Samhandling med HelseID

Tillit i digital samhandling

Digital samhandling mellom aktører i helsesektoren handler om å utveksle informasjon. Da er det veldig viktig å ivareta krav til informasjonssikkerhet. Man må være trygg på at det kun er rettmessig helsepersonell og andre ansatte (heretter forkortet til 'helsepersonell') som får tilgang til aktuell informasjon (spesielt når det gjelder helseopplysninger), at opplysningene de får tilgang til er korrekte og kommer fra riktig kilde, og at de får tilgang når og der de trenger det.

Det er krevende å ha full kontroll over andre aktørers håndtering av informasjonssikkerhet. Få aktører har fullstendig informasjon, og man er avhengig av å ha tillit til det man blir presentert. Noe annet, for eksempel å skulle ettergå all informasjon man blir presentert, blir for kostbart, tidkrevende og upraktisk.

Det er mange spørsmål en tjenestetilbyder/dataansvarlig må ha pålitelige svar på for å kunne gi tilgang til informasjon, (spesielt helseopplysninger):

• Er den som forespør informasjon den vedkommende gir seg ut for å være?
• Er han/hun autorisert helsepersonell (for eksempel lege) og har rett på tilgang?
• Har vedkommende tjenstlig behov for å behandle aktuelle helseopplysninger?
• Hvilken helsevirksomhet eller system kommer forespørselen fra?

Når tjenestetilbyderen ikke selv vet svaret, må de ha tillit til ektheten og presisjonen til den tilgangsstyringsinformasjonen de mottar.

HelseIDs rolle

Helse- og omsorgssektoren er stor, med mange virksomheter av ulik karakter og forutsetninger for digital samhandling. Det gjør at etablering av tillit til aktørenes informasjonssikkerhet er utfordrende, potensielt kostbar og tidkrevende. Spesielt gjelder det hvis denne tilliten blir forsøkt etablert i bilaterale avtaler og tekniske integrasjoner direkte mellom enkeltaktører.

HelseID spiller en sentral rolle i å forenkle og kvalitetssikre den informasjonsutvekslingen i forbindelse med aktørenes tilgangsstyring og -kontroll, og bidrar til at aktørene kan stole på den informasjonen de utveksler.

• For det første, bidrar HelseID til å belyse flere av spørsmålene som er relevante å få besvart i forbindelse med tilgangsstyring og -kontroll
• For det andre, bidrar HelseID til standardisering av tekniske løsninger for autentisering av helsepersonell, systemer og virksomheter. Det gjør det enklere å utveksle informasjon mellom aktørene.
• For det tredje, reduserer HelseID behovet for at aktørene etablerer tillitsrelasjoner mellom hverandre direkte. I stedet kan aktørene forholde seg til informasjon gjennom tilgangsstyring og -kontroll formidlet via HelseID. Med det oppnås betydelige skalerings- og forenklingsgevinster.
• For det fjerde, beriker HelseID den autentiseringsinformasjonen som utveksles til bruk i tilgangsstyring og -kontroll, ved som eneste aktør tilby en tjeneste som gjøre oppslag i nasjonale registre, slik som for eksempel Helsepersonellregisteret (HPR).

Aktørsamspillet

Forenklet er det to parter som ønsker å dele og bruke informasjon i helsesektoren, og som derfor må ha tillit til hverandre i relasjon til informasjonssikkerhet: konsumenten av, og tilbyderen av informasjon. I realiteten flere aktører involvert i verdikjeden, og HelseID spiller en sentral rolle sentrum av denne. Se her for definisjoner av de ulike aktørene.

Enkelt sagt ønsker tjenestekonsumenter og deres helsepersonell, direkte eller via et fagsystem, å konsumere tjenester og informasjon fra en tjenestetilbyder. Når en tjenestekonsument spør en tjenestetilbyder om tilgang, vil HelseID ved hjelp av en identitetstilbyder og nasjonale registre utstede en sikkerhetsbillett som entydig identifiserer personen. Sikkerhetsbilletten inneholder også verifisert informasjon om personen og om tjenestekonsumenten som virksomhet. Sikkerhetsbilletten vil tjenestetilbyderen bruke til å avgjøre om tjenestekonsumenten skal få tilgang til informasjon eller ikke (en tilgangsbeslutning).