De potensielle anvendelsesområdene for PKI (Public Key Infrastructure) i helsetjenesten er mange, og Helse Sør-Øst har utredet behovet for innføring av PKI. Det er utarbeidet en detaljert kravspesifikasjon for PKI i offentlig sektor som stiller konkrete krav til ulike sikkerhets-nivåer. Disse nivåene er igjen knyttet til ulike tjenester.
En innføring av PKI i Helse Sør-Øst vil være en forutsetning for å ta i bruk noen viktige tjenesteområder som er planlagt innført de neste årene som eResept, eSykemelding og Nasjonal kjernejournal (KJ). Samtidig vil PKI kunne legge til rette for en rekke andre tjenester som vil øke både sikkerhetsnivået og brukervennligheten til det totale tjenestetilbudet.
Ahus innførte PKI ved innflytning i nytt sykehus i 2008 og lokale sertifikater brukes i dag til blant annet pålogging på IT-systemer. Sertifikatene kommer på en felles kortløsning fra Buypass som i tillegg blant annet inneholder fysisk identifikasjon, magnetstripe til betaling i kantine og RFID til fysisk adgangskontroll. Ingen andre foretak i regionen har i dag innført PKI.
Overordnede mål for innføringen er, i prioritert rekkefølge:
•Sikre en rask og kostnadseffektiv innføring av PKI slik at innføringen av de viktige tjenestene nevnt over ikke blir forsinket
•Sørge for at dette arbeidet er av en slik kvalitet at det blir en byggekloss for en mer omfattende PKI-løsning slik at andre tjenester kan utvikles og forbedres
Arbeidet er delt inn i to faser:
Fase 1 – eResept: Denne fasen vil ha som mål å legge til rette for signering av eResept. Det legger følgende føringer:
•Alle leger som skal signere eResept må ha personlig kvalifisert sertifikat
•Alle PCer som er i klinisk bruk av leger må ha nødvendig oppsett
•PKI må fungere med DIPS versjon 7.1.5. eller nyere
•Løsningen må være kompatibel med reseptformidleren og de andre aktørene i eResept-kjeden
Da dette legger til rette for dokumentsignering av leger, vil løsningen også kunne benyttes til eSykemelding når den løsningen kommer.
Fase 2 – Videreutvikling av PKI: I fase 2 vil den eksisterende infrastrukturen kunne videreutvikles, skaleres opp og tas i bruk til nye tjenester. Her vil blant annet Nasjonal Kjernejournal være en tjeneste som krever autentisering med PKI. Andre tjenester som PKI legger til rette for er f.eks. pålogging, follow-me-print, annen dokumentsignering, tilgang på tvers, VPN osv. På Ahus har man i tillegg koblet sertifikatbæreren til fysisk adgangskontroll, tøyuthenting, kantinebetaling o.a.
eResept
E-resept er et viktig bidrag til å nå målene om økt pasientsikkerhet gjennom tryggere lege-middelbruk. Løsningen er en elektronisk samhandlingskjede for sikker overføring av resept-informasjon. E-resept reduserer risikoen for feil i forskrivning og utlevering av legemidler. Feilmedisinering resulterer hvert år i skader og dødsfall. Undersøkelser tyder på at omfanget er svært høyt. eResept er en av flere nasjonale satsninger for å redusere dette.
Helse Sør-Øst har i brev til Helse- og omsorgsdepartementet av 17-12-2012 lagt frem en forpliktende plan for innføring av eResept i alle helseforetak i regionen. Målsettinger for innføringen er:
•eResept skal være innført på alle helseforetak i Helse Sør-Øst innen utgangen av 2015
•eResept skal bidra til å redusere skader og dødsfall på grunn av feilmedisinering.
For nærmere beskrivelse vises det til Helsedirektoratets gevinstrealiseringsplan for eResept.
Overordnet funksjonell beskrivelse
E-resept skal håndtere rekvirering av alle reseptpliktige legemidler samt medisinsk for-bruksmateriell og næringsmidler som omfattes av blåreseptforskriften.
Søknad til Legemiddelverket (”Rekvisisjon/resept for legemiddel uten markedsføringstillatelse”) og søknad til HELFO om refusjon av utgifter (”Søknad om dekning av utgifter til viktige legemidler/varer som ikke omfattes av § 2 i blåreseptforskriften”) skal inngå i løsningen. Resepter på papir vil ekspederes som i dag.
En elektronisk resept vil kun gjelde for en enkelt vare (ordinasjon). Dette forenkler tilbakekalling av resepter, filtrering (for bandasjist) og beskyttelse av reseptene ved låsing til referansenummer. Signaturen følger resepten gjennom hele kjeden frem til HELFO, som dermed kan sjekke denne.
Leverandørdialog
Som et element i forarbeidene til denne anskaffelsen ønsker Sykehuspartner å gjennomføre dialogmøter med leverandører som kan tilby denne typen løsninger i det norske markedet. Potensielle leverandører må være registrert hos Post og teletilsynet (PT) og følge kravene til sertifikatutstedere i Norge (definert i “Kravspesifikasjon for PKI i offentlig sektor“ ).
Dialogmøtene vil gjennomføres som enkeltmøter med en og en leverandør, og det er ønskelig at leverandørene bidrar med informasjon og presentasjoner om de relevante løsninger som kan leveres, samt informasjon om hvordan leverandørene kan bistå med innføring og implementering av løsningene i Helse Sør-Øst.
I møtene er det ønskelig at leverandørene blant annet omtaler:
Sentral/regional løsning for utstedelse av sertifikater i Helse Sør-Øst:
•Etablering av lokale LRA kontorer pr helseforetak (HF)
Funksjonalitet og muligheter:
•Funksjonalitet mot DIPS, reseptformidler og eventuelt samspill med andre ledd i e-reseptkjeden
•Fjernstyring av lokale sertifikater – fleksibilitet. Vil et HF kunne utstede kort for andre HF?
•Koordinering med folkeregisteret, problemstillinger rundt like navn, spesielle tegn/bokstaver
•Mobile LRA-enheter
•Smartkort innlogging og signering
Kompatibilitet:
•Kompatibilitet med de ulike PC/klient oppsett vi har i HSØ, som Tynnklient via Citrix, ulike tynnklientløsninger med tilhørende OS, støtte for Windows OS versjoner osv.
•Kompatibilitet mot ulike bærere/smartkort, f.eks. ved smartkort anskaffet via andre leverandører
•Begrensninger knyttet til kortlesere, tastaturer m.fl.
Forventet responstid, ytelse, robusthet og sikkerhet i løsningen:
•F.eks. for utstyr / maskinvare, klientaksess programvare og driver, kommunikasjon mot sertifikat host.
•Hva er gjort av tester på dette?
•Beskrive muligheter for testmiljø, testsertifikater mm
Leveranseevne / kapasitet:
•Leverandørens mulige leveranseevne på utstedelse og sertifikater/smartkort, dvs. hvor godt er leverandøren rustet til å møte leveransebehovet samtidig med leveranse til andre helseregioner og andre aktører?
Utvikling av fremtidige løsninger:
•Hvordan er leverandørens løsninger fremtidsrettet og hvordan kan de støtte de øvrige behovene som er nevnt ovenfor (se “Fase 2 – Videreutvikling av PKI“)?
Dialogmøtene vil bli avholdt på følgende datoer: 11. og 12. mars 2014. Møtene vil bli avholdt i Sykehuspartners lokaler på Skøyen, (Hoffsveien 1D).
Leverandører som ønsker å bli invitert til dialogmøte må sende en e-post merket med “PKI dialogmøte“ i emnefeltet med forslag til møtedato til følgende adresse: innkjop-sp@sykehuspartner.no Frist for forespørsel om deltakelse er 6. mars 2014.