Sa¦êker_a¦ètkomst.png

Säker åtkomst till våra tjänster

Många av våra tjänster som används av externa aktörer hanterar känsliga personuppgifter. Därför behöver tjänsterna ha hög säkerhet. För att de ska bli ännu säkrare anpassar vi våra system och inför en ny åtkomstlösning.

När externa aktörer ska få tillgång till våra system gör de ett anrop. Vi ökar säkerheten genom att göra förändringar i hur det anropet sker. Det är vad vi kallar för ny åtkomstlösning.

Åtkomstlösningen finns på plats sedan november 2017. Den innebär att alla aktörer som använder våra tjänster behöver genomföra vissa tekniska och administrativa förändringar innan november 2019. Detta gäller till exempel veterinärer, vårdaktörer och apoteksaktörer. På den här sidan kan du läsa om vad ni behöver göra och vilka delar av er organisation som berörs.

Åtkomstlösningen innebär tre förändringar:

Bli medlem i Sambi

Du som aktör behöver bli medlem i federationen Sambi. För att bli medlem behöver ni teckna ett avtal med Sambi och genomgå en tillitsgranskning. Tillitsgranskningen gäller endast den del av organisationen som rör identitets- och behörighetshantering för de tjänster som påverkas av vår nya åtkomstlösning. 

Läs mer om hur det går till att bli medlem i Sambi

Teknisk anpassning

De system som ni använder för att anropa våra tjänster behöver genomgå en teknisk anpassning. Det innebär att du som aktör måste beställa en teknisk anpassning av era system från er systemleverantör. Du behöver också se till att ni använder den anpassade versionen av systemet.

Läs mer om vad den tekniska anpassningen innebär

Ingå eller uppdatera avtal med eHälsomyndigheten

Om du som aktör inte har ett giltigt avtal med eHälsomyndigheten i dag behöver du ingå avtal med oss. Om du har ett giltigt avtal behöver du uppdatera det avtalet. För att göra det, kontakta oss via e-post. 

Läs mer om att ingå eller uppdatera avtal

Jag vill veta mer om

Vi tillhandahåller ett antal tjänster för att möta de behov som finns hos aktörer inom vård, apotek och omsorg, till exempel hantering av dosrecept och förskrivning samt expediering av e-recept. För att säkerställa säker åtkomst till dessa tjänster har vi tagit fram en ny åtkomstlösning.

Våra tjänster hanterar känsliga personuppgifter. Det ställer höga krav på säkerhet för att stärka den personliga integriteten. Det innebär att vi ställer höga krav på vård- och apoteksaktörer för att säkerställa:

  • konfidentialitet
  • tillgänglighet
  • riktighet
  • spårbarhet

eHälsomyndigheten inför den nya åtkomstlösningen för att efterleva gällande lagkrav så som:

  • lag (1996:1156) om receptregister
  • lag (2005:258) om läkemedelsförteckning
  • EU:s dataskyddsförordning (GDPR)

Kortfattat handlar det om nödvändig kvalitet på elektroniska identiteter, standardisering av säkerhetsrelaterad information som utbyts samt generella krav på informationssäkerhet.

Åtkomstlösningen innebär förändringar

eHälsomyndighetens nya åtkomstlösning innebär i huvudsak två förändringar för de som använder våra tjänster och register:

  • Tillitsgranskning via federationen Sambi: Sambi säkerställer att ni uppfyller de säkerhetskrav som ställs på bland annat hur ni hanterar person- och patientuppgifter.
  • Ny teknisk lösning: Anpassning av det system som ni använder för att få åtkomst till våra IT-system och register

Utöver detta behöver varje organisation ha ett giltigt avtal med eHälsomyndigheten som juridiskt reglerar anslutningen till myndighetens tjänster.

Läs mer om bakgrunden till vår tekniska lösning

Federationen Sambi är ett samarbete mellan eHälsomyndigheten och Inera med stöd av Internetstiftelsen i Sverige (IIS). Sambi står för Samverkan för behörighet och identitet inom hälsa, vård och omsorg och är en federativ infrastrukturlösning för hela hälso-, vård- och omsorgssektorn. Målet med Sambi är att skapa en nationell gemensam lösning, och federationen löser flera av de krav som ställs på eHälsomyndigheten för säker åtkomst till våra tjänster.  

Federation kan förklaras som en sammanhållen teknisk infrastruktur där hanteringen av identiteter och åtkomsträttigheter knyts samman med ett obegränsat antal e-tjänster.

Sambi är en samverkansmodell som bygger på tillitsprinciper. Den organisation som är godkänd av Sambi kan man lita på. De följer nämligen det gemensamma regelverket gällande tillitsnivåer, hantering av autentisering och behörigheter. Resultatet blir att även vi på eHälsomyndigheten kan lita på att de elektroniska intyg som ställs ut och används vid åtkomst till våra tjänster följer Sambis regelverk.

Genom federationen Sambi får vi gemensamma kravnivåer och en skalbar infrastruktur som baseras på internationella standarder. Här hittar du vanliga frågor och svar om federationer och om Sambi.

Bli del av Sambi

Federationen Sambi består av medlemmar och betrodda parter.

Eftersom federationen bygger på ömsesidig tillit till alla är kraven på säkerhet och stabilitet höga. Det krävs därför alltid en tillitsgranskning innan en organisation eller ett företag blir godkänd och ansedd som betrodd part och eventuellt medlem. Vad ni behöver göra och hur omfattande förändringarna blir beror på vilken roll ni har.

Notera att alla som ansluter till eHälsomyndighetens system behöver genomgå en tillitsgranskning och bli medlem i Sambi.

Vilka roller kan man ha inom Sambi?

  • Användarorganisation. En organisation med användare (till exempel vårdpersonal med förskrivningsrätt och expedierande farmaceuter) som vill få åtkomst till eHälsomyndighetens tjänster. Alla veterinärer, vård- och apoteksaktörer är användarorganisationer.
  • Tjänsteleverantör. En organisation som tillhandahåller det system som hämtar och skickar information från eHälsomyndigheten till användarorganisationen.
  • Sambiombud. Hjälper användarorganisationer att säkerställa att de lever upp till kraven i Sambis tillitsramverk
  • Underleverantör. Leverantör av tjänsterna e-legitimation, hantering av attribut och/eller identitetsintygsutgivning (IdP).

En aktör kan ha flera roller 

Alla veterinärer, vård- och apoteksaktörer är användarorganisationer. Det går att ha flera roller. Som användarorganisation kan man till exempel även vara tjänsteleverantör. Har ni som användarorganisation köpt en produkt (förskrivningsstöd, journalsystem eller receptexpeditionssystem) som ni själva tillhandahåller till era egna användare är ni troligtvis även tjänsteleverantör.

Har ni däremot köpt en tjänst för förskrivning, journalföring eller receptexpedition är det leverantören som tillhandahåller systemet till dina användare troligtvis tjänsteleverantör.

Det är alltså den som i slutändan tillhandahåller tjänsten till användaren som är tjänsteleverantör.

Exempelfall

För att göra det mer konkret har vi tagit fram några exempelfall. Observera att dessa exempel inte är heltäckande och att just er situation kan se annorlunda ut.

Läs mer

För dig som berörs av den nya åtkomstlösningen erbjuder vi ett antal kostnadsfria utbildningar. Syftet är att introducera dig till den nya åtkomstlösningen och att hjälpa dig i arbetet med att bli tillitsgranskade. För dig som arbetar med att tekniskt anpassa systemen erbjuder vi utvecklarsupport.

Vi håller gärna utbildningar runt om i landet. Om du vill att vi ska komma till din region, hör av dig till oss så försöker vi lösa det. 

Läs mer om våra utbildningar och vår support

 

Behöver du hjälp att bli medlem i Sambi? Då kan du få hjälp av ett så kallat Sambiombud. 

Genom att anlita ett Sambiombud behöver ni inte organisera och anskaffa tjänster och lösningar från flera olika parter själva. Sambiombudet erbjuder tjänster som är godkända av Sambis tillitsgranskningstjänst. Dessa kan ni sedan referera till i er egen tillitsdeklaration. 

Sambiombudet hjälper din organisation att säkerställa att ni lever upp till kraven i Sambis tillitsramverk. Detta omfattar lösningar och tjänster för:

  • uppföljning av informationssäkerhet
  • e-legitimation
  • attributkatalog
  • identitetsintygsutgivning
  • incidenthantering
  • rapportering
  • övervakning
  • medlemsansökan till Sambi. 

Godkända Sambiombud (öppnas i nytt fönster)

Vill du bli Sambiombud? Läs mer om hur du blir Sambiombud här.


Du som är systemleverantör

Är du leverantör av ett system som inte direkt ansluter till våra tjänster (till exempel receptexpeditionssystem, journalsystem eller e-receptsystem) behöver du inte vara godkänd av eller medlem i Sambi.

Däremot behöver ditt system vara anpassat till vår nya tekniska åtkomstlösning och godkänt av eHälsomyndigheten för anslutning.

Här kan du läsa mer om vad den tekniska anpassningen innebär.

Du som är underleverantör

Du som är eller önskar bli underleverantör av tjänsterna e-legitimation, hantering av attribut eller identitetsintygsutgivning kan inte bli medlem i Sambi. Däremot behöver Sambi granska och godkänna era tjänster. 

Det enklaste förfarandet är att ni själva ansöker om att få era tjänster granskade och godkända av Sambi. Det går dock även att få tjänsterna godkända i samband med att en användarorganisation eller tjänsteleverantör blir tillitsgranskade.

Läs mer om hur du blir godkänd underleverantör.

Du som vill bli Sambiombud

Som Sambiombud hjälper ni andra aktörer (användarorganisationer) att bli medlemmar i Sambi genom att säkerställa att de lever upp till Sambis krav. Det innebär att ni erbjuder tjänster som är godkända av Sambi, så att aktören själv inte behöver organisera och anskaffa tjänster från flera olika parter.

De tjänster som ni erbjuder kan ni antingen tillhandahålla själva, eller upphandla från en underleverantör. Följande tjänster behöver ni tillhandahålla: 

  • uppföljning av informationssäkerhet
  • e-legitimation
  • attributkatalog
  • identitetsintygsutgivning
  • incidenthantering
  • rapportering
  • övervakning
  • medlemsansökan till Sambi.

Om ni vill bli Sambiombud behöver ni inte vara medlem i Sambi. Däremot behöver ni vara granskade, godkända och ha tecknat ett avtal med Sambi.

Här kan du läsa mer om hur ni gör för att bli Sambiombud.


Utbildningar

Du som berörs av den nya åtkomstlösningen kan ta del av våra kostnadsfria utbildningar. I kalendern till höger kan du se när utbildningarna äger rum. Kalendern uppdateras löpande.

Utbildningarna genomförs på distans via Skype. Anmäl dig via anmälningsformuläret och välj det datum du vill delta. När din anmälan kommit in till oss skickar vi en bekräftelse och mer information till dig.

Kurs: Introduktion och tillitsgranskning

Kursen introduktion och tillitsgranskning vänder sig till dig som exempelvis är ansvarig för recepttjänster, verksamhetsansvarig eller ansvarig inom it eller informationssäkerhet. Kursen är 1,5 timme lång och ges via Skype. Kursen är tillgänglig för eHälsomyndighetens vård- och apotekskunder, tandläkare, veterinärer och systemleverantörer av förskrivning och receptexpeditionssystem.

Här kan du läsa mer om kursens innehåll (pdf, öppnas i nytt fönster).

Kurs: Teknisk genomgång online

Kursen teknisk genomgång vänder sig till dig som teknikt ska göra anpassningen och vill veta mer om hur det fungerar.  Kursens består av två delar. Den första delen är två timmar lång och ges via Skype. Den andra delen tar en timme och är inte obligatorisk utan valfri om du vill ha en egen genomgång.

Den tekniska genomgången består av två delar:

Del ett: En gemensam genomgång, där vi går igenom Sambi-federationen och SAML-profiler, val av produkt/lösning för att skapa SAML-biljett och en demo av SimpleSAML.

Genomgången är två timmar och vänder sig till dig som ska anpassa system till eHälsomyndighetens nya åtkomstlösning.

Del två: En valfri del där du/din organisation kan boka en timme för en enskild genomgång där ni kan ställa just era specifika frågor.