Hvor sikkert er FMK?
Hvilke udfordringer ligger der i at få decentrale regioner
med egen sikkerhedspolitik til at få en sikker adgang til
et centralt system?
ved Jan Riis, [email protected]
Hvem er jeg?

Jan Riis, stiftende partner i Lakeside A/S
Datalog fra Århus Universitet
Involveret i diverse infrastrukturrelaterede projekter i
sundhedssektoren
–
–
–
–
SOSI (Ribe Amt / RSD / Danske Regioner / SDSD)
OCES2 i regionerne (Danske Regioner / RSI)
Sign-On projektet (SDSD)
FMK infrastruktur (NSI)
Hvorfor er sikkerhed særlig vigtig i FMK?

Paradigmeskift, vi danner skole for fremtiden

Data indleveres til Lægemiddelstyrelsen 7 og deles med
sundhedsfaglige ud over hele landet

LMS er ansvarlig for data 7 og retmæssig adkomst til
dem
Retmæssig adkomst (generelt)
Stigende Kompleksitet
Identitetssikring
”Hvem er du?”
Autorisation
”Hvad må du?”
Behandlingsrelation
”Hvilken relation
har du til patienten?”
Samtykke / Frasigelse
”Hvad siger patienten?”
Relevans
”Er adgangen relevant?”
Sikre bedst mulig it-teknisk understøttelse
Eksempler på it-kontroller
Identitetssikring
Bevis at du er den du udgiver dig for!
(NemID / Digital Signatur)
Spørg myndigheder!
Autorisation
Uddannelse – spørg SST
Lokalt tildelte rettigheder – spørg regionen (f.eks.)
Registre - Generel, Historisk, Henvisning
Behandlingsrelation
Er du valgt som praktiserende læge for pt.?
Har du tidligere været i kontakt med pt.?
Er der henvist til dig?
Lad os zoome ind på Identitetssikring

Hvordan kan LMS sikre sig, at du er den du udgiver dig for?
Fremlæg almenkendte akkreditiver
– ”Flerfaktor autentifikation”
– F.eks. husk brugernavn+kodeord+adgang til ”dims”
– Eller Smartcard, Near-Field teknologi , Biometri

Sikre at akkreditiver er udstedt ”sikkert”
– Administrationsprocedurer
– Var brugeren fysisk tilstede ved bestilling/udlevering
– Blev der vist billedlegitimation?
Regulering af teknologi og procedurer

National Institute of Standards and Technology (NIST)
– Special Publication NIST 800-63
– Autentifikationsniveauer (1 til 4)
– Det er en betydelig opgave at leve op til niveau 3 (FMK).

OCES (Digital Signatur / NemID i Danmark)
– Opfylder NIST niveau 3 både på teknologi og procedurer
– Underlagt meget skrappe revisionskrav
Så hvor sikkert er FMK?

NIST niveau 3 vha. Digital Signatur (OCES)
Autorisation
– Sundhedsfaglig autorisation kontrolleres (autorisationsregistret)
– Evt. bemyndigelse kontrolleres gennem egen mekanisme

Behandlingsrelation
– På vej gennem FMKi projektet

Samtykke / Privatmarkering
– Kontrolleres gennem egen mekanisme

Systemer certificeres
Hvad skal der til for at f.eks. regionerne kan få
adgang på anden vis?

Først og fremmest skal LMS overbevises om det smarte i at
lukke op for andre mekanismer end OCES
Dernæst skal der implementeres teknologi og procedurer,
der lever op til NIST niveau 3
– Flerfaktorautentifikation
– Sikre administrationsprocedurer
– Revisionsprocedurer skal ligeledes overholde kravene i NIST-3

Dele af ovenstående kan være dækket af eksisterende
sikkerhedspolitikker
Spørgsmål ?
Kontakt:
Jan Riis
Lakeside A/S
tlf. +45 21607252
email: jri<at>lakeside.dk