Den 31/10 stänger vi av möjligheten att bara logga in med användarnamn och lösenord i Webdoc. För att komma in i systemet krävs då säker inloggning/stark autentisering och som användare måste man börja använda inloggningsmetoder som SMS-kod, SITHS-kort eller Mobilt BankID.

Hur gör du för att byta inloggningsmetod i Webdoc?

• SITHS-kort: Om du redan har SITHS-kort och kortläsare vid datorn – be din administratör att ändra din inloggningsmetod till ”Endast SITHS-kort” eller ”SMS-kod/SITHS-kort/Mobilt BankID”. Använd sedan SITHS-kortet vid inloggning i Webdoc.
• Mobilt BankID: Be din administratör att ändra din inloggningsmetod till ”SMS-kod/SITHS-kort/Mobilt BankID”. Vid inloggning i Webdoc, klicka på ”Logga in med Mobilt BankID” och följ instruktionerna. 
• SMS-kod: Börja med att kontrollera att du har rätt mobilnummer inlagt i Webdoc. Det gör du via menyn Användaruppgifter/Kontoinställningar. Be sedan din administratör att ändra din inloggningsmetod till ”SMS-kod/SITHS-kort/Mobilt BankID”.

Varför gör vi det krångligare för användarna?

Det finns flera anledningar till att vi behöver skärpa kraven för inloggning.

• Den främsta anledningen är att patientdatalagen kräver så kallad stark autentisering. I PDL 3 kap. 15 § HSLF-FS 2016:40 står exempelvis att: ”Skydd mot obehörig åtkomst säkerställs bland annat genom att vårdgivaren vid kommunicering via öppna nät (exempelvis Internet) ser till att åtkomsten föregås av en så kallad stark autentisering”.
• En annan anledning till skärpta krav är den nya säkerhetslösningen Sambi som kommer att krävas för bland annat receptförskrivning och träder i kraft i slutet av år 2019. Godkännande av Sambi kräver den nya sortens SITHS-kort (Efos) för autentisering. Läs mer om Evimerias Sambimedlemskap här.

Vad är autentisering?

Att koppla samman en användare med ett användarkonto och kontrollera att användaren har rätt till just det kontot kallas autentisering. Det är alltså ett sätt att kontrollera användarens identitet och autenticitet. Autentisering delas in i följande olika nivåer: 

• Den lägsta är så kallad ”enfaktor-autentisering och något som vi i Webdoc kallar för ”traditionell metod”. I praktiken innebär detta att användaren bara vet en kod – förutom sitt användarnamn. Enfaktor-autentisering innebär en större risk för angrepp utifrån.
• Nästa nivå är tvåfaktor-autentisering och är en kombination av två faktorer. Vanligen handlar det då om ”vet”- och ”hur”-faktorer som i praktiken innebär att användaren vet ett lösenord och har en telefon eller ett kort. Två-faktor-autentisering räknas som säker inloggning och sms-kod eller SITHS-kort är två exempel på sådana säkra metoder.
• Tre-faktor-autentisering kan förutom t ex kod och kort, t ex innebära fingeravtrycksavläsning.

Vad är stark autentisering?

Två-faktor-autentisering räknas om en stark autentisering och följer därmed patientdatalagen. En-faktor-autentisering (endast användarnamn och lösenord) räknas inte som stark autentisering.

Källor/Läs mer:

PDL: https://socialstyrelsen.se/sosfs/2016-40#anchor_1

Sambi: https://sambi.se/

Efos: https://inera.se/e-identitet_for_offentlig_sektor

Stark autentisering: https://it-ord.idg.se/ord/flerfaktorsautentisering/