Bakgrund

Här kan du läsa om bakgrunden till varför eHM (eHälsomyndigheten) byter sin nuvarande lösning för åtkomst till säker åtkomst och Sambi och varför din organisation behöver ansluta till Sambi.

eHM inför en ny åtkomstlösning för att efterleva gällande lagkrav som aktörer inom vård och hälsa berörs av. Det ärEUs dataskyddsförordning GDPR, Lag (1996:1156) om receptregister samt Lag (2005:258) om läkemedelsförteckning och kortfattat handlar det om nödvändig kvalitet på elektroniska identiteter, standardisering av säkerhetsrelaterad information som utbyts samt generella krav avseende informationssäkerhet.

eHälsomyndighetens definition av säker åtkomst

Med åtkomst menas tillgång till information som myndigheten tillhandahåller. Säker åtkomst innefattar bland annat att man med hög tillförlitlighet ska kunna säkerställa vem individen är och att den har rätt att ta del av informationen. Detta innebär i praktiken att användaren kommer att behöva identifiera sig med e-legitimation.

Oftast är det flera parter som tillsammans skapar de förutsättningar som behövs för att åtkomsten ska bli säker. Den som ställer ut e-legitimation säkerställer att individen är den som den utger sig för att vara, samt garanterar detta.

Eftersom en e-legitimation inte kan skickas mellan datorer används istället ett elektroniskt intyg. Intyget utfärdas av en identitetsintygsutgivare som då ansvarar för att omvandlingen är korrekt. Behörigheten för en yrkesutövare kan dessutom se olika ut beroende på vilken roll eller uppgift som denne har för tillfället. Detta kräver att systemen som individen arbetar i är tekniskt anpassade för att ge åtkomst baserat på behov och roll.

Varför eHM har valt en federativ lösning och Sambi

Sambi-federationen är ett samarbete (sedan 2012) mellan flera parter för att skapa en nationell gemensam lösning för hela sektorn vård och omsorg. Sambi löser flera av de krav som ställs på myndigheten kring säker åtkomst till våra tjänster. En federativ lösning är en stabil och skalbar infrastruktur och kan enkelt återanvändas för andra tjänster inom sektorn som inte direkt berör eHälsomyndigheten. Det innebär att en federation också är kostnadsbesparande.

Varför eHM valt SAML-tekniken

eHälsomyndigheten har sedan Apoteken Service tid tillhandahållit tjänster via tjänstegränssnitt som eHMs kunder (aktörer) har haft åtkomst till via API:er (programmeringsgränssnitt). För hantering av autentisering- och auktorisationsformation över internet använder eHM sig av SAML (security assertion markup language). SAML är en öppen standard som har använts av oss sedan 2011. Det är också den valda tekniken inom Sambi-federationen.

När eHälsomyndigheten i början av arbetet med den nya åtkomstlösningen utredde förutsättningar och alternativ för val av teknik framgick det att det finns nya standarder som är under utveckling, men att det kommer dröja innan en alternativ standard är brett införd. Samtidigt kommer SAML att finnas kvar under många år framöver. På grund av detta och beslutet att använda sig av federationen Sambi, blev SAML även fortsättningsvis den valda standarden i vårt arbete.

Framtida lösningar/tekniker

Den lösning som eHM valt är beprövad och väl anpassad för vår nuvarande och närliggande framtid, men det finns givetvis inga hinder för att eHM i framtiden använder sig av en ny teknik/lösning. Det viktiga för oss är att vi på gemensam och nationell nivå förvaltar och utvecklar Sambi-federationen. Att skapa en federation, en samsyn, kring säkerhet och krav kopplat till det är grunden för en bra framtid.

Eventuell anpassning till ny teknik

eHM kommer att anpassa sig allt eftersom ny teknik blir standard, men det förutsätter att det finns ett behov och ett gemensamt intresse av den nya tekniken.

Genom att gemensamt och på nationell nivå förvalta och ta in nya tekniker i Sambi-federationen, möjliggör vi att detta sker på ett kontrollerat och överenskommet sätt inom sektorn.

eHM håller i nuläget på att se över möjligheten att införa OAuth2 som ett komplement till befintlig SAML-lösning. Den kommer fortfarande att bygga på Sambi-federationen och SAML som grund, men ger möjlighet att använda OAuth2 för åtkomst genom intygsväxling. Införandet av OAuth2 är ett önskemål framfört av Inera, där vi i nuläget gemensamt diskuterar de tekniska förutsättningarna.

Varför eHälsomyndigheten är en passiv service provider (SP)

När det gäller den tekniska lösningen har eHM genomgått en granskning och blivit godkänd medlem som tjänsteleverantör inom Sambi. eHMs IT-baserade bastjänster eller informationstjänster kräver att ett aktörssystem integrerar mot dem och presenterar informationen för slutanvändaren. I den bemärkelsen är myndigheten passiva mot slutanvändaren och dess autentisering och utfärdande av identitetsintyg. eHälsomyndigheten kräver dock att utfärdade intyg för slutanvändaren bifogas vid användning av deras informationstjänster.