Certifikáty v prostředí e-VZP
Elektronická komunikace přináší uživatelům mnoho nesporných benefitů. Právní a informační systémy však kladou na uživatele podmínky, za kterých lze elektronickou komunikaci využívat bezpečně, bez rizik a správně. Rádi bychom se v této Poradně VZP zabývali otázkou, jaký zvolit druh certifikátu v prostředí e-VZP, popř. zda je certifikát vůbec nutný.
Co je vlastně certifikát
V asymetrické kryptografii (šifrovaná komunikace s použitím dvou odlišných klíčů) existuje celá řada certifikátů vydávaných různými institucemi pro různé účely. Technicky je certifikát potvrzením vydavatele certifikátu o tom, že držitel certifikátu má privátní klíč. Toto potvrzení (certifikát) obsahuje párovou část veřejného klíče, informace o vydavateli, použití klíče a část informací o uživateli, kterému byl privátní klíč vydán. Zda je certifikát určen k podpisu, nebo k autentizaci do elektronických systémů, určují poskytovatelé certifikačních služeb ve svých certifikačních politikách.
K čemu jaký certifikát
V prostředí e-VZP existuje více druhů komunikačních cest, do kterých se lze autentizovat různými způsoby. V případě použití certifikátů akceptuje VZP pouze certifikáty od kvalifikovaných poskytovatelů služeb vytvářející důvěru.
Certifikáty pro služby B2B
Odesíláte-li vyúčtování do VZP přímo z lékařské aplikace, máte-li zavedenu on-line kontrolu pojištěnců ve své aplikaci nebo odesíláte-li on-line žádanku o schválení přímo ze své lékařské aplikace (popis služeb zde), využíváte služeb B2B. V rámci služeb B2B obdržíte odpověď na vámi odeslané podání zpět do své lékařské aplikace, např. zprávu o přijetí vyúčtování nebo vyjádření revizního lékaře k odeslané žádance si přečtete ve své lékařské aplikaci.
Pro tuto formu komunikace potřebujete vždy certifikát obsahující položku autentizace do elektronického systému. Ve většině případů se jedná o osobní komerční certifikát, viz seznam podporovaných certifikátů zde. V prostředí B2B využijete také nepovinný kvalifikovaný (osobní) certifikát pro podpis podání. Zavedení následného certifikátu provedete prostřednictvím své lékařské aplikace, popř. požádáte o zavedení prostřednictvím VZP Point -> Obecné podání nebo e-mailem na ekk@vzp.cz.
Certifikáty pro VZP Point
Využíváte-li pro komunikaci webové prostředí VZP Point prostřednictvím internetového prohlížeče, máte na výběr, zda se rozhodnete pro přístup certifikátem, který obsahuje položku autentizace do systému (ve většině případů se jedná o osobní komerční certifikát), nebo si můžete zajistit přístup také bez certifikátu prostřednictvím e-mailu, hesla a SMS kódu. Obě varianty jsou možné také souběžně. Seznam podporovaných certifikátů od akreditovaných poskytovatelů je uveřejněn zde. Jak si zajistit ke stávajícímu přihlašování certifikátem přístup variantně bez certifikátu, zjistíte zde. Do budoucna připravujeme také možnost přihlášení s využitím Portálu národního bodu pro identifikaci a autentizaci (NIA).
Certifikáty pro Moje VZP
Do webové aplikace určené pro pojištěnce je autentizace shodná jako do VZP Pointu. Pro přihlášení lze využít certifikát, který obsahuje položku autentizace (většinou se jedná o osobní komerční certifikát), nebo je možno se přihlašovat bez certifikátu prostřednictvím e-mailu, hesla a SMS kódu. Aplikace je také dostupná ve verzi pro mobilní telefony.
Certifikáty pro podpisy
Podmínky pro elektronické podepisování jsou legislativně upraveny zejména adaptačním zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce k unijnímu nařízení č. 910/2014 eIDAS. Podpisem je chráněna neměnnost dokumentu, podpisem potvrzujeme, že jsme se s daty seznámili a s obsahem souhlasíme. Prostřednictvím kvalifikovaného certifikátu vytvoříte zaručený elektronický podpis a v případě umístění privátního klíče na hardwarovém prostředku (USB, token, čtečka) vytvoříte kvalifikovaný elektronický podpis. Elektronické podpisy založené na kvalifikovaném certifikátu využijete v lékařské praxi nejenom pro podpis smluv, dodatků a příloh s VZP, ale také např. při preskripci eReceptu (podpis receptu lékařem) a v dalších oblastech, kde je kvalifikovaný certifikát vyžadován.
Shrnutí
Do webového prostředí VZP Point a Moje VZP se lze přihlásit zcela bez certifikátů pomocí e-mailu, hesla a SMS kódu.
V případě komunikace prostřednictvím služeb B2B, popř. vyžaduje-li lékařská aplikace přihlášení do VZP Pointu pomocí certifikátu, je potřeba mít zajištěn certifikát obsahující položku autentizace. Většinou se jedná o komerční osobní certifikát, který bývá nabízen za zvýhodněných finančních, popř. časových (víceletý certifikát) podmínek. Druhým typem certifikátu, tzv. kvalifikovaným certifikátem, vytvoříte zaručený, popř. kvalifikovaný elektronický podpis, který má využití nejenom při podpisech smluvních ujednání s VZP, ale také v dalších oblastech lékařské praxe.
Bc. Petr Kolařík,
vedoucí referátu příjmu a zpracování dávek, Zlín
vydáno v listopadu 2020