arkitektur rundt helsenorge.no og api - dips.com · brukerinnstillinger og personvern egen helse:...
TRANSCRIPT
Arkitektur rundt helsenorge.no og API
”Innbyggers tilgang til enkle og sikre digitale helsetjenester”
DIPS-forum 2016 - Thomas Grimeland
Et enklere helse-Norge
• «Vi skal jobbe for innbyggerne og med helsepersonell, for å skape en bedre helsehverdag for alle»
• Vi skal være «pådriveren for gode e-helse løsninger»
• Vi ønsker å samarbeide med eksterne leverandører for nyskapning og nå ut med nye løsninger, raskere
Hovedinstruks e-helse 2016:
• Direktoratet for e-helse skal bidra til at den nasjonale
utviklingen av e-helse danner grunnlag for nyskaping,
bedre tjenester og næringsutvikling, jf. forsknings og
innovasjonsstrategien HelseOmsorg 21 og tilhørende
handlingsplan.
• Tilrettelegge for bruk av eksterne leverandører ved
utvikling av nye tjenester.
29.05.2016 3
Morgendagens helsetjeneste tilbys digitalt
Kostbar helsetjeneste
Fra syk i huset til syk i sykehuset
I DAG
Fra mottaker til
autonom og
samarbeidende.
Trygg helsehjelp der du
er.
I MORGEN
Digitale helsetjenester kan
• avlaste systemet,
• gi økt helsegevinst,
• bedre pasientsikkerhet og
• økt effektivitet
I GÅR
Aldrende befolkning
Færre hender
Teknologiske muligheter
Forventninger i befolkningen
29.05.2016 4
Mottak henvisning fra fastlege
Info om henvisning mottatt og registrert
Konsultasjon Innleggelse & behandling Utskrivning Ukentlig dagbehandling Poliklinisk kontroll Avsluttet behandling
Påminnelse om avtale
E-melding om timeavtale
Preutfylt skjema online
E-melding om tidspunkt & sted for
innleggelse Epikrise
Digital dialog / fjernkonsultasjon
E-melding om timeavtale
E-melding om timeavtale
Hjemmemåling
Journal-oppdatering
Journal-oppdatering
Tilgang til helsehistorikk for fremtiden
Journal-oppdatering
Analyse av utredning
Påminnelse om avtale
Påminnelse om skjema
Behandlings-oppdatering
Timeavtale for konsultasjon
Symptomer oppstått Symptomkontroll Under behandling
Konsultasjon
Innleggelse & behandling Utskrivning
Ukentlig dagbehandling
Poliklinisk kontroll
Avsluttet behandling
Symptomer oppstått
Konsultasjon
Morgendagens helsetjeneste tilbys som en enhetlig, sømløs, sammenhengende tjeneste. Analog/digital adskilles ikke.
Informasjon
5
Mottak henvisning fra fastlege
Info om henvisning mottatt og registrert
Konsultasjon Innleggelse & behandling Utskrivning Ukentlig dagbehandling Poliklinisk kontroll Avsluttet behandling
Påminnelse om avtale
E-melding om timeavtale
Preutfylt skjema online
E-melding om tidspunkt & sted for
innleggelse Epikrise
Digital dialog / fjernkonsultasjon
E-melding om timeavtale
E-melding om timeavtale
Hjemmemåling
Journal-oppdatering
Journal-oppdatering
Tilgang til helsehistorikk for fremtiden
Journal-oppdatering
Analyse av utredning
Påminnelse om avtale
Påminnelse om skjema
Behandlings-oppdatering
Timeavtale for konsultasjon
Symptomer oppstått Symptomkontroll Under behandling
Konsultasjon
Innleggelse & behandling Utskrivning
Ukentlig dagbehandling
Poliklinisk kontroll
Avsluttet behandling
Symptomer oppstått
Konsultasjon
Morgendagens helsetjeneste tilbys som en enhetlig, sømløs, sammenhengende tjeneste. Analog/digital adskilles ikke.
Informasjon
Innsynsløsninger, samhandlingsløsninger og grunndata
6
Innbyggerne skal oppleve én samlet helsetjeneste på nett
7
Avtaler og behandlere
Brukerinnstillinger og personvern
Egen helse: Behandling og oppfølging
Økonomi og rettigheter
Innsyn i helsetjenestens journaler og registre
Redaksjonelt innhold om helse, livsstil, sykdom, helsehjelp og rettigheter
helsenorge.no
Selvhjelpsverktøy Oversikter
Min helse
Tjenester som krever innlogging
Avtaler og behandlere
Brukerinnstillinger og personvern
Egen helse: Behandling og oppfølging
Økonomi og rettigheter
Innsyn i helsetjenestens journaler og registre
Redaksjonelt innhold om helse, livsstil, sykdom, helsehjelp og rettigheter
helsenorge.no
Selvhjelpsverktøy Oversikter
De digitale helsetjenestene dekker ulike områder
8
Administrasjon av helsekalender og
forløp; timeavtaler, henvisninger og
kontaktmuligheter
Samlet innsyn i opplysninger som
helsetjenesten har registrert, og
hvem som har benyttet
opplysningene
Oversikt over økonomi og rettigheter;
søknader og vedtak
Helseopplysninger og kunnskap om
egen helse; forebygging, helsehjelp
og beslutningsstøtte i forløp
Varselprofil og fullmakter;
samtykker og reservasjoner for bruk
av helsetjenesten og utleveringer til
forskning
Min helse
Tjenester som krever innlogging
Personlig helsearkiv
Dialog (Dialogmelding & CDA)
Personlig helsejournal
Skjema Timeavtaler Egne målinger eKonsultasjon Tilsendt dokument
Dokument-deling (XDS)
Journalinnsyn Mine dokumenter
Samhandling med helsetjenesten * Helsekalender * Oversikt over egen helse * Tidslinje * Egne målinger
10
Innbyggeren
Helsepersonell
Helse- og
omsorgstjenesten
Informasjon
Lov om pasient- og brukerrettigheter
(pasient- og brukerrettighetsloven)
Lov om helsepersonell mv.
(helsepersonelloven)
Lov om kommunale helse- og
omsorgstjenester m.m. (helse- og
omsorgstjenesteloven)
Lov om spesialisthelsetjenesten m.m.
(spesialisthelsetjenesteloven)
Lov om helseregistre og behandling av
helseopplysninger (helseregisterloven)
Lov om behandling av personopplysninger
(personopplysningsloven)
Lov om behandling av helseopplysninger ved
ytelse av helsehjelp (pasientjournalloven)
11
Innbyggeren
Helsepersonell
Informasjon
Lov om helsepersonell mv.
(helsepersonelloven)
Lov om behandling av
helseopplysninger ved ytelse av
helsehjelp (pasientjournalloven)
■ § 9.Samarbeid mellom virksomheter om behandlingsrettede helseregistre
■ To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale om
■ a) hva samarbeidet omfatter,
■ b) hvordan pasientens eller brukerens rettigheter skal ivaretas,
■ c) hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet, og
■ d) databehandlingsansvar.
■ Departementet kan i forskrift eller enkeltvedtak fastsette vilkår for slikt samarbeid.
§ 9 Felles journal
Innbyggeren
Helsepersonell
Lov om helsepersonell mv.
(helsepersonelloven)
■ Kongen i statsråd kan gi forskrift om etablering av nasjonale behandlingsrettede helseregistre som på bestemte områder kommer i stedet for registre etter §§ 8 og 9.
■ Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om databehandlingsansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
§ 10. Etablering av nasjonale behandlingsrettede helseregistre
Sikkerhetsaspekter
Tilgangsstyring
• Identiteter - verifikasjon og administrering
• Godkjenningsprosesser for tilgang til ulike API
Tilgangskontroll
• Innbyggere (mobil/browser apps): tredjeparts OAuth2 for sikkerhetsnivå 1-3; ekte Bank-ID for sikkerhetsnivå 4, eller egen nivå 4 autentisering tilknyttet egen OAuth2 service provider.
• Løsninger (web-server apps): Client ID + Secret, Shared key, ID-porten
• Integrasjoner (systemer): STS, SAML, Shared key, legitimasjon
Informasjonssikkerhet
• Personopplysninger (sikkerhetsnivå 3)
• Helseopplysninger (sikkerhetsnivå 4)
Konfidensialitet, integritet, uavvisbarhet
Logging og sporbarhet
Personverntjenester 13
Personverntjenesten - autorisasjon av innbygger
Innbygger
Helsenorge.no
4. Tjenestetilgang INB T1: Ja T2: Nei T3: Ja T4: Nei
Ekstern aktør
T1 T2
T3 T4
ID-porten
Personverntjeneste
Samtykke, Reservasjon, Fullmakt, Sperre, Logg
Autentisering Autorisasjon
1. Forespør autentisering
2. Autentisering OK
3. Forespør tjenestetilgang for INB
5. Forespør data fra eksterne aktører
6. Mottar data fra eksterne aktører
Personverntjenester 14
XACML arkitekturen
PEP
PDP
PIP
PRP
PAP
Håndheve
Beslutte
Administrere
Innhente underlag
Innbygger
Policy Enforcement Point
Policy Decision Point
Policy Information Point
Policy Retrieval Point
Policy Administration Point
29.05.2016 Personverntjenester 15
Nasjonal sikkerhets-
infrastruktur Personverntjenesten
Helsenorge.no
PDP
PEP PEP
PEP
PDP
PDP
PIP
PRP/PIP
Saksbehandling
Innbygger
Saksbehandler
PIP
Administrasjons verktøy
PAP
Administrator
Personverntjenesten uttrykket ved XACML definisjonene
16
Personverntjenesten uttrykket ved XACML definisjonene
APP STS infrasturktur Personverntjenesten
Helsenorge.no
PDP
PEP
PDP
PIP
Innbygger
PIP
App
Helse API
Utsteder token basert på
innbyggers innstillinger
Legger ved token i alle kall
for å styre tilgang.
Innbygger
PEP
PDP
PHA
z
Allmennlege-tjenesten
Innbygger
Helse Nord RHF
DIPS xxx
Helse Vest RHF
Helse SØ RHF
Helse Midt RHF
EPJ
Kommunal helse- og omsorgs-tjeneste
Andre helseaktører
helsenorge.no
Dagens integrasjoner
Helsenorgeplattform/NHN
Dialog, timeavtaler, journalinnsyn KITH, HL7 V2/3, HL7 CDA, HL7 FHIR, IHE XDS AMQP, WS
Integrasjonsplattform
Integrasjonsplattform
DIPS xxx
Integrasjonsplattform
DIPS xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
Samtykker Reservasjoner
Fullmakter Sperrer
Personverntjenesten Difi
Kontakt DPI
Integrasjonsplattform
Dialog Dokumenter
Målinger …
Personlig helsearkiv
Adresser Personer
Helsepersonell Fastleger
…
Grunndata
ID-
porten
Artikler Søk ...
Innhold
Varsler Preferanser
…
Innbyggerprofil
? ? z
Allmennlege-tjenesten
Innbygger
Helse Nord RHF
DIPS xxx
Helse Vest RHF
Helse SØ RHF
Helse Midt RHF
EPJ
Kommunal helse- og omsorgs-tjeneste
Andre helseaktører
helsenorge.no
Etablering av API-plattform
Helsenorgeplattformen/NHN
HL7 FHIR SMART Oauth 2 IHE XDS
Integrasjonsplattform
API-plattform
Endepunkter for innholdstjenester
Autentisering og autorisering av innbygger
Registering og administrasjon av applikasjoner
(dokumentasjon, trafikkstyring, kvoter, utviklerstøtte,
overvåkning, transformasjon)
DIPS xxx
Integrasjonsplattform
DIPS xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
EPJ xxx
Integrasjonsplattform
Samtykker Reservasjoner
Fullmakter Sperrer
Personverntjenesten Difi
Kontakt DPI
Integrasjonsplattform
Dialog Dokumenter
Målinger …
Personlig helsearkiv
Adresser Personer
Helsepersonell Fastleger
…
Grunndata
ID-
porten
Artikler Søk ...
Innhold
Varsler Preferanser
…
Innbyggerprofil
?
■ FHIR definerer «Ressurser», små, logiske enheter med informasjon som kan deles
■ Hver enkelt ressurs har XML/JSON format
■ Mulig å utvide med «Extensions»
■ REST-grensesnitt for å skrive/lese/søke
■ Ressurs-typer: Patient, Practitioner, Observation, Questionnaire, CarePlan, Appointment, Encounter, Medication etc…
■ 89 resources in total… (flere underveis)
■ Merket med ‘modenhetsnivå’ 1-6
29.05.2016 Tittel/ tema
Ressurser
29.05.2016 Tittel/ tema
FHIR ressursadresser
https://server.org/fhir-api/Patient/1
Server-adresse
Ressurs-type
Ressurs-id
https://server.org/fhir-api/Patient?name=John
Søk
Nasjonal PROMS
PasienterKvalitetsregistre
InternettHelsenettet
ID-porten
HelseNorge.no
Personlig helsearkiv / PHA
Nasjonal PROMS
29.05.2016 | 22
Generisk skjemaløsning med bruk av innbyggers personlige helsearkiv
Det er opp til aktørene å eie, styre og forvalte sine egne skjemadefinisjoner.
Komponenter og skjemaer (Løsningsprinsipper)
Utfylling
HN-plattform
Helseaktør
Open Source billig/gratis
skjemautfyller
ID-porten
NHN
Helsenorge-plattform
Åpne data API
PHA Meldingsboks
Skjemakopier
EPJ PAS Helse-
registre
Andre
databaser
Helse-
registre
Adm-
registre
Andre
datakilder
Altinn «Mottak»
Personvern- innstillinger
PHA
Katalog (registry): Innholdsstandarder (norske profiler anbefales)
Katalog (repository): Spørreskjema-definisjoner
Skjemastandard, klinisk (HL7 CDA R2 / RIM / FHIR)
Skjemastandard, admin (SERES + «KITH» + HL7…)
Continua: planlagt innlemming av HL7 CDA R2 QFD og QR
Initiell beriking av XML (utvalg infomodeller)
Etterberiking av XML (utvalg infomodeller)
Fagsystem «Utsender»
Preutfylling
Fagsystem «Mottaker»
Mer avansert prosessering og
distribusjon
Skjemainstansflyt
Dataflyt
Utsending (integrasjons-API)
Helsenorge.no med PHA integrasjons-API
Innsending (integrasjons-API)
DocDB
Helseaktør/NAV/forsker/etc
Løpende beriking
Diverse datakilder,
registre og API
A
B C
D
E F
G H
I
J
K
O
L
1a
1c
2b
2a
3a 3b
3d
3e
A: komponent
1a: skjemainstans
1 Skjemautsending 3 Skjemainnsending 2 Skjemautfylling
N M
P
Q
T
1d 3c
1b
Scope
R S
U
V
W
X
Oppsummering av pågående aktiviteter • Vi skal tilby API’er ut på nettet for både innbyggere og for aktører som ønsker
å lage tjenester som kan koble seg mot disse og hente ut både åpen og sensitiv informasjon.
Vi ser på bruk av OAuth og OpenID Connect i samarbeid med Difi for å sikre at identiteter kan flyte enklere (bl.a. mot REST tjenester). Tanken er at back-end API’er også kan verifisere og logge hvem som henter informasjon. (ikke bare hvilket system som henter informasjonen).
• Vi ønsker å koble autorisasjon mot personvernkomponenten og registre, så oppslag mot andre opplysninger kan verifiseres. Dette kan gjøres via en autorisasjonskomponent som er koblet til registre i bakkant. En tjeneste/API skal kunne registrere seg mot autorisasjonskomponenten og lage en tilgangsmatrise basert på informasjon fra f.eks. registrene. Via autorisasjonskomponenten autoriseres tilgangen.
• Vi arbeider med et felles tillitsanker mellom helseforetakene. Dette gjør at aktører i helsesektoren f.eks. kan publisere API’er i helsenettet og motta identiteter verifisert av et felles tillitsanker (via føderasjon eller som kan autentisere via f.eks. BuyPass eller Commfides). Dette muliggjør blant annet «Single Sign On» mellom sentrale tjenester.