Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen

Transkript

1 Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen Oktober 2016 Christian Greuter, Geschäftsführer Health Info Net AG

2 Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel Nutzung der HIN eid in Institutionen Vorteile der Lösung Health Info Net AG 2016 IAM Experten Forum 2

3 ehealth Digitalisierung im Gesundheitswesen Rockethealth, helmedica AG Bereitgestellt vom IPI Health Info Net AG 2016 IAM Experten Forum 3

4 Das EPDG zwingt Spitäler sich einer Gemeinschaft anzuschliessen und fordert die Bereitstellung von Daten Relevante Anforderungen des EPDG für Spitäler Angehörigkeit zu einer Gemeinschaft (KVG Art. 39 Abs. 1 Bst. f) Verwendung einer elektronische Identität für Zugriffe (EPDG Art. 7) Verwaltung der Gesundheitsfachpersonen (GFP) in Verzeichnissen der Gemeinschaft (EPDV Art. 8) Zustimmung des Patienten (EPDG Art. 4) Registrierung der behandlungsrelevanten Daten des Patienten im EPD (EPDG Art. 3, Abs. 2). Bereitstellung der zugehörigen Dokumente in einem für das EPD zugänglichen Archiv (EPDG Art. 10, Abs. 1). Health Info Net AG 2016 IAM Experten Forum 4

5 Ein umfangreiches Werk aus Gesetz und Verordnungen stellt Ansprüche an Gemeinschaft, ID-Herausgeber und ID-Mittel Health Info Net AG 2016 IAM Experten Forum 5

6 Die Anforderungen des EPDG sind hoch: Patient vergibt Rechte; sichere ID-Mittel und Datenverschlüsselung Zugriffsrechtematrix Empfehlungen V, Präsentation EPDV , Auszug aus dem Anhang 2 der EPDV des EDI Health Info Net AG 2016 IAM Experten Forum 6

7 Die dezentrale Datenhaltung des Patientendossiers wird durch Gemeinschaften organisiert EPDG Übersicht, Health Info Net AG 2016 IAM Experten Forum 7

8 Der Zugang zum Dossier bedingt elektronische Identitäten eines zertifizierten Identitätsproviders eid Die Patienten und die Gesundheitsfachpersonen müssen für den Zugriff auf die EPDs eine sichere elektronische Identität und ein sicheres Identifikationsmittel haben. IDP Herausgeber von Identifikationsmitteln müssen von einer vom Bund anerkannten Stelle zertifiziert werden (Einhaltung von Normen, Standards, Integrationsprofilen, Datenschutz, Datensicherheit, organisatorische Voraussetzungen). Health Info Net AG

9 Die Anforderungen an das Identifikationsmittel betreffen den gesamten Lebenszyklus der eid Anforderungen Identifikationsmittel, EDI Health Info Net AG 2016 IAM Experten Forum 9

10 Regeln aus der Verordnung für die eid und den Herausgeber Anforderungen EPDG/EPDV eid Herausgeber Vertrauensniveau (erhebliche Sicherheit nach ISO 29115) Sichere Anwendung (Übertragbarkeit etc.) Mindestens 2 Faktoren unterschiedlicher Kategorien Geregelte Gültigkeitsdauer Herausgabeprozess: persönliches Vorweisen eines amtliches Ausweises nach AwG oder AuG Überprüfung des Nachweises Berufsqualifikation Erfüllung ISO Schutzprofil der eid Schutzprofil nach ISO/IEC15408 Health Info Net AG

11 Für die 2-Faktor-Authentisierung gibt es viele Möglichkeiten jedoch mit unterschiedlichem Aufwand Mögliche Faktoren Kategorie: Wissen Kategorie: Sein Kategorie: Haben Verlässlichkeit, Sicherheit High Passwort Zertifikat RFID Tag Venenscan Fingerabdruck Secure Token mtan Smart Card OTP App Gesichts Erk. Stimm Erk. PIN Unterschrift Low Low High Kosten, Aufwand Health Info Net AG

12 Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel Nutzung der HIN eid in Institutionen Vorteile der Lösung Health Info Net AG 2016 IAM Experten Forum 12

13 Die eid von HIN erfüllt die EPD-Anforderungen, ist weit verbreitet, gut verankert und für alle Berufsgruppen erhältlich Health Info Net AG 2016 IAM Experten Forum 13

14 Die HIN eid dient jetzt schon als sicheres Identifikationsmittel für diverse ehealth Plattformen und Online Dienste Ponte Vecchio Health Info Net AG 2016 IAM Experten Forum 14

15 Die HIN Plattform arbeitet mit fortgeschrittenen Zertifikaten und authentisiert mit 2-Faktoren Fortgeschrittene Zertifikate von QuoVadis mtan, HPC Karte oder Swiss ID als alternative 2. Faktoren Prüfung der Authentizität bei Registrationn mittels Pass oder ID Kopie (Video Ident Verfahren in Vorbereitung) Verifikation verschiedener Attribute (Berufsqualifikation, GLN-Nr etc.) via Berufsverbände und dem MedReg des BAG Die HIN Plattform wird in einem hochsicheren Rechenzentrum betrieben. HIN unterzieht sich einer ISO Zertifizierung. Health Info Net AG 2016 IAM Experten Forum 15

16 Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel Nutzung der HIN eid in Institutionen Vorteile der Lösung Health Info Net AG 2016 IAM Experten Forum 16

17 Im Gesundheitswesen werden verschiedene elektronische Identitäten eingesetzt Health Info Net AG 2016 IAM Experten Forum 17

18 Mit dem HIN Gateway weisen Institutionen ihren GFP zertfizierte eids auf Basis der internen Authentisierung zu HIN (ACS, PKI) A1 EPDG A2 Health Info Net AG 2016 IAM Experten Forum 18

19 Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel Nutzung der HIN eid in Institutionen Vorteile der Lösung Health Info Net AG 2016 IAM Experten Forum 19

20 H+ fordert für die Mitglieder eine pragmatische Umsetzung des EPD Die Regelungen zu den Identifikationsmitteln entsprechen nicht den im Spital praktizierten Abläufen der Personalabteilung beim Einund Austritt von Gesundheitsfachpersonen. Bei den Spitälern muss mehr die Einrichtung im Fokus stehen und diese verantwortet (Verwaltung, Haftung) den Personenbezug. Die Regelungen sollen es ermöglichen, dass Personalabteilungen interne oder externe Identifikationsmittel abgeben und verwalten können. Die Verwendung von Identifikationsmitteln sollte nicht auf bestimmte Mittel wie Smartcards eingeschränkt werden. Im Alltag soll den vorhandenen Authentisierungsverfahren vertraut werden. Auszug aus der Stellungnahme H+ zu EPDV, 2016 Health Info Net AG

21 Die eid der GFP wird bei Eintritt im Gateway eingetragen, dabei können diverse Attribute übernommen werden Herausforderung: Ein- und Austritts; Einrichtung verwaltet den Personenbezug Lösung: HIN verwaltet die eid; Spital ordnet diese seinen GFPs zu; Mit der eid stehen weitere Attribute zur Verfügung. HIN (IDP, PKI) A1 A2 Health Info Net AG

22 Der Gateway nutzt die vorhandenen Authentisierungsmittel und fordert weitere falls notwendig Herausforderung: Interne- und externe Identifikationsmittel verwenden und bestehende Authentisierungsverfahren nutzen Lösung: Das Gateway verbindet sich mit dem internen System (trust federation) und fordert zusätzliche Faktoren erst bei Bedarf (step up LOA) Weniger kritische Anwendung Internes Login + 2. Faktor EPDG Step-Up zusätzlicher 2. Faktor Health Info Net AG

23 HIN übernimmt die vielfältigen Herausforderungen als IDP für Gesundheitsfachpersonen EPDG EPDV Regelmässige Zertifizierung und Audits, Erfüllung hoher Sicherheitsanforderungen Aufwendiger Registrations- und Herausgabeprozess Verwaltung der eids, Zuordnung zu Institutionen und regelmässige Verifikation u.a. der Berufsqualifikation Unterstützung der GFP beim Zugriff auf externe Systeme und im Umgang mit der eid Health Info Net AG 2016 IAM Experten Forum 23

24 Mit dem Gateway und der eid von HIN statten Institutionen ihre GFP mit einem EPDG-konformen Identifikationsmittel aus HIN als IDP erfüllt die gesetzlichen Anforderungen Der Gateway erlaubt Zugriffe auf externe Systeme mit einer eid Bestehende Login-Mechanismen werden angebunden HIN unterstützt den Eintrittsprozess mit Stammdaten Health Info Net AG 2016 IAM Experten Forum 24

25 Vielen Dank für Ihre Aufmerksamkeit! Health Info Net AG 2016 IAM Experten Forum 25