Nejsme ovce - od úřednické přepážky k občanské samoobsluze - díl 2.

Pro informatiku vnitro není řešení, pouze nebezpečí

5. 9. 2006 / Jiří Kofránek

Nastupující šéf vnitra ve vládě Mirka Topolánka, Ivan Langer (ODS) chce převést počítačovou agendu veřejné správy pod ministerstvo vnitra, což má podle Langerovy představy znamenat zrušení ministerstva informatiky. Ministerstvo ale nejsou jenom počítače... Pokud by chtěl Langer zachovat původní smysl resortu informatiky, jeho přesunem na vnitro ušetří pouze za plat ministra a několika vrátných. Rizika vytvoření Velkého bratra z tohoto přesunu budou ale stokrát větší. Informace znamenají moc a moc informací znamená i nebezpečně moc moci... Moc nekontrolovatelně propojovaných registrů resortem, pro nějž je špehování součástí práce, - to je nebezpečí možného zneužití dat každého občana. Nejcitlivějšími jsou majetková, finanční a zdravotní data. ODS nikdy informačním technologiím a jejich možnostem pro občany nerozuměla.

Jak transparentně propojit informační systémy veřejné správy a nepostavit přitom Velkého bratra ZDE

Jestliže hledáme oblast, v níž by se (alespoň teoreticky) mohla ČSSD s ODS bez problémů shodnout -- pak to je zřejmě racionalizace veřejné správy pomocí informačních technologií. Můžeme mít různé názory na to, jak zapojit do řešení soukromý sektor, ale princip technické racionální realizace je neideologický.

Jak ukazují evropské zkušenosti, je vhodné pro řešení využít otevřené mezinárodní normy (XML) a popis algoritmů v otevřeném kódu. To pak nepreferuje jedno firemní řešení a řadí privátní sektor na stejnou startovní čáru při technické realizaci a využívání systému pro další podnikatelské aktivity (např. pro již výše zmíněný bezpečný způsob platebního styku přes internet).

Je otázka, zda po čtyřech letech zbytečného otálení pod taktovkou neschopných ministrů US-DEU budeme vyvíjet technologii znovu od začátku ("čekou specifickou cestou"), nebo se inspirujeme již hotovými řešeními, která dále rozvineme. Bude to levnější než "znovu vynalézat kolo".

Nenaléhám na to, aby jako základ bylo přijato právě rakouské řešení (i když mě fascinuje svou přímočarou jednoduchostí a otevřeností). Použijeme-li však jako základ řešení, které bylo vyvinuto u našich evropských sousedů, máme možnost využít spolupráce mezi členskými státy EU a využít příslušné evropské fondy.

Využití evropských zkušeností může ušetřit čas i peníze. Ale to není nejpodstatnější.

Zásady

Nejdůležitější je se rozhodnout o tom, vybudovat systém, který umožní jednotlivé informační systémy řízeně a pod pečlivou kontrolou propojovat a tím veřejnou správu zefektivnit a zároveň nevybudovat velkého bratra. Pak informační v řízení státní administrativy bude důvěryhodným pomocníkem občanů a ne zneužitelným slídícím drábem.

Při budování integrovaného informačního systému veřejné správy je třeba důsledně dbát na ochranu osobních dat občanů v informačních systémech a na zabránění jejich zneužití. Provázání informačních systémů veřejné správy přes tzv. sdílené bezpečné referenční

rozhraní a využívání společných základních registrů umožní, aby data jednou poskytnutá veřejné správě nebyla jiným úřadem znovu na občanovi vyžadována a zároveň aby byla zajištěna jejich spolehlivá ochrana.

V integrovaném systému veřejné správy by (po jeho dobudování) měly platit tři základní zásady:

  • Občan by měl mít přístup ke všem evidencím, které o něm veřejná správa vede.
  • Občan by měl mít možnost sám (i prostřednictvím internetu) iniciovat aktualizaci změněných dat (např. změna adresy bydliště), pokud tak státní instituce neučiní sama.
  • Osobní data uložená v propojených informačních systémech veřejné správy musí být důsledně chráněna před zneužitím. Přístup k datům a jejich propojování musí být umožněn oprávněné osobě jen v takovém rozsahu a účelu, které stanoví legislativní předpisy (a technickými prostředky musí být zabezpečena evidence o všech přístupech orgánů státu k osobním datům občanů pro možnou následnou kontrolu Úřadu pro ochranu osobních údajů)."

Struktura budovaného integrovaného systému veřejné správy (tj. státní správy a samosprávy) by tedy měla být taková, aby tyto požadavky umožnila splnit.

Struktura systému vychází z automatizace evidencí, které v té či oné podobě stát dělá. Mezi ně patří evidence fyzických osob - občanů, ekonomických subjektů (tj. firem, institucí, spolků i fyzických osob, které vstupují do hospodářských vztahů) a nemovitostí. Každou z těchto základních entit je třeba charakterizovat její adresou, kterou reprezentuje vazba na společný územně identifikační registr. Při automatizaci vedení základních registrů je důležité zajistit jejich vzájemné propojení, charakterizující vlastnické vztahy a územní lokalizaci. Toto propojení zajistí, že data ve všech registrech budou konzistentní.

Schéma spolupráce centrálních registrů s resortními a obecními informačními systémy

Jádro informačních systémů - centrální registry

Informační systémy veřejné správy ( tj.informační systémy státní správy a informačními systémy samosprávy) mohou přes referenční, sdílené a bezpečnostní rozhraní využívat globálně dostupné identifikátory základních registrů. Toto rozhraní také zabezpečuje chráněný přístup k jednotlivým datům informačních systémů podle přístupových práv a pouze přes toto rozhraní je možno jednotlivé informační systémy mezi sebou v chráněném (a přísně sledovaném) režimu propojovat.

Jádro informačních systémů veřejné správy pak tvoří globálně dostupné identifikátory základních registrů. Na toto společné jádro jsou přes společné referenční bezpečné rozhraní navázány ostatní informační subsystémy státní správy a samosprávy.

Informační systémy státní správy i informační systémy samosprávy mohou přes referenční, sdílené a bezpečnostní rozhraní využívat globálně dostupné identifikátory základních registrů. Takže např. hypotetický subsystém správy sociálního a penzijního zabezpečení bude odkazovat na registry obyvatel a právnických osob (resp. ekonomických subjektů), které jsou společné pro všechny systémy veřejné správy.

Změní-li občan bydliště, či stav (nebo zemře) promítne se tato změna v příslušných údajích v centrálních registrech. Protože ostatní resortní systémy jsou na tyto centrální registry provázány, o této změně jsou tak také "informovány".

Celý vtip současného propojení a zároveň i ochrany dat spočívá v tom, že jednotlivé subsystémy veřejné správy se mohou propojovat pouze prostřednictvím společného referenčního bezpečného rozhraní, které mimo jiné umožní kontrolovat dodržování ochrany osobních dat. Tak například, chceme-li při automatizaci výpočtu nároku na sociální dávky učinit dotaz z informačního systému sociálního zabezpečení do informačního systému finančních úřadů a příjmech dané osoby, nelze tento dotaz realizovat přímo, ale pouze zprostředkovaně přes referenční rozhraní. Toto rozhraní musí zabezpečit kontrolu oprávněnosti dotazu, a navíc se o provedení dotazu učiní záznam do tzv. registru transakcí pro následnou možnost kontroly oprávněnosti dotazu Úřadu na ochranu osobních údajů..

Klíčovým prvkem ochrany je tedy referenční, sdílené a bezpečnostní rozhraní přes které informační systémy státní správy i informačními systémy samosprávy mohou využívat globálně dostupné identifikátory základních registrů a propojovat se mezi sebou. Toto rozhraní zabezpečuje chráněný přístup k jednotlivým datům při propojení informačních systémů podle přístupových práv.

Referenční sdílené a bezpečné rozhraní je primárně legislativní pojem -- je definováno v zákoně o informačních systémech veřejné správy. Nejprve je nutné definovat přístupová práva jednotlivých účastníků podle jejich rolí. Úředníkům se umožní přístup jen k těm informacím, ke kterým mají z titulu své funkce povolen přístup a každému občanovi ke všem datům, které o nich veřejná správa vede. Zároveň jsou přesně definována pravidla propojování informačních zdrojů veřejné správy.

Jak chránit citlivá data -- příklad efektivního zdravotnictví

Ukažme si, jak výše zmiňovaná struktura informačních systémů veřejné správy může zabezpečit ochranu citlivých osobních dat ve zdravotnických informačních systémech.

Informace se stává citlivou tehdy, pokud jsou informace o zdravotním stavu bezprostředně spojeny s identifikátorem osoby (ať již přímo, nebo prostřednictvím rodného čísla nebo nějakého jiného jednoznačného identifikátoru -- např. číslem sociálního pojištění).

Pokud ale identifikátor osoby vhodným způsobem od zdravotnických dat "odstřihneme" a obě informace od sebe oddělíme, pak vlastní obsah lékařské dokumentace, který již není propojen s identifikátorem pacienta, přestává být přísně chráněnou informací o osobních datech. Tyto informace (nespojené s konkrétní fyzickou osobou) mohou být zdrojem statistického zpracování např. pro sledování kvality lékařské péče.

Jak ale k této "oškubané" evidenci opět připojit identifikátor pacienta, aby s ní bylo možno pracovat ve zdravotnickém zařízení? Identifikátor pacienta je možné získat dotazem přes databázovou propojovací tabulku, která vrátí příslušný identifikátor pojištěnce .

Vtip je v tom, že tento dotaz se provádí přes sdílené bezpečné referenční rozhraní, kdy se může ověřit zda tazatel (lékař) má oprávnění k přístupu k této dokumentaci. Pokud ano -- systém k identifikátoru dokumentu vrátí příslušný identifikátor pacienta. Dotaz je možno vést i obráceně -- hledat k identifikátoru pacienta příslušný obsah lékařské dokumentace. Pro autentikaci přístupu zdravotnických pracovníků k příslušné dokumentaci je v současné době nejvhodnější využívat elektronické identifikátory na bázi čipových karet.

Pro osvětlení výhody uspořádání integrace informačních systémů kolem společně sdílených základních registrů přes sdílené bezpečné referenční rozhraní si ukažme praktický příklad: preskripci léků. Subsystém elektronických receptů si klade za cíl zjednodušit a zpřehlednit preskripci léků a umožnit tak průběžně sledovat náklady pojišťovny na léky (recept na lék částečně či úplně hrazený pojišťovnou je v podstatě poukázka na peníze) a následně predikovat jejich spotřebu, případně sledovat podklady pro hodnocení účelné farmakoterapie. V neposlední řadě tento systém zamezí úniku peněz ze systému.

Elektronický recept je reprezentován záznamem v databázi. Databáze je rozdělena na dvě části, první představuje Registr vydaných receptů, kam se zapisuje identifikátor pojištěnce, platnost receptu apod. Do druhé části -- Registru vydávaných léků lékař (jistým strukturovaným způsobem) zapisuje vlastní obsah receptu a lékárník tam pak zapisuje údaje o vydaných lécích.

Tato databáze pak obsahuje jak údaje o specifikaci předepsaných a vydaných léků, tak i údaje o jejich ceně. Obě databáze se mohou propojit pouze přes sdílené bezpečné referenční rozhraní - při vypisování receptu a při výběru léků v lékárně. Při vypisování receptu lékař (po ověření oprávněnosti přístupu) zapíše potřebné údaje do obou databází.

V lékárně pak lékárník se na základě identifikátoru pojištěnce přes sdílené bezpečné referenční rozhraní propojí (po ověření oprávněnosti přístupu) s registrem vydaných receptů, ověří jeho platnost a přes odkaz na příslušný záznam v Registru vydávaných léků se seznámí s obsahem receptu a učiní zápis o vydaných lécích (pokud možno automatizovaně např. přes čárový kód na krabičce léku). Do databáze se (díky propojení na příslušný aktuální ceník) zároveň automaticky učiní zápis o ceně léku (a fakturované položce žádané k uhrazení pojišťovnou).

V Registru vydávaných léků nejsou žádné bezprostřední údaje o identifikátoru pacienta (tedy žádné osobní údaje) - tato databáze může sama o sobě sloužit zdrojem pro průběžné sledování struktury spotřeby léků a nákladů na jejich úhradu ze strany pojišťovny i pacientů.

Pro bezpečnou a rychlou autentikaci je vhodné, aby lékař i lékárník měli elektronický identifikátor, nejlépe ve formě čipové karty. Pokud bude mít elektronický identifikátor i pacient, lékař a lékárník nemusejí zadávat identifikátor pojištěnce "ručně" a celý proces preskripce i výdeje léku se urychlí.

Systém je připraven na probíhající elektronizaci evidence obyvatel a dokáže jednoznačně a nezpochybnitelně identifikovat a autentizovat všechny účastníky všech procesů.

Před dvěma lety vznikla v Parlamentu dosti bouřlivá diskuse ohledně zákona upravujícího využívání centrálních zdravotních registrů. Centrální zdravotní registry jsou vedeny pro některá závažná onemocnění (např. onkologická onemocnění, kardiochirurgické výkony aj.). Do těchto registrů se zapisují veškeré údaje o nálezech i terapii příslušného pacienta, což je nesmírně důležité zejména pro následné statistické vyhodnocování efektivity dané terapie. Problém vzniká v tom, že pacienta v registru je nutno jednoznačně identifikovat (podle rodného čísla) -- pacient totiž může být postupně léčen v různých zdravotnických zařízeních a údaje o této léčbě se musí dostat do příslušného záznamu daného pacienta. Proto údaje v centrálním zdravotním registru nejsou anonymizované. Význačná skupina poslanců požadovala, aby se údaje v registrech (kvůli zabezpečení ochrany dat) anonymizovaly. Nakonec neuspěla a těsnou většinou byl přijat zákon umožňující do centrálních zdravotních registrů zapisovat i identifikátor pacienta.

Existuje ale technické řešení tohoto sporu, využívající referenční, sdílené a bezpečné rozhraní, které zajistí chráněný přístup k datům ukládaným v centrálních zdravotních registrech a zároveň umožní anonymizaci ukládaných dat do těchto registrů Dosud užívaný identifikátor pacienta v těchto registrech (rodné číslo) bude možno nahradit identifikátorem anonymizovaného individuálního případu, který neponese žádnou informaci o jméně, příjmení či rodném čísle a centrální zdravotní registry pak již nebudou nést žádná citlivá osobní data pacienta. Individualizace v registru uložených dat a jejich propojení s osobními identifikátory pacientů (např. při aktualizaci v registru uložených údajů) bude možná pouze přes propojovací tabulku a příslušný registr pojištěnců. Pak se ovšem bude jednat o chráněný a monitorovaný přístup k registrům přes referenční sdílené a bezpečné rozhraní. Chráněný přístup bude možný zvnějšku přes příslušnou chráněnou internetovou aplikaci. Záznam o transakci bude monitorován v chráněném registru transakcí, který bude přístupný (opět přes referenční, sdílené a bezpečné rozhraní) oprávněným uživatelům z Úřadu na ochranu osobních údajů.

Inspirace od Dunaje

Propojení informační systémů přes speciální rozhraní s využitím centrálních registrů bylo úspěšně realizováno v Rakousku. Nechci zde zabíhat do podrobností realizace, uvedu zde jen základní princip řešení. Především je zapotřebí ocenit, že veškeré základní algoritmy a datové struktury jsou podrobně popsány s využitím XML a otevřeného kódu. Nepoužívají se zde žádné proprietární firemní protokoly jedné firmy. Veškeré protokoly a postupy jsou přesně popsány s příznačnou rakouskou byrokratickou pečlivostí. To umožňuje otevřenou šanci pro různé softwarové výrobce pro účast na praktickou realizaci různých komponent informačních systémů veřejné správy -- vše je jasně popsáno, žádná firemní technologie není zvýhodňována.

Vše je postaveno kolem základních registrů -- v Rakousku je Registr obyvatel nazýván Registr rezidentů (krom registru rezidentů se ještě využívá tzv. Pomocný registr -- kde se registrují občané, kteří chtějí elektronicky komunikovat s Rakouskou státní správou, ale nejsou rezidenti). V systému jsou dále využívány další centrální registry (registr adres a registry právnických osob).

Klíčové pro funkci systému je rozhraní kolem centrálních registrů. Toto rozhraní jednocestnou funkcí vygeneruje z rodného čísla tzv. zdrojový PIN (jednocestnost zde znamená, že ze zdrojového PINu nelze žádným algoritmem zpět odvodit původní rodné číslo. Zdrojový PIN se nikde v systému neukládá -- jakmile není potřeba, ihned se maže. Podle potřeby se (v zakódované podobě) může pouze uložit do eletronického identifikátoru občana. Zdrojový PIN se využije jako vstup do jednocestné funkce,, která z hodnoty zdrojového PINu a kódu sektoru (čísla, které je stanoveno pro daný resort, resp. jednotlivou část informačního systému veřejné správy) vygeneruje tzv. sektorový PIN. Sektorový nPIN slouží jako jednoznačný identifikátor osoby v dané části informačního systému veřejné správy. Pokud máme dva informační systémy s různým kódem sektoru, pak z jednoho zdrojového PINu se vygenerují dva zcela odlišné jednoznačné identifikátory dané osoby.

Stejný člověk pak v informačních systémech různých resortů bude mít různý jednoznačný identifikátor. Znamená to tedy, že ani technicky nelze bez účasti rozhraní (a příslušného registru rezidentů) propojit údaje jednoho jedince ze dvou či více databází různých resortů. To dává velkou transparentnost pro propojování dat -- a zároveň i velkou bezpečnost uložení osobních dat, která je zajištěna samotným principem technické realizace systému.

Krom toho rakouský systém definuje občanskou elektronickou kartu -- elektronický identifikátor. Vše je popsáno opět jako specifikace -- nikoli jako přímé řešení. To dává možnost toho, že technická realizace elektronické občanky může být různá -- jako čipová karta (kombinovaná s bankokartou) nebo i jako SIM karta mobilního telefonu. Ve specifikace jsou popsány nezbytné předpoklady, struktury dat (pomocí XML) a příslušné algoritmy. Do elektronické občanky se zapíše zdrojový PIN (v zakódované podobě) a elektronicky se podepíše příslušným registrem rezidentů. To pak dává komukoli možnost ověřit si, zda zdrojový PIN byl opravdu vydán příslušným registrem rezidentů. Při elektronickém kontaktu s veřejnou správou se v kartě z kódu sektoru (a z uloženého zdrojového PINu) vygeneruje jednocestnou nevratnou funkcí sektorový PIN -- tj. jednoznačný identifikátor občana v dané části informačního systému veřejné správy. Elektronická občanka umožňuje potom elektronický formulář podepsat. Pro podpisování je možné využívat elektronické podpisy různých komerčních vydavatelů (na používání elektronického podpisu ve státní správě v Rakousku nejsou kladeny tak přísné podmínky, jako v České republice -- na rozdíl od nás, co stačí bankám, stačí i rakouské státní správě).

Pomocí elektronického občanského identifikátoru je možno bezpečně uskutečňovat bankovní transakce.

Budeme vynalézat kolo?





Literatura

Vytisknout

Obsah vydání | Úterý 5.9. 2006