Digitalisering (Computerworld 2018-06-05)

 

Digitalisering har pågått i Norge i mer enn femti år. Standardisering og etablering av datasentraler var kjennetegn; Statens Datasentral så dagens lys i 1972, vi fikk KommuneData, Merkantildata, Computas og flere. Prinsipper og metoder for databehandling kom i etterkrigstiden. Teknologi med kapasitet fulgte, gjenbruk av data i maskiner fra forskjellige leverandører kom først på 80-tallet. Her ble Norsk Data et
stjerneeksempel. Også kundetjenester ble digitale, vi fikk elektroniske banktjenester, digitale mobiltelefoner, epost. Med Internet og nettlesere skjøt antallet digitale tjenester fart fra 1990. Mobiltelefoner, bærbare datamaskiner og nettbank, mail og nettaviser preget fort hverdagen; tilgangen til tjenestene fulgte hverken åpningstider eller landegrenser – digitalisering åpnet for globalisering og tilgang til tjenester
døgnet rundt.

Sikker digital kommunikasjon og eID.

I papirsamfunnet antok man at brev nådde riktig adressat. Digitale løsninger har nye og sikrere metoder, her bruker man eID til autentisering, og man antar da at denne administreres av riktig person. eID fra BankID, Buypass (tippekortet) og Commfides blir vedlikeholdt mot skatteetatens folkeregister, de gir pålogging med kjent fødselsnummer og tilgang til mange offentlige tjenester – også til de to statlige samletjenestene Digipost og Altinn, andre land har tilsvarende for deres fødselsnumre. Offentlige tjenester involverer sensitive persondata eller større beløp. Bruk av uriktig eID vil forekomme, i en globalisert digital verden er dette en voksende utfordring. Statene deler ut fødselsnumre, og de har dermed ansvar for å sikre deres kvalitet med tidens beste metoder.

Nasjonalt og internasjonalt.

Fødselsnummer er personlig, det oppleves å ha en offentlig godkjenning, men det kan administreres av hvem som helst. Det er utstedt rundt 9 million norske fødselsnumre som gir rett til eID, de fleste administreres av fødselsnummerets eier, men et ukjent antall disponeres nok av andre. Dette er en alvorlig trussel for utsteder, det kan være lite gunstig når de brukes til å autentisere feil person for offentlige tjenester med sensitiv informasjon:

  • Ingen kunne forutse dagens digitale situasjon den gangen fødselsnumrene ble konstruert for mer enn femti år siden.
  • Fødselsnumre er bygd opp og regulert på forskjellige måter fra land til land.
  • I land, som Storbritannia, Tyskland, Frankrike, finner politikerne at generelle fødselsnumre truer personvernet – de er knyttet til for mye informasjon om eier, det blir som å ha samme nøkkel til hjem, hytte, bil og verdiskap.
  • I noen asiatiske land, som i India, er fødselsnumrene sikret mot tyveri ved at en del av tallene er beregnet ut fra fingeravtrykk.

Facebook, Microsoft, Google opererer også autentiseringstjenester; innlogging hos dem kan gi tilgang til tredjeparts tjenester. Disse er ikke knyttet til offentlige folkeregisterdata, de gir ingen offentlig godkjente data om personen. Slik autentisering fungerer grenseløst, den brukes mye mot globale tjenester, som billettjenester, skylagring, netthandel.

Nytt fagfelt under utvikling

Autentisering med eID er et nytt fagfelt under rask utvikling; de store selskapene, som Microsoft, Google, Facebook, styrer mye av standardiseringen på dette feltet gjennom globalt samarbeid i Kantara Initiative og i FIDO Alliance. Teknologi og standarder for autentisering tillater globaliserte tjenester, nasjonale offentlige tjenester avgrenses ved bruk av nasjonale identitetsdata, ikke av nasjonale grenser. EU koordinerer stater tilpasning og finansierer europeiske prosjekter på dette fagfeltet, et av nåtidens er LIGHTest (www.lightest.eu); her samles erfaringer til nytte for både offentlige og private tjenesteytere.

eID i digital tid.

Digital autentisering er essensielt i det globale digitale samfunnet, offentlige tjenester krever gode identitetsdata fra vedlikeholdte nasjonale databaser, et tema for stater i internasjonalt samarbeid! Nasjonalstatene er eiere av registrene over sine borgere, det er de som må vedlikeholde og sikre oss mot tyverier og misbruk av identitetsdata.
De globale autentiseringstjenestene til Microsoft, Facebook, Google får navn og identitetsdata fra brukerne – her er det fritt å velge egne identitetsdata, det kan være velkjente, lånte eller pseudodata. Men hva er vel en identitet? Utviklingen her er ikke ferdig!

Your Health and Identity

Your health belongs to you, and professional health services follow you up throughout your life. They create records stored in their filing systems, these will contain results of analyses, specialist observations and prescriptions used for treatments; some pieces of information might be crucial decades after they filed. Old records should be available today and in the decades to come.

Your medical records are labeled in a way that link them to you, but each generation of technology will contribute to the shaping of the label data, the identifier. Some few decades ago the labels were designed for use by humans, later they were to used by local computer systems, then national ones, and today we are facing demands for international use through Internet services and apps; many of us have lived through these technologial generations and need ability to handle the consequences.

Medical files on paper were probably labeled with birth date and name, they still exist but are normally not transferred to computer readable formats. Internal filing systems for clinics, hospitals and laboratories were using identifiers listed in internal patient registers to store and retrieve patient records; they could also be linked to health insurance numbers. However, they were not supported by look-up services on Internet.
Your health services can be be improved by use of Internet, information from different medical files can be accessed when needed, if shared patient identifiers are used; the term patient centric services becomes relevant. Unique patient identifiers for patient centric services have not yet been developed, but it can easily be imagined how such ones can open for the use of modern times’ apps in health services.

General person identity parameters have never agreed and standardized, different approaches have been made and might lead to a future solution for use in patient centric health care:

1 European Health Insurance Card: The blue cards used to ensure health insurance for members of national health insurance systems in EU and EFTA states carry national numbers issued by national health insurances. They have been designed for national coverage, and the systems have been federated, and not united, without verification on Internet; however, the identifiers have the technical quality to be subject for such use if maintained properly.

2 Passports contain person identifiers according to an international standard processed by issuing andmaintaining authorities, they are maintained by the issuers and do not meet the needs of health services.

3 Bank and finance have constructed EMV identifiers to give card holders access to accounts and credits; a system that can and is being used by private health insurance systems as well. Account numbers will change and they are not designed to serve as identifiers for biological bodies; however, infrastructure and maintenance might be considered to be adapted for health systems as well.

4 Indian authorities are using biometry to create individual UIDAI AADHAAR numbers which are used to tie persons to public services of different kinds. The system has capasity to be used for the world’s population.

New technology and Internet makes it possible to offer global patient centric services, and it should be foreseen that the market will accept and demand development of needed identifier systems. However, they will not be ready tomorrow and it is therefore important that system owners upgrade their use and maintenance of patient identifiers in a way that makes them able to meet further evolution.

Your health services will improve by use of net technology and its opening of information interoperability. Patient identifier systems are important, it is also crucial to have reliable identifiers for owners of existing medical file systems and for their professional specialists; even these are still lacking but demand should lead to and evolution of such standards as well.

Yourr health depend on service providers’ ability to implement identifier solutions that are and will remain subject to continued evolution.

 
Sverre Bauck
Sverre.Bauck@gremium.no
Glocal Health Informatics AB, Ideon Science Park, Lund, Sweden