Hvorfor skal innlogging være så vanskelig?

Dec 22 11 under Teknikaliteter, Ukategorisert | 14 kommentarer

Flere har stilt spørsmål om hvorfor innlogging til selvbetjeningstjenestene på helsenorge.no skal være så vanskelig.  Hvorfor krever ulike tjenester ulike innlogginger? Og hvorfor skal dette koste så mye? Hvorfor kan vi ikke bruke BankID? Vi prøver å forklare dette (Merk: Det ble 14.11.12 kjent at BankID er klarert som påloggingsløsning for offentlige elektroniske tjenester).

Elektroniske selvbetjeningstjenester på nett krever gode sikkerhetsløsninger. Ikke bare for innlogging, men også for å gi brukeren tilgang til riktige tjenester, mulighet for elektronisk signering og kryptering av innholdet. Tilgang til helseopplysninger stiller spesielt strenge krav til sikkerhet. For tilgang til tjenestene på helsenorge.no benytter vi den offentlige ID-porten.

Helseopplysninger krever sikkerhet
Selvbetjeningstjenestene som i dag tilbys på helsenorge.no har ulike sikkerhetsnivåer, avhengig av hvilken informasjon som skal vises og hva brukeren skal fylle inn av informasjon. For å bestille europeisk helsetrygdkort kreves kun at du fyller inn fødselsnummeret ditt. Fødselsnummeret er ikke definert som sensitiv informasjon, og tjenesten krever derfor ikke innlogging. Skal du derimot bytte fastlege, må du logge deg inn med MinID (mellomhøyt nivå).

Tjenester som inneholder eller behandler helseopplysninger om enkeltpersoner krever elektronisk ID på høyeste sikkerhetsnivå. I dag gjelder dette tjenestene Mine egenandeler, Mine resepter og Mine vaksiner, men det vil framover komme flere selvbetjenings- og innsynsløsninger på helsenorge.no som krever høyeste sikkerhetsnivå.

Det er i dag to godkjente leverandører av elektronisk ID-løsninger – Buypass og Commfides – og det koster fra ca 380,- kroner å anskaffe slik ID. (Priser). Derimot er det gratis å logge på og bruke tjenestene.  Altinnkort med Buypass-akseptansemerke, kan også benyttes til innlogging. Spillerkort fra Norsk Tipping er et annet Buypasskort du kan benyttes til innlogging. Hvis spillerkortet er bestilt på Internett, er det klart for bruk i selvbetjeningsløsninger som krever høyeste sikkerhetsnivå. Er kortet kjøpt hos kommisjonær, må du oppgradere spillerkortet før det kan benyttes. Oppgradering skjer via nettsidene til Buypass.

Innlogging på høyeste sikkerhetsnivå vil gi deg tilgang til alle tjenestene også på lavere sikkerhetsnivåer.  Elektronisk ID på høyeste sikkerhetsnivå støtter både autentisering (pålogging), elektronisk signering og kryptering.

Hva med BankID?
Mer enn 2,7 milioner nordmenn bruker i dag BankID for tilgang til nettbank og finanstjenester.  En nærliggende tanker er selvsagt å kunne bruke
denne løsningen også for pålogging til offentlige tjenester med helseopplysninger. BankID-løsningen oppfyller i dag ikke alle kravene til offentlig elektronisk ID, blant annet når det gjelder meldingskryptering, og kan derfor ikke brukes mot tjenester som innebærer innsending og/eller uthenting av til innlogging til helseopplysninger.

Ikke nok?
Vil du lese mer om sikkerhetsnivåer og krav om sikring, så finner du ytterligere informasjon her:

 

Emneord: | |
  • Anonymous

    Det er en skam at jeg må betale for mine egne opplysninger.! At det bare koster noen hundrelapper hører ingensteds hjemme. Jeg er uførestrygdet grunnet MS og har ikke veldig god råd. Vi har alle bank ID og det ville heller vært bedre hvis myndighetene hadde jobbet sammen med disse slik at de fikk den riktige krypteringen og dermed kunne brukes. Eller så må myndighetene sende ut den nødvendige elektroniske id selv…slik at den kan være gratis.Hele systemet slik det er i dag er tungt,tregt og dyrt.!!Dette er for dårlig av staten Norge ett av verdens rikeste land.

  • Gjest

    Da MinID ble innført skulle det være en gratis og sikker identifisering av bruker for alle statlige tjenester på nettet.

    Når kom skiftet i vurderingen av sikkerheten ved MinID?

    Siden identifisering med MinID er så usikker at Helsedirektoratet ikke vil bruke den, lurer jeg på hvorfor den regnes som tilstrekkelig sikker for alle mine personlige opplysninger på skatteetaten.no, inkludert ved innlevering av selvangivelsen!

    Hvorfor skal mine helseopplysninger, dvs resepter og vaksiner, beskyttes bedre enn mine øknomiske opplysninger?

    • Anonymous

      Vi forstår at spørsmålet kommer opp.

      Det er andre lovbestemmelser som ligger til grunn for skatt enn for helsesektoren – derfor er også vurderingene rundt sikkerhetskrav ulike.

      Personlige helseopplysninger er underlagt taushetsplikt, og krever derfor høyeste sikkerhetsnivå. Helsedirektoratet må selvsagt forholde seg til gjeldende lovverk, men er også aktivt med i arbeidet som nå pågår i regi av Difi for å finne enklere løsninger.

      Mvh
      Glenn Melby
      Helsedirektoratet – helsenorge.no-redaksjonen

      • Tmaehlum

        Jeg oppdaget denne bloggen etter at jeg hadde skrevet et spørsmål til Helse Norges kundeservice for å høre hvem som har besluttet at man skal betale for innlogging. Det eneste de svarer er at jeg skal ringe deres 810 nummer.
        Å referere til høyere krav til sikkerhet er et veldig dårlig svar. Det er jo bare et spørsmål om hvem som skal ta regningen. Et minimums-krav må være at kostnaden inngår i fribeløpet slik at kronisk syke ikke skal betale mer enn de allerede gjør. Regner med at denne saken blir et tema på høyt plan og jeg “hjelper” gjerne til med å få satt den på dagsorden.

        • Anonymous

          Helsedirektoratet kan naturlig nok bare forholde seg til gjeldende lover og regelverk for informasjonssikkerhet i helsesektoren. Tilgang til helseopplysninger krever høyeste sikkerhetsnivå.

          Som nevnt i forrige svar, står denne saken allerede høyt på agendaen i forvaltningen. Direktoratet for Forvaltning og IKT har i disse dager ute en kunngjøring for anskaffelse av e-ID (høyeste sikkerhetsnivå). Målsettingen med dette er å åpne for påloggingsløsninger med stor utberedelse i befolkningen, slik at flere kan bruke offentlige tjenester på nett.

          Mvh
          Glenn Melby
          Helsedirektoratet – helsenorge.no-redaksjonen

  • Oddbjørn

    Det faktum at det offentlige krever at vi skal betale for tilgang til egne opplysninger er ikke akseptabelt. Det er greit nok at innloggingen er gratis, men at man må betale for å få mulighet til å logge seg inn er uhørt.

    Her må det komme til løsninger som gjør det mulig å komme til offentlige opplysninger OM SEG SELV uten at man skal ut med penger. Forklaringen gitt i dette innlegget holder ikke mål. Det er her snakk om prinsippet at staten her nekter innbyggerne tilgang til personlige opplysninger og tillater at private skal tjene penger på det.

  • Gjest

    Som jeg tidligere (også som gjest) har gjort oppmerksom på er det ikke aktuelt å betale private utenforstående for å få tilgang til egen informasjon hos en offentlig instans. Nå noterer jeg meg at i tillegg til at man tror at dette er akseptabelt, er man så arrogant at det formuleres som “det koster noen få hundrelapper” i stedet for å saklig oppgi hvor mye man forlanger at vi skal donere til private aktører.

    “Noen få hundrelapper” er penger en del av Norges innbyggere ikke har å svi av på slikt, i tillegg til at disse “få¨hundrelappene” hos Commfides faktisk er kr. 1.180 for en treårsperiode, hos BuyPass fra 479,- for en treårsperiode. Det er altså heller ikke en engangsinvestering.

    Det påstås at disse løsningene er enkle. Man trenger “kun” å holde styr på 1 stk. kort, 1. stk. kortleser og 1. stk. kode – i tillegg til alle sine andre kort og koder og BankID-brikker, da. Enkelt? Nei.

    Kort oppsummert: løsningen for Mine Resepter og Mine vaksiner er uferdig, og må trekkes tilbake inntil komplett, gratis innloggingsløsning foreligger.

    • Anonymous

      Vi registrerer disse synspunktene. Dette er tilbakemeldinger vi har mottatt fra flere. Helsedirektoratet kan bare forholde seg til gjeldende regelverk og de valg som er gjort, men vi deltar i prosessen framover for å utvikle dette.

      Artikkelen er forøvrig redigert på punktet om priser. Takk for tilbakemeldingen.

      mvh
      Glenn Melby
      Helsedirektoratet – helsenorge.no-avdelingen

      • Gjest

        Som sagt er det jo bare å trekke tilbake innlogging for Mine Resepter og Mine vaksiner inntil en brukbar (naturligvis gratis) løsning foreligger. Det er bedre å trekke tilbake uferdige oppsett enn å la dem ligge tilgjengelige.

  • Arild Faxvaag

    Denne artikkelen forteller bare at noen har bestemt at det skal være “elektronisk ID på høyeste sikkerhetsnivå”. Valg av sikkerhetsnivå bør være begrunnet i en eller flere risikoanalyser hvis beslutningen skal være troverdig. Er det foretatt en slik analyse og hvor finnes den i så fall?

    • Anonymous

      Det er korrekt at det skal gjøres en konkret risikovurdering for hver enkelt tjeneste. Dette følger av Norm for informasjonssikkerhet i helsesektoren (se link i artikkelen), og det er tjenesteeiers ansvar at dette blir gjort.

      Det er gjennomført slike risikoanalyser for både Mine resepter (av Helsedirektoratet) og Mine Vaksiner (av Folkehelseinstituttet). Krav om høyeste sikkerhetsnivå på disse tjenestene er også i samsvar med Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor (se link i artikkelen).

      Mvh
      Glenn Melby
      Helsedirektoratet – avdeling Helseportal

  • Sissel

    Meldingskryptering er ikke relevant for innlogging til en portal, men dersom man skal sende innhold over nettet for eksempel en sykemelding fra lege til NAV. Det er derfor ikke riktig at BankID ikke kan brukes til innlogging for innbyggere.

    • Anonymous

      Du har rett i at formuleringen om BankID i siste avsnitt ikke var helt presis. Dette er korrigert nå.

      Mvh
      Glenn Melby
      Helsedirektoratet – avdeling helseportal

  • Ovhaugr

    Hvis bank-id er trygt nok til å håndtere privatøkonomi, økonomi til lag og foreninger etc. så velger jeg nok å vente til bank-id blir vurdert trygt nok til å kunne bruke tjenestene på helsenorge også. Jeg anskaffer ikke enda en sikkerhetsløsning / enda et kort for å få disse tilgangene – tjenestene som krever noe annet enn bank-id (i.e. det jeg allerede har) vil ikke bli brukt av meg.