Landstingsstyrelsens förslag till beslut



Relevanta dokument
Utbildningsinnehåll. Introduktion E-tjänstekort. Kortkrav. Korttyper. Rutiner

Ansvarsförbindelse etjänstekort

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Informationssäkerhetspolicy inom Stockholms läns landsting

Landstingsstyrelsens förslag till beslut

Samverka effektivare via regiongemensam katalog

Landstingsstyrelsens förslag till beslut

Reviderad Landstingsrådsberedningen SKRIVELSE 1 (5) Danderyds sjukhus förvärv av Prima Liv i Danderyd AB

Landstingsstyrelsens förslag till beslut

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Utredning konsekvenser av att införa träkort istället för dagens passagekort

Tjänsteavtal etjänstekort

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

etjänstekortsmodellen

Nationell patientöversikt en lösning som ökar patientsäkerheten

Ditt nya smarta etjänstekort!

Landstingsrådsberedningen SKRIVELSE 1 (5) Plan för det fortsatta arbetet med Barnkonventionen inom Stockholms läns landsting

SITHS information Thomas Näsberg Sjukvårdsrådgivningen

Information för användare av e-tjänstekort och HSA-ID

Utredning konsekvenser av att införa träkort istället för dagens passagekort

Policy för informationssäkerhet

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

etjänstekort - SITHS-kort därför att vi behöver tillgodose patienternas behov! Sören Lindblom Johanna Dahlkvist Åse Boman

Rutiner för etjänstekort

Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Stockholms läns landsting Landstingsrådsberedningen

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

IT-säkerhetspolicy för Landstinget Sörmland

Checklista. För åtkomst till Svevac

Landstingsstyrelsens förslag till beslut

Telias policy för utfärdande av företagskort med e-legitimation

Landstingsstyrelsens förslag till beslut

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Rutin för administrering av KOMKAT och SITHS kort

Krav på säker autentisering över öppna nät

Inom kort kommer sjuksköterskor inte längre åt webbapplikationen e-dos om de inte har SITH- kort, Apotekets säkerhetsdosa eller en e-legitimation.

Informationssäkerhetspolicy

Landstingsstyrelsens förslag till beslut

En övergripande bild av SITHS

Landstingsstyrelsens förslag till beslut

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Landstingsstyrelsens förslag till beslut

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Förnyat genomförande- och anskaffningsbeslut avseende enskild upphandling inom Projekt SL Lås

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

Sekretess, lagar och datormiljö

Tjänsteavtal etjänstekort

Yttrande över betänkandet Bättre behörighetskontroll (SOU 2012:42)

Landstingsrådsberedningen SKRIVELSE 1 (5)

Så ansluter ni till HSA och SITHS via redan ansluten organisation (landsting eller annan kommun)

Landstingsstyrelsens förslag till beslut

Riktlinje för informationshantering och journalföring

Landstingsrådsberedningen SKRIVELSE 1 (7) Riktlinjer för Stockholms läns landstings varumärke och grafiska profil

Landstingsstyrelsens förslag till beslut

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

E-fakturaprojektet inom SLL 2005

Regler vid verksamhetsövergång och ägarbyte

Stockholms läns landsting

Koncernkontoret Koncernstab HR

Utvärdering av arbetsordning för landstingsfullmäktige. Landstingsdirektören föreslår en utvärdering av arbetsordning för fullmäktige i landstinget.

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

I Central förvaltning Administrativ enhet

Termer och begrepp. Identifieringstjänst SITHS

Informationssäkerhetspolicy. Linköpings kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut

Skolorna visar brister i att hantera personuppgifter

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Landstingsrådsberedningen SKRIVELSE 1 (2)

Termer och begrepp. Identifieringstjänst SITHS

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Landstingsstyrelsens förslag till beslut

Fusion av SL Infrateknik AB. lokaltrafik 4 LS

Införande av Pascal ordinationsverktyg för elektroniska dosordinationer

Förslag om avskaffande av incitamentsmodeller i landstingets verksamheter

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Avtal LK 09-0

att fastställa en ram för Stockholms läns landstings samlade upplåning på 95 ooo ooo ooo kronor

10. Regelbok IT-information IT och ehälsa. Primärvårdsprogram 2015

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Granskning av behörigheter till journalsystemet

FÖRSLAG 2017:96 LS Landstingsstyrelsens förslag till beslut. Patientavgifter för distanskontakter

Information om personuppgiftsbehandling till studenter

Informationssäkerhetspolicy för Ystads kommun F 17:01

Stark autentisering i kvalitetsregister

Landstingsstyrelsens förslag till beslut

Stockholms läns landsting 1(2)

Transkript:

FÖRSLAG 2006:27 1 (12) Landstingsstyrelsens förslag till beslut Införande av elektroniska tjänstekort (e-tjänstekort) i Stockholms läns landsting Föredragande landstingsråd: Ingela Nylund Watz Ärendet Landstingsdirektörens förslag till elektroniska tjänstekort (e-tjänstekort) i landstinget. Förslag till beslut Landstingsstyrelsen föreslår landstingsfullmäktige besluta att införa elektroniska tjänstekort i Stockholms läns landsting att införandet skall påbörjas under första halvåret 2006 att kostnader för införande av e-tjänstekort är finansierade i 2006 års budget. För år 2007 och år 2008 skall kostnaderna beräknas och budgeteras för respektive år att en löpande avgift om 120 kronor/e-tjänstekort och år skall tas ut av landstingets förvaltningar och bolag att uppdra åt landstingets förvaltningar och bolag att upprätta intern lokal stödorganisation för införande av e-tjänstekort att uppdra åt landstingets förvaltningar och bolag svara för förvaltning av e-tjänstekort från och med 1 januari 2007 Bilagor 1 Landstingsdirektörens tjänsteutlåtande 2006-01-25 2 Kostnadskalkyl för e-tjänstekort 3 Ansvarsroller för e-tjänstekort inom SLL

FÖRSLAG 2006:27 2 Landstingsstyrelsen har för egen del, under förutsättning av fullmäktiges beslut, beslutat att uppdra åt landstingsdirektören att teckna avtal med Carelink och Telia, att ge särskilt uppdrag till Beställare Vård att fastställa hur privata vårdgivare skall hanteras, att uppdra åt landstingsdirektören att utse erforderliga roller i förvaltningen av e-tjänstekort. Behandling i landstingsstyrelsen Landstingsrådsberedningen behandlade ärendet den 8 februari 2006. Landstingsstyrelsen behandlade ärendet den 21 februari 2006. M-, fp- och kd-ledamöterna antecknade följande särskilda uttalande: Att Stockholms läns landsting inför e-tjänstekort för sin egen personal berör den säkerhet som landstinget som producent anser sig behöva för att klara datasäkerheten i den egna organisationen. Det betyder inte att samma lösning måste väljas av landstingets leverantörer. Det vore olyckligt om Beställare Vård avseende de privata vårdgivarna utgår från vald teknisk lösning för landstingsproducenterna. Utgångspunkten skall vara att Beställare Vård ställer samma krav på integritet, sekretess och övrig informationssäkerhet oavsett vem som är leverantör. Hur dessa mål uppnås kan skilja sig åt. Bland annat beroende av vald IT-lösning, hur dataleverans sker och hur data behandlas, men det kan också vara beroende av organisationens storlek. Ärendet och dess beredning Landstingsstyrelsens förvaltning har haft i uppdrag att utreda och beskriva förutsättningarna för införandet av elektroniska tjänstekort (e-tjänstekort) i landstinget. Uppdraget har genomförts och ett förslag har avlämnats. Landstingsdirektören har i tjänsteutlåtande den 25 januari 2006 (bilaga) föreslagit landstingsstyrelsen förslå landstingsfullmäktige besluta att införa elektroniska tjänstekort i Stockholms läns landsting, att införandet skall påbörjas under första halvåret 2006, att kostnader för införande av e-tjänstekort är finansierade i 2006 års budget. För år 2007 och år 2008 skall kostnaderna beräknas och budgeteras för respektive år, att en löpande avgift om 120 kr/e-tjänstekort och år skall tas ut av landstingets förvalt-

FÖRSLAG 2006:27 3 ningar och bolag, att uppdra åt landstingets förvaltningar och bolag att upprätta intern lokal stödorganisation för införande av e-tjänstekort, att uppdra landstingets förvaltningar och bolag svara för förvaltning av e-tjänstekort från och med 1 januari 2007 för egen del - under förutsättning av fullmäktiges beslut besluta att uppdra åt landstingsstyrelsens förvaltning att teckna avtal med Carelink och Telia, att ge särskilt uppdrag till Beställare Vård att fastställa hur privata vårdgivare skall hanteras, att uppdra koncernledningen utse erforderliga roller i förvaltningen av e-tjänstekort.

FÖRSLAG 2006:27 4 Bilagor Landstingsdirektörens tjänsteutlåtande Ärendets beredning Ett utredningsprojekt som organiserats av Landstingsstyrelsens förvaltnings IT-avdelning har utarbetat ett förslag till att införa elektroniska tjänstekort (e-tjänstekort) i landstinget. Projektet har letts av en styrgrupp sammansatt av landstingets informationssäkerhetschef, landstingets centrale säkerhetschef och fyra IT-företrädare. Utredningsprojektet har varit bemannat med experter och specialister inom området. Under beredningen har information om och förankring av utredningsprojektets arbete kontinuerligt genomförts. Information om projektets arbete och inbjudan att inkomma med synpunkter har lämnats till verksamhetsansvariga chefer inom såväl den landstingsdrivna vården som privata vårdgivare. Landstingets IT-direktör samt lokala IT-företrädare, informationssäkerhetssamordnare, IT-säkerhetssamordnare och säkerhetsansvariga har också konsulterats och informerats. Inför ställningstagande till innehåll/utseende och produktion av det bärarkort som rekommenderas av beredningsprojektet, genomfördes en enkät som riktades till såväl landstingsdriven som privat vård. Inkomna svar har sammanvägts och påverkat beredningsprojektets slutliga förslag. Beredningsprojektet har inhämtat information om och analyserat de aktiviteter inom området som pågår eller är planerade på nationell och internationell nivå. De arbeten som drivs av landstingens samverkansorganisation Carelink har haft särskild stor påverkan på beredningsprojektets slutsatser och rekommendationer. Beredningsprojektet har också underhand konsulterat landstingets jurister. Förvaltningens synpunkter Stockholms läns landsting ställer mycket höga krav på säkerheten vid all informationshantering. Den information som rör enskilda personers sociala, medicinska och andra personliga förhållanden måste skyddas noga mot såväl oönskad förändring som förlust och avslöjande. Detta gäller också den information som rör ekonomiska och andra verksamhetsspecifika uppgifter av betydelse.

FÖRSLAG 2006:27 5 Genom landstingsfullmäktiges beslut om informationssäkerhetspolicy och landstingsstyrelsens beslut om riktlinjer för informationssäkerheten har kraven preciserats. Säker identifiering När sjukvårdens journalsystem kan göras tillgängliga för allt fler användare är det inte godtagbart från säkerhetssynpunkt att använda vanliga lösenord vid inloggning. Det är nödvändigt att på sikt gå över till engångslösenord, aktiva behörighetskort, smarta kort eller andra metoder. Det är visserligen förenat med kostnader men det är inte acceptabelt att bygga upp stora kompatibla IT-system för hantering av patientuppgifter utan att samtidigt ha en säker identifiering av användare. (Datainspektionens rapport 2005:1). IT-stöd Vikten av att IT-lösningarna skall vara så utformade att kraven på integritet, sekretess och övrig informationssäkerhet till fullo kan garanteras lyfts fram i både IT-policyn och i IT-strategin. Vid behandlingen av IT-strategin lämnades bl a följande politiska utlåtande: Strategin utgår från omsorg om patienters och vårdgivares integritet. Målsättningen är att alla patienter (och alla vårdgivare) skall kunna känna sig tryggt förvissade om att vården bedrivs baserat på kvalitetssäkrad och heltäckande vårdinformation som är enkelt tillgänglig för alla som aktivt deltar i vården. Åtkomstkontroll, sekretess och integritet stöds därför av kraftfulla och moderna tekniska säkerhetslösningar. Metod för säker identifiering Ett oavvisligt krav för att uppnå den säkerhet som krävs är att identiteten hos varje enskild aktör i en elektronisk informationshanteringsprocess kan säkerställas för kontroll av den behörighet som erfordras för att få ta del av, tillföra eller radera information. Den metod för identifiering, i form av användaridentitet och lösenord, som hittills huvudsakligen används vid behörighetskontroller ger inte tillräcklig säkerhet och måste därför ersättas med s k elektronisk identifiering. Varje anställd i landstinget skall därför tilldelas en elektronisk identitet som kompletteras med ett individuellt tjänstecertifikat och blir den enskildes elektroniska tjänstelegitimation (e-tjänstekort). Nyttoområden Tjänstelegitimationen innebär att landstingsanställda kan styrka sin identitet inte bara för informationsåtkomst inom landstinget utan också vid informa-

FÖRSLAG 2006:27 6 tionsutbyte med organisationer utanför landstinget. Detta är ett behov som antas bli alltmer accentuerat. Förutom säker identifiering ger den teknik som baseras på individuella elektroniska identiteter och certifikat möjlighet att genom kryptering skydda känslig information vid dataöverföringar samt att signera elektroniska dokument, exempelvis patientjournaler, e-recept, sjukintyg, beställningar och avtal. För den enskilde användaren underlättas åtkomsten till de olika verksamhetssystem man är beroende av för att sköta sitt arbete. I stället för att behöva hålla i minnet och ange unika lösenord vid varje s.k. påloggning i olika datasystem, kommer det vid elektronisk identifiering att räcka med en enda påloggning för att nå samtliga de system till vilka man tilldelats behörighet (s k Single Sign On). För de många systemförvaltare som finns i landstinget kommer den tunga uppgiften med lösenordsadministration att kunna försvinna. Motiv för bärarkortet Den elektroniska tjänstelegitimationen skall lagras i ett s.k. bärarkort. Kortets format och innehåll skall följa den SIS-standard som finns etablerad. Korten skall produceras av någon av de certifierade leverantörer som upphandlats av Statskontoret. Bärarkorten skall vara lika utformade för alla verksamheter i landstinget. Detta gäller både kortens elektroniska och grafiska profil. Motivet till detta är bl a den stora personalrörlighet som finns mellan olika sjukvårdsenheter i landstinget. Den enskilde skall också kunna använda samma kort som personlig legitimation oavsett var man för tillfället arbetar. Beredningsprojektets styrgrupp har beslutat att föreslå följande avseende bärarkorten: ett gemensamt SIS godkänt e-kort ska introduceras i landstinget. kortet skall vara tillverkat i polykarbonat tillverkning av korten köps av extern certifierad leverantör kortet innehåller både elektronisk identitet och tjänstecertifikat enligt SITHS-modellen kortet skall även kunna innehålla magnetremsa, streckkod och s k RFIDslinga reservkort är försedda med löpnummer, logotyp, e-tjänstelegitimation, magnetremsa och RFID

FÖRSLAG 2006:27 7 Införande Införandet av elektroniska tjänstekort i landstinget omfattar inledningsvis den landstingsdrivna sjukvården och landstingsstyrelsens förvaltning. Totalt berörs ca 41 400 månadsanställda. Kostnaden för införandet beräknas uppgå till 15,6 MSEK kronor. Kostnaden bör ses som en investering i ny infrastruktur. Kostnaden för införandet redovisas i kalkyl (bilaga). Multifunktionalitet Det bör framhållas att den elektroniska tjänstelegitimation som införs kommer att kunna användas för andra behov än identifiering i IT-system. Legitimationen kommer exempelvis tidigt att användas för behörighetskontroll vid inpassering och vistelse i lokaler. Vissa modifieringar av nuvarande anläggningar för inpasseringskontroll kan dock komma att krävas. I ett längre perspektiv kan tjänstelegitimationen utnyttjas vid kontroll av behörighet till särskilt känslig medicinsk utrustning (ex laboratorieutrustning, dialysapparater m m). Korten kan också på sikt ersätta de resekort för landstingsanställdas tjänsteresor som färdtjänstförvaltningen administrerar. Utfärdande och administration Förutsättningen för att erhålla en elektronisk tjänstelegitimation (e-tjänstekort) är direkt kopplad till den anställning som den enskilde har i landstinget. Förvaltningen av tjänstekort bör därför administreras av den personalfunktion där den anställde har sin huvudanställning.

FÖRSLAG 2006:27 8 Kostnadskalkyl för etjänstekort inom SLL Nedanstående modell visar de kostnader och intäkter som uppstår i samband med etjänstekort, utrustning för att administrera utfärdande av desamma samt förvaltning och drift tillhandahålls för SLL. Kalkyl etjänstekort 2006 2007 2008 2009 2010 Antal anställda som får nya kort resp år 4 000 20 707 16 707 41 414 Införandekostnad 831 622 4 304 998 3 148 054 8 284 674 Tjänsteutvecklingskostnad 3 000 000 350 000 3 350 000 Driftkostnad 2 562 009 3 122 569 3 562 487 3 562 487 3 562 487 16 372 039 Kostnad/år 6 393 631 7 777 567 6 710 541 3 562 487 3 562 487 28 006 713 Intäkt/år (120 kr / kort) 480 000 2 964 840 4 969 680 4 969 680 4 969 680 18 353 880 Nettokostnad/år 5 913 631 4 812 727 1 740 861-1 407 193-1 407 193 9 652 833 Ackumulerat utfall 5 913 631 10 726 358 12 467 219 11 060 026 9 652 833 I kostnader ingår: etjänstekort i införandet och i driften reservkort vid tappade/glömda etjänstekort, införande och drift administrationsutrustning för utfärdande av kort och elektroniska certifikat (HCC) central förvaltning (1 msek/år) abonnemangskostnad för central CA-drift (c:a 1,5 msek/år) projektkostnader i samband med utveckling av tjänsten för etjänstekort

FÖRSLAG 2006:27 9 Observera att kostnader för lokal förvaltning samt kringutrustning för användande av et ej ingår. Arbete pågår för att samordna lokal förvaltning mellan EK, Bat & Portal och etjänstekort.

FÖRSLAG 2006:27 10 Ansvarsroller för etjänstekort inom SLL Syftet med denna ansvarsrollbeskrivning är enbart att belysa behovet av ansvarsposter. Ansvarsbeskrivningarna kommer förändras under utvecklingsprojektets framåtskridande och ska ej användas för att bemanna eller utbilda framtida rollinnehavare. Nedanstående organisationsschema belyser roller inom administrationen runt etjänstekort inom SLL. Benämningarna på dessa roller är inte fastställda och kan komma att ändras. Exempelvis är rollen Säkerhetsansvarig et endast fokuserad på regler uppsatta av DNV för utfärdande av SIS-godkända ID-kort. Rollerna Systemägare, RA ( ansvarig utgivare ), Säkerhetsansvarig et och Registeransvarig måste vara utsedda och utbildade innan etjänstekorten kan lanseras. De måste även finnas då avtal om etjänstekort med de externa leverantörerna och tillståndsgivarna tecknas.

FÖRSLAG 2006:27 11 Systemägare Systemägare är ansvarig för etjänstekorten som system betraktat förvaltas. Systemägaren prioriterar och tillser att budgetmedel finns avsatta. Systemägaren ansvarar för de nödvändiga avtal som behöver upprättas för tjänsten. Systemägaren utser bl.a. RA och Säkerhetsansvarig etjänstekort. Säkerhetsansvarig etjänstekort (Regelansvarig för SIS-godkända ID-kort) Säkerhetsansvarig ansvarar för att administrationen av de SIS-godkända etjänstekorten sker enligt gällande regler ifrån DNV, SBC151. Säkerhetsansvarig får inte vara registeransvarig eller KRA (handläggare av SIS-kort). Säkerhetsansvarig ansvarar för: att SLL:s utgivning av SIS-godkända etjänstekort följer det regelverk som DNV har, SBC151, att regelbundet kontrollera att utfärdandet av identitetskorten sker under säkra former och enligt regelverket (Rapport över genomförd kontroll kan inkrävas av DNV), att meddela DNV övergripande förändringar i SLL:s organisation för SIS-kort, t ex organisatoriska förändringar, eller vid förändring av vem som är säkerhetsansvarig och registeransvarig, att utforma skriftliga regler för utgivning av SIS-godkända etjänstekort inom SLL. RA (Registration Authority ) RA, Registration Authority, är den eller de personer som är ansvariga för SLL:s hantering av etjänstekort och HCC. RA ska ansvara och arbeta aktivt för: att säkerställa att SLL uppfyller de krav som anges i CA-policy, RA-policy, RAPS och RA-avtal, att SLL:s modell för etjänstekort och HCC efterlevs inom SLL och att den och tillhörande rutiner revideras vid behov, att informationssäkerhet tillgodoses vid hantering av etjänstekort och HCC, incident-, avbrotts- och katastrofplanering inom SLL:s RA-organisation,

FÖRSLAG 2006:27 12 att ekonomiska resurser finns avsatta för hantering av HCC och etjänstekort, SLL:s RA-organisation, RA utser ORA:er på lämplig nivån inom organisationen. Registeransvarig etjänstekort Säkerhetsansvarig utser en registeransvarig för SIS-korten. Registeransvarig för etjänstekort ansvarar för: att de skriftliga reglerna för utfärdandet av de SIS-godkända etjänstekorten efterlevs, att registret över utfärdade etjänstekort, kvittenser och arkivmaterial hanteras och arkiveras enligt gällande regler från DNV, att rapportera förlust av etjänstekort och makulerade etjänstekort så att dessa spärras hos tillverkaren, att tilldela behörighet hos korttillverkaren till nya KRA:er, (genom att skicka in namnteckningsprov från dem till DNV och tillse att korttillverkaren får den nya KRA:ns signaturcertifikat. att meddela DNV förändringar i SLL:s organisation av SIS-kort, till exempel administratörs (KRA)- och adressförädringar. Registeransvarig kan även ha rollen som handläggare av etjänstekorten (KRA).

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss