EP 1 részprojektjének eredményei „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban” EP 1 részprojektjének eredményei „ A digitális aláírás potenciális alkalmazóinak és az alkalmazások körének meghatározása az egészségügyben”
Az elektronikus aláírás projekt feladatai résztvevőnként EP1 kutatás EP2 megvalósíthatóság elemzése EP3 jogi szabályozás
Az alprojekt célja Célkitűzések digitális aláírás potenciális alkalmazóinak meghatározása az alkalmazások körének meghatározása TTP szolgáltatás mennyiségi és minőségi követelményeinek előzetes meghatározása Elvégzett feladatok 15 intézménytípus került meghatározásra Olyan teljesítmény mutatókat választottunk, amelyek alapján becslés készíthető a teljes régió adott típusú dokumentum éves mennyiségére.Pl. esetek száma, kártyák száma, teljesített pontszám stb. Folyamtban lévő feladatok Az OEP gyakorlatilag január 23-a óta ígéri a segítséget, de semmit nem kaptunk.
EP1/1: Adatgyűjtés a regionális egészségügyi intézményrendszerről Elvégzett feladatok Intézménytípusok meghatározása (16 db) Intézmények bemutatása Intézménylisták összeállítása (több mint 4500 intézmény) Régiónként egy-egy intézmény kiválasztása, mélyinterjúk Jellemző mutatók kiválasztása Dokumentumok osztályozása Dokumentumszám, aláíró szám becslése Olyan teljesítmény mutatókat választottunk, amelyek alapján becslés készíthető a teljes régió adott típusú dokumentum éves mennyiségére.Pl. esetek száma, kártyák száma, teljesített pontszám stb.
EP1/2: Adatgyűjtés a regionális egészségügyi intézményrendszerről Intézménytípusok – intézmények száma Intézmény Szolgáltatók száma a 3 régióban Mutatószám Kórház 59 Aktív és krónikus esetek száma; Önálló járóbeteg szakrendelők 41 német pontszám Önálló labor 39 Labor pontszám Háziorvos (felnőtt/gyerek/vegyes) 1978 / 1389 / 853 kártyák száma …. ….. …
EP1/3: Interjúk a három régió egészségügyi szolgáltatóival 61 db interjú készítése a három régióban; Dokumentumok leírása (tartalom, funkció, aláírók stb.); Aláírók (személy vs. szervezet), pecsét, dátum Éves darabszám a dokumentumokból a szolgáltatónál; Dokumentum-minták begyűjtése 198 dokumentum-típus azonosítása; A dokumentumok digitalizálása Olyan teljesítmény mutatókat választottunk, amelyek alapján becslés készíthető a teljes régió adott típusú dokumentum éves mennyiségére.Pl. esetek száma, kártyák száma, teljesített pontszám stb.
EP1/4: Interjúk a három régió egészségügyi szolgáltatóival Tapasztalataink: A dokumentumok kitöltésénél, kezelésénél meghatározó az orvos mellett dolgozó személyzet szerepe Szélsőséges különbségek az informatikai eszközökkel való ellátottság és az informatikai tudás terén Dokumentum típusok száma és mennyisége változó Az informatikai rendszerek lehetőségeinek a többsége nem ismert Dokumentumok kinyomtatása (papíron való tárolása) .
EP1/5: Interjúk a három régió egészségügyi szolgáltatóival Dokumentumok kategorizálása Beteggel kapcsolatos – intézményi – hatósági Helyben maradó – diagnosztika – terápia - integrált Anyagi – emberi – pénzügyi erőforrás – igazgatási és jogi ügyek - integrált Kérés – közlés Minősített- fokozott aláírás Cél: döntéstámogatás az elektronikus aláírás szükségének, illetve fokozatának megállapítása .
EP1/6: Dokumentum metaadatbázis Intézmény-intézmény mátrix .
EP1/7: Dokumentum becslés módszertana A dokumentumok osztályozása a becslés módszertana szerint Rendszeres dokumentumok meghatározása (intézmény szám X éves darabszám) Eseti dokumentumok pontbecslései (bizonyos mutatók alapján: pl. születésszám, esetszám, kezelés szám stb.) Eseti dokumentumok intervallumbecslései (minta alapján regressziós egyenes segítségével)
EP1/7: Dokumentum becslés eredménye A dokumentumforgalom számokban (3 régió együtt) 76-121 millió dokumentum évente Többnyire eseti dokumentumok Kórházak, rendelőintézetek és laborok a fő kibocsátók HEFOP4.4-ben kiemelt dokumentumok száma 19-45 millió évente HEFOP4.4-ben kiemelt dokumentumok száma 8-11 millió évente a konzorciumokban várhatóan részt vevő intézmények körében
EP1/8: Aláírók számának becslése Aláírók számokban (3 régió együtt) 11 aláírói szerepkör (vezető, oszt. vezető, csop. vezető, szakorvos, adatszolgáltató, ellenőr, védőnő stb.) Kb. 39 ezer aláíró a három régióban HEFOP4.4-ben kiemelt dokumentumokban érdekelt intézmények digitális aláírással rendelkező (vezetők, orvosok) aláíróinak száma kb. 10 ezer. A konzorciumokban várhatóan részt vevő intézmények aláíróinak száma kb. 3200.
EP1/9: Inputok az EP2 és EP3 projekt számára Együttműködés az EP2 és EP3 projektekkel Az EP2 informatikai kérdőívének eljuttatása az interjúalanyoknak Közös interjúk Input 1: Intézmény- és dokumentumtípus mátrix Input 2: A várható felhasználószám és a különböző szinten minősített dokumentumtípusok becsült mennyisége a 3 régióban Input 3: Dokumentum szám, aláíró szám a 3 régióban .
Az elektronikus aláírás projekt feladatai résztvevőnként EP1 kutatás EP2 megvalósíthatóság elemzése EP3 jogi szabályozás
Az alprojekt célja Feladatok 3 régió IT infrastruktúrájának felmérése Piacon kapható TTP szolgáltatás megoldások felmérése TTP szolgáltatók felmérése TTP szolgáltatás opciók meghatározása és elemzése Optimális TTP szolgáltatás megoldás meghatározása
A 3 régió IT infrastruktúrájának felmérése 17 intézmény IT infrastruktúrájának felmérése Hardverek Szoftverek Hálózat Felhasználók Biztonsági rendszerek IT személyzet
Munkaállomások
Munkaállomások operációs rendszerek
Következtetések Hardverek: Koros géppark, DOS és WIN9x futtatására alkalmas Szoftverek: Nem biztonságos operációs rendszereket alkalmazása Hálózat: Magas rendelkezésre állású, (nagy) sebességű Internet hozzáférés biztosítása Felhasználók: PC és email hozzáférés biztosítása Biztonsági rendszerek: Tűzfal, vírusvédelem, stb. IT személyzet: Támogatás a kicsiknek
TTP szolgáltatás megoldások Kanada: PKI Canada PKI keretrendszer: Követelmények egy TTP szolgáltatás felállításához Több TTP szolgáltató működhet, együttműködhet Alkalmazás: nem csak digitális aláírással kapcsolatosak VPN/Távoli hozzáférés Egészségügyi bírósági eljárások adatbázisa Egészségügyi felügyelők ID rendszere HIV fertőzésekkel kapcsolatos adatcsere (Orvosi) elszámolási rendszer Biztonságos email és web szolgáltatások
TTP szolgáltatás megoldások Ausztrália: Health eSignature Authority RA funkciót látja el CA funkciót külső szervezet (hitelesítés szolgáltató) Alkalmazás: HIC Online ingyen, mindenki hozzáfejleszt Támogatás Fejlesztést támogató eszközök Egyszeri implementációs költségtérítés Tanúsítványok díja
TTP szolgáltatás megoldások Egyesült Királyság : NHS Information Authority Implementáció előtti állapot PKI keretrendszer definiálva CP, CPS, RA-t biztosít CA szolgáltatást harmadik féltől Alkalmazási területek nem ismertek Belgium: CareNet Belgacom a CA CIN (Egészségbiztosítási Intézetek Szövetsége) az RA Egészségbiztosítási elszámolások A CareNet: alap a későbbi alkalmazások részére
TTP szolgáltatás
Hazai TTP szolgáltatók NetLock Kft. Fokozott és Minősített Máv Informatika Kft. Fokozott és Minősített Matáv Rt. Fokozott és Minősített (folyamatban) Giro Rt. Fokozott Microsec Kft. Fokozott
Hazai TTP szolgáltatók szolgáltatásai Fokozott és Minősített biztonságú tanúsítványok kiadása Aláírás létrehozó kulcs párok elhelyezése aláírás tároló eszközön Időpecsét szolgáltatás Sub-CA-k létrehozása PKI megoldások egyedi igények szerint Regisztrációs szolgáltatások
TTP szolgáltatók opció A opció: Saját infrastruktúrán üzemeltetett TTP szolgáltatás Előnyök Erős kontroll a szolgáltatás és funkcionalitása fölött Tanúsítványoknak nincs éves díja Nagy felhasználószám esetén költség hatékony megoldás Hátrányok Magas beruházási költség „Csak” minimálisan elvárható biztonsági szint Magas megvalósítási kockázat
TTP szolgáltatók opció B. Opció: Menedzselt TTP szolgáltatás Előnyök Közepes kontrol a szolgáltatás és funkcionalitása fölött A tanúsítványok alacsony éves díja Minimális beruházási költségek Kiszámítható költségek Minimális megvalósítási kockázat Egyedi igények teljesíthetők Hátrányok Használattól függetlenül fizetni kell a szolgáltatásért
TTP szolgáltatók opció C. Opció: Piaci hitelesítés szolgáltató Előnyök Csak a kiadott tanúsítványokért kell fizetni Alacsony megvalósítási kockázat Hátrányok Relatív magas a tanúsítványok díja Egyedi igények teljesítése nem lehetséges
TTP szolgáltatás paraméterei A felhasználásra vonatkozó feltételezések A HEFOP 4.4. program megvalósítására pályázó konzorciumok tanúsítványokkal való ellátása szükséges (kb. 3500 felhasználó) A program felfutását követően a 3. évtől a felhasználószám fokozatosan bővül (évi 1000 fővel)
Költségelemzés
Költségelemzés
Optimális TTP szolgáltatás B. Opció: Menedzselt TTP szolgáltatás Jellemzők: Fizikai infrastruktúra: A külső szolgáltató biztosítja. Magas biztonsági szint biztosítható. Költségeit a szolgáltatási díj tartalmazza. Technikai infrastruktúra A külső szolgáltató biztosítja, egy kezdeti egyszeri implementációs díjért és egy rendszeres havi üzemeltetési díjért. Tanúsítványoknak éves díja van.
Optimális TTP szolgáltatás B. Opció: Menedzselt TTP szolgáltatás Jellemzők: Humán erőforrások: Csak a regisztrációs eljárások biztosítására kell erőforrásokat biztosítani és számukra folyamatos képzést biztosítani. Szabályozás Egyedi CP és CPS készíthető, amelyhez a külső szolgáltató, vagy egy konzulens közreműködése szükséges.
Optimális TTP szolgáltatás B. Opció: Menedzselt TTP szolgáltatás Jellemzők: Költségek: Kiszámítható költségek a teljes felhasználás időtartama alatt. Kisszámú tanúsítvány esetén kedvezőtlen megoldás. Konformitás Jellemző megoldás az egészségügyben megvalósított TTP szolgáltatási módozatok között, és könnyen illeszthető az egyéb ágazati és kormányzati törekvésekhez.
Optimális TTP szolgáltatás B. Opció: Menedzselt TTP szolgáltatás Jellemzők: Funkcionalitás: A rendszer fölötti korlátozott kontroll miatt, annak funkcionalitása csak a külső szolgáltató bevonásával alakítható. Kockázat Közepes kockázatú megoldás. Külső kockázati tényező a program sok bizonytalansági eleme, elsősorban a felhasználószám és felhasználás (aláírás) alakulása. Informatikai projektre jellemző kockázata nincs, azt a külső szolgáltató viseli. Üzemeltetés során a felelősség a külső szolgáltatón van.
Az elektronikus aláírás projekt feladatai résztvevőnként EP1 kutatás EP2 megvalósíthatóság elemzése EP3 jogi szabályozás
Alapozó tanulmányok a szabályozáshoz Elvégzett feladatok Jogi elemzés a TTP szolgáltatókról, a hitelesítési kategóriákról, az eDokumentumokról, Eü szakigazgatásról, és rövid összefoglaló az EU eEgészség szabályairól Félszáz jogszabály feldolgozása, félszáz interjú Megállapítások Kulcskérdések: Általános vs speciális szabályozás, új elektronikus aláírás törvény, beteg adatok tárolása, felelősség, dokumentum-tipizálás, titkosítás Tanulmányok Összeállítottuk a legújabb EU és magyar szabályozási terveknek megfelelő eAláírási tanulmányokat, a TTP szolgáltatókról, a hitelesítési kategóriákról, továbbá az eDokumentumokról, amelyek mind fontosak lesznek ágazati és HEFOP 4.4 szinten is. Összeállítottuk az Eü szakigazgatás magyarországi alapelveit felvázoló tanulmányt, amelyből kiderült, hogy milyen fő irányai lesznek a szabályozási koncepciónak. Megállapítások, háttérkérdések: A szabályozásnak meg kell küzdenie az általános viszonyokra vonatkozó szabályozás általános, és a HEFOP4.4 konkrét – egymással szemben álló – igényeivel! Már az új EAT-tal összhangban készül a koncepciónk. Hogyan kerülnek tárolásra és továbbításra a betegadatok? orvosi felelősségvállalás kérdése, intézményi- és orvospecsét alapvető dokumentum-tipizálás ötletek: a) tartalom szerint (egyszerű, személyes adatot tartalmazó, különleges adatot tartalmazó) b) kommunikáció szerint (konkrét szereplőnek küldött, bizonytalan szereplőnek szánt) titkosítás szükségessége képi és szöveges állományok (dokumentum-méret)
Szabályozási koncepció és normaszöveg készítés Elkészült termékek Elkészült a szabályozási tárgykörök áttekintése (adatvédelem, betegjogok, iratkezelés, hitelesítés technológiai megoldások, migráció) Kormányhatározat tervezet Ágazati rendelet tervezet Ágazati irányelv tervezet A szabályozási tárgykörök ismertetése az alábbi pontokat tartalmazza: adatvédelem, (a legfontosabb kérdésnek látszik tekintve, hogy az eü adatok különleges adatok és a projekt nagyrészt az adatok kezeléséről, továbbításáról szól!) betegjogok, (rendelkezési jog, betekintési jog, másolat) nyilvántartások, (elosztott rendszer irányát támogatják a szakértők, ehhez is! sok alapnyilvántartás kell, ami nem feltétlenül közhiteles – pl orvosnyilvántartás) iratkezelés, (KEIR projekt, intézmények magán- és közigazgatási tulajdonlása) felelősség, (milyen felelőssége van az orvosnak?) migráció, (papíralapú vs elektronikus rendszer együttműködése) eAláírás specifikus kérdések, (aláírás szintjei, digitális aláírás társadalmi elterjesztésének katalizálása!) illetve az egyetlen nagyon konkrét terület a dokumentumtípusok.
További feladatok Elkészült termékek Sajtóközlemény Szükség van további jogalkotásra is (lásd kormányhatározat) A szabályozási tárgykörök ismertetése az alábbi pontokat tartalmazza: adatvédelem, (a legfontosabb kérdésnek látszik tekintve, hogy az eü adatok különleges adatok és a projekt nagyrészt az adatok kezeléséről, továbbításáról szól!) betegjogok, (rendelkezési jog, betekintési jog, másolat) nyilvántartások, (elosztott rendszer irányát támogatják a szakértők, ehhez is! sok alapnyilvántartás kell, ami nem feltétlenül közhiteles – pl orvosnyilvántartás) iratkezelés, (KEIR projekt, intézmények magán- és közigazgatási tulajdonlása) felelősség, (milyen felelőssége van az orvosnak?) migráció, (papíralapú vs elektronikus rendszer együttműködése) eAláírás specifikus kérdések, (aláírás szintjei, digitális aláírás társadalmi elterjesztésének katalizálása!) illetve az egyetlen nagyon konkrét terület a dokumentumtípusok.
Megállapítások 1. A magyar közigazgatásban az egészségügyi ágazat az első olyan ágazat, amely él az elektronikus aláírásról szóló 2001. évi XXXV. törvényben (Eat.) foglalt felhatalmazással és a teljes ágazatra vonatkozóan szabályozza az elektronikus aláírás felhasználását és biztosítja az elektronikus aláírással ellátott elektronikus dokumentumok ágazaton belüli elismerését. Az egészségügyi szolgáltatók által gyógyító-megelőző tevékenységük keretein belül kiállított dokumentumok közokiratnak minősülnek. Ez pedig azzal jár, hogy e dokumentumok elektronikus megfelelőinek kiállításához minősített elektronikus aláírás szükséges Tanulmányok Összeállítottuk a legújabb EU és magyar szabályozási terveknek megfelelő eAláírási tanulmányokat, a TTP szolgáltatókról, a hitelesítési kategóriákról, továbbá az eDokumentumokról, amelyek mind fontosak lesznek ágazati és HEFOP 4.4 szinten is. Összeállítottuk az Eü szakigazgatás magyarországi alapelveit felvázoló tanulmányt, amelyből kiderült, hogy milyen fő irányai lesznek a szabályozási koncepciónak. Megállapítások, háttérkérdések: A szabályozásnak meg kell küzdenie az általános viszonyokra vonatkozó szabályozás általános, és a HEFOP4.4 konkrét – egymással szemben álló – igényeivel! Már az új EAT-tal összhangban készül a koncepciónk. Hogyan kerülnek tárolásra és továbbításra a betegadatok? orvosi felelősségvállalás kérdése, intézményi- és orvospecsét alapvető dokumentum-tipizálás ötletek: a) tartalom szerint (egyszerű, személyes adatot tartalmazó, különleges adatot tartalmazó) b) kommunikáció szerint (konkrét szereplőnek küldött, bizonytalan szereplőnek szánt) titkosítás szükségessége képi és szöveges állományok (dokumentum-méret)
Megállapítások 2. Az ágazati rendelet hatálya úgy lett kialakítva, hogy vegye figyelembe az ágazati realitásokat és ne kelljen azonnal a meglévő rendszereket átalakítani az elektronikus aláírás használatához, azonban az intézményközi kommu-nikációban és a jövőbeli fejlesztéseknél már figyelembe kell venni az előírásait. Tanulmányok Összeállítottuk a legújabb EU és magyar szabályozási terveknek megfelelő eAláírási tanulmányokat, a TTP szolgáltatókról, a hitelesítési kategóriákról, továbbá az eDokumentumokról, amelyek mind fontosak lesznek ágazati és HEFOP 4.4 szinten is. Összeállítottuk az Eü szakigazgatás magyarországi alapelveit felvázoló tanulmányt, amelyből kiderült, hogy milyen fő irányai lesznek a szabályozási koncepciónak. Megállapítások, háttérkérdések: A szabályozásnak meg kell küzdenie az általános viszonyokra vonatkozó szabályozás általános, és a HEFOP4.4 konkrét – egymással szemben álló – igényeivel! Már az új EAT-tal összhangban készül a koncepciónk. Hogyan kerülnek tárolásra és továbbításra a betegadatok? orvosi felelősségvállalás kérdése, intézményi- és orvospecsét alapvető dokumentum-tipizálás ötletek: a) tartalom szerint (egyszerű, személyes adatot tartalmazó, különleges adatot tartalmazó) b) kommunikáció szerint (konkrét szereplőnek küldött, bizonytalan szereplőnek szánt) titkosítás szükségessége képi és szöveges állományok (dokumentum-méret)
Megállapítások 3. Munkánk során több olyan területtel (adatvédelem, iratkezelés, egészség-ügyi, elektronikus hatósági tevékenység, archiválás-szolgáltatás és levéltári szabályok) is foglalkoztunk, amely nagyban befolyásolta az eredményeinket. Minden területtel nem állt módunkban részletesen foglalkozni tekintve az időbeli korlátokat (több esetben még nem állt rendelkezésre figyelembe vehető normaszöveg tervezet sem), azonban minden olyan kérdést, amelynek további részletes kidolgozása indokolt felsoroltunk a kormányhatározat tervezetben. Tanulmányok Összeállítottuk a legújabb EU és magyar szabályozási terveknek megfelelő eAláírási tanulmányokat, a TTP szolgáltatókról, a hitelesítési kategóriákról, továbbá az eDokumentumokról, amelyek mind fontosak lesznek ágazati és HEFOP 4.4 szinten is. Összeállítottuk az Eü szakigazgatás magyarországi alapelveit felvázoló tanulmányt, amelyből kiderült, hogy milyen fő irányai lesznek a szabályozási koncepciónak. Megállapítások, háttérkérdések: A szabályozásnak meg kell küzdenie az általános viszonyokra vonatkozó szabályozás általános, és a HEFOP4.4 konkrét – egymással szemben álló – igényeivel! Már az új EAT-tal összhangban készül a koncepciónk. Hogyan kerülnek tárolásra és továbbításra a betegadatok? orvosi felelősségvállalás kérdése, intézményi- és orvospecsét alapvető dokumentum-tipizálás ötletek: a) tartalom szerint (egyszerű, személyes adatot tartalmazó, különleges adatot tartalmazó) b) kommunikáció szerint (konkrét szereplőnek küldött, bizonytalan szereplőnek szánt) titkosítás szükségessége képi és szöveges állományok (dokumentum-méret)