation Pascal

Krav- och kvalitetsbok

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

eid Support Version

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Landstings, regioners och kommuners handlingsplan för ehälsa Åke Rosandher Center för ehälsa

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter

Att legitimera sig elektroniskt i tjänsten

Svensk e-legitimation. Nu kör vi!

Avrapportering, KS-VOO , Malmö stads strategi och handlingsplan för ehälsa

Mobilt Efos och ny metod för stark autentisering

Bättre överblick, ännu bättre vård. Bättre helhet. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Regional IT-samverkan i Östergötland

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

E-legitimering och e-underskrift Johan Bålman esam

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Manual - Inloggning. Svevac

Testa ditt SITHS-kort

SAMSET dagsläget sommaren 2003

Information till dig som patient. Patientjournalen - för säkrare vård. Information om Sammanhållen journal och om Nationell Patientöversikt

Aktuellt läge för Pascal och bakgrund till utvecklingen

Erfarenheter med nationell patientöversikt och arbetet med en gemensam läkemedelslista

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Transkript:

Bilaga 2. Säkerhetslösning för Mina intyg Sid 1/17

Innehåll 1. Sammanfattning... 2 2. Inledning... 3 3. Introduktion... 4 4. Säkerhetslösning för Mina intyg... 5 5. Krav på andra lösningar och aktörer... 14 6. Vidare arbete och utredning... 15 7. Referenser... 16 1. Sammanfattning Detta är en utredning av säkerhetslösning för e-tjänsten Elektroniska intyg för alla intressenter. Säkerhetslösningen ska omfatta läkare/vårdpersonal båda inom den offentliga och den privata sektorn. Det är viktigt att lösningen för läkare/vårdpersonal inom den privata sektorn är användarvänlig och kostnadseffektiv och därmed attraktiv. Läkare/vårdpersonal behöver få tillgång till följande funktioner i tjänsten Mina intyg som kräver en säkerhetslösning: inloggning legitimering signering. 1.1. Säkerhetslösning Läkare/vårdpersonal behöver använda en e-legitimation i form av ett kort, med säkerhetsnivå/tillitsnivå AL4. 1.1.1. Teknisk lösning/implementering Utredningen av säkerhetslösningar föreslår att projektet använda två "parallella" lösningar för att säkra en enkel och kostnadseffektiv säkerhetslösning för läkare/vårdpersonal inom den privata sektorn: 1. Lösningen med SITHS-kort och uppslag i HSA. Denna lösning finns idag och används idag i andra e-tjänster. Denna används och kan användas av läkare från båda den privata och offentliga sektorn. Sid 2/17

2. Lösningen med annan e-legitimation än SITHS-kort och uppslag i Socialstyrelsens HOSP. Denna kan användas av läkare från den privata sektorn som ett alternativ till lösning A. Vidare arbete Utredningen behöver fortsätta för: Förtydliga säkerhetsnivå/tillitsnivå, kravbild i form av lagkrav, direktiv etc. samt definitioner at säkerhetsnivåer/tillitsnivåer enligt existerande och kommande internationella standarder Att detaljera förslag till lösning med krav och gränssnitt till befintliga system Att detaljera krav på ändringar i andra system Att identifiera kostnader för de olika komponenterna i lösningen Lösningen kommer att sätta krav på Ineras Säkerhetstjänster. Lösningen kommer att ställa krav på koppling till Socialtjänstens HOSP. Kvarstående frågor att utreda: Vilka andra e-tjänster är planerade eller under utveckling som också har nytta av LÖSNING B, så denna kostnad kan bäras av flera tjänster och eventuellt aktörer. 2. Inledning 2.1. Bakgrund och syfte Mina intyg ska kunna användas av alla läkare/vårdpersonal, båda inom den privata och den offentliga sektorn. Lösningen ska vara attraktiv för läkarna/vårdpersonalen inom den privata sektorn. 2.2. Förväntade leverabler Utredningen tar fram förslag till säkerhetslösning för Mina intyg. 2.3. Utmaningar Sid 3/17

Utmaning säkerhetslösning 21 landsting/regioner 290 kommuner Privata sjukhus och vårdcentraler Drygt 2000? privata läkare Hitta en lösning med rätt säkerhetsnivå Hitta en för alla parter kostnadseffektiv lösning Privatläkarna kommer inte att använda lösningen om det blir för dyr och krånglig att använda 3 3. Introduktion 3.1. Beskrivning av Mina intyg Lösningsbeskrivning Läkarna skall logga in sig säkerhet i intygsfunktionen (kan vara en nationell webbapplikation eller i ett journalsystem) Mina intyg skall kontrollera att läkaren har behörighet genom att denne har en giltig läkarlegitimation Läkaren skall kunna skriva under intyget elektronisk 3.2. Utmaningar Problematiken som ska belysas är 1. Vilken säkerhetslösning behövs för Mina intyg? 2. Hur ska säkerhetslösningen vara för att vara attraktiv för den privata sektorn? Sid 4/17

Problemområde 1: Säkerhetslösning med lämplig säkerhetsnivå skall användas. Problemområde 2: Vilken lösning vill läkarna/vårdpersonal inom den privata sektorn ha? Påstående: Privatläkarna vill ha en enkel/användarvänlig och kostnadseffektiv/billig lösning. Lösningen ska vara enkel att använda och lätt att lära. De önskar också att ha en lätt administration av tjänsten. De önskar inte investera i en dyr lösning. Om de inte får tillgång till en användarvänlig och kostnadseffektiv lösning kommer de att fortsätta att använda blanketter, dvs. manuell hantering istället för elektronisk hantering. Utredningen innehåller följande delar: Krav på säkerhetslösningen? Vilka lösningar är tillgängliga nu? Vilka lösningar kommer att vara tillgängliga i framtiden? Förslag till lösning eller lösningar tas fram och beskrivs. 4. Säkerhetslösning 4.1. Krav på säkerhetslösningen Säkerhetslösningen ska omfatta läkare/vårdpersonal båda inom den offentliga och den privata sektorn. Det är viktigt att lösningen för läkare/vårdpersonal inom den privata sektorn är användarvänlig och kostnadseffektiv och därmed attraktiv. Läkare/vårdpersonal behöver få tillgång till följande funktioner i tjänsten Mina intyg som kräver en säkerhetslösning: inloggning legitimering signering. 4.2. Säkerhetsnivåer/Tillitsnivåer Säkerhetslösningen ska omfatta läkare/vårdpersonal båda inom den offentliga och den privata sektorn. Ett tillitsramverk som är i samklang med den internationella utvecklingen och standardiseringen är centralt för att bygga nödvändigt förtroende e-legitimationer. Sid 5/17

De flesta av de internationella ansträngningar som gjorts för att definiera nivåer av tillit vid användning av e-legitimationer har sin grund i en publikation (SP 800-63) från det amerikanska National Institute of Standards and Technology (NIST). Fördjupande arbeten har därför bedrivits inom bl.a. Europeiska unionen, där det storskaliga s.k. STORK-projektet utgjort en viktig del. International Organization for Standardization och International Electrotechnical Commission (ISO/IEC) arbetar med att ta fram standarden ISO/IEC 29115, som förväntas bli internationell norm på området. Ramverken/Standarderna definierar upp tillitsmodeller och olika nivåer. Tillitsmodeller: Det är e-tjänsten, i detta fall Mina intyg, som avgör vilket skyddsbehov som finns för tjänsten och tjänstens olika funktioner. Tillitsnivåer: I tillägg till skyddsbehov som är användbarhet, effektivitet och kostnad viktiga faktorer. Definition av tillitsnivåer: Ramverken och standarden definierar upp fyra tillitsnivåer. Sid 6/17

Det finns en tolkningsfråga i definition av olika tillitsnivåer. 4.3. Förslag till säkerhetsnivå/tillitsnivå på säkerhetslösningen Krav på säkerhetslösningen: Krav på säkerhetslösningen E-legitimation Stark identifiering, AL4 Elektronisk signering, AL4 Kontroll av behörigheter Läkarlegitimation AT läkare Läkare/vårdpersonal behöver använda en e-legitimation i form av ett kort, med säkerhetsnivå/tillitsnivå AL4. Detta kan i vissa fall också beskrivas som krav på AL3 med kort. Underlag för detta krav (juridik): Patientdatalagen från 2008: Nationella IT-lösningar för vård och omsorg måste garantera säkerhet, integritet och sekretess. Användare måste kunna identifieras, tillgång till information anpassas efter användaren och användarens handlingar måste kunna spåras. Krav från Datainspektionen Sid 7/17

4.4. Dagens lösningar 4.4.1. e-legitimationer Följande e-legitimationsaktörer och lösningar är identifierade som tillgängliga: SITHS (på kort) (Telia) elegitimation BankID (på fil, på kort och mobil) BankID Nordea (på fil, på kort) Telia eid (på fil, på kort) Kvalificerad e-legitimation (på kort) Enbart lösningar på kort analyseras/utvärderas då de på fil eller mobil inte tillfredställer kraven. Lösningarna beskrivs i förhållande till: Tillgänglighet/Leverantör/Avtal Komplexitet/Integration/Vad som krävs/koppling HSA Kostnad/Kostnadskomponenter Konsekvenser, positiva/negativa SITHS Tillgänglighet/Leverantör/Avtal Består av Telia eid och SITHS eid på ett smart kort. Avtalet kring SITHS Avropsavtal för SITHS CA och kort 2005 (144930) bygger på Stadskontorets ramavtal för EID 2004-6680/04 och EID 2008. Avtalet löper över perioden: 2007-03-01 2012-03-01 med rätt till förlängning av avtalstiden med upp till tre (3) år, dvs 2015-03-01. Första förlängning av avtalet 2012-03-02 2013-03-01 har påbörjats. Komplexitet/Integration/Vad som krävs/koppling HSA Koppling HSA finns Kostnad/Kostnadskomponenter Kostnad för kortet och HSA kopplingen Konsekvenser, positiva/negativa Finns, redo att använda. BankID (på kort) Tillgänglighet/Leverantör/Avtal BankID ges ut av vissa banker. Sid 8/17

Komplexitet/Integration/Vad som krävs/koppling HSA Möjlighet att skriva avtal om koppling Kostnad/Kostnadskomponenter Kostnad för kortet och HSA kopplingen Konsekvenser, positiva/negativa Behöver kopplas till HSA BankID Nordea (på kort) Tillgänglighet/Leverantör/Avtal Nordea Komplexitet/Integration/Vad som krävs/koppling HSA Möjlighet att skriva avtal om koppling Kostnad/Kostnadskomponenter Kostnad för kortet och HSA kopplingen Konsekvenser, positiva/negativa Behöver kopplas till HSA Telia eid (på kort) Tillgänglighet/Leverantör/Avtal Telia Komplexitet/Integration/Vad som krävs/koppling HSA Möjlighet att skriva avtal om koppling Kostnad/Kostnadskomponenter Kostnad för kortet och HSA kopplingen Konsekvenser, positiva/negativa Behöver kopplas till HSA Kvalificerade e-legitimation (på kort) Tillgänglighet/Leverantör/Avtal SignGuard Komplexitet/Integration/Vad som krävs/koppling HSA Fristående lösning. Möjlighet att skriva avtal om koppling. Kostnad/Kostnadskomponenter Kostnad för kortet och HSA kopplingen Konsekvenser, positiva/negativa Sid 9/17

Lösningen finns men få användare. Är en kvalificerad lösning enligt lagen om kvalificerade elektroniska signaturer. 4.4.2. Säkerhetslösningar Inera:s uppdrag kring säkerhetslösningar Säkerhetstjänster erbjuder en enhetlig och säker hantering av information som överförs mellan olika IT-system inom hälso- och sjukvården. Bara rätt person ska kunna ta del av rätt information. Säkerhetstjänster är viktiga för att tillgodose lagliga krav och för att patienter ska känna förtroende för vårdens sätt att hantera patientinformation. Vad består Säkerhetstjänster av? Säkerhetstjänster består av nio olika tjänster som samverkar med varandra. Varje del har var för sig en unik funktionalitet, och kan fungera oberoende av varandra. Men för att uppnå maximal informationssäkerhet vid hantering av vårdinformation, behövs full samverkan mellan de olika tjänsterna. Nio samverkande tjänster: Autentisering Lokal spärrtjänst Tillgänglig patient (TGP) Logganalys Nationell spärrtjänst Patientrelation Loggning Samtycke Åtkomstkontroll 1 Säkerhetslösningar: Vad finns idag Inloggning med 2-faktors autentisering med SITHS kort och med engångslösen Autentisering kan användas via både Sjunet och Internet För samtliga alternativ gäller att alla användare ska finnas i HSA katalog med attribut för access till Pascal. 14 Sid 10/17

4.4.3. Behörigheter Katalogtjänsten HSA Katalogtjänst HSA: Vad finns idag HSA katalog kan innehålla attribut för alla aktörer Har koppling till HOSP där (information om giltig legitimation finns) behörighet att skriva ut intyg ligger Aktuellt läge Så här långt har vi kommit med utbyggnaden av HSA i landet: Alla 21 landsting och regioner finns upplagda i HSA. 278 kommuner finns upplagda i HSA. 25 privata vårdaktörer finns upplagda i HSA. Information i HSA används av cirka 10 andra nationella tjänster. HSA innehåller 484 000 objekt (personer, enheter, funktioner). Senast uppdaterad 2012-03-21 10:11 15 4.4.4. Identifieringstjänst SITHS Identifieringstjänst SITHS: Vad finns idag SITHS är en tjänstelegitimation för både fysisk och elektronisk identifiering. SITHS-kortet kan bland annat användas till säker inloggning i olika IT-system, som e-legitimation för både personliga och företagsspecifika ändamål och för inpasseringskontroll. SITHS är anpassat till alla nationella tjänster inom e-hälsa, vilket gör att du kan komma åt information och logga in system vart du än befinner dig i landet. Så här långt har vi kommit med utbyggnaden av SITHS i landet: Alla landsting är anslutna. Alla 290 kommuner är anslutna. Drygt 30 privata aktörer. Cirka 314 000 kort har utfärdats. Senast uppdaterad 2012-05-15 13:20 16 Sid 11/17

4.4.5. Övriga tjänster som använder e-legitimation/siths Pascal använder idag SITHS och två faktor identifiering med mobil/sms. 4.5. Framtidens lösningar 4.5.1. e-legitimationer Följande e-legitimationsaktörer och lösningar är identifierade som framtida lösningar: E-legitimationsnämdens infrastruktur Nya aktörer, nationella och internationella aktörer E-legitimationsnämndens infrastruktur Kan ses på som ett nytt sätt att för offentlig sektor upphandla elektronisk legitimering avseende privatpersoner för att uppfylla nya lagkrav genom en specialreglerad tjänstekoncession. Dvs. denna omfattar befintliga och nya lösningen på marknaden som vi ansluta sig. Nya aktörer, nationella och internationella aktörer Sannolikheten att det kommer nya aktörer på marknaden är medium. Logiskt så finns det möjlighet för flera aktörer och E-legitimationsnämnden öppnar upp för denna möjlighet på ett enklare sätt. Problematiken ligger i volymen, att det är relativt få som eventuellt köper denna tjänst efter att BankID har haft monopol i många år och därmed hunnit bygga en stor bas. 4.5.2. e-tjänster Utredningen har inte kartlagt andra kommande e-tjänster som har motsvarande behov på säkerhetslösningar som Mina intyg. Detta är en intressant fråga med tanke på delning av de investeringar som görs i Mina intyg. 4.6. Förslag till lösning Förslag till lösning är: 1. Läkarna ska använda en e-legitimation med tillitsnivå AL4 från SITHS eller annan leverantör. 2. Två parallella spår för inloggning, legitimering och signering tas fram för att stödja dessa två typer av e-legitimation. Sid 12/17

Lösningsbeskrivning Revokeringskontroll Intygsfunktion HSA Inloggning HOSP Signering Läkaren Mera detaljerad beskrivning LÖSNING DEL A: Lösningen med SITHS-kort och SHA koppling är den som behöver finnas för offentlig sektor. Denna lösning finns idag även för en del inom den privata sektor genom användning av andra e-tjänster. LÖSNING DEL B: Lösningen med annan e-legitimation och uppslag till Socialstyrelsens HOSP ger en alternativ lösning till läkarna som är mera kostnadseffektiv och lättare att administrera. 4.6.1. Säkerhetsnivå e-legitimation på kort (smart kort) med tillitsnivå AL4. Sid 13/17

4.6.2. Juridik/Ramverk/Regelverk Seriösa aktörer med tydliga roller och ansvar; avtalsstruktur. 4.6.3. Användbarhet Användarvänligt (enkelt). 4.6.4. Teknik 4.7. Lösning för pilot Kortsiktig lösning för pilot under hösten 2013 måste specificeras i det vidare arbete för att se om vi enbart kan använda LÖSNING A eller kan komma igång med LÖSNING B också. 4.8. Diskussion och slutsatser Varför implementera två (parallella) lösningar? För att göra en bättre, dvs. enklare/mera användarvänlig och kostnadseffektiv lösning för privata läkare/vårdpersonal. Fördelar Privatläkare har nytta av en e-legitimation till andra tjänster båda privat och inom sitt yrke. (Kostnadseffektivt) Det är enklare att beställa en e-legitimation än SITHS kort. (Enklare) Privatläkaren släpper att administrera och betala för HSA. (Enklare och kostnadseffektivt). Övriga fördelar Lösningen öppnar upp för e-legitimationer som också skulle kunna användas i andra lösningar Nackdelar Kostnader att implementera och administrera/förvalta lösningen för användning av andra e- legitimationer Fördelen som eventuellt är avgörande för om vi får privata läkare/vårdpersonal att använda tjänsten och inte använda pappersalternativ måste vägas mot kostnaden för att implementera och administrera/förvalta lösningen där vi tillåter användningen av andra e-legitimationer än SITHSkort. 5. Krav på andra lösningar och aktörer Sid 14/17

5.1. Säkerhetstjänster Att ta fram en lösning för inloggning av e-legitimation. Att ta fram en lösning för legitimering med e-legitimation, med koppling till aktuella revokeringslistor. Att ta fram en lösning för signering med e-legitimation och SITHS-kort. 5.2. HSA Inga nya krav./krav på att skicka attribut till Mina intyg och den signeringstjänst 5.3. Identifieringstjänst SITHS Inga nya krav. 5.4. Socialstyrelsens HOSP Att det görs en koppling mellan HOSP och Mina intyg så denna får tillgång till läkarnas behörigheter direkt härifrån istället från Katalogtjänsten HSA. 5.5. Aktuell e-legitmationsleverantör Koppling till spärrtjänst. Genomgång av avtalsstruktur. 5.6. E-legitimationsnämnden Framtagning av infrastuktur med aktuell tillitsnivå som Mina intyg kräver, dvs. tillitsnivå AL4. 6. Vidare arbete och utredning Arbetet med att kravställa och ta fram säkerhetslösning behöver fördjupas och förtydligas. Förtydligande och kravställning av lösningen: Vilken aktör som ska ta fram vilken del av lösningen måste förtydligas. Krav på existerande system som lösningen ska kopplas mot måste tas fram. Kostnad och utvecklingstid för lösningens olika delar måste tas fram. Förtydliganden av säkerhetskrav kopplat till existerande och gällande standarder för tillitsnivåer måste förtydligas då detta innehåller möjlighet för tolkningar och olikhet för olika aktörer Sid 15/17

Frågor som behöver utredas vidare och som berör följande aktör: Inera/ CeHis: Vem ska ta fram signeringstjänsten? Finns det någon tjänst idag att använda? Skall en sådan tas fram internt eller externt? Är signeringstjänsten den samma för SITHS-kort som för andra e-legitimationer? Klarar privatläkare av att administrera lösningen med SITHS och HSA? Kommer de att få använda landstingen eller kommunerna som ombud? Vad det skulle kosta att implementera den alternativa lösningen med möjlighet för användning av andra e-legitimationer än SITHS-kort? Finns andra e-tjänster, existerande eller framtida, som också kan ha nytta av implementering av funktioner för inloggning, legitimering och signering för övriga e- legitimationer? HSA tjänsten måste kunna skicka attribut till Mina intyg och/eller dens signeringstjänst. Socialstyrelsen: Finns det möjlighet att koppla sig direkt mot Socialstyrelsens HOSP? E-legitimationsnämnden: Behovet för Mina intyg är e-legitimation på tillitsnivå AL4, finns det planer för denna nivå eller enbart AL3? Utreda vidare E-legitimationens tolkning av skillnaden på AL3 och AL4? Olika aktörer: Kostnad för e-legitimation från andra aktörer måste kartläggas? 7. Referenser Kontakter och informationskällor: Referensnummer Dokumentnamn Version E-legitimationsnämnden BankID Telia eid/cygate Svensk e-legitimation Standarder för tillitsnivåer: Publikation (SP 800-63) från det amerikanska National Institute of Standards and Technology (NIST), STORK-projektet, International Sid 16/17

Organization for Standardization och International Electrotechnical Commission (ISO/IEC) genom pågående arbete med ISO/IEC 29115 Ineras Säkerhetstjänster Ineras Identifieringstjänst SITHS Ineras Katalogtjänst SHA RIV VIT(S)-boken/T-boken Sid 17/17

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss