PDL i openEHR

Projektinfomation

Denna wikisida är avsedd att utgöra grunden till en implementationsguide som beskriver ett rekommenderat sätt att tillämpa den svenska Patientdatalagen (PDL) i openEHR-baserade system på ett gemensamt leverantörsoberoende sätt.

F.n. finns en del info på tillhörande kort i svenska openEHR-förvaltningens kanbantavla.

Status

DEV

Versionshistorik

Version

Datum

Uppdatering

Ansvarig

Version

Datum

Uppdatering

Ansvarig

 

 

 

 

 

 

 

 

 

Den första remissomgången börjar här och avser kapitlen

  • Bakgrund

  • Lagring av PDL-relaterade grundattribut

  • Filtrering och utvärdering baserat på lagrade grundattribut

Samtidigt är implementationsguiden för HSA-identitet och Organisationsnummer ute på remiss

Bakgrund

Denna implementationsguide har tagits fram i samarbete mellan flera vårdgivare och systemleverantörer aktiva i Sverige (se appendix). Implementationsguiden syftar till att beskriva hur openEHR kan användas i tillämpningen av Patientdatalagen på ett gemensamt leverantörsoberoende sätt.

Notera att samtliga rekommendationer eller direktiv enbart gäller information som ska utvärderas enligt PDL. Alltså gäller det inte t.ex. information som är uppmätt och registrerad av patienten själv utan initiering från hälso- och sjukvården eller information inom SOL.

Relaterade dokument

Läs först startsidan “Implementationsguider” som bl.a. beskriver vad dokumentstatus som DEV och rekommendationer som MUST (MÅSTE). MUST NOT (FÅR INTE), SHOULD (BÖR) etc. betyder i praktiken.

Detta dokument hänvisar även på flera ställen till implementationsguiden om HSA-identitet och Organisationsnummer samt till olika delar av openEHRs tekniska specifikationer.

Juridiska krav

Patientdatalag (2008:355) reglerar behandling av personuppgifter, journalföring, sekretess samt åtkomst till journalhandlingar i Sverige. Lagen kompletteras av Socialstyrelsens föreskrifter om journalföring och behandling av personuppgifter i hälso- och sjukvård (HSLF-FS 2016:40). De huvudsakliga lagkraven som instruktionen omfattar beskrivs nedan.

Generellt om Journalföring

Bestämmelsen om skyldighet till journalföring innebär att all information som en hälso- och sjukvårdspersonal tillför journalen ska journalföras på den vårdenhet där vården utförs. En användare kan därmed inte journalföra på en annan vårdenhet än där vårdkontakten skett. Vårdgivaren ska säkerställa att åtgärder kan härledas till en användare i informationssystem.

Stark Autentisering – vem du är

Informationssystem som behandlar personuppgifter har krav på stark autentisering med användning av e-legitimation vid inloggning. Kravet gäller även den enskildes åtkomst till sina journalhandlingar.

Behörighetsstyrning och åtkomst – vad du får göra

Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, så kallad inre sekretess. Bestämmelserna innebär i stora drag att journalinformation om en patient ska lagras och vara åtkomlig på tre nivåer där användaren i första hand får åtkomst till information som tillhör den vårdenhet där vårdrelationen finns. Efter aktivt val kan information från annan vårdenhet hos samma vårdgivare göras åtkomlig. Slutligen kan användaren efter ytterligare aktivt val och med patientens samtycke få åtkomst till information, som inte är spärrad, hos annan vårdgivare via regelverket för sammanhållen journalföring. Vårdgivaren ansvarar för att det i loggar framgår vilka åtgärder som har vidtagits med uppgifter om en patient. Ett aktivt val för att få tillgång till uppgifter om en patient är ett exempel på en åtgärd som ska loggas.

Åtkomst kan även tilldelas per vårdprocess där information inom en vårdprocess från flera vårdenheter kan ges inom samma vårdgivare utan föregående aktiva val. Avgränsningen av en vårdprocess är funktionell och inte organisatorisk såsom beträffande vårdenhet.

Åtkomstkontroll och logguppföljning – säkerställa att åtkomster är rimliga

Vårdgivare ansvarar för att åtkomster till personuppgifter loggas och att det av loggarna framgår patient, användare som tagit del av uppgifterna, vilka åtgärder som vidtagits, vid vilken tidpunkt samt vårdenhet eller vårdprocess. Vårdgivaren ansvarar även för att systematiska och återkommande stickprovskontroller av loggar genomförs och dokumenteras.

Patientens rätt att se vem som läst sina uppgifter

Vårdgivare är skyldiga att på begäran lämna ut uppgifter om åtkomster till en patients information, där ska det framgå vid vilken tidpunkt, samt från vilken vårdenhet åtkomsten gjorts. Informationen ska vara utformad så att patienten kan bedöma om åtkomsten varit befogad eller inte. 

Patientens möjlighet att begränsa vårdens tillgång till sin information genom spärrar och samtycke

En patient kan motsätta sig att uppgifter om honom eller henne är tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I sådana fall ska uppgiften genast spärras. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. En spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Spärren kan också hävas av en annan vårdenhet eller vårdprocess, till exempel akutmottagningen, om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver, så kallad nödöppning.

Systemet ska vara uppbyggt så att behörig användare i steg 1 får tillgång till information om vilken eller vilka vårdenheter eller vårdprocesser som har spärrade uppgifter om patienten. Steg två innebär att behörig användare, genom att denne kan se vid vilken eller vid vilka vårdenheter eller vårdprocesser uppgifter har spärrats, kan bedöma om de spärrade uppgifterna kan antas ha betydelse för vården av patienten. Endast uppgifter som kan antas ha en sådan betydelse får hävas.

Sammanhållen journalföring

Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar. Den sammanhållna journalföringen innebär alltså inte att hälso- och sjukvårdspersonal som arbetar hos en vårdgivare ska föra anteckningar i en annan vårdgivares journalhandlingar. Patienten har rätt att spärra åtkomst för andra vårdgivare. En sådan spärr får endast hävas av patienten själv eller vid en akut nödsituation. Om vårdgivaren bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna.

Kvalitetsregister

Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

Omhändertagande av journalhandlingar

Varje elektronisk journalhandling är knuten till en viss vårdgivare som ansvarar för de handlingar som upprättas eller inkommer i sin verksamhet. Om en verksamhet upphör eller om journal-handlingarna av annan anledning ska omhändertas, ska vårdgivaren se till att verksamhetens patientjournaler tas om hand på ett sådant sätt att obehöriga inte kan få del av uppgifter om patienterna. Det innebär bland annat att vårdgivaren behöver beakta de regler som gäller för att bevara journalhandlingar. Journalhandlingar som efter beslut ska arkiveras ska bevaras minst 10 år.

Begrepp

Begrepp

Beskrivning

autentisering

kontroll av uppgiven identitet

stark autentisering

kontroll av uppgiven identitet på två olika sätt

hälso- och sjukvårdspersonal

person eller personer som i sitt yrke utför hälso- och sjukvård

informationssystem

system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information

patientjournal

en eller flera journalhandlingar som rör samma patient

vårdgivare

statlig myndighet, landsting och kommun i fråga om sådan hälso-och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård

Vårdenhet

organisatorisk enhet som tillhandahåller hälso- och sjukvård

 

vårdprocess

process avseende hälso- och sjukvård som hanterar ett eller flera relaterade hälsoproblem eller hälsotillstånd i syfte att främja ett avsett resultat

PDL-illustrationer

 

Bild från TietoEvry

Bild från slutrapport Patientdatalagen i praktiken (PDLiP) publicerad av Center för eHälsa i samverkan (CEHIS) 6 maj 2011. Finns uppladdad som bilaga till denna implementationsguide.

HSA-ID

HSA-id består av två delar. En del som identifierar utfärdande organisation och en del som identifierar det unika objektet (t.ex. en anställd eller en vårdavdelning). Strukturen för ett HSA-id ser ut på följande sätt: SE<organisationsnummer för utfärdande organisation>-<löpnummer för objekt> Löpnummer kan bestå av både bokstäver och siffror (max 31 tecken totalt) Se den implementationsguiden för HSA-identitet och Organisationsnummer för detaljer

 

Lägg till exempel med region - praktikertjänst - och privat-privat

eller ombud för SITHS+HSA, t.ex. svensk e-identitet (länka till ineras ombudslista) ← används av “tredjepartsanslutna” små aktörer

Text att klippa ifrån om Privatpraktiserande läkare

tbd (hur sparar vi information om dessa??)

Om enskild firma PNR om AB orgnr.

Om avtal (t.ex. enskilda samtalsterapeuter) och ska finnas i INERAs tjänster med sammanhållen journalföring så skapas ett HSA-id baserat på sitt pnr eller org -

Jag som person. T.ex. SEnnnnnn-nnnn-abcd

Min organisation

vårdenhet

vårdgivare

Ibland har en enhet varit både vårdgivare och vårdenhet, vilket inte längre rekommenderas (krångligt vid expansion till fler enheter)

Privat-Privat = inga avtal med regioner, är i dagsläget vanligen inte med i sammanhållen journalföring

“Lagetablerad läkare”? Nationella taxan - för att kunna få ersättning för besök (kvitton)? LOV/LOL?

Lurigt case när privatläkare har både

  1. privat-privata patienter och

  2. patienter på uppdrag/avtal med region

i samma system.

Utöver PDL kan dessa attribut behövas vid arkivering (kanske blir separat openEHR-implementaitonsguide).

Lagring av PDL-relaterade grundattribut

Introduktion

En viktig aspekt av att utvärdera åtkomst till patientinformation är att rätt metadata finns sparad i den. Utvärdering av åtkomst utgår från läsarens kontext (varifrån det läses och i vilket syfte) samt patientinformationens kontext (vilken organisation eller process den tillhör).

Följande attribut är aktuella för utvärdera åtkomst ur PDL-perspektiv:

Följande attribut är relaterade:

  • COMPOSITION.contextEVENT_CONTEXT.health_care_facility BÖR man ange den mest granulära eller exakta beskrivning av (under)enhet/mottagning som är lämplig, om sådan finns, annars MÅSTE man åtminstone ange vårdenhet, eftersom innehållet detta attribut kan förväntas vara det som visas i många användargränsnitt.

    • Exempel - diabetessköterskemottagningen hos Vårdcentralen Villastaden

  • För varje uppdatering av en COMPOSITION som görs kommer info om inloggad användare (vanligen användarnamn) sparas i attributet VERSION.commit_auditAUDIT_DETAILS.committer

  • COMPOSITION.composer Personen ansvarig för innehållet (kan vara annan än den den inloggade användare som i praktiken faktiskt lagrar det)

  • EVENT_CONTEXT.location beskriver är en fysisk plats, t.ex. ett visst rum, operationssal - inte en organisatorisk enhet.

 

 

 

Källa: Data Types Information Model

 

 

Generellt

  • Normalfall: Originalinformation från olika vårdenheter (och därmed inte heller olika vårdgivare) FÅR INTE journalföras inom ramen för samma Composition vid ett och samma tillfälle utifall de ur PDL-synpunkt borde ha journalförts hos olika vårdenheter (där vården har utförts). Flera Entries (t.ex. mätvärden och bedöminingar) från olika vårdenheter FÅR INTE blandas i samma Composition-version om de normalt borde ha journalförts (och t.ex. signerats) på olika vårdenehter

    • Orsak: Detta beror på att Composition i denna implementationsguide används som en lägsta nivå för lagring av PDL-relaterade attribut och för utvärdering av åtkomst enligt PDL

    • Referensmodellen erbjuder inga enhetselement på Entry, men utifall att enheter ingår i den arketyp som ligger till grund för en Entry så kommer de inte att utvärderas

  • Specialfall: I användningsfall där personal från flera vårdenheter naturligt dokument gemensamt (t.ex. under en multidisciplinär konferens, eller i gemensamma dokument om boendesituation, uppmärksamhetsinformation etc.) så MÅSTE detta lösas på ett sätt så att informationsägandet och ansvaret kan spåras. Exempel:

    1. Multidisciplinär konferens med flera dokument från olika källor: Låt varje ingående dokument lagras och uppdateras av respektive vårdenhet och håll ihop dem med med andra konstruktioner som en gemensam FOLDER eller med länkar (LINK) från ett samlingsdokument. Alternativt, håll ihop dokumenten genom att markera dem som tillhörande samma vårdepisod/vårdprocess/hälsoärende (utreds i andra fasen av arbetet med implementationsguiden).

    2. Multidisciplinär konferens med ett gemensamt dokument där flera kan skriva samtidigt: Låt en vårdenhet vara huvudansvarig för anteckningen och lagra ner den enheten som skapare ur PDL-synpunkt. För att ange informationskällor till olika delar av det gemensamma dokumentet kan
      fältet provider i ENTRY-klassen användas, dessa “provider”-fält kommer dock ej användas för att utvärdera åtkomst enligt PDL. Se till att andra enheter som behöver se informationen kan göra det, genom sammanhållen journalföring eller aktiva val inom egna vårdgivaren.

    3. Ett gemensamt dokument (t.ex. om boendesituation eller uppmärksamhetsinformation) som över tid (men inte samtidigt) uppdateras av personal från flera vårdenheter: Att utreda: Beroende på det gemensamma dokumentets syfte och hur vårdgivaren har strukturerat sina vårdenheter och deras gemensamma dokument kan olika lösningar tänkas avseende dokumentets ägare ur PDL-perspektiv. Det är inte nödvändigtvis alltid lämpligt att automatiskt ändra det delade dokumentets informationsägare (vårdenhet & vårdgivare) till den som senast uppdaterade/sparade det.

      1. Rekommendation (BÖR) för gemensamma dokument - visa ATT det finns information från andra vårdenheter (och vårdgivare?) för denna delmängd (t.ex. boendesituation) - Patientsäkerhetsperspektiv bör överväga.

      2. Analogi… papper + bild på versioned compositions

    4. Remiss som skickas mellan vårdenheter eller vårdgivare: Utgående remiss (t.ex. baserad på COMPOSITION-arketypen Request for service innehållande INSTRUCTION-arketypen Service request) ägs rimligen av avsändaren. Mottagaren bör implicit ges tillstånd att läsa. Om mottagaren gör en kopia av inkommande remissinnehåll i sitt eget system ägs denna innehållskopia av mottagare. På motsvarande sätt ägs remissvaret av den som genomför testet/tjänsten (t.ex. labbet) och ett riktat utlämnande görs till remittenten (som kan välja att skape en kopia av informationsinnehållet i sitt eget system).

health_care_facility

  • Den mest specifika enhet (mottagning, avdelning eller motsvarande) varifrån dokumentet anses härstamma MÅSTE sparas på COMPOSITION/context/health_care_facility

  • HSA id för ovanstående enhet MÅSTE anges i COMPOSITION/context/health_care_facility/identifiers i enlighet med Implementationsguide för HSA-id och Organisationsnummer

    • Undantaget är om enheten är en Vårdgivare, i dessa fall MÅSTE organisationsnummer sättas

  • Andra identifierare FÅR anges vid behov

  • Namnet på enhet FÅR anges via COMPOSITION/context/health_care_facility/name

    • Om namn på enhet anges så MÅSTE det vara det namn som gällde på enheten vid händelsen som föranledde dokumentet (det ska alltså inte uppdateras om enheten byter namn)

    • Ett alternativ till att spara information om namn på enheten är att slå upp det i extern katalogtjänst

    • Notera att det generellt är att rekommendera att kunna visa upp enhetsnamn som gällde vid tidpunkt för en händelse i ett användargränssnitt, utifrån ett PDL-perspektiv anses det dock tillräckligt om HSA-identiteten är känd.

Vårdgivare och Vårdenhet

Det MÅSTE gå att ta reda på hos vilken Vårdenhet och Vårdgivare en COMPOSITION skapades. Implementationsguiden styr/begränsar inte hur Vårdenhet och Vårdgivare enligt HSA sparas och tillämpas inuti ett enskilt openEHR-baserat system utan beskriver istället via vilka logiska sökvägar i en COMPOSITION informationen om vårdgivare/vårdenhet MÅSTE kunna nås om den exporteras (t.ex. bulkexport vid systembyte eller arkivering) eller om den exponeras via API till externa system (t.ex. via anropen /ehr/{ehr_id}/composition eller /query/... i openEHRs officiella REST-API. Internt FÅR detta tekniskt lösas på valfritt sätt, exempelvis genom att:

  • spara aktuell vårdgivare och vårdenhet vid lagringstillfället explicit i varje COMPOSITION.contextEVENT_CONTEXT.other_context, konfigurerad med minst två instanser av arketypen Organisation på sättet som detaljeras nedan

  • eller genom att teknsikt/fysiskt bara spara COMPOSITION.contextEVENT_CONTEXT.health_care_facility och utifrån detta vid behov (t.ex. vid export eller extern API-exponering) slå upp vårdgivare och vårdenhet i en versionshanterad katalog och sedan (t.ex. via en fasad) exponera/exportera detta på sättet som detaljeras nedan

När Vårdenhet och Vårdgivare i en COMPOSITION exponeras/exporteras så MÅSTE informationen logiskt sett ligga i två separata instanser av arketypen openEHR-EHR-CLUSTER.organisation.v0 som läggs under attributet i COMPOSITION.contextEVENT_CONTEXT.other_context. Vid tidpunkten för skapande av denna implementationsguide så är ovanstående arketyp under review, men den anses vara lämplig för det här användningsfallet.

PDL-fälten visas i detta experiment som ändringsbara av slutanvändaren, men kommer normalt sett sättas av systemet baserat på inloiggad användaer och inte vara ändringsbara eller i många användningsfall inte ens visas för slutanvändaren

Filtrering och utvärdering baserat på lagrade grundattribut

…infoga text och AQL-exempel

 

Den första remissomgången slutar här och avsåg kapitlen

  • Bakgrund

  • Lagring av PDL-relaterade grundattribut

  • Filtrering och utvärdering baserat på lagrade grundattribut

Texten nedan är inte redo för extern granskning ännu

Spärr, hävande av spärr och undantag

 

Information som är olämplig att spärra

I PDL finns skrivningar om att man ska kunna undanta viss information från spärr. Att man är allergisk mot något eller tar vissa mediciner är t.ex. viktigt att veta för vårdgivare som akut hanterar en patient som inte kan göra sig förstådd (t.ex. är medvetslös), spärr av sådan information kan i värsta fall leda till skada eller död. Finns i den nationella spärrtjänsten - men ej i författningen (HSLF FS2016:14), eller i tillhörande handbok…

För att göra…

  • Behöver kunna sökas ut med taggning eller med filterfråga

Läkemedel

Beslut - om ikryssat, undanta dessa från spärr:

När läkemedelsinformation sparas ner så MÅSTE ATC-kod anges som defining_code i en DV_CODED_TEXT i fältet “Medication item” arketyperna Medication order eller Medication Management samt fältet “Medication item name” i arketypen  Medication statement.

Att göra: kolla övriga arketyper listade nedan

 

 

Samma mönster MÅSTE användas i fältet “Substance” i arketypen Adverse reaction risk när den används för att ange läkemedelsöverkänslighet

Att göra: Lägg in motsvarande svenska bilder/screenshots när de är översättningsgranskade

-var?-

Grunddata om läkemedel som bör kunna hittas med t.ex. AQL

  • Medication order

  • Medication management

  • Medication statement (FHIR) - t.ex. för import från andra system

  • Medication summary - historisk livstidsanvändning av enskilda läkemedel

Frågeformulär om läkemedelsanvändning

  • Medication screening

Behållare för grunddata eller frågeformulär om läkemedel

  • Medication list (Composition) och dess innehåll

  • Prescription (Composition)

  • Medication list (Section - de delar som ligger där)

Detaljerade “CLUSTER”-arketyper som sannolikt ingår som delkomponenter i någon av ovanstående

  • CLUSTER.medication.v1

  • CLUSTER.medication_authorisation.v0

  • CLUSTER.medication_order_summary.v0

  • CLUSTER.medication_supply_amount.v0

Övrigt

  • Ej diskuterat: Någon särskild folder?

  • Att utreda: Hur göra med Adverse reaction ang läkemedel?

Att utreda: Ska vi i denna implementatioshandbok bidra med anvisningar om Snomed-urval relaterade till läkemedelsadministration, t.ex. om administrationssätt m.m.

Uppmärksamhetsinformation (medicinska varningar etc.)

Uppmärksamhetsinformation - Socialstyrelsen - excel: https://www.socialstyrelsen.se/globalassets/sharepoint-dokument/artikelkatalog/klassifikationer-och-koder/2020-12-7122-bilaga-3.xlsx

Motsvarande refsets för de Snomed-relaterade urvalen som nämns i excel-arket:

RefSet id

Preferred Term 

Fully specified name

59841000052105

urval implantat, uppmärksamhetsinformation

 Implants, alert information reference set (foundation metadata concept)

59851000052108

urval smittämnen, uppmärksamhetsinformation

 Contagions, alert information reference set (foundation metadata concept)

59861000052106

urval transplantat, uppmärksamhetsinformation

 Transplants, alert information reference set (foundation metadata concept)

60691000052103

urval visshetsgrad, uppmärksamhetsinformation

 Degree of certainty, alert information reference set (foundation metadata concept)

59831000052104

urval behandlingar, uppmärksamhetsinformation

 Treatments, alert information reference set (foundation metadata concept)

59811000052109

urval allvarlighetsgrad, uppmärksamhetsinformation

 Degree of severity, alert information reference set (foundation metadata concept)

60661000052106

urval smittsamma sjukdomar, uppmärksamhetsinformation

 Contagious diseases, alert information reference set (foundation metadata concept)

59821000052101

urval medicinska tillstånd, uppmärksamhetsinformation

 Medical conditions, alert information reference set (foundation metadata concept)

59881000052100

urval särskilda vårdrutiner, uppmärksamhetsinformation

 Non-standard care procedures, alert information reference set (foundation metadata concept)

59871000052102

urval kemikalieöverkänsligheter, uppmärksamhetsinformation

 Hypersensitivities to chemicals, alert information reference set (foundation metadata concept)

59901000052102

urval födoämnesöverkänsligheter, uppmärksamhetsinformation

 Food hypersensitivities, alert information reference set (foundation metadata concept)

Tabellen sammanställd 2021-11-23 av Mikael nyström

 

Logguppföljning

Åtkomstkontrollerna ska göras systematisk och återkommande (4 kap. 3 § PDL). Hur ofta det behöver göras kan exempelvis bero på verksamhetens omfattning, antalet personer med åtkomst, hur behörigheterna delas ut och hur omfattande kontrollerna är. Det är nödvändigt att kontrollerna görs regelbundet och omfattar en så hög andel av logghändelserna att det blir en effektiv kontroll.

(ovan från: https://www.socialstyrelsen.se/regler-och-riktlinjer/foreskrifter-och-allmanna-rad/konsoliderade-foreskrifter/201640-om-journalforing-och-behandling-av-personuppgifter-i-halso--och-sjukvarden/ )

Metod

I en instruktion för vart i informationsmodellen information tillhörande en PDL-loggpost inhämtas i OpenEHR’s informationsmodell så bör loggranskarens uppgift och vilka analyser denne väntas utföra tas i beaktning.

Därtill är finns Ineras redan definierade informationsmodeller i RIV (regelverk för interoperabilitet inom vård och omsorg, rivta.se). Det är vanligt krav på ineteroperabilitet med RIV tjänstekontrakt ställs vid upphandlingar av IT-stöd i det offentliga vård-Sverige.

Dessa är de två perspektiv som beskrivs nedan.

OBSERVATION:

  1. Det ser ut att finnas ett antagande att utifrån en eller flera PDL-loggposter kunna göra åtminstone de initiala analyser som lagen kräver, utan att behöva gå in i källsystemet. Ineras beskrivning av loggpost medger inte härledning tillbaka till källinformationen. Det som anges är tidpunkt, aktivitet, resurstyp medarbetarens och patientens identitet. Spårbarhet tillbaka till källinformationen kräver manuellt arbete och därtill vara svår att fastställa.

  2. Förväntan på analyser som ska genomföras vid loggranskning kräver ingående kunskap om och direkt närhet till den aktuella verksamheten. Granskning av loggposter för PDL i med hjälp av Ineras loggtjänst kräver ytterligare informationsinhämtning enl resonemang punkt 1.

ATT UTREDA:

  1. Kan loggar beskrivet för OpenEHR uppfylla de krav som ställs för att kunna loggranska PDL enl. lag?

    1. Kan dessa loggar användas oförändrat för loggranskning för PDL (se exempel på kriterier för analys nedan)?

  2. Går det med OpenEHR loggar skapa upp PDL loggposter enl. Ineras RIV anvisningar?

    1. Behöver PDL-loggar enl. Ineras datadefinition skapas utifrån en samling mer detaljerade loggar från OpenEHR?

    2. Går det att skapa instruktioner för hur översättning av kodverk för Aktivitetstyp, Aktivitetsnivå och Resurstyp ska ske till aktiviteter och informationsmängder i OpenEHR?

    3. OM det är önskvärt att kunna gå från en PDL logg och spåra relevanta OpenEHR loggar, vilka rekommendation ska ges?

VGR Rutin för loggranskning SU

Nedan texter från VGR får agera exempel som beskriver vad en loggranskning kan innebära.

Texterna är hämtade från: https://alfresco.vgregion.se/alfresco/service/vgr/storage/node/content/8947/Loggranskning.pdf?a=false&guest=true

Behörighet

Den som har rätt att utdela behörighet har även en skyldighet att granska loggen. Respektive verksamhetschef ansvarar för granskningen av loggen för sina medarbetare. I de fall då verksamhetschef väljer att delegera handläggningen av loggranskning till annan medarbetare ska delegeringen vara dokumenteras.

Kontroll vid misstanke

Om det finns misstanke om missbruk av behörigheten till patientuppgifter ska en loggranskning genomföras. Det kan också finnas skäl att göra en granskning av loggen för en speciellt sekretess- känslig patient eller vårdtillfälle.

Loggranskning

  • särskild händelse

  • lokalt känd patient

  • specifik diagnos

  • vård av patient med skyddade personuppgifter

  • på initiativ av patient

Vid tolkning av en logg ska följande beaktas:

  • Patientrelation/uppdrag. Har patienten vårdats på aktuell enhet?

  • Vilka arbetsuppgifter har medarbetaren? Är det rimligt att medarbetaren har tittat på journaler vid dessa tidpunkter?

  • Finns ett namn med i loggen som kan vara av speciellt intresse, t.ex. en känd person?

  • Tidpunkter, avvikande klockslag, utanför enhetens öppethållande, utanför personalens schema.

  • Namn/släktskap i loggen. Åtkomst som indikerar privat samhörighet istället för patientrelation i en annan relation än vård och behandling, t.ex. anhörig, arbetskamrat eller före detta arbetskamrat

  • Patient med diagnos som kan väcka särskilt intresse.

Kommentar: Här ges exempel där ytterligare informationsmängder utöver det som finns i loggposten behövs för att tolka loggposten, det kan handla om:

  • Tidigare vårdkontakter

  • Legitimation på medarbetaren

  • Schemaläggning

  • Öppettider för vårdenhet

  • Information om familjerelation mellan två individer

  • Kodverk för diagnoser och regler för vilka diagnoser som är “intressanta”

Loggranskning vid nödöppning och forcerad spärr

  • Vid nödöppning av annan vårdgivares journal genom sammanhållen journalföring (ospärrade uppgifter).

  • Vid forcering av spärr, oavsett då forcering skett med samtycke eller nödöppning.

Exempel på granskningskriterier från SALA (Systematisk Automatisk Logg Analys)

I detta utbildningsmaterial för SALA så ges ytterligare exempel på olika granskningsförfaranden för TakeCare (bild 19-23): https://alfresco-offentlig.vgregion.se/alfresco/service/vgr/storage/node/content/workspace/SpacesStore/e4bfb070-8003-4315-a52e-92da06e29e91/Åhörarmaterial SALA 191203.pdf?a=false&guest=true

  • Öppnat anställds journal

  • Öppnat egen journal

  • Öppnat journal på patient med avvikande ålder jmf. med enhetens ålderskriterie, om sådant finns

  • Patient med reservnummer

  • Patienten har inte haft kontakt med enheten under de senaste 18 månaderna sedan tidigare kontakt

  • Patienten har haft kontakt på enheten 3-18 månader tillbaka

  • Patienten har inte haft kontakt på spärrgrupp/klinik (vårdenhet?) under de senaste 18 månaderna

  • Patienten har haft kontakt med spärrgrupp/klinik (vårdenhet?) under de senaste 3-18 månaderna

  • Användaren har inte skapat,sparat,signerat eller kontrasignerat dokument på aktuell patient under de senaste 18 månderna

  • osv…

Ineras format för PDL-loggar

Inera har beskrivit loggranskningstjänster i sin referensarkitektur RIV: https://rivta.se/tkview/#/domain/informationsecurity:auditing:log.

Ineras informationsmodell får anses vara en referens på vad en PDL-loggpost bör innehålla i det enklaste fallet.

Ett antal fält refererar till Ineras kodverk, en samlingssida för dem återfinns här: https://inera.atlassian.net/wiki/spaces/KINT/pages/2648506471/Kodverk+och+urval+i+de+nationella+tj+nstekontrakten

Log

Datatyp som representerar en loggpost enligt PDL. Datatypen beskriver grundformatet för en loggpost.

Fältet logId är normalt ett UUID och ska vara globalt unikt.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 <xs:complexType name="LogType"> <xs:annotation> <xs:documentation> Datatyp som representerar en loggpost enligt PDL. Datatypen beskriver grundformatet för en loggpost. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="logId" type="tns:Id"/> <xs:element name="system" type="tns:SystemType"/> <xs:element name="activity" type="tns:ActivityType"/> <xs:element name="user" type="tns:UserType"/> <xs:element name="resources" type="tns:ResourcesType"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

System

Datatyp som representerar ett system i loggposten. Det system som skapar loggposten.

Kommentar: SystemId är ett HSA-ID som logiskt identifierar en vårdapplikation. Det finns här inget som kan härleda loggen tillbaka till en specifik byggsten av en vårdapplikation, exempelvis en specifikt tjänst eller en fysisk server.

1 2 3 4 5 6 7 8 9 10 11 12 <xs:complexType name="SystemType"> <xs:annotation> <xs:documentation> Datatyp som representerar ett system i loggposten. Det system som skapar loggposten. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="systemId" type="tns:HsaId"/> <xs:element name="systemName" type="tns:SystemName" minOccurs="0"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Aktivitet

Datatyp som representerar vilken typ av aktivitet som utförts, på vilken nivå, tidpunkt samt syftet med aktiviteten.

Aktivitet är på en hög nivå, det finns inget i i Ineras datastruktur som gör det möjlighet att härleda en PDL Log till en samling systemloggar som beskriver aktiviteten i källsystemet.

Aktivitetstyp kan vara följande

läsa, skriva, signera, utskrift, vidimera, radera/makulera

Aktuellt kodverk finns här: https://inera.atlassian.net/wiki/download/attachments/3615655/Kodverk inforesursaktivitetstyp.xlsx?version=2&modificationDate=1520940201822&cacheVersion=1&api=v2

Aktivitetsnivå kan vara följande

Övergripande, Övergripande inom resurstyp, Detaljerad

Syfte kan vara följande (motsvarar medarbetareuppdragets syfte)

Vård och behandling, Administration, Kvalitetssäkring, Kvalitetsregister, Annan dokumentation enligt lag, Statistik

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 <xs:complexType name="ActivityType"> <xs:annotation> <xs:documentation> Datatyp som representerar vilken typ av aktivitet som utförts, på vilken nivå, tidpunkt samt syftet med aktiviteten. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="activityType" type="tns:ActivityTypeValue"/> <xs:element name="activityLevel" type="tns:ActivityLevel" minOccurs="0"/> <xs:element name="activityArgs" type="tns:ActivityArgs" minOccurs="0"/> <xs:element name="startDate" type="xs:dateTime"/> <xs:element name="purpose" type="tns:PurposeDescription"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Användare

Datatyp som representerar användaren som utfört aktivitet, tillika ägare av loggpost.

Kommentar: Assignment är namnet på ett medarbetaruppdrag. det finns inget HSA-ID som identifierar det specifika medarbetareuppdraget.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 <xs:complexType name="UserType"> <xs:annotation> <xs:documentation> Datatyp som representerar användaren som utfört aktivitet, tillika ägare av loggpost. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="userId" type="tns:HsaId"/> <xs:element name="name" type="tns:UserName" minOccurs="0"/> <xs:element name="personId" type="tns:IIType" minOccurs="0"/> <xs:element name="assignment" type="tns:Assignment" minOccurs="0"/> <xs:element name="title" type="tns:UserTitle" minOccurs="0"/> <xs:element name="careProvider" type="tns:CareProviderType"/> <xs:element name="careUnit" type="tns:CareUnitType"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Resurs

Datatyp som representerar en resurs i loggposten. Det finns inte heller här utrymme för en referens där man från en PDL-log kan utan manuellt arbete att härleda till en specifik resurs i källsystemet som var aktuell.

Resurstyp

Exempel på resurstyper:

Kod

Beskrivning

Kod

Beskrivning

dia

Inormationsmängd diagnos

dia-dia

Diagnos

dia-dia-kod

Diagnoskod

dia-dia-typ

Diagnostyp

dia-dia-dbe

Diagnosbeskrivning

dia-dia-dbe-kod

Diagnosbeskrivning kod

dia-dia-dbe-txt

Diagnosbeskrivning text

dia-dia-tid

Händelsetidpunkt

pad

Informationsmängd PADL

osv…

 

Finns många fler koder, aktuellt kodverk återfinns här: https://inera.atlassian.net/wiki/download/attachments/3615655/KV Informationstyp2.xlsx?version=1&modificationDate=1616135538325&cacheVersion=1&api=v2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 <xs:complexType name="ResourceType"> <xs:annotation> <xs:documentation> Datatyp som representerar en resurs i loggposten. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="resourceType" type="tns:ResourceTypeValue"/> <xs:element name="patient" type="tns:PatientType" minOccurs="0"/> <xs:element name="careProvider" type="tns:CareProviderType"/> <xs:element name="careUnit" type="tns:CareUnitType" minOccurs="0"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Patient

Datatyp som representerar en patient i en resurs.

IIType beskrivs som att det kan vara olika typer av patient id. Exempelvis personnummer, reservnummer, samordningsnummer, nationellt reservnummer. Flera förekomster av patient id kan inkluderas.

1 2 3 4 5 6 7 8 9 10 11 12 <xs:complexType name="PatientType"> <xs:annotation> <xs:documentation> Datatyp som representerar en patient i en resurs. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="patientId" type="tns:IIType"/> <xs:element name="patientName" type="tns:PatientName" minOccurs="0"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Vårdgivare

Datatyp som representerar en vårdgivare.

1 2 3 4 5 6 7 8 9 10 11 12 <xs:complexType name="CareProviderType"> <xs:annotation> <xs:documentation> Datatyp som representerar en vårdgivare. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="careProviderId" type="tns:HsaId"/> <xs:element name="careProviderName" type="tns:CareProviderName" minOccurs="0"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Vårdenhet

Datatyp som representerar en vårdenhet.

1 2 3 4 5 6 7 8 9 10 11 12 <xs:complexType name="CareUnitType"> <xs:annotation> <xs:documentation> Datatyp som representerar en vårdenhet. </xs:documentation> </xs:annotation> <xs:sequence> <xs:element name="careUnitId" type="tns:HsaId"/> <xs:element name="careUnitName" type="tns:CareUnitName" minOccurs="0"/> <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/> </xs:sequence> </xs:complexType>

Framtida och relaterat arbete

Denna version av implementationsguiden (resultat av fas 1) innehåller ännu inte delar om vårdepisod/vårdprocess/hälsoärende och styrning av åtkomst baserat på det - sådant arbete kommer sannolikt påbörjas i December 2021 (fas 2) och sedan uppdateras denna implementationsguide. En tredja fas

Föra att på ett konsekvent leverantörsoberoende sätt definiera och välja ut uppmärksamhetsinformation och aktuell läkemedelsanvändning (som ofta undantas från spärr) bör gemensam svensk förvaltning av t.ex. en uppsättning AQL-frågor och terminologiurval övervägas. Förslagsvis görs detta som en del av den nationella openEHR-förvaltningen.

En separat framtida implementationsguide för arkivering av journalhandlingar bör skrivas för att underlätta PDLs krav på långsiktigt omhändertagande av journalhandlingar. En sådan guide bör åtminstone visa hur data från openEHR-baserade journalsystem arkiveras enligt svenska krav, men om tid finns får den gärna även visa hur man kan använda openEHR-baserade system och t.ex. Integration Information Model (openehr.org) för att importera/arkivera data på ett sökbart sätt även från system som inte baseras på openEHR.

Under arbetet kom vi (orelaterat till PDL) även på att https://discourse.openehr.org/t/svensk-tillampning-av-setting/1985 behövs.

Avslutning

 

Appendix A: Medverkande och arbetssätt

Arbetssätt

Arbetet initierades från den svenska openEHR-förvaltningen (2021-mm-dd) och har genomförts huvudsakligen via 90-minuters distansmöten på tisdagsförmiddagar.

I en första arbetsfas behandlades det som behövs för att behörighetsstyrning och åtkomst baserat på vårdenhet och vårdgivare (som är det som främst stöds i de flesta av dagens journalsystem). En stor del av detta rörde hur vårdenhet, vårdgivare m.m. lagras och sedan används för filtrering.

Första arbetsfasen innefattade även stöd för att med hjälp av arketyper och AQL definiera och välja ut uppmärksamhetsinformation och aktuell läkemedelsanvändning. Orsaken till detta är att sådan information vanligen ska undantas från spärr och därför behöver kunna särskiljas på ett konsekvent sätt.

Implementerbara och praktiskt användbara definitioner av vårdepisod/vårdprocess/hälsoärende är komplicerade och rekommendationer om vilka av openEHRs mekanismer som kan/bör rekommenderas för PDL-aspekterna av dessa tas/togs upp i andra fasen av författandet.

Rekommendationerna efter första fasen av arbetet baserades på att den nationella spärrtjänsten användes som “system of record” (master) för patientens önskemål angående spärr. En potentiell tredje fas kan omfatta de ytterligare openEHR-strukturer (samtycken, önskemål om spärr m.m.) som behövs om journalsystemet istället ska vara “system of record” (master) för patientens önskemål angående spärr och spegla aktuella önskemål via API till nationella spärrtjänsten.

Att bestämma: Ska loggning in i någon fas?

Nationell arbetsgrupp

Remiss

Appendix B: PDL-intressanta delar i openEHRs specifikationer

Exempel på dokumentation från openEHR-specifikationerna:

 

Appendix C: Saker att ev. arbeta in i andra stycken senare

Stryk vartefter det arbetats in i andra delar. Detta appendix

Exempel på vad en vårdgivare behöver uppfylla i en openEHR-baserad plattformslösning. [Källa: Region Stockholm]

  • Plattformen SKA stödja loggning av åtkomst till patientinformation i enlighet med 4 kap. 3§ Patientdatalag (2008:355)

    • Accessloggning

  • Plattformen SKA stödja patientens val att spärra åtkomst till sin patientinformation i enlighet med 4 kap. 4§ Patientdatalag (2008:355)

    • Spärr, spara spärr

  • Plattformen SKA stödja utvärdering av åtkomst till patientinformation i enlighet med ändamålen i 4 kap. 4§ Patientdatalag (2008:355)

    • Spärr, och utvärdering utifrån verksamhetsuppdrag (t.ex. vård och behandling vs statistik)

  • Plattformen SKA stödja åtkomst till spärrad information (bryta spärr) i enlighet med 4 kap. 5§ Patientdatalag (2008:355)

    • Spärr, bryta spärr

  • Plattformen SKA stödja åtkomstkontroll vid sammanhållen journalföring i enlighet med 6 kap. 2§ Patientdatalag (2008:355)

    • Samtycke

  • Plattformen SKA möjliggöra att patienten motsätter sig överföring av information till kvalitetsregister i enlighet med 7 kap. 2§ Patientdatalag (2008:355)

    • Samtycke

….