1 © UiA, eHelse, 2013

Erfaringer fra EU-prosjektet United4Health

Telemedisinsk samhandling ved behandling av KOLS pasienter – jus og datasikkerhet.

06.06.2013

Rune Fensli Førsteamanuensis, Forskningsleder

Senter for eHelse, Universitetet I Agder

rune.fensli@uia.no

eHelseUKA2013, 06. juni 2013

Temaer

• Datasikkerhet, tillit og risiko

• Fokus på pasient og pårørende

• Hjemme-monitorering tekniske løsninger

• Mottak av pasientdata, trygg lagring

• Tilgang og deling av medisinsk informasjon

• Integrasjon mot eksisterende EJP-systemer

06.06.2013 © UiA, eHelse, 2013 2

Datasikkerhet og tillit

• Sikkerhetstenkning forutsetter noen du har tillit til

• Hva kan du stole på? – Pass som identifikasjonsbevis ~ Elektronisk ID ?

– Nettbanken?

– Sykehuset?

– Helsenorge.no?

– Finn.no når du selger og kjøper på Internett?

– Garmin pulsklokke som lagrer dine treningsdata et sted i «skyen»?

06.06.2013 © UiA, eHelse, 2013 3

Hva stoler vi ikke på?

• Internett – men mange spor som ikke lar seg slette

• Facebook – men ofte mye personlig informasjon

• Google Health som ville lagre medisinske informasjon – Hvem skal de selge den til?

• Medtronic som lagrer medisinske måledata i USA

• Health Insight Solutions som lagrer KOLS data i «skyen»

06.06.2013 © UiA, eHelse, 2013 4

Nødvendig sikkerhets tenkning

• Vi må sikkert autentiseres – bevise hvem vi er

• Hvilken tjeneste logger vi oss på – sikkerhets sertifikat

• Hvor lagres våre medisinske opplysninger? – På en server trygt plassert innenfor Norsk Helsenett

• Hvordan skjer datakommunikasjonen til serveren? – Sikker kryptert forbindelse (VPN-tunnel)

• Hvem har tilgang til de lagrede data – Rollebasert tilgangskontroll

06.06.2013 © UiA, eHelse, 2013 5

Sikker autentisering • Rammeverk for

autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, FAD, 2008.

06.06.2013 © UiA, eHelse, 2013 6

http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/eID_rammeverk_trykk.pdf

Krav om sikkerhetsnivå 4

• I Helseinformasjonssikkerhetsforskriften ble det stilt krav om nivå 4 og bruk av digitalt sertifikat

– Forskriften er blitt trukket tilbake

– Årsak: Kravene ble for kompliserte, og helsesektoren benytter i alt for liten grad personlige digitale sertifikat

• NHN Hjemmekontor-løsning benytter digital ID

• Mobile omsorgstjenester bør også benytte digital ID

06.06.2013 © UiA, eHelse, 2013 7

06.06.2013 © UiA, eHelse, 2013 9

United4Health modell

• Sykehuset er ansvarlig for daglig oppfølging

06.06.2013 © UiA, eHelse, 2013 10

Norsk samhandlings modell • Kommunale helsetjenester er ansvarlig for daglig oppfølging

• Nødvendig med inter-organisatorisk deling av informasjon

06.06.2013 © UiA, eHelse, 2013 11

Pasienten eier sine egne måledata

• Det juridiske eierskapet til informasjonen er klart

• Dette er pasientens eiendom

• Pasienten må da selv kunne forvalte sine data – Hvor disse skal lagres

– Hvem som skal gis tilgang til dataene • Referanse til personvernlovgivningen

• Dette blir da en personlig helsejournal (?)

06.06.2013 © UiA, eHelse, 2013 12

Personlig Helsejournal

• «En elektronisk applikasjon hvor personer kan få tilgang til, administrere og dele sine helseopplysninger med andre som de har gitt autorisasjon, på en privat, sikker og konfidensiell måte»

Markle Foundation. (2003). Connecting for Health. The personal health working group final report. Retrieved from

http://www.markle.org/publications/1429-personal-health-working-group-final-report

06.06.2013 © UiA, eHelse, 2013 13

Pasientens hjemme-utstyr

06.06.2013 © UiA, eHelse, 2013 14

• Dette er «Behandlingshjelpemidler»

Spirometri Pulsoksymetri

HD video kamera Video konferanse høyttaler

CAT test

• Elektronisk spørreskjema med beregning av CAT score

• Kan være en APP

• eller et web-basert skjema

06.06.2013 © UiA, eHelse, 2013 15

Integrasjon av medisinsk måleutstyr

06.06.2013 © UiA, eHelse, 2013 16

Ansvar for Behandlingshjelpemidler

• Dette tilligger sykehusenes Medisinsk Tekniske Avd.

• De er ansvarlig for konfigurering og klargjøring

• Utlevering kan skje ved medisinsk avdeling

• Utstyret er på utlån til pasienten

• Samarbeid med hjemmetjenestene i opplæring og bruk

• Hvordan ivaretas tekniske problemer i hjemmet?

06.06.2013 © UiA, eHelse, 2013 17

Pasientens måledata inn i NHN

• Dedikerte SIM-kort for sikker overføring av måledata

• Data kan lagres på en sikker server innenfor NHN

• Må pasienten autentiseres med digital ID ?

• Kan data avidentifiseres?

• Kan data lagres på pasientens tablet?

06.06.2013 © UiA, eHelse, 2013 18

Hvem har tilgang til pasientens måledata?

• Pasienten selv – er dette gjennom Helsenorge.no?

• Kommunale KOLS-sykepleier må følge opp (Triage)

• Fastlegen må kunne vurdere situasjonen

• Sykehus (lungesykepleier og spesialistlege)

• Er dette juridisk lovlig og teknisk mulig i dag?

06.06.2013 © UiA, eHelse, 2013 19

Utlevering av medisinsk informasjon

• Helsepersonelloven:

– Helsepersonell kan gis beslutningsstyrt tilgang

– Definerer begrepet helsehjelp

– Tjenestelig behov legitimerer tilgang til medisinsk info

• Helseregisterloven §§13, 25 og 45:

– Utlevering av taushetsbelagte pasientopplysninger

– Forutsetter pasientens samtykke

06.06.2013 © UiA, eHelse, 2013 20

Prinsipp for deling av medisinsk informasjon

1. Pasienten er formell eier av sine data

2. Pasienten gir sitt samtykke til hvem som skal ha tilgang

3. Definert helsepersonell kan da ha elektronisk tilgang

4. Det kreves sikker autentisering for pålogging og tilgang

5. All tilgang skal logges

06.06.2013 © UiA, eHelse, 2013 21

Planer for utvikling av en Forløpsjournal

• prosjektet «Samhandling uten grenser» • Har avklart behov for deling av informasjon gjennom • Har definert arbeidsprosesser og informasjonsflyt

– Rapport R2-2, 2012

• Juridiske forhold er avklart – rapport R3-1, 2012 • Data arkitektur (SOA) er beskrevet – rapport R3-2, 2012 • Datasikkerhet er utredet – rapport R3-3, 2012 • Prinsipper for brukerinterface/design er under utarbeidelse • Prototyp ventes ferdig i løpet av høsten 2013

06.06.2013 © UiA, eHelse, 2013 22

Sikkerhet ved samhandlingsmodell

• Pasienten kan sende inn sine måledata til sikker server – Avidentifiserte data

• Elektronisk dialog må bli gjennom Helsenorge.no – Autentisering med MinID/BankID

• Sykehuspersonell får tilgang gjennom sin arbeidsplass – Sikkert pålogget og tilgang til «Samhandlingsserver»

• Kommunehelsepersonell – tilsvarende tilgang • Fastlegen – tilsvarende tilgang • Mobil hjemmetjeneste bør benytte personlig digital ID

06.06.2013 © UiA, eHelse, 2013 26

Bruk av video konferanse løsning

• NHN tilbyr i dag Cisco Jabber videokonferanse

• Kan tilbys for PC, Mac og iPad

• Kan benyttes for nettbrett med Windows 8

• Kommer kanskje for Android baserte nettbrett

• Omfatter en funksjonell adressebok

• Multiparts videokonferanser kan etableres

06.06.2013 © UiA, eHelse, 2013 27

Forløpsjournal prinsipper

• En felles journal for en tidsperiode som forutsetter inter-organisatoriske samhandlings team – Collaborative health care teams, seamless healthcare

• Basert på samtykke for utlevering av medisinsk informasjon • Ikke beregnet for langtids lagring av pasientdata • Sikker etablering av team, autentisering og lagring • Kan utveksle data gjennom å sende KITH-meldinger • Bør i fremtiden benytte HL7 for informasjonsutveksling

06.06.2013 © UiA, eHelse, 2013 28

En pasient – en eller enda flere journaler?

• En felles journal vil ligge langt frem i tid

• Forløpsjournal en felles journal under behandlingslinje

• Direkte integrasjon avhengig av eksisterende systemer

• Meldingsutveksling kan lett implementeres

06.06.2013 © UiA, eHelse, 2013 29

Databehandlingsansvar

• Forslag om at sykehuset er databehandlingsansvarlig

• Delavtaler sykehus-kommuner må beskrive hvem som er databehandler

• Medisinsk ansvar må følge definert behandlingslinje

• Langtids lagring av data må følge det medisinske ansvar

• Krav og dokumentasjon må følge «Normen»

06.06.2013 © UiA, eHelse, 2013 30

Public Home Alarm Central Services

• Organized as Health Care Social Alarms – Example: NHS24

• Should be integrated with Health Care Emergency – Need of 24/7 qualified staff

• Should be integrated with Home Nurse Services – Mobile integration with EHR-systems

• Alternative alarms also to close relatives – Predefined alarm situations

© UiA, Rune Fensli, 2013 32 06.06.2013

06.06.2013 © UiA, Rune Fensli, 2013 33

Trygghets- pakke Behandlings-

hjelpemidler

Tekniske hjelpemidler

Legevakt

Fastlegen

Kommunal øyeblikkelig

hjelp

Kols nettverk Hjemmetjen

esten

Fagsystemer

Interkommunalt

samarbeid

Delavtaler

Forskning og utvikling

Bruker organisasjon

er

«Sammenhengende kjede», Grete Dagsvik, Kristiansand kommune

Omfattende krav

06.06.2013 © UiA, Rune Fensli, 2013 34

Pasient perspektivet • Trygt • Sikkert • Brukervennlig • Pålitelig Organisatorisk perspektiv • Effektive løsninger • Standardisering av

aksjoner og tiltak • Samhandling og

tverrfaglighet • Pasientforløp

Teknologi perspektivet • Standardisering • Interoperabilitet • Stabile tjenester • Pålitelige system Kompetanse perspektivet • Adekvat hjelp • Kvalifiserte

vurderinger • Tverrfaglig

kompetanse • Nærhet til pasient

Trygghet i hjemmet

06.06.2013 35 © UiA, Rune Fensli, 2013