NOVA PROFESIONALNA KARTICA
Profesionalna kartica je kartica, ki jo uporabljajo zdravstveni izvajalci za dostop do podatkov do on-line sistema. Profesionalna kartica ima digitalno potrdilo, izdano pri ZZZS-CA, ki se uporablja za preverjanje istovetnosti imetnikov profesionalnih kartic ob dostopu do on-line sistema zdravstvenega zavarovanja in je prisotno na vseh profesionalnih karticah. Velikost ključa tega digitalnega potrdila je 2048 bitov in ima 5-letno veljavnost.

Drugo digitalno potrdilo, ki je na profesionalnih karticah zdravnikov in farmacevtov, je kvalificirano digitalno potrdilo, izdano pri overitelju digitalnih potrdil Pošta®CA. To digitalno potrdilo se uporablja za podpisovanje elektronskih dokumentov (npr. elektronski recept). Velikost ključa kvalificiranega digitalnega potrdila je 2048 bitov in ima 5-letno veljavnost. Profesionalna kartica ne omogoča uvoza lastnih digitalnih potrdil, saj je namenjena izključno službeni uporabi. Ponuja pa se tudi večnamenska uporaba, saj se lahko obstoječa digitalna potrdila izdana na njej, uporabljajo tudi v druge namene znotraj zdravstvenega sistema. Tako se lahko ta digitalna potrdila uporabljajo npr. za overjanje pri uporabi aplikacij.

ON-LINE SISTEM
Sistem on-line zagotavlja neposreden, varen in zanesljiv dostop izvajalcev zdravstvenih storitev do podatkov, ki jih vodijo Zavod in zavarovalnice za prostovoljna zdravstvena zavarovanja. Sestavlja ga vrsta omrežnih in strežniških komponent, ki omogočajo dostop do podatkov prek internetnega omrežja. Prek on-line sistema so na voljo podatki, potrebni za uveljavljanje pravic zavarovanih oseb iz zdravstvenega zavarovanja in za obračun teh storitev. Celovita vzpostavljena varnostna in komunikacijska infrastruktura je tudi podlaga za druge povezane informacijske rešitve na področju zdravstva.

On-line sistem omogoča neposredno varno izmenjavo podatkovnih sporočil med informacijskimi sistemi. Omogoča povezavo med aplikacijo izvajalca zdravstvene storitve in zalednimi sistemi. Izvajalci zdravstvenih storitev se v on-line sistem povežejo preko varne internetne povezave (TLS – Transport Layer Security). Vsi podatki gredo preko centralne komponente, vstopne točke, ki skrbi za istovetenje, overjanje in preverjanje pooblastil uporabnika. Vstopna točka usmerja sporočila k izbranim zalednim sistemom in je aplikacijski strežnik z uporabo programske opreme, razvite v Javi. Servisi on-line sistema so spletni servisi. Sporočila med vstopno točko in uporabniki so sporočila XML (Extensible Markup Language) v ovojnici SOAP (Simple Object Access Protocol).

Nacionalna uvedba on-line sistema se je začela po posameznih regijah marca 2009 in bo v začetku 2010 zaključena z uvedbo on-line sistema v ljubljanski regiji. Trenutno je v sistem vključenih več kot 1000 zdravstvenih izvajalcev, ki dnevno izvede 545.767 transakcij (november 2009).

PREDNOSTI ON-LINE NAČINA DELA
Uvedba on-line sistema dostopa do podatkov prinaša številne prednosti in izboljšave, postopek uporabe kartice pa se ne spreminja oz. se v prihodnosti celo poenostavi:

• On-line način dela omogoča dostop do trenutno veljavnih podatkov. Izvajalec zdravstvenih storitev je do zdaj s kartice prebral podatke, ki so bili lahko stari tri mesece ali celo eno leto. Po novem izvajalec zdravstvenih storitev z on-line sistemom iz strežnikov ZZZS in prostovoljnih zdravstvenih zavarovalnic pridobi trenutno veljavne podatke.
• Izvajalci zdravstvenih storitev lahko z on-line sistemom dostopajo do širšega nabora podatkov v strežnikih, kot jih je bilo do zdaj zapisanih na kartici. Dostop do teh podatkov izvajalcem zdravstvenih storitev omogoča lažje in boljše strokovno odločanje pri obravnavi zavarovancev.
• Postopki za zavarovance se poenostavijo, saj potrjevanje kartice na samopostrežnih terminalih v prihodnje ni več potrebno.
• Posodobljena je tehnologija za zagotavljanje varnosti osebnih podatkov, vključuje sledenje vseh dostopov do osebnih podatkov.

PRILOŽNOSTI ZA NADALJNJI RAZVOJ
Za dostop do podatkov prek on-line sistema se pri izvajalcu zdravstvene storitve uporabljata profesionalna kartica in kartica zdravstvenega zavarovanja. Nadaljnja predvidena uporaba kartice je dostop do lastnih zavarovalniških podatkov. Imetniki nove kartice bodo imeli možnost dostopa do lastnih zavarovalniških podatkov, kar vključuje preverjanje veljavnosti zdravstvenega zavarovanja, pregled izdanih zdravil, izdanih medicinskotehničnih pripomočkov in pozneje tudi pregled dostopov do omenjenih podatkov. Tej vrsti uporabe predvidoma sledi uporaba kartice zdravstvenega zavarovanja pri uvedbi elektronskega recepta. Namesto recepta v papirni obliki, bo zdravnik oddal recept v elektronski obliki (digitalno podpisan), ki ga bo farmacevt v lekarni elektronsko prebral, kar mu bo zavarovanec omogočil s svojo kartico zdravstvenega zavarovanja

Ministrstvo za zdravje bo v okviru projekta eZdravje postavil portal zVEM (zdravstvo Vse na Enem Mestu). Portal bo ponujal zdravstvene podatke, izmenjavo zdravstvenih podatkov, konzultacije in v prihodnosti tudi osebni elektronski zdravstveni karton. Predvideno je, da se bo za dostop do osebnih podatkov, ki jih bo ponudil portal uporabljala kartica zdravstvenega zavarovanja.

Za uporabo kartice zdravstvenega zavarovanja Zavod vabi k sodelovanju na drugih področjih strokovnjake, raziskovalce s predlogi uporabe nove kartice zdravstvenega zavarovanja. Lahko, da bodo šole za dostop elektronske redovalnice začele uporabljati digitalna potrdila, ki bodo hranjena na kartici zdravstvenega zavarovanja, ali pa bo knjižnica začela izposojati knjige s kartico zdravstvenega zavarovanja. Z možnostjo uporabe kartice tudi za druge namene Zavod ponuja uporabnikom dodatno vrednost. Za omenjene rešitve se lahko na kartici uporabi že izdana digitalna potrdila ZZZS-CA ali pa se uporabijo namenska digitalna potrdila, ki se namestijo na kartico.

VARNOST PAMETNE KARTICE

Pametna kartica se uveljavlja kot varen nosilec digitalnih potrdil. Prednost uporabe digitalnega potrdila na pametni kartici je večja varnost, saj zasebnega ključa digitalnega potrdila ni možno izvoziti in njegova uporaba je možna le z vnosom PIN-a (ODP). Zasebni ključ nikoli ne zapusti pametne kartice. Podpisovanje (uporaba zasebnega) ključa se izvede na pametni kartici. Digitalno potrdilo je tako varno tudi pri odtujitvi računalniške opreme, saj kartico nosimo s seboj. Pri odtujitvi kartice pa za uporabo digitalnih potrdil potrebujemo še PIN. Tako si lahko imetnik, podjetje s kartico zdravstvenega zavarovanja zagotovi varnejšo uporabo digitalnih potrdil in poveča varnost.

KAKO BOMO NOVO KARTICO UPORABLJALI DOMA?

Za uporabo kartice zdravstvenega zavarovanja je potrebna programska in strojna oprema. Za delo z digitalnimi potrdili na kartici zdravstvenega zavarovanja je potrebna ustrezna programska oprema oz. medprogramje. Za uporabo kartice je potreben tudi bralnik kartic, da lahko dostopimo do digitalnih potrdil na kartici. Bralnik je treba kupiti. Cene tovrstnih bralnikov so od 14 evrov naprej, glede na vse večjo razširjenost kartic so bralniki pogosto že vgrajeni v računalnike.

KAJ JE INFRASTRUKTURA JAVNIH KLJUČEV?

Elektronski podpis (electronic signature), kot ga opredeljuje Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP-UPB1), je niz podatkov v elektronski obliki, ki je vsebovan, dodan ali logično povezan z drugimi podatki (npr. z elektronskim dokumentom) in je namenjen preverjanju pristnosti teh podatkov in identifikaciji podpisnika.

Varen elektronski podpis (advanced electronic signature) je elektronski podpis, ki zadošča dodatnim pogojem. Po ZEPEP-UPB1 gre za elektronski podpis, ki izpolnjuje naslednje zahteve:

• da je povezan izključno s podpisnikom;
• da je iz njega mogoče zanesljivo ugotoviti podpisnika;
• da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;
• da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka poznejša sprememba teh podatkov ali povezave z njimi;

Prav zahteva po neokrnjenosti podatkov je ena od osrednjih lastnosti varnega elektronskega podpisa v primerjavi z lastnoročnim. Elektronski podpis, ki temelji na asimetrični (javni) kriptografiji (public key cryptography), je v praksi edina tehnična rešitev, ki jo lahko danes uporabimo za varne elektronske podpise. Elektronski podpis zagotavlja torej pristnost podatkov in jih varuje pred spremembami s kriptografskimi metodami. Kriptografija (ali tajnopisje) je matematična veda, ki se ukvarja z zakrivanjem podatkov z matematičnimi operacijami. Asimetrična kriptografija uporablja par ključev: zasebni ključ (private key) je skrivni podatek, ki ga ima samo njegov imetnik (pri podpisovanju podpisnik), javni ključ (public key) pa je dostopen vsem (pri podpisovanju vsem, ki preverjajo podpis).

DIGITALNO POTRDILO

Javni ključ je treba povezati z njegovim imetnikom in ga javno objaviti. Asimetrična kriptografija v ta namen uporablja infrastrukturo javnih ključev (PKI, Public Key Infrastructure). PKI z digitalnimi potrdili, ki jih izdajajo agencije za overjanje digitalnih potrdil poskrbi za povezavo javnih ključev z objekti iz realnega sveta (npr. ljudmi, strežniki, informacijskimi sistemi ipd.), razpečevanje javnih ključev in vzpostavitev zaupanja v javne ključe.

Potrdilo je z zasebnim ključem overitelja podpisano elektronsko potrdilo, ki jamči, da je javni ključ uporabnika, ki ga potrdilo vsebuje kot enega izmed podpisanih podatkov (poleg imena overitelja, obdobja veljavnosti potrdila, politike potrdila itd.), povezan s tem uporabnikom oz. identificira podpisnika na podlagi njegovega javnega ključa.

KVALIFICIRANA IN NEKVALIFICIRANA DIGITALNA POTRDILA

Nekvalificirano potrdilo je potrdilo, ki ga organizacija z izdajo priznava kot zaupanja vredno potrdilo in ga uporablja v svojem okolju. Kvalificirano potrdilo je potrdilo, ki izpolnjuje posebne zakonske zahteve glede oblike in vsebine potrdila.
V skladu z ZEPEP in tudi direktivo se kvalificirana in nekvalificirana digitalna potrdila načelno razlikujejo po:

• vsebini: minimalni nabor podatkov je pri kvalificiranih digitalnih potrdilih določen z zakonom;
• načinu izdaje: za pridobitev kvalificiranega digitalnega potrdila se zahteva osebna identifikacija osebe – bodočega imetnika takega potrdila;
• zahtevah za overitelja: overitelj, ki izdaja kvalificirana digitalna potrdila, mora izpolnjevati strožje pogoje glede same infrastrukture, programske opreme, osebja itd.

POSTOPEK DIGITALNEGA PODPISOVANJA

Prikaz izvedbe in preverjanja elektronskega podpisa je prikazan na spodnji sliki. Izvorno sporočilo, ki je v levem delu slike, podpiše njegov pošiljatelj. Pri tem uporabi svoj zasebni ključ, ki pripada njegovemu digitalnemu potrdilu. Elektronski podpis je z zasebnim ključem šifriran izvleček (zgoščena vrednost – hash) izvornega sporočila. Elektronski podpis skupaj s svojim digitalnim potrdilom in izvornim sporočilom združi v podpisano sporočilo. Na desni polovici slike prejemnik z javnim ključem, ki ga dobi iz pošiljateljevega digitalnega potrdila, preveri veljavnost podpisa, s čimer potrdi njegovo celovitost. Iz podatkov v digitalnem potrdilu lahko identificira (istoveti) podpisnika.

ZAKONODAJA

V Sloveniji ureja področje elektronskega poslovanja in elektronskega podpisa Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP-UPB1). ZEPEP prepoveduje diskriminacijo elektronske oblike podatkov (dokumentov), omogoča enačenje veljavnosti elektronske in papirne oblike dokumentacije, in opredeljuje pogoje, pod katerimi je varen elektronski podpis enakovreden lastnoročnemu.

14. člen:
Elektronskemu podpisu se ne sme odreči veljavnosti ali dokazne vrednosti samo zaradi elektronske oblike, ali ker ne temelji na kvalificiranem potrdilu ali potrdilu akreditiranega overitelja, ali ker ni oblikovan s sredstvom za varno elektronsko podpisovanje.

15. člen:
Varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost.

Varen elektronski podpis, izdelan s kvalificiranim digitalnim potrdilom, ima enako dokazno vrednost kot lastnoročni podpis, kadar je izdelan s kvalificiranim digitalnim potrdilom. Kvalificirano digitalno potrdilo je potrdilo, ki izpolnjuje določene v zakonu opredeljene zahteve glede vsebine in overiteljske agencije, ki digitalno potrdilo izda.