Digital Sundhed Brugerstyringsattributter - Ræsonnementer - Specificering af nye og ændrede attributter i id-kortet Indhold 1. Introduktion... 2 2. Identifikation...... 2 2.1. Ræsonnement... 2 3. Sundhedsfaglig autorisation... 2 3.1. Ræsonnement... 2 4. Arbejdsmæssig funktion... 3 4.1. Ræsonnement... 3 4.2. Udfordringer... 3 5. Organisation... 4 5.1. Ræssonement... 4 5.2. Udfordringer... 4 6. Formål... 4 6.1. Ræssonnement... 4 7. På vegne af...... 5 7.1. Ræssonnement... 5 8. Referencer... 5 Version Dato Ansvarlig 0.1 23.02.2010 JSK 0.2 02.01.2010 JSK 0.3 28.03.2010 JSK 0.4 16.04.2010 JSK 0.5 14.05.2010 JSK 0.6 21.06.2010 JSK Side 1 af 6 Kommentarer Efter review fra KKJ Redigeret efter kommentarer på arkitekturmøde. Bl.a.: Autorisation og stillingsbetegnelse adskilt Præcidering af brugen af AMS. Formål tilføjet Omdøbning af dokumenter. Fjernelse af referencer til DGWS 1.0.2. Underafsnit Udfordringer er tilføjet på baggrund af tilbagemeldinger fra projektgruppemøde 31/5 2010. Formuleringer tilrettet efter kommentering fra KKJ
1. Introduktion Dette dokument angiver ræsonnementer for at indføre de attributter der indgår i id-kortet og hvis formål er at honorere krav til autorisation og logning i forhold til brugerens adgang til eksterne tjenester via web services. Som det fremgår at [BRUGERATT-IND] er alle attributter indlejret i et id-kort. Følgende er en beskrivelse af baggrunden for de enkelte attributter med reference til de krav, der har afstedkommet de enkelte valg af attributter. Ræsonnementer omkring de enkelte attributter omfatter: 1. Hvilke tjenester stiller krav til attributten 2. Hvilke lovgivningsmæssige krav tilsiger attributtens tilstedeværelse 2. Identifikation En bruger identificeres ved digital signatur (MOCES) som specificeret for DGWS 1.0 og 1.0.1. 2.1. Ræsonnement Digital signatur er det foretrukne fællesoffentlige stærke akkreditiv til autentifikation mod offentlige tjenester både i og udenfor sundhedssektoren. 3. Sundhedsfaglig autorisation Brugere med en autorisation udstedt af Sundhedsstyrelsen skal identificeres ved deres unikke sundhedsfaglige autorisation. En person kan have flere sundhedsfaglige autorisationer, men der kan angives netop én i id-kortet. 3.1. Ræsonnement Autorisationsnummer er allerede en del af DGWS 1.0.1. Informationer omkring autorisation er udvidet idet en tjenesteudbyder på nuværende tidspunkt ikke kan afgøre hvilken faggruppe autorisationen tilhører uden at skulle konsultere Sundhedsstyrelsens autorisationsregister. Dette bryder mod princippet om at lade DGWS være selvindeholdt. Autorisationsoplysninger er et vigtigt element i forbindelse med tildeling af rettigheder til tjenester der indeholder personfølsomme oplysninger. Sundhedslovens paragraf 42 nævner specielt rettigheder der tilfalder de udvalgte faggrupper læger, sygehusansatte tandlæger og medicinstuderende. Det er valgt at basere faggrupper på Danmarks Statistiks klassifikation over afsluttede uddannelser idet Sundhedsstyrelsens autorisationsregister netop baseres på denne klassifikation. Dette giver ligeledes mulighed for at angive om brugeren er studerende eller autoriseret sundhedsperson, da klassifikationen findes for både afsluttede og igangværende uddannelser. I første omgang findes kun typen medicinstuderende, som er studerende ved lægevidenskabelig kandidatuddannelse. Modellen kan dog problemfrit udvides ved at tillade andre typer af studerende i henhold til klassifikationen. Klassifikationen er bredt anvendt i sundhedssektoren idet Sundhedsstyrelsen har tilbudt den gennem lang tid, den findes hos regionerne og koderne benyttes af uddannelsesinstitutionerne. Side 2 af 6
4. Arbejdsmæssig funktion Ved udstedelse af et id-kort fungerer den pågældende bruger i forhold til en arbejdsmæssig funktion. Betegnelse for denne funktion benyttes til at autorisere brugeren og til logning. Der kan angives en arbejdsmæssig funktion for brugeren i id-kortet og denne er obligatorisk. 4.1. Ræsonnement Der angives en arbejdsmæssig funktion med reference til Arbejdsmarkedsstyrelsens klassifikation over arbejdsmæssige funktioner. Ræsonnement for dette valg gives herunder. En bruger fungerer i en funktion som eksempelvis sygehuslæge eller praktiserende læge. Af autorisationen alene har man kun mulighed for at se om brugeren har en lægefaglig autorisation. Ikke alle brugere af it-systemer i sundhedsvæsenet har en sundhedsfaglig autorisation. I de tilfælde skal brugerens stillingsbetegnelse angives som en attribut for brugeren. Der ud over kan en person med en sundhedsfaglig person fungere i en stilling, hvor denne ikke udfører arbejde i forhold til den sundhedsfagliges autorisation. Fx kan en læge fungere som it-chef. Dette er ligeledes beskrevet i [Rapport_BIF-ER_1]. Det er ligeledes ønsket at kunne give adgang for udenlandske læger, der ikke er i besiddelse af en dansk sundhedsfaglig autorisation. I disse tilfælde skal der kunne konstrueres web services, hvor det fremgår hvilken stillingsbetegnelse den pågældende bruger har. Her vil det være det nationale kontaktpunkt (NCP), der står inde for disse oplysninger via afgivelse af dennes digitale signatur (FOCES eller VOCES). Der henvises til epsos-projektet for nærmere beskrivelse af arkitektur for NCP. En række eksisterende nationale systemer arbejder med arbejdsmæssige funktioner: ejournal-applikationen opererer med de arbejdsmæssige funktioner sygehuslæge og praktiserende læge for at adskille hvilke muligheder der er for at tjekket eksistens af en behandlingsrelation. epsos-projektet opererer med de arbejdsmæssige funktioner praktiserende læge, læge, farmaceut, tandlæge, jordemoder, sygeplejerske og sundhedsinformatiker. NPI arbejder med forskellige typer af brugere: praktiserende læge, vagtlæge, speciallæge, hospitalslæge, hospitalssygeplejerske, lægesekretær, hjemmesygeplejerske, sundhedsplejerske, kliniksygeplejerske, jordmoder, bioanalytiker, fysioterapeut, ergoterapeut, tandlæge. Ovenstående kan i store træk honoreres med reference til Arbejdsmarkedsstyrelsens klassifikation af arbejdsmæssige funktioner. Eksempler på betegnelser, der ikke er indeholdt i denne klassifikation er vagtlæge og skelnen mellem hospitalssygeplejerske og kliniksygeplejerske. 4.2. Udfordringer Valget af attributten Arbejdsmæssig funktion er blevet udfordret i flere sammenhænge i forbindelse af kommentering af materialet. Det vurderes at attributten stadig er bedste bud på at løse aktuel problematik omkring brugerens rolle i organisationen. Man bør dog i en egentlig afprøvning, hvor attributter indarbejdes forhold sig til nedenstående: Klassifikationen fra arbejdsmarkedsstyrelsen er meget bred og der er risiko for manglende entydighed, hvis ikke feltet indsnævres. Side 3 af 6
Der kræves formodentlig en uddybning af hvad en given arbejdsmæssig funktion dækker over. Hvis serviceudbyderne ikke er enige om semantikken af en given rolle kan det give problemer. Der er tvivl om at klassifikationen er tilfredsstillende i forhold til at beskrive en brugers funktion. 5. Organisation Denne oplysning betegner den organisatoriske enhed hvor brugeren er ansat og specificerer mere præcist, hvor brugeren udfører sit arbejde og fra hvilken tjenesten tilgås. Der kan registreres netop én organisation. 5.1. Ræssonement I DGWS 1.0.1 forekommer organisationsid og organisationsnavn. Ligeledes fremgår CVR-nummer via brugerens digitale signatur, som kan overføres til id-kortet. Trust mellem en WSC og STS foreslås gennem anvendelse af CVR-nummer. CVR-nummer er derfor vigtigt til angivelse af om man har at gøre med en trusted part i føderationen. Organisation og underorganisation svarer til de sundhedsorganisationer, der i bemærkninger til Sundhedslovens [SUNDLOV-BEMÆRK] paragraf 42 betegnes som behandlingssted og behandlingsenhed. De to oplysninger er derfor vigtige i etableringen af behandlingsrelation mellem en sundhedsperson og en patient/borger. Som specificeret i [BRUGERATT-POL] kan disse oplysninger ændres uden at afkræve brugerens digitale signatur. Denne politik er valgt for at imødekomme udfordringer for brugere, der udfører arbejde på mange forskellige afdelinger i løbet af en arbejdsdag og dermed potentielt har mange skift i organisationsoplysninger. Det vil dog sætte større krav til brugerens it-systemer idet disse skal sørge for at få udstedt nye id-kort, når brugeren angiver at denne skifter organisatorisk tilknytning. 5.2. Udfordringer For organisationsstrukturen SOR er der en udfordring, der handler om at niveauerne institutionsejer, institution, organisatorisk enhed tolkes forskellig i de enkelte regioner. Derfor kan man ikke umiddelbart sige hvilket niveau man skal angive i attributten. Som eksempel angiver niveauet institution i Region Sjælland den samlede organisation indeholdende alle sygehuse i regionen. I de resterende regioner angiver niveauet institution de enkelte sygehuse. Det skal afgøres om STS en kan foretage konvertering mellem organisationsregistren SHAK, SOR og yderregisteret. Det vil være uhensigtsmæssigt at alle WSC er skal kende flere forskellige klassifikationer idet ver kan opstå tvivl om hvilke, der skal sendes med til hvilke services. 6. Formål Denne oplysning benyttes når en bruger tilgår en tjeneste og fortælle formålet med anvendelse af tjenesten og dennes oplysninger. 6.1. Ræssonnement Ifølge sundhedsloven kan patientrelaterede informationer videregives til andre formål end behandling. Side 4 af 6
Det eksplicitte formål fremgår af denne attribut. Som hovedregel på hospital og i praksis vil formålet være behandling. Der kan opstå situationer hvor en sundhedsperson har behov for at få adgang og hvor personen under normale omstændigheder ikke har de nødvendige rettigheder. Det kunne være i akutsituationer, hvor en behandlingsrelation eksempelvis ikke er til stede under en forespørgsel. I denne situation vil formålet være akut behandling. Andre grupper end sundhedspersoner skal kunne give adgang til data forskningsøjemed, systemadministration, afregning el.lign. I den svenske model BIF [Rapport_BIF-ER_1] opereres med det tilsvarende syfte. Her findes følgende formål: "Hälso- och sjukvård", "Socialtjänst", "Forskning", "Utbildning" og "Administration". I OASIS-standarden opereres med termen Purpose of use med følgende formål: Healthcare Treatment, Emergency Treatment, System Administration, Operations, Payment, Research, Marketing, Public Health. 7. På vegne af Denne oplysning benyttes når en bruger tilgår en tjeneste på vegne af en anden person. Konkret anvendelse finder sted i FMK, hvor andre faggrupper end læger gives adgang til tjenesten. Denne adgang gives for at andre faggrupper end læger kan udføre administrativt arbejde i forbindelse med opdatering og læsning af medicindata. Id-kortet kan indeholde oplysninger om at man tilgår tjeneste på vegne af en person. 7.1. Ræssonnement I FMK-projektet har man behov for at angive at en person kan yde teknisk assistance for en sundhedsperson med en sundhedsfaglig autorisation. Ligeledes tilsiger Sundhedsloven paragraf 42 at visse sundhedspersoner kan uddelegere arbejde til andre faggrupper. For at kunne angive dette som en del af id-kortet er der indført attributter til at angive dette. Det er antaget i specifikationen at en bruger altid vil agere på vegne af en person med en sundhedsfaglig autorisation. Som specificeret i [BRUGERATT-POL] kan disse oplysninger ændres uden at afkræve brugerens digitale signatur. Denne politik er valgt for at imødekomme udfordringer for brugere, der agere på vegne af mange forskellige sundhedspersoner i løbet af en arbejdsdag. Hvis der indenfor lovens rammer på et tidspunkt åbnes for muligheder for at lade personer agere på vegne af en organisation frem for i dag en enkeltperson kan modellen udvides til at håndtere dette. En sådan model vil gøre arbejdet mere smidigt for hospitalsansatte sekretærer, der typisk dokumenterer for mange forskellige autoriserede sundhedspersoner gennem en arbejdsdag. 8. Referencer BRUGERATT-IND Brugerstyringsattributter Indhold, version 0.5, 14/5 2010. BRUGERATT-POL Brugerstyringsattributter Politikker, version 0.5, 14/5 2010. SUNDLOV-BEMÆRK Filen Bemærkninger til 41 og 42 behandlingssted og enhed.doc Dokumentet er meget lidt læsevenligt. Definition er behandlingssted og behandlingsenhed er markeret med gult på side 64. Det har ikke været muligt at skaffe et officielt link til bemærkningerne. AMS-JOBKLASS Arbejdsmarkedsstyrelsens koder over stillingsbetegnelser. Version er gæl- Side 5 af 6
Rapport_BIF-ER_1 XSPA SNOMED-CT-OCC dende fra 26/4 2010. Komplet klassifikation modtaget pr. mail fra AMS 9/4 2010 til JSK. Filnavn Jobnetklassifikationen pr 26 04 2010 til SDSD 09 04 2010.xls. Klassifikationen er i overensstemmelse med Danmarks Statistik DISCO88 (http://www.dst.dk/vejviser/portal/loen/disco/disco-88.aspx). DISCO-88 er baseret på den internationale standard ISCO-88. ISCO står for International Standard Classification of Occupations. Bastjänster för InformationsFörsörjning, Egenskaper-Regler. Den kan hentes her: http://www.carelink.se/dokument/sakerhet/bif/rapport_bif-er_1.pdf Cross-Enterprise Security and Privacy Authorization (XSPA) Profile of XACML v2.0 for Healthcare Version 1.0 Public Review Draft 01 5 November 2008 Specification URIs: http://docs.oasis-open.org/xacml/xspa/v1.0/saml-xspa-1.0-pr01.pdf SNOMED CT s definitioner af stillingsbetegnelser. Svarende til Structural Role i [XSPA]. Concept (Fully Specified Name): Education/welfare/health profession (occupation) ConceptId: 265930003 http://www.medicalclassifications.com/snomedct_dk.html Side 6 af 6