Fremtidssikker identifikasjon

På Øya i Trondheim ligger ett av Nord-Europas mest moderne universitetssykehus, St. Olavs Hospital. Med en fremtidssikker ID-løsning levert av Buypass, får de ansatte på sykehuset raskere, sikrere og mer fleksibel tilgang til informasjon. Løsningen har kostnadseffektivitet i fokus, men er klargjort for ytterligere funksjonalitet i fremtiden.

Helse-Norge har store ambisjoner om forenkling og effektivisering av arbeids-prosesser, uten at dette går utover strenge krav til sikkerhet. Få områder stiller større krav til sikkerhet og autentisering enn til-gang til data som følger et pasientforløp. Innenfor dette prosjektet er elektronisk ID, signatur og meldingsutveksling et av de viktigste satsingsområdene. Buypass er en av helsesektorens sentrale partnere for håndtering av sikkerhet knyttet til elektronisk tilgang og utveksling av pasient-sensitive data i helsenettet og mot NAV. Et av Norges største helseforetak, St. Olavs Hospital, har gjennom Buypass’ rammeavtale med sektoren tatt i bruk løsninger for dette området. Ved bruk av Buypass Smartkort med elektronisk ID, styrkes sikkerheten og fleksibiliteten rundt tilgang til systemer med pasientsensitive opplysninger, samt innpass til sikrede områder.

Leger i arbeid

Behov

Et Buypass Smartkort kan hovedsakelig benyttes som legitimasjon og identifikasjon på to ulike nivåer. Et lokalt sertifikat utstedes av virksomheten selv for lokal bruk innenfor et nærmere begrenset miljø eller bruksområde, mens et kvalifisert sertifikat utstedes av Buypass og har generell gyldighet. Innenfor helsesektoren gir de kvalifiserte sertifikatene mulighet til å lagre og utveksle pasientsensitive data elektronisk mellom sykehusets helsepersonell og til andre aktører i helsesektoren, som eksempelvis NAV.

Virksomheten oppnår store gevinster ved å kunne håndtere lokale sertifikater selv, med behovsknyttet utstedelse av kvalifiserte sertifikater fra Buypass. For St. Olavs Hospital var det muligheten til å skille på disse to sertifikatene, og dermed redusere driftskostnader og samtidig øke fleksibilitet, som lå til grunn for samarbeidet med Buypass.
”Sykehusets opprinnelige løsning utstedte kvalifiserte sertifikater til alle ansatte som skulle logge seg på PC, uavhengig av bruksområde, og til en svært høy kostnad. Til grunn for dette lå en forventning om at det ville komme nye systemer, applikasjoner og tjenester for det offentlige, og helsesektoren, som fordret kvalifiserte sertifikater på de ansattes kort. Da disse systemene uteble, endte St. Olavs Hospital opp med å betale dyrt for ”overkvalifiserte” sertifikater de ansatte ikke hadde fullt utbytte av. Løsningen kom via Buypass, som ga sykehuset muligheten til å utstyre sine ansatte med lokale sertifikater, og samtidig tilby kvalifiserte sertifikater ved behov,” sier Trond Grimstad, IKT-sjef på St. Olavs Hospital.

Løsningen

Ansatte ved St. Olavs Hospital utstyres nå med et Buypass Smartkort med elektronisk ID. Kortene blir lastet med lokale sertifikater og eventuelt kvalifiserte sertifikater, avhengig av funksjon og behov. Dette setter de ansatte i stand til å identifisere seg for sikker tilgang til relevante IT-systemer. For å logge seg på en arbeidsstasjon setter brukeren inn Smartkortet i kortleseren, taster PIN-kode og trykker OK. Ønsker man å låse eller logge seg av arbeidsstasjonen tar man bare ut Smartkortet. Enklere og sikrere tilgang til informasjon bidrar til mer effektive arbeidsprosesser.

”En bruker kan for eksempel forlate en arbeidsstasjon midt i en arbeidsøkt ved å fjerne Smartkortet fra terminalen. Når brukeren setter kortet i en ny terminal har hun umiddelbart tilgang til arbeidsøkten, som gjenopptas sømløst der den ble avbrutt,” forklarer Grimstad.

Kortene benyttes også som fysisk adgangs-kort, i samarbeid med leverandør av adgangssystemet på sykehuset, samt ved uthenting av tøy og rørpost. Når de ansatte skal hente seg nytt arbeidstøy, benytter de Smartkortets RFID (RadioFrekvens-Identifikasjon) for å identifisere seg mot leseren i tøyskapet. Ved hjelp av en liten radiobrikke festet til arbeidstøyet, og antenner festet på hyllene i skapet, registreres antall plagg, type og størrelse tilgjengelig – samt hvem som tar ut tøyet. Skittentøysdunker utstyrt med antenner registrerer alt tøy som leveres til vask, og nytt tøy bestilles automatisk fra vaskeriet ved behov. Denne innovative løsningen er forventet å spare sykehuset flere millioner kroner i årlige utgifter. Buypass Smartkort er også en viktig brikke i St. Olavs Hospitals avanserte rørpostanlegg. Hele 160 rørpost-stasjoner forbinder alle sengetun med laboratoriet, blodbanken og apoteket, og sikrer sykehuset en meget effektiv intern transport av prøver og medisiner. Uthenting av forsendelser skjer ved identifisering via Smartkort, og systemet loggfører automatisk all aktivitet.

Til tross for at kortene innledningsvis kun er utstyrt med lokale sertifikater, kan St. Olavs Hospital når som helst supplere kortene med en generelle kvalifiserte sertifikater ved behov. Slik kan man i fremtiden benytte Buypass-løsningen fullt ut, gjennom sikker utveksling av journaler og meldinger knyttet til sykehusets pasienter.

Buypass har utviklet og leverer programvaren Buypass LRA (Local Registration Authority), som gir virksomheten selv mulighet til å utstede og administrere Smartkort og sertifikater, både fra lokal sertifikatutsteder (CA) og Buypass sertifikatutsteder (CA). Programmet styrer registreringen gjennom nødvendige kontroller og prosedyrer, og inneholder støtte til og kontroll med en rekke funksjoner:

  • Utstedelse av lokal og/eller generell elektronisk legitimasjon
  • Utstedelse av erstatningskort og ”glemmekort”
  • Fornyelse av kort og legitimasjon
  • Endring av PIN-kode
  • Oppfrisking av PIN-kode dersom den er sperret
  • Feilsøking

Programvaren gir ID-kontoret på St. Olavs Hospital et felles grensesnitt, samt en helhetlig prosess, for utstedelse av sertifikater og administrasjon av disse. I tillegg er prosessen miljøvennlig, ettersom legitimasjonsdokumentene skannes inn og lagres på et sikkert filområde, og gjennomføres uten bruk av papir.

Fremtidsperspektiv

Positive endringer er på gang i det norske helsevesenet. Helsedirektoratet startet i 2008 et stort program for å gjøre elektronisk utveksling av informasjon bedre i Norge. Programmet Nasjonalt meldingsløft har som mål å få en rekke meldingsutvekslinger i helsesektoren over fra papir til digitalt. For at dette skal skje, må alle aktører ha systemer for sikker utveksling av sensitive data, og kunne koble disse opp mot hverandre. Med løsningen fra Buypass er St. Olavs Hospital klare for å ta i bruk elektronisk meldingsutveksling i større grad, så snart resten av systemene er på plass.

”Myndighetene må legge til rette for å etablere systemer basert på felles standarder og felles infrastruktur. Nå som vi har etablert denne løsningen hos oss, kan vi raskt henge oss på systemer som krever bruk av kvalifiserte sertifikater. Vi ser at vi innen helse-Norge har et stort behov for å samordne oss i hvilke tjenester vi bruker, og hvilke løsninger vi legger oss på. Det at Ahus også gikk inn på en tilsvarende Buypass-løsning som oss er en sikkerhet for oss, og betryggende med tanke på fremtidig utnyttelse av systemer. Nå har vi den fleksibiliteten vi trenger, og inntil behovet om kvalifiserte sertifikater dukker opp så betaler vi ingenting for det heller,” sier Trond Grimstad.

Løsningen fra Buypass har vært en viktig brikke for å kunne realisere et høyt sikker-hetsnivå kombinert med nødvendig bruker-vennlighet for de ansatte ved St. Olavs Hospital.