Virksomhetssertifikater i kommunene Erfaringer og utfordringer Samut 5.3.14, Bjørn Larsen Ditt foredrag Ditt foredrag holder du mandag 15.april kl.10.30. Tittel på foredraget er « Kommune 432 – Den digitale drømmen vi alle må ha ». Ingress: «Hvordan må vi alle forandre oss for å få til den digitale hverdagen? Hvorfor er dette viktig for demokratiet og hvilke rolle vil KommIT, kommunene, fylkeskommuner og stat, men ikke minst leverandørene ha i dette scenariet? » .

Bestilling av virksomhetssertifikat - utfordringsbildet Passe på når sertifikatet går ut. Helseaktøren har ansvaret. Forprosjektrapport meldingsovervåking – KomIT: Det er mangelfulle rutiner for vedlikehold og administrering av sertifikater samt andre kritiske data som adresseregister Sertifikater utløper og /eller er ikke registrert korrekt. Jfr. E-signaturloven kap.1, §4 utstedes sertifikater kun for en begrenset periode av gangen. Årsaken til at denne perioden er definert til 3 år, er en fortolking av loven som leverandørene av sertifikater har foretatt. Dette betyr at sertifikater utløper hvert 3. år, og kan da ikke brukes lengre. Et nytt sertifikat må bestilles av den juridiske ansvarlige for organisasjonen eller av en med fullmakt for dette. Det kreves teknisk kompetanse å bestille riktige sertifikater, installere disse og registrere dem korrekt i adresseregisteret og hos kommunikasjonspartnere. Denne type kompetanse er ikke noe eksempelvis legekontorer innehar. Det kreves IT-støtte for både kommuner og legekontorer for å oppdatere sertifikater. Kommunikasjonspartnere får ofte ikke oppdatert nye sertifikater i egne lokale adresseregistre, og konsekvensen er at meldinger ikke kan leveres elektronisk. Ansvaret for vedlikehold av egne opplysninger i NHNs adresseregister ligger hos leger og andre som ikke har kompetanse til vedlikehold

Sertifikatutfordringer forts… Stor jobb med skifte uten Ocean-funksjonalitet Varsle til alle komm.parter hvis du har mange Oslo kommune måtte rundt på alle legekontor for å skifte (I Sandefjord har de ordnet det selv/supportavtale) Husker ikke fra gang til gang hvordan vi gjennomførte hele prosessen (teknisk) Sertifikatleverandør endrer teknisk løsning underveis

Bestillingsrutiner for oppslag i AR/Buypass Brukere av DIPS Communicator får varsel ca 1-2) mnd. før sertifikatet går ut Leverandørene, i alle fall ACOS og MediLink, setter i gang prosessen med fornyelse av sertifikatet på eget initiativ, men vi kan velge å gjøre det selv. Fylle ut riktige skjemaer. Undertegnes av rådmannen eller den rådmannen har gitt skriftlig fullmakt Buypass kontakter rådmannen for verifisering før utstedelse av nytt sertifikat Varsle samarbeidsaktørene om å at virksomheten får nytt sertifikat - mail

Klarer vi oss med ett sertifikat pr. virksomhet? Sandefjord har ett som brukes for PLO og helsestasjon og ett for legevakt Vi tror det kunne fungert med ett sertifikat, men er usikre. Vil det da være mulig å sende meldinger mellom ulike systemer i kommunen, eks mellom PLO og legevakt? Vi vet at flere sertifikater skaper problemer pga for dårlig identifikasjon Det blir mer vedlikehold

Ønsker om forbedringer Vi ønsker at fagsystemleverandørene?, sertifikatleverandørene? påtar seg varsling. NHN må ha ansvar for at det tekniske funger der NHN gjør endringer, eks. ldapstreng. Ansvaret for innholdet i adresseregisteret vil fortsatt ligge hos den enkelte helseaktør. Gir dette nok sikkerhet? Sertifikatene i AR må merkes tydelig slik at kommunen enkelt kan se hvilket sertifikat som skal brukes, f.eks ifht PLO-meldingene Når NHN gjør endringer i oppsett på ldap-strengen må de sørge for at endringen iverksettes for alle sine kunder. Hvis ikke dette gjøres, og kommunen har flere sertifikater, så vil et fremdeles gyldig sertifikat ta over for det utgåtte, istedenfor at det nye riktige blir tatt i bruk. Kan autentisering gjøres på en annen måte? Ikke bytte ut men fornye? Avtale og ikke teknisk? Sjeldnere?

Endre rutiner for vedlikehold av sertifikater og data 1 Følgende løsninger bør vurderes for å endre rutiner for vedlikehold av sertifikater og data : Redusere oppgaven med oppdatering av egne sertifikater for fastleger og andre uten IKT-faglige forutsetninger for denne oppgaven gjennom: Utvidet bruk av leverandør-assistert oppdatering av sertifikater gjennom bruk av fullmakter til sertifikat-bestilling. Både fagsystem-, meldingstjener- eller sertifikat-leverandør bør kunne påta seg rollen. Utføre CPP/CPA-initiativet – automatisert oppdatering av data i Helsenett fra meldingstjenere er et middel til å øke kvaliteten i meldingsutvekslingen. Påvirke det nasjonale arbeidet med IKT-arkitektur ift. hvordan sertifikathåndtering skal skje på tvers av offentlig sektor. Adresseregisteret utbedres til å gjennomføre følgende: Automatisk kontroll av utløp av sertifikater med varsling av mottaker pr. email og evt. telefon Kontroll av at sertifikatets adresse er korrekt Kontroll av at sertifikat er av riktig type (CA3) Kontroll av om det er overensstemmelse mellom sertifikat, organisasjonsnummer og HER-id Regelmessig kontroll av at sertifikatet ikke er tilbakekalt. Forslag til konkrete tiltak på kort sikt: Identifisere hvordan SMS-feil kan unngås, designe løsning for dette Informere fastleger mv. om muligheten for at leverandør har ansvar for sertifikatvedlikehold Gjennomføre en juridisk vurdering av maksimal periode et sertifikat kan utstedes jfr. E-signaturloven og kontakt signaturutbyder for å få etablert lengre løpetid på sertifikater Utføre CPP/CPA-initiativet (verdi høstes dog først på lang sikt) Etablere teknisk funksjonalitet i Adresseregisteret til validering av data Forslag til konkrete tiltak på lang sikt: Påvirke nasjonalt veikart for IKT-arkitektur Utvide NHNs oppgaver og årsverk til å kunne følge opp og gi veiledning i korrekt oppdatering av data i Adresseregisteret Høy 7 5 OBS!!! 1 4 6 Verdi 2 3 Lav Vanskelighetsgrad Høy