Die Einführung des elektronischen Patientendossiers (EPD) für die Schweiz ist in vollem Gange. Dafür werden vertrauliche Patientendaten verarbeitet, genauso wie für die Anbindung von COVID-19-Testergebnissen an die SwissCovid App. Doch wie wird sichergestellt ist, dass nur Befugte wie etwa Ärzte oder Patienten auf diese sensiblen Daten für beide Anwendungen zugreifen können? Mit einem Identity and Access Management (IAM), das der Schweizer Identitätsanbieter Health Info Net AG (HIN) zusammen mit Nevis bereitstellt.
HIN zählt im Schweizer Gesundheitswesen zum Standard für sichere Kommunikation und übernimmt unter anderem die Rolle eines elektronischen Identitätsproviders (IDP) für Fachpersonen und -einrichtungen. Dafür vergibt HIN zertifizierte elektronische Identitäten, mit denen Beschäftigte sich in beruflich relevante Applikationen wie das EPD einloggen können. An die 1996 gegründete HIN sind heute neben Gesundheitsfachleuten aus über 20 Berufsgruppen auch Spitäler, Einrichtungen der ambulanten Pflege, Pflegeheime, Apotheken, kantonale und kommunale Stellen sowie Krankenkassen angeschlossen.
Authentisierung bei HIN
Möchte ein potenzieller User sich registrieren, um Zugriff auf von HIN geschützte Anwendungen zu erhalten, muss HIN sicherstellen, dass die Angaben wahrheitsgemäss sind. Dies erfolgt entweder über die Kontrolle der Ausweisdokumente via gescannter Unterlagen oder per Video-Call. Als Identitätsprovider für Personen im Gesundheitswesen prüft HIN auch berufsspezifische Angaben, bei Ärzten etwa die Eintragungen ins Medizinalregister. Danach erhalten die User eine Identität und ein Mittel für die Authentisierung. Dies sind Benutzername und Passwort, die in jedem Fall um einen zweiten Faktor ergänzt werden. Dabei handelt es sich entweder um eine SMS oder die HIN Authenticator App. Diese unterstützt einen Freigabe-Mechanismus sowie die Generierung von Einmalpasswörtern oder ein Hardware Token. Neben den beiden Hauptverfahren ist das Benutzername/Passwort-Verfahren nur eine alternative Form der Authentisierung.
Schutz für das EPD und die SwissCovid App
Diese Authentisierungs-Verfahren kommen auch beim elektronischen Patientendossier EPD zum Einsatz. Darin können Ärzte und andere Gesundheitsfachpersonen Dokumente zum jeweiligen Patienten ablegen. Für beide Seiten soll das den Zugriff auf die Gesundheitsdaten erleichtern. HIN stellt dabei sicher, dass alle gesetzlichen Anforderungen im Hinblick auf die Identifikation und Authentisierung zugriffsberechtigter Personen erfüllt sind.
Auch bei der Absicherung sensibler Gesundheitsdaten für die SwissCovid App ist HIN involviert. Wie die deutsche Corona-Warnapp soll die Smartphone-Anwendung helfen, über die Kontaktnachverfolgung Infektionsketten zu unterbrechen. Das Tracing-System umfasst eine Mobile App, mit der HIN direkt nichts zu tun hat, und die Webapplikation Covidcode. Wird bei einem Patienten COVID-19 diagnostiziert, meldet der Arzt sich nach Authentisierung mit seiner HIN Identität auf der Covidcode-Webapplikation an. Dort generiert er einen Code, den er an den betroffenen Patienten weitergibt, der den Code wiederum in der App eingibt. Auf diese Weise werden automatisch alle Kontaktpersonen benachrichtigt.
So hilft die Authentifizierung von Nevis beim IAM
HIN suchte 2013 nach einer neuen Softwarebasis für das Identity and Access Management (IAM), also die Prüfung der Berechtigungen eines Users. Die Wahl fiel auf die Lösung von Nevis, da das Unternehmen überzeugend demonstrieren konnte, dass bisherige Probleme damit Vergangenheit angehören, insbesondere wenn es um Flexibilität bei neu einzuführenden Verfahren für die Authentisierung geht.
IAM mit Flexibilität
Die Umstellung des IAM-Verfahrens kam einer Operation am offenen Herzen gleich, weil es schon zu Beginn 100 angeschlossene Services gab und die Art, wie auf diese Services zugegriffen wird, komplett ausgetauscht wurde. Als besondere Herausforderung erwies sich auch das End-to-End-Testing, denn der HIN Client beinhaltete mehrere Restriktionen, die die Performance der browseroptimierten Nevis-Lösung einschränkten. Die Lösung musste daher auf die Bedürfnisse von HIN optimiert werden. Zudem war ein harter Wechsel vom alten zum neuen IAM-System erforderlich.
Heute werden sämtliche von HIN angebotenen Applikationen durch das IAM von Nevis geschützt. Hierbei erfolgt ein automatisierter Abgleich von Daten aus dem ERP-System mit dem Identity Management, in dem User erzeugt und Rollen zugewiesen werden. Je nachdem, welche Applikationen der jeweilige User über HIN bezogen hat, werden ihm im Identity Management verschiedene Berechtigungen zugewiesen. Dieser Abgleich zwischen ERP und IAM erfolgt in Echtzeit.
Die hohe Flexibilität der Nevis-Lösungen kommt sowohl beim elektronischen Patientendossier als auch bei der Covidcode-Webapplikation für Ärzte voll zum Tragen. Beide nutzen die sichere Authentifizierung mit Nevis und binden dabei Drittapplikationen ein, mit denen sich der benötigte Funktionsumfang nachrüsten lässt.
Zwei Partner – ein Ziel
Im Rahmen des Go-Live des EPD ist weiterhin eine Vielzahl neuer Identitäten notwendig, die in Zukunft in die HIN Identity einfliessen werden. Die enge Abstimmung zwischen HIN und Nevis ist für den weiteren Ausbau eine absolute Grundvoraussetzung und deshalb beraten beide Unternehmen regelmässig, in welche Richtung die zukünftige Entwicklung gehen wird. Eins ist sicher: Gemeinsames Ziel ist und bleibt, die Digitalisierung des Schweizer Gesundheitswesens voranzutreiben und die damit verbundenen Vorteile in Sachen Nutzerkomfort und Effizienz weiter auszubauen.