05Ansvar för informationssäkerhet – Öppna nät

• 
• Skriv ut

Innehåll

• Vad innebär öppna nät?
• Hur kan överföring av patientuppgifter över öppna nät skyddas från obehörig åtkomst?
• Vad innebär det att skydda åtkomst till patientuppgifter med starkt autentisering?
• Får vårdgivaren använda fax för att överföra patientuppgifter?

Vad innebär öppna nät?

Öppna nät kan beskrivas som datornätverk som en enskild användare har tillgång till, exempelvis Internet. Genom att utnyttja Internet är det möjligt att enkelt och effektivt kommunicera text, ljud och bild, men den information som överförs med hjälp av Internet är oskyddad. Därför är det nödvändigt med specifika säkerhetslösningar för att minska risken för att obehöriga personer får tillgång till informationen. Sjunet är ett exempel på ett öppet nät. Sjunet har i dag cirka 100 anslutna kunder, bland annat samtliga landsting, ett antal kommuner, ett antal privata vårdgivare inklusive Praktikertjänst och Capio, Skatteverket, Apoteket samt ett tjugotal leverantörer. Telenät räknas också som ett öppet nät.

Hur kan överföring av patientuppgifter över öppna nät skyddas från obehörig åtkomst?

Om en vårdgivare gör patientuppgifter tillgängliga över öppna nät, exempelvis för att hälso- och sjukvårdspersonalen ska kunna utföra arbetsuppgifter på distans, måste detta göras på ett sådant sätt att ingen obehörig kan nå uppgifterna.

I praktiken innebär detta bland annat att patientuppgifter måste överföras genom en krypterad förbindelse eller genom att kryptera uppgifterna. En vedertagen krypteringsmetod för att kryptera förbindelser är SSL (Secure Sockets Layer) som används för att kryptera kommunikationen mellan två punkter som använder Internets infrastruktur. SSL kan utnyttja 128-bitars kryptering, vilken i dagsläget är accepterad som en tillräcklig skyddsnivå. Teknikutvecklingen medför dock att krypteringen hela tiden måste förbättras för att minimera risken för obehörig åtkomst.

Vad innebär det att skydda åtkomst till patientuppgifter med starkt autentisering?

För att en behörig användare ska få tillgång till patientuppgifter via öppna nät måste vårdgivaren kräva en så kallad stark autentisering. Det innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, exempelvis

• med någonting användaren kan − till exempel lösenord 
• med någonting användaren har − till exempel kodbox, certifikat, smartkort, engångskoder eller mobiltelefon
• med hjälp av användaren själv – till exempel fingeravtryck eller avläsning av iris.

En etablerad metod för autentisering är att använda en e-legitimation. Det är ett certifikat som man antingen sparar på sin dator (certifikat på fil), på ett smartkort eller i en mobiltelefon. Med hjälp av certifikatet och det tillhörande lösenordet skapas förutsättningar för stark autentisering. Denna metod används exempelvis av Skatteverket och Försäkringskassan för att låta kunderna identifiera sig och signera sina handlingar när de använder e-tjänster, till exempel deklaration och begäran av föräldraledighet. 

Får vårdgivaren använda fax för att överföra patientuppgifter?

Telenätet räknas som ett öppet nät. Faxar använder telenätet för sin kommunikation. Därför gäller bestämmelserna om öppna nät också överföring av patientuppgifter med hjälp av fax. Detta innebär att det kan vara svårt att överföra uppgifter via fax på ett sätt som uppfyller föreskrifternas krav på säkerhet. Den vårdgivare som använder fax för sådana överföringar måste förvissa sig om att ingen obehörig kan nå patientuppgifterna.