Innehåll

Projektinformation

Denna wikisida är avsedd att utgöra grunden till en implementationsguide som beskriver ett rekommenderat sätt att tillämpa den svenska Patientdatalagen (PDL) i openEHR-baserade system på ett gemensamt leverantörsoberoende sätt.

F.n. finns en del info på tillhörande kort i svenska openEHR-förvaltningens kanbantavla.

Status

DEV

Versionshistorik

Bakgrund [REMISSEN BÖRJAR HÄR]

Denna implementationsguide har tagits fram i samarbete mellan flera vårdgivare och systemleverantörer aktiva i Sverige (se appendix). Implementationsguiden syftar till att beskriva hur openEHR kan användas i tillämpningen av Patientdatalagen på ett gemensamt leverantörsoberoende sätt.

Notera att samtliga rekommendationer eller direktiv gäller information som ska utvärderas enligt PDL. Alltså har de inte anpassats till t.ex. information som är uppmätt och registrerad av patienten själv utan initiering från hälso- och sjukvården, eller information inom SoL.

Relaterade dokument

Läs först startsidan “Implementationsguider” som bl.a. beskriver vad dokumentstatus som DEV och rekommendationer som MUST (MÅSTE), MUST NOT (FÅR INTE), SHOULD (BÖR) etc. betyder i praktiken.

Detta dokument hänvisar även på flera ställen till andra implementationsguider:

• implementationsguiden om HSA-identitet och Organisationsnummer samt till olika delar av openEHRs tekniska specifikationer.

• Hälsoärende

• Uppmärksamhetsinformation

• Läkemedelsinfomation (ej påbörjad, därmed ej länkad)

Guiden refererar även till termer och begrepp definierade inom HSA som går att finna vidare information på Öppen info: Katalogtjänst HSA

En introduktion till openEHR finns på https://openehr.org/about/what_is_openehr. SFMIs svenska kurser och presentationer (inklusive videoinspelningar och presentationsbilder) om openEHR finns i form av https://discourse.openehr.org/t/digital-utbildningsserie-om-openehr-nov-2020-jan-2021/1105 och https://discourse.openehr.org/t/openehr-vitalis-2021/1512

Juridiska krav

Patientdatalag, 2008:355 (PDL) reglerar behandling av personuppgifter, journalföring, sekretess samt åtkomst till journalhandlingar i Sverige. Lagen kompletteras av Socialstyrelsens föreskrifter om journalföring och behandling av personuppgifter i hälso- och sjukvård (HSLF-FS 2016:40). De huvudsakliga lagkraven som instruktionen omfattar beskrivs nedan.

Generellt om Journalföring

Bestämmelsen om skyldighet till journalföring innebär att all information som en hälso- och sjukvårdspersonal tillför journalen ska journalföras på den vårdenhet där vården utförs. En användare kan därmed inte journalföra på en annan vårdenhet än där vårdkontakten skett. Vårdgivaren ska säkerställa att åtgärder kan härledas till en användare i informationssystem.

Stark Autentisering

Informationssystem som behandlar personuppgifter har krav på stark autentisering med användning av e-legitimation vid inloggning. Kravet gäller även den enskildes åtkomst till sina journalhandlingar.

Behörighetsstyrning och åtkomst

Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, så kallad inre sekretess. Bestämmelserna innebär i stora drag att journalinformation om en patient ska lagras och vara åtkomlig på tre nivåer där användaren i första hand får åtkomst till information som tillhör den vårdenhet där vårdrelationen finns. Efter aktivt val kan information från annan vårdenhet hos samma vårdgivare göras åtkomlig. Slutligen kan användaren efter ytterligare aktivt val och med patientens samtycke få åtkomst till information, som inte är spärrad, hos annan vårdgivare via regelverket för sammanhållen journalföring. Vårdgivaren ansvarar för att det i loggar framgår vilka åtgärder som har vidtagits med uppgifter om en patient. Ett aktivt val för att få tillgång till uppgifter om en patient är ett exempel på en åtgärd som ska loggas. Åtkomst kan även tilldelas per vårdprocess där information inom en vårdprocess från flera vårdenheter kan ges inom samma vårdgivare utan föregående aktiva val.

Aktiva val enligt PDL

För att kunna utvärdera åtkomster till lagrad information ställs vissa krav på användarens sammanhang (context). En användare MÅSTE relateras till en vårdgivare, en vårdenhet samt ett syfte med behandlingen av uppgifterna (innehållet i medarbetareuppdraget). Utöver dessa uppgifter SKA aktiva val i systemet styra åtkomsten till viss patients information och vilket omfång av patientens information som är tillgängligt.

Bilden ovan visar exempel på ett användargränssnitt för val av informationsomfång finns i https://www.vgregion.se/halsa-och-vard/vardgivarwebben/it/it-system/bfr/informationsvisaren/ (Bildkälla: informationsfilmen “Inloggning och begreppet omfång”)

Det aktiva valet fungerar som en tröskel i systemet där användaren aktivt måste ta ställning till om han eller hon har rätt att ta del av ytterligare uppgifter om patienten.

Handbok vid tillämpningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården: https://www.socialstyrelsen.se/globalassets/sharepoint-dokument/artikelkatalog/handbocker/2017-3-2.pdf

Åtkomstkontroll och logguppföljning – säkerställa att åtkomster är rimliga

Vårdgivare ansvarar för att åtkomster till personuppgifter loggas och att det av loggarna framgår patient, användare som tagit del av uppgifterna, vilka åtgärder som vidtagits, vid vilken tidpunkt samt vårdenhet eller vårdprocess. Vårdgivaren ansvarar även för att systematiska och återkommande stickprovskontroller av loggar genomförs och dokumenteras.

Patientens rätt att se vem som läst sina uppgifter

Vårdgivare är skyldiga att på begäran lämna ut uppgifter om åtkomster till en patients information, där ska det framgå vid vilken tidpunkt, samt från vilken vårdenhet åtkomsten gjorts. Informationen ska vara utformad så att patienten kan bedöma om åtkomsten varit befogad eller inte. 

Patientens möjlighet att begränsa vårdens tillgång till sin information genom spärrar och samtycke

En patient kan motsätta sig att uppgifter om honom eller henne är tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I sådana fall ska uppgiften genast spärras. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. En spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det. Spärren kan också hävas av en annan vårdenhet eller vårdprocess, till exempel akutmottagningen, om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver, så kallad nödöppning.

Systemet ska vara uppbyggt så att behörig användare i steg 1 får tillgång till information om vilken eller vilka vårdenheter eller vårdprocesser som har spärrade uppgifter om patienten. Steg två innebär att behörig användare, genom att denne kan se vid vilken eller vid vilka vårdenheter eller vårdprocesser uppgifter har spärrats, kan bedöma om de spärrade uppgifterna kan antas ha betydelse för vården av patienten. Endast uppgifter som kan antas ha en sådan betydelse får hävas.

Sammanhållen journalföring

Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar. Den sammanhållna journalföringen innebär alltså inte att hälso- och sjukvårdspersonal som arbetar hos en vårdgivare ska föra anteckningar i en annan vårdgivares journalhandlingar. Patienten har rätt att spärra åtkomst för andra vårdgivare. En sådan spärr får endast hävas av patienten själv eller vid en akut nödsituation. Om vårdgivaren bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna.

Kvalitetsregister

Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

Omhändertagande av journalhandlingar

Varje elektronisk journalhandling är knuten till en viss vårdgivare som ansvarar för de handlingar som upprättas eller inkommer i sin verksamhet. Om en verksamhet upphör eller om journal-handlingarna av annan anledning ska omhändertas, ska vårdgivaren se till att verksamhetens patientjournaler tas om hand på ett sådant sätt att obehöriga inte kan få del av uppgifter om patienterna. Det innebär bland annat att vårdgivaren behöver beakta de regler som gäller för att bevara journalhandlingar. Journalhandlingar som efter beslut ska arkiveras ska bevaras minst 10 år.

Begrepp

PDL-illustrationer

Bild från TietoEvry

Bild från slutrapport Patientdatalagen i praktiken (PDLiP) publicerad av Center för eHälsa i samverkan (CEHIS) 6 maj 2011. Finns uppladdad som bilaga till denna implementationsguide.

HSA-ID

HSA-id består av två delar. En del som identifierar utfärdande organisation och en del som identifierar det unika objektet (t.ex. en anställd eller en vårdavdelning). Strukturen för ett HSA-id ser ut på följande sätt: SE<organisationsnummer för utfärdande organisation>-<löpnummer för objekt> Löpnummer kan bestå av både bokstäver och siffror (max 31 tecken totalt). Se implementationsguiden för HSA-identitet och Organisationsnummer för detaljer samt exempeltabellen längre ner i dokumentet, som även innehåller exempel med en enskild näringsidkare som har avtal med region och i samband med det fått ett HSA-id tilldelat därifrån.

Specialfall:

• S.k. “tredjepartsanslutna” små aktörer kan ansluta till HSA via ombud.

• Ibland har en enhet varit både vårdgivare och vårdenhet, vilket inte längre rekommenderas (krångligt vid expansion till fler enheter)

• Det finns även “Privat-Privat” = inga avtal med regioner, de är i dagsläget vanligen inte med i sammanhållen journalföring

• Ett extra lurigt specialfall är privatläkare som har både “privat-privata” patienter och patienter på uppdrag/avtal med region och lagrar data från båda kategorierna i samma system.

Utöver PDL kan dessa attribut behövas vid arkivering. (Standardiserad arkivering kanske blir ämnet för en framtida separat openEHR-implementationsguide).

Lagring av PDL-relaterade grundattribut

Introduktion

En viktig aspekt av att utvärdera åtkomst till patientinformation är att rätt metadata finns sparad i den. Utvärdering av åtkomst utgår från läsarens kontext (varifrån det läses och i vilket syfte) samt patientinformationens kontext (vilken organisation eller process den tillhör). Mer information om regelutvärdering vid åtkomst till patientinformation finns i Ineras dokument Behörighetsmodell för vård och omsorg som nedanstående illustration är hämtad från.

Alla journalanteckningar i openEHR lagras inuti objektstrukturer av typen COMPOSITION. Förenklat kan man se COMPOSITION som en sorts “kuvert” eller dokumenthuvud med kontextuell information. Följande attribut från openEHR är aktuella för att utvärdera åtkomst ur PDL-perspektiv:

• COMPOSITION.context → EVENT_CONTEXT.other_context, konfigurerad med minst två instanser av arketypen Organisation så att “PDL-mässig” vårdenhet och vårdgivare lagras i varsitt attribut (träd). Detta beskrivs mer detaljerat i stycket Fördjupning om Vårdgivare och Vårdenhet nedan.

Den mest specifika enheten där vården bedrivs anges separat och används ofta som information i användargränssnitt:

• COMPOSITION.context → EVENT_CONTEXT.health_care_facility BÖR ange den mest granulära eller exakta (under)enhet/mottagning som är möjlig och lämplig, om sådan finns, annars MÅSTE man åtminstone ange vårdenhet (ur PDL-perspektiv), eftersom innehållet i detta attribut kan förväntas vara det som visas i många användargränsnitt samt används för vissa sorters filtreringar i gränssnitt. Se detaljer i stycket Fördjupning om health_care_facility nedan.

  • Exempel: Distriktssköterskemottagning vid Brandbergens vårdcentral, med HSA-id SE2321000016-14LF

Förväxlingsrisker - Andra relaterade fält i openEHR vars funktion inte används för utvärdering av åtkomst enligt PDL och som inte ska förväxlas med ovanstående är exempelvis:

• COMPOSITION.composer som MÅSTE ange dokumentets författare, som ansvarar för innehållet kliniskt (t.ex. en läkare) och kan vara annan än den den inloggade användare (t.ex. vårdaministratör) som i praktiken faktiskt lagrar det.

• EVENT_CONTEXT.location beskriver en fysisk plats, t.ex. ett visst rum, operationssal - inte en organisatorisk enhet. Detta frivilliga fält FÅR användas och kan vara av intresse exempelvis vid smittspårning eller annan uppföljning, men är alltså inte relevant för åtkomstkontroll enligt PDL.

• Teknisk information: För varje uppdatering av en COMPOSITION som görs MÅSTE info om inloggad användare (vanligen användarnamn) sparas i attributet VERSION.commit_audit → AUDIT_DETAILS.committer

• Elektronisk (kryptografisk) signering av journalanteckning FÅR göras, vid behov, på versionshanterad COMPOSITION-nivå via ORIGINAL_VERSION.attestations som beskrivs i openEHRs “Change Control Package“. I svenska journalsystem görs sällan sådan kryptografisk signering idag, utan snarare signeringsmarkering realiserad via ett ja/nej i en databas.

Diagram och klassbeskrivningar

I nedanstående UML-diagram och klassbeskrivningar är viktiga delar för PDL-hanteringen markerade med gul överstrykning. Hur de används för PDL beskrivs i avsnitten efteråt.

Källa: https://specifications.openehr.org/releases/RM/latest/ehr.html#_ehr_information_model.
Notera att PARTY_IDENTIFIED, PARTY_PROXY och PARTICIPATION detaljeras mer i nästa bild.

Källa: https://specifications.openehr.org/releases/RM/latest/common.html#_common_information_model

Källa: https://specifications.openehr.org/releases/RM/latest/data_types.html#_overview_3

Dokumentation gemensam för flera vårdenheter (eller vårdgivare)

• Normalfall: Originalinformation från olika vårdenheter (och därmed inte heller olika vårdgivare) FÅR INTE journalföras inom ramen för samma COMPOSITION vid ett och samma tillfälle utifall de ur PDL-synpunkt borde ha journalförts hos olika vårdenheter (där vården har utförts). Flera ENTRY-objekt (t.ex. mätvärden och bedömningar) från olika vårdenheter FÅR INTE blandas i samma COMPOSITION-version om de normalt borde ha journalförts (och t.ex. signerats) på olika vårdenheter

  • Orsak: Detta beror på att COMPOSITION i denna implementationsguide används som en lägsta nivå för lagring av PDL-relaterade attribut och för utvärdering av åtkomst enligt PDL

• Specialfall: I användningsfall där personal från flera vårdenheter naturligt dokumenterar gemensamt (t.ex. under en multidisciplinär konferens, eller i gemensamma dokument om boendesituation, uppmärksamhetsinformation etc.) så MÅSTE detta lösas på ett sätt så att informationsägandet och ansvaret kan spåras. Exempel:

  1. Multidisciplinär konferens med flera dokument från olika källor: Låt varje ingående dokument lagras och uppdateras av respektive vårdenhet och håll ihop dem med andra konstruktioner som en gemensam FOLDER eller med länkar (LINK) från ett samlingsdokument. Alternativt, håll ihop dokumenten genom att markera dem som tillhörande samma vårdepisod/vårdprocess/hälsoärende. (Vårdepisod etc. utreds i implementationsguiden Sammanhållen information från vårdprocesser i openEHR (arbetsmaterial).)

  2. Multidisciplinär konferens med ett gemensamt dokument där flera kan skriva samtidigt: Låt en vårdenhet vara huvudansvarig för anteckningen och lagra ner den enheten som skapare ur PDL-synpunkt. För att ange informationskällor till olika delar av det gemensamma dokumentet kan
     fältet provider i ENTRY-klassen användas, dessa “provider”-fält kommer dock ej användas för att utvärdera åtkomst enligt PDL. Se till att andra enheter som behöver se informationen kan göra det, genom sammanhållen journalföring eller aktiva val inom egna vårdgivaren.

  3. Ett gemensamt dokument (t.ex. om boendesituation eller uppmärksamhetsinformation) som över tid (men inte samtidigt) uppdateras av personal från flera vårdenheter: Att utreda: Beroende på det gemensamma dokumentets syfte och hur vårdgivaren har strukturerat sina vårdenheter och deras gemensamma dokument kan olika lösningar tänkas avseende dokumentets ägare ur PDL-perspektiv. Det är inte nödvändigtvis alltid lämpligt att automatiskt ändra det delade dokumentets informationsägare (vårdenhet & vårdgivare) till den som senast uppdaterade/sparade det.
     Stark rekommendation: Användargränssnitt som visar information från gemensamma dokument BÖR (om information finns) visa ATT det finns information från andra vårdenheter (och vårdgivare?) för denna informationsdelmängd (t.ex. boendesituation) även om ingen aktivt val har gjorts. Det BÖR i gränssnittet sedan vara mycket enkelt att göra ett aktivt som visar denna information även från andra vårdenheter eller vårdgivare. Patientsäkerhetsperspektivet bör väga tyngst.

• Remiss som skickas mellan vårdenheter eller vårdgivare: Utgående remiss (t.ex. baserad på COMPOSITION-arketypen Request for service innehållande INSTRUCTION-arketypen Service request) BÖR ägas av avsändaren. Mottagaren BÖR implicit ges tillstånd att läsa. Om mottagaren gör en kopia av inkommande remissinnehåll i sitt eget system ägs denna innehållskopia av mottagare. På motsvarande sätt BÖR remissvaret ägas av den som genomför testet/tjänsten (t.ex. labbet) och ett riktat utlämnande BÖR göras till remittenten (som FÅR välja att skapa en kopia av informationsinnehållet i sitt eget system och då äger kopian).

Fördjupning om health_care_facility

• Som nämndes tidigare sparas den mest specifika enheten där vården bedrivs under COMPOSITION.context → EVENT_CONTEXT.health_care_facility. Detta attribut är av typen PARTY_IDENTIFIED, se föregående UML-diagram, för detta gäller:

  • Normalfall: En identifierare för den mest specifika enheten MÅSTE anges som ett element i listan PARTY_IDENTIFIED.identifiers, som är en lista med objekt av typen DV_IDENTIFIER (se bild med tabell ovan) i enlighet med Implementationsguide för HSA-id och Organisationsnummer. Om enheten har ett eget HSA-id MÅSTE detta anges som en av identifierarna. Om HSA-id saknas för den egna enheten eller vårdenhet som den ingår i, men ändå ett organisationsnummer finns så MÅSTE organisationsnummer anges som en av identifierarna (se specialfall nedan)
    Detta krav kan komma att breddas i senare version med instruktioner om internationella vårdgivare etc.

  • Specialfall: Undantaget är de fall (t.ex. vissa riktigt små verksamheter) som inte har HSA-idn eller vårdavdelningar, i det fallet FÅR den minsta enheten vara själva Vårdgivaren, i dessa fall MÅSTE istället vårdgivarens organisationsnummer finnas i PARTY_IDENTIFIED.identifiers i enlighet med Implementationsguide för HSA-id och Organisationsnummer

  • Fler identifierare för den mest specifika enheten FÅR anges vid behov i listan med DV_IDENTIFIER-objekt.

  • Namnet på enheten FÅR anges via EVENT_CONTEXT.health_care_facility → PARTY_IDENTIFIED.name

    • Om namn på enhet anges så MÅSTE det vara det namn som gällde på enheten vid händelsen som föranledde dokumentet (det ska alltså inte uppdateras i den redan sparade journalanteckingen om enheten senare byter namn)

    • Ett alternativ till att spara information om namn på enheten är att slå upp det i en versionshanterad katalogtjänst som kan ange dåvarande (och kanske även nuvarande) namn på enheten.

    • Eftersom health_care_facility ofta används som läsbart namn i användargränssnitt rekommenderar vi att mer information än den mest specifika enhetens interna katalognamn anges utifall detta är otydligt. Om det t.ex. står bara "Distriktssköterskemottagning" i HSA-katalogen så rekommenderar vi något mer beskrivande (t.ex. ett mer mänskligt läsbart alias) som "Distriktssköterskemottagning, Brandbergens vårdcentral".

Fördjupning om Vårdgivare och Vårdenhet

Det MÅSTE gå att ta reda på hos vilken Vårdenhet och Vårdgivare en COMPOSITION skapades (avseende PDL-tillämpning). Implementationsguiden styr/begränsar inte hur Vårdenhet och Vårdgivare enligt HSA sparas och tillämpas inuti ett enskilt openEHR-baserat system utan beskriver istället via vilka logiska sökvägar i en COMPOSITION informationen om vårdgivare/vårdenhet MÅSTE kunna nås om den exporteras (t.ex. bulkexport vid systembyte eller arkivering) eller om den exponeras via API till externa system (t.ex. via anropen /ehr/{ehr_id}/composition eller /query/... i openEHRs officiella REST-API. Internt FÅR detta tekniskt lösas på valfritt sätt, exempelvis genom att:

• spara aktuell vårdgivare och vårdenhet vid lagringstillfället explicit i varje COMPOSITION.context → EVENT_CONTEXT.other_context, konfigurerad med två nästlade instanser av arketypen Organisation på sättet som detaljeras nedan

• eller genom att teknsikt/fysiskt bara spara COMPOSITION.context → EVENT_CONTEXT.health_care_facility och utifrån detta vid behov (t.ex. vid export eller extern API-exponering) slå upp vårdgivare och vårdenhet i en versionshanterad katalog och sedan (t.ex. via en fasad) exponera/exportera detta på sättet som detaljeras nedan

På liknande sätt kan vårdgivarens och vårdenhetens namn tekniskt sett slås upp i en versionshanterad katalog (istället för att lagras) om den som designar systemet så önskar, men vid data export samt exponering via API MÅSTE namnen kunna nås via de nedan beskrivna logiska sökvägarna.

När Vårdenhet och Vårdgivare i en COMPOSITION exponeras/exporteras så MÅSTE informationen logiskt sett ligga i nästlade instanser av arketypen openEHR-EHR-CLUSTER.organisation.v0 som läggs under attributet i COMPOSITION.context → EVENT_CONTEXT.other_context. Vid tidpunkten för skapande av denna implementationsguide så pågår internationell review av organisation-arketypen, men den anses vara lämplig för det här användningsfallet. Den senaste svenska översättningen ligger i en “branch” på https://ckm.openehr.org/ckm/archetypes/1013.1.6158

Organisation-arketypen används dels för vårdenhet och dels en gång till nästlad inuti vårdenheten under attributet “Överordnad organisation” för att även beskriva vårdgivaren, se bild nedan.

Vårdenhet

• Vårdenhetens identifierare: Om vårdenheten har ett HSA-id MÅSTE detta anges som en av identifierarna på sökvägen openEHR-EHR-CLUSTER.organisation.v0/items[at0003] Identifier (Identifierare) i enlighet med Implementationsguide för HSA-id och Organisationsnummer. Själva HSA-idt för vårdenheten, t.ex.  SE2321000040-4JVV för Medicinska specialistkliniken, läggs vid användning i system i referensmodellens attribut DV_IDENTIFIER.id (som inte syns i skärmbilden nedan).

  

  Om HSA-id för vårdenheten saknas så MÅSTE vårdenheten kunna identifieras med en (globalt?) unik beständig identifierare (på sökvägen angiven ovan) och även DV_IDENTIFIER.type MÅSTE anges (alltså inte vara tom) samt vara skild från identitetstypen som anges för HSA-id i Implementationsguide för HSA-id och Organisationsnummer.
  Exempel baserat på HSA ID för Täby Vårdcentral:
  - DV_IDENTIFIER.type = urn:oid:1.2.752.29.4.19
  - DV_IDENTIFIER.id = SE2321000016-150H
  Exempel baserat på URI för en (påhittad) privat-klinik
  - DV_IDENTIFIER.type = ???
  - DV_IDENTIFIER.id = http://id.dinplastik.se/ansiktsavdelningen
  Om det finns flera vårdenheter hos hos vårdgivaren så måste vårdenheterna alltså identifieras på ett sätt som gör att de kan skiljas åt.
  Detta krav kan komma att breddas i senare version med instruktioner om internationella vårdgivare etc.

• Vårdenhetens namn (vid dokumentationstillfället), t.ex. Region Östergötland, MÅSTE anges i openEHR-EHR-CLUSTER.organisation.v0/items[at0001] Name (Namn) i fältet DV_TEXT.value (eftersom arketypen i dagsläget kräver detta), själva PDL-utvärderingen baseras dock endast på identifieraren, inte namnet.

  

• Att det är just rollen vårdenhet som avses MÅSTE visas genom att via sökvägen openEHR-EHR-CLUSTER.organisation.v0/items[at0004] Role (Roll)

  

  Role (Roll) är av typen DV_CODED_TEXT, följande gäller dess attribut

  • DV_CODED_TEXT.defining_code.code_string MÅSTE sättas till 43741000 (Snomed CT begrepps-id för rollen vårdenhet)

  • DV_CODED_TEXT.defining_code.terminology_id MÅSTE sättas till …http://snomed.info/sct/900000000000207008, dvs SNOMED CT international edition (core module)

  • DV_CODED_TEXT.value BÖR sättas till Vårdenhet i en svenskspråkig journalanteckning, men FÅR INTE användas som bas för utvärdering av åtkomst enligt PDL (använd Snomed CT begrepps-id istället)

Vårdgivare

• Vårdgivarens identifierare: Vårdgivare MÅSTE identifieras med Organisationsnummer på sökvägen openEHR-EHR-CLUSTER.organisation.v0/items[at0003] Identifier (Identifierare) i enlighet med Implementationsguide för HSA-id och Organisationsnummer. Själva organisationsnumret, t.ex. 232100-0040 för Region Östergötland, läggs då vid användning i fältet DV_IDENTIFIER.id (som inte syns i template-skärmbilden nedan).
  Detta krav kan komma att breddas i senare version med instruktioner om internationella vårdgivare etc.
  

  

• Vårdgivarens HSA-id eller andra relevanta identifierare BÖR också anges som ytterligare identifierare (utöver det obligatoriska organisationsnumret beskrivet ovan) på sökvägen openEHR-EHR-CLUSTER.organisation.v0/items[at0003] Identifier (Identifierare)

• Vårdgivarens namn (vid dokumentationstillfället), t.ex. Region Östergötland, MÅSTE anges i openEHR-EHR-CLUSTER.organisation.v0/items[at0001] Name (Namn) i fältet DV_TEXT.value (eftersom arketypen i dagsläget kräver detta), själva PDL-utvärderingen MÅSTE dock baseras endast på identifieraren, inte på namnet.

  

• Att det är just rollen vårdgivare som avses MÅSTE visas genom att via sökvägen openEHR-EHR-CLUSTER.organisation.v0/items[at0004] Role (Roll),

  

  Role (Roll) är av typen DV_CODED_TEXT, följande gäller dess attribut

  • DV_CODED_TEXT.defining_code.code_string MÅSTE sättas till 143591000052106 (Snomed CT begrepps-id för rollen vårdgivare)

  • DV_CODED_TEXT.defining_code.terminology_id MÅSTE sättas till http://snomed.info/sct/45991000052106 dvs SNOMED CT Sweden NRC maintained module

  • DV_CODED_TEXT.value BÖR sättas till Vårdgivare i en svenskspråkig journalanteckning, men FÅR INTE användas som bas för utvärdering av åtkomst enligt PDL.

Exempel på grundattribut och mallar/templates

Exempelmallar (templates) finns i https://github.com/modellbibliotek/Arbetsyta-openEHR/tree/master/local i form av filerna

• care_unit.t.json - En “cluster”-template för Vårdenhet inklusive Vårdgivare som “Parent organisation”, baserad på två nästlade instanser av arketypen “Organisation”)

• PDL-test-1.t.json - Ett sammansatt litet exempel med en “composition“-arketyp för pulsmätning som även inkluderar ovanstående “care_unit.t.json”-template)

Värden från tabellen nedan används i efterföljande exempel. Kursiverade uppgifter i tabellen är påhittade.

Exemplet nedan är i ett av openEHRs förenklade format: structSDT genererat via EhrScape https://www.ehrscape.com/api-explorer.htmlBehöver uppdateras om strukturändringsförslaget 2022-02-08 genomförs

{
  "pdl-test-1": {
    "_uid": [
      "e34ef1a9-7994-48cd-b1e5-d7481648b8e8::stockholm.ehrscape.com::1"
    ],
    "language": [
      {
        "|code": "en",
        "|terminology": "ISO_639-1"
      }
    ],
    "territory": [
      {
        "|code": "en",
        "|terminology": "ISO_3166-1"
      }
    ],
    "context": [
      {
        "care_provider": [
          {
            "name": [
              "Stockholms läns sjukvårdsområde"
            ],
            "identifier": [
              {
                "|id": "232100-0016",
                "|type": "urn:oid:2.5.4.97"
              }
            ],
            "role": [
              {
                "|code": "1.2.752.29.6.10",
                "|value": "Vårdgivare",
                "|terminology": "urn:oid"
              }
            ]
          }
        ],
        "care_provider_subunit": [
          {
            "name": [
              "Brandbergens vårdcentral"
            ],
            "identifier": [
              {
                "|id": "SE2321000016-1003",
                "|type": "urn:oid:1.2.752.29.4.19"
              }
            ],
            "role": [
              {
                "|code": "1.2.752.29.6.13",
                "|value": "Vårdenhet",
                "|terminology": "urn:oid"
              }
            ]
          }
        ],
        "start_time": [
          "2021-12-21T01:19:46.693335+01:00"
        ],
        "setting": [
          {
            "|code": "238",
            "|value": "other care",
            "|terminology": "openehr"
          }
        ]
      }
    ],
    "pulse_heart_beat": [
      {
        "any_event": [
          {
            "rate": [
              {
                "|magnitude": 99,
                "|unit": "/min"
              }
            ],
            "time": [
              "2021-12-21T01:19:46.693335+01:00"
            ]
          }
        ],
        "method": [
          {
            "|code": "at1033",
            "|value": "Auscultation",
            "|terminology": "local"
          }
        ],
        "body_site": [
          {
            "|code": "at1038",
            "|value": "Radial Artery - Left",
            "|terminology": "local"
          }
        ],
        "language": [
          {
            "|code": "en",
            "|terminology": "ISO_639-1"
          }
        ],
        "encoding": [
          {
            "|code": "UTF-8",
            "|terminology": "IANA_character-sets"
          }
        ]
      }
    ],
    "category": [
      {
        "|code": "433",
        "|value": "event",
        "|terminology": "openehr"
      }
    ],
    "composer": [
      {
        "|name": "regionstockholm"
      }
    ]
  },
  "ctx": {
    "generic_fields": {}
  }
}

Exemplet nedan är ett manuellt redigerat (ofärdigt och overiferat) exempel som avser visa mer om composer, health_care_facility, participation samt en vårdgivare som angett ett extra HSA-id utöver det obligatoriska organisationsnumret.

Behöver uppdateras om strukturändringsförslaget 2022-02-08 genomförs

{
  "ctx/language": "sv",
  "ctx/territory": "SE",
  "ctx/composer_name": "Namy Nursington", 
  [TODO: +ID?]
  "ctx/id_namespace": "HOSPITAL-NS",
  "ctx/id_scheme": "HOSPITAL-NS",
  "ctx/participation_name": "Urban Uskman",
  [TODO: +ID?]
  "ctx/participation_function": "performer",
  "ctx/participation_mode": "face-to-face communication",
  "ctx/participation_id": "198",
  "ctx/health_care_facility|name": "Distriktssköterskemottagning, Brandbergens vårdcentral",
  "ctx/health_care_facility|id": "SE2321000016-14LF",
  "pdl-test-1": {
    "context": [
      {
        "care_provider": [
          {
            "name": [
              "Stockholms läns sjukvårdsområde"
            ],
            "identifier": [
              {
                "|id": "232100-0016",
                "|type": "urn:oid:2.5.4.97"
              }
              {
                "|id": "SE2321000016-2GJS",
                "|type": "urn:oid:1.2.752.29.4.19"
              }         
            ],
            "role": [
              {
                "|code": "urn:oid:1.2.752.29.6.10",
                "|value": "Vårdgivare"
              }
            ]
          }
        ],
        "care_provider_subunit": [
          {
            "name": [
              "Brandbergens vårdcentral"
            ],
            "identifier": [
              {
                "|id": "SE2321000016-1003",
                "|type": "urn:oid:1.2.752.29.4.19"
              }
            ],
            "role": [
              {
                "|code": "1.2.752.29.6.13",
                "|value": "Vårdenhet"
              }
            ]
          }
        ]
      }
    ],
    "pulse_heart_beat": [
      {
        "any_event": [
          {
            "rate": [
              {
                "|magnitude": 112,
                "|unit": "/min"
              }
            ]
          }
        ],
        "method": [
          {
            "|code": "at1032"
          }
        ],
        "body_site": [
          {
            "|code": "at1038"
          }
        ]
      }
    ]
  }
}

Filtrering och utvärdering baserat på lagrade grundattribut och spärrar

Bakgrundsmaterial från Inera om spärrtjänster: “SAD - Spärr” samt “Användarhandbok Spärradministration”.

Tabellen nedan och dess ID/radnummer används för att klargöra de omfång som olika AQL-frågor gäller. (Se bakgrundskapitlet för mer information om omfång och spärrar.)

AQL-fråga och svar behöver uppdateras om strukturändringsförslaget 2022-02-08 genomförs

Sammanhang och förutsättningar

• samtycke/nödsituation finns om frågan gäller att läsa innehåll i jourjalanteckning ELLER

• systemet vill lista antal dokument på en vårdenhet/vårdgivare om frågan gäller att kolla förekomst eller räkna (ospärrade) anteckningar

Vi beskiver inte engegemansindex här… utan tittar främst på en enskild CDR (jfr VGRs bild och funktion) där det kan finnas data från flera vårdgivare (dock sannolikt långt ifrån alla som har info om denna patient)

Spärrtjänst anropas - det man får som svar är en lista på HSAIDn som representerar spärrade enheter och vårdgivare samt typ av spärr (inre resp yttre spärr)

Värdemängd för BlockTypeType

Den inre spärren (för en vårdenhet) blir automatiskt även en yttre spärr

https://rivta.se/tkview/#/domain/informationsecurity:authorization:blocking

Konstruera lista till AQL-filtrering och till GUI som listar spärrlista

• Vårdgivare 1 AND (ev inkluderade vårdenheter hos vg1 BUT NOT exkluderade vårdenheter hos vg1 )

• OR

• Vårdgivare 2 AND (ev inkluderade vårdenhet hos vg2 BUT NOT exkluderade vårdenheter hos vg2)

Nedanstående exempel på AQL-sökfråga söker fram alla pulsmätningar som passerar tillgångsfiltreringen baserad på vårdgivare eller vårdenhet.

Förprocessning

Spärrtjänsten returnerar (informationCareUnitId, informationCareProviderId, blockType)

Förprocessning av svar från spärrttjänsten krävs för att välja ut vilka enheter i denna CDR som är spärrade

Variabler/variabellistor som kommer ut ur förprocessning

• care_unit_of_user - HSA-ID

• care_provider_of_user - Organisationsnummer

• Lista: externally_blocked_care_providers* används för processning av yttre spärrar av hel vårdgivare.

• Lista: blocked_care_units används för inre (och automatiskt även yttre) spärrar av enskilda vårdenheter.

Notera att varken care_unit_of_user eller care_provider_of_user får finnas i spärrlistorna efter förprocessningen, om de är listade av spärrtjänsten måste de alltså tas bort ur listan innan den infogas i AQL-frågan.

*) omvandlad till organisationsnummer (kan ha varit HSA-ID som input från tjänsten)

En öppen fråga som letar pulsmätningar över 10 slag/minut utan PDL-koll alls, visar den totala mängden matchande exempel i testdatabasen:

Om patienten inte har några spärrar alls så motsvarar detta fall 02, där allt hos vårdgivaren “Stockholms läns sjukvårdsområde“ listas:

SELECT obs/data[at0002]/events[at0003]/data[at0001]/items[at0004]/value/magnitude AS pulse_rate,
       cu/items[at0001]/value AS cu_name,
       cu/items[at0003]/value AS cu_id,
       cu/items[at0004]/value/defining_code/code_string AS cu_role,
       cp/items[at0001]/value AS cp_name,
       cp/items[at0003]/value AS cp_id,
       cp/items[at0004]/value/defining_code/code_string AS cp_role
FROM EHR e
CONTAINS COMPOSITION c[openEHR-EHR-COMPOSITION.encounter.v1] 
    CONTAINS (
        OBSERVATION obs[openEHR-EHR-OBSERVATION.pulse.v2] -- exempel på klinisk data
        AND
        CLUSTER cu[openEHR-EHR-CLUSTER.organisation.v0]  -- Vårdenhet (cu)
            CONTAINS CLUSTER cp[openEHR-EHR-CLUSTER.organisation.v0] -- vårdgivare (cp) nästlad som "parent organisation"
    ) 
WHERE   pulse_rate > 10 --  exempel på kliniskt villkor för dataurval
        AND
        (cp_role = "143591000052106" AND cp/items[at0003]/value/id = "232100-0016" ) -- vårdgivarfilter
OFFSET 0 LIMIT 10

Vilket ger nedanstående svar, där vi även har valt detaljerad vy i frågeverktygets gränssnitt för att även visa identifierarnes typ:

Fall 00: …och om “vårdenhetsfiltret” också läggs till och sätts till “Brandbergens vårdcentral“ så ser “WHERE” delen av frågan ut så här…

WHERE pulse_rate > 10 --  exempel på kliniskt villkor för dataurval
       AND
      (cp_role = "143591000052106" AND cp/items[at0003]/value/id = "232100-0016" ) -- vårdgivarfilter
       AND
      (cu_role = "43741000" AND cu/items[at0003]/value/id = "SE2321000016-1003" ) -- vårdenhetsfilter

…vilket ger följande urval:

och samma resultat i verktygets “raw”-format

[
    {
        "pulse_rate": 93,
        "cu_name": {
            "@class": "DV_TEXT",
            "value": "Brandbergens vårdcentral"
        },
        "cu_id": {
            "@class": "DV_IDENTIFIER",
            "id": "SE2321000016-1003",
            "type": "urn:oid:1.2.752.29.4.19"
        },
        "cu_role": "43741000",
        "cp_name": {
            "@class": "DV_TEXT",
            "value": "Stockholms läns sjukvårdsområde"
        },
        "cp_id": {
            "@class": "DV_IDENTIFIER",
            "id": "232100-0016",
            "type": "urn:oid:2.5.4.97"
        },
        "cp_role": "143591000052106"
    },
    {
        "pulse_rate": 94,
        "cu_name": {
            "@class": "DV_TEXT",
            "value": "Brandbergens vårdcentral"
        },
        "cu_id": {
            "@class": "DV_IDENTIFIER",
            "id": "SE2321000016-1003",
            "type": "urn:oid:1.2.752.29.4.19"
        },
        "cu_role": "43741000",
        "cp_name": {
            "@class": "DV_TEXT",
            "value": "Stockholms läns sjukvårdsområde"
        },
        "cp_id": {
            "@class": "DV_IDENTIFIER",
            "id": "232100-0016",
            "type": "urn:oid:2.5.4.97"
        },
        "cp_role": "143591000052106"
    }
]

Spärr, hävande av spärr och undantag

…

Information som är olämplig att spärra

Att en patient är allergisk mot något eller tar vissa mediciner är viktigt för hälso- och sjukvårdspersonal som vårdar en patient som inte kan göra sig förstådd (t.ex. är medvetslös). Spärr av sådan information kan i värsta fall leda till skada eller död i en akut situation. För att förhindra detta finns en möjlighet att undanta läkemedels- och uppmärksamhetsinformation från spärr i den nationella spärrtjänsten. Patienten ges därför möjlighet att välja om spärr ska omfatta även läkemedel och/eller uppmärksamhetsinformation. För att kunna genomföra sådana kategori-baserade val i praktiken behöver någon (Systemägare? Leverantör?) definiera vilken typ av information som räknas in i kategorierna. Detta ligger rutan för PDL-implementationsguidens avgränsningar och behandlas i separata implementationsguider:

• Läkemedelsinformation i openEHR

• Uppmärksamhetsinformation i openEHR .

Spärr-baserad filtrering implementerad med AQL

Om vi söker med på hela vårdgivaren “Stockholms läns sjukvårdsområde“ men en lista med spärrade vårdenheter (beroendekliniken och gyn) också anges så ser “WHERE” delen av frågan ut så här…

WHERE pulse_rate > 10 --  exempel på kliniskt villkor för dataurval
       AND
      (cp_role = "143591000052106" AND cp/items[at0003]/value/id = "232100-0016" ) -- vårdgivarfilter
       AND
      (cu_role = "43741000" AND NOT cu/items[at0003]/value/id matches {'SE2321000016-15FL', 'SE2321000016-1K54'} ) -- spärrlista vårdenheter

…vilket ger följande urval:

Vid sammanhållen journalföring (alltså alla samverkande vårdgivare) och samma spärrlista så ser “WHERE” delen av frågan ut så här…

WHERE pulse_rate > 10 --  exempel på kliniskt villkor för dataurval
       AND
      (cu_role = "43741000" AND NOT cu/items[at0003]/value/id matches {'SE2321000016-15FL', 'SE2321000016-1K54'} ) -- spärrlista vårdenheter

…vilket ger följande urval:

Vid sammanhållen journalföring (alltså alla samverkande vårdgivare) och en kombination av spärrlistor för

• Vårdenheter: Beroendekliniken +Gyn

• Vårdgivare: Annas Mddicinska Fotvård + Danderyds Sjukhus

så ser “WHERE” delen av frågan ut så här…

WHERE   pulse_rate > 10 --  exempel på kliniskt villkor för dataurval
        AND
        (cu_role = "43741000" AND NOT cu/items[at0003]/value/id matches {'SE2321000016-15FL', 'SE2321000016-1K54'} ) -- spärrlista vårdenheter
        AND
        (cp_role = "143591000052106" AND NOT cp/items[at0003]/value/id matches {'790127-1111', '556575-6169'} ) -- spärrlista vårdgivare

TODO: visa med variabler och lagrade frågor och REST-API

Logguppföljning

Åtkomstkontrollerna ska göras systematisk och återkommande (4 kap. 3 § PDL). Hur ofta det behöver göras kan exempelvis bero på verksamhetens omfattning, antalet personer med åtkomst, hur behörigheterna delas ut och hur omfattande kontrollerna är. Det är nödvändigt att kontrollerna görs regelbundet och omfattar en så hög andel av logghändelserna att det blir en effektiv kontroll.

(ovan från: https://www.socialstyrelsen.se/regler-och-riktlinjer/foreskrifter-och-allmanna-rad/konsoliderade-foreskrifter/201640-om-journalforing-och-behandling-av-personuppgifter-i-halso--och-sjukvarden/ )

Metod

I en instruktion för vart i informationsmodellen information tillhörande en PDL-loggpost inhämtas i OpenEHR’s informationsmodell så bör loggranskarens uppgift och vilka analyser denne väntas utföra tas i beaktning.

Därtill är finns Ineras redan definierade informationsmodeller i RIV (regelverk för interoperabilitet inom vård och omsorg, rivta.se). Det är vanligt krav på ineteroperabilitet med RIV tjänstekontrakt ställs vid upphandlingar av IT-stöd i det offentliga vård-Sverige.

Dessa är de två perspektiv som beskrivs nedan.

OBSERVATION:

1. Det ser ut att finnas ett antagande att utifrån en eller flera PDL-loggposter kunna göra åtminstone de initiala analyser som lagen kräver, utan att behöva gå in i källsystemet. Ineras beskrivning av loggpost medger inte härledning tillbaka till källinformationen. Det som anges är tidpunkt, aktivitet, resurstyp medarbetarens och patientens identitet. Spårbarhet tillbaka till källinformationen kräver manuellt arbete och därtill vara svår att fastställa.

2. Förväntan på analyser som ska genomföras vid loggranskning kräver ingående kunskap om och direkt närhet till den aktuella verksamheten. Granskning av loggposter för PDL i med hjälp av Ineras loggtjänst kräver ytterligare informationsinhämtning enl resonemang punkt 1.

ATT UTREDA:

1. Kan loggar beskrivet för OpenEHR uppfylla de krav som ställs för att kunna loggranska PDL enl. lag?

   1. Kan dessa loggar användas oförändrat för loggranskning för PDL (se exempel på kriterier för analys nedan)?

2. Går det med OpenEHR loggar skapa upp PDL loggposter enl. Ineras RIV anvisningar?

   1. Behöver PDL-loggar enl. Ineras datadefinition skapas utifrån en samling mer detaljerade loggar från OpenEHR?

   2. Går det att skapa instruktioner för hur översättning av kodverk för Aktivitetstyp, Aktivitetsnivå och Resurstyp ska ske till aktiviteter och informationsmängder i OpenEHR?

   3. OM det är önskvärt att kunna gå från en PDL logg och spåra relevanta OpenEHR loggar, vilka rekommendation ska ges?

VGR Rutin för loggranskning SU

Nedan texter från VGR får agera exempel som beskriver vad en loggranskning kan innebära.

Texterna är hämtade från: https://alfresco.vgregion.se/alfresco/service/vgr/storage/node/content/8947/Loggranskning.pdf?a=false&guest=true

Behörighet

Den som har rätt att utdela behörighet har även en skyldighet att granska loggen. Respektive verksamhetschef ansvarar för granskningen av loggen för sina medarbetare. I de fall då verksamhetschef väljer att delegera handläggningen av loggranskning till annan medarbetare ska delegeringen vara dokumenteras.

Kontroll vid misstanke

Om det finns misstanke om missbruk av behörigheten till patientuppgifter ska en loggranskning genomföras. Det kan också finnas skäl att göra en granskning av loggen för en speciellt sekretess- känslig patient eller vårdtillfälle.

Loggranskning

• särskild händelse

• lokalt känd patient

• specifik diagnos

• vård av patient med skyddade personuppgifter

• på initiativ av patient

Vid tolkning av en logg ska följande beaktas:

• Patientrelation/uppdrag. Har patienten vårdats på aktuell enhet?

• Vilka arbetsuppgifter har medarbetaren? Är det rimligt att medarbetaren har tittat på journaler vid dessa tidpunkter?

• Finns ett namn med i loggen som kan vara av speciellt intresse, t.ex. en känd person?

• Tidpunkter, avvikande klockslag, utanför enhetens öppethållande, utanför personalens schema.

• Namn/släktskap i loggen. Åtkomst som indikerar privat samhörighet istället för patientrelation i en annan relation än vård och behandling, t.ex. anhörig, arbetskamrat eller före detta arbetskamrat

• Patient med diagnos som kan väcka särskilt intresse.

Kommentar: Här ges exempel där ytterligare informationsmängder utöver det som finns i loggposten behövs för att tolka loggposten, det kan handla om:

• Tidigare vårdkontakter

• Legitimation på medarbetaren

• Schemaläggning

• Öppettider för vårdenhet

• Information om familjerelation mellan två individer

• Kodverk för diagnoser och regler för vilka diagnoser som är “intressanta”

Loggranskning vid nödöppning och forcerad spärr

• Vid nödöppning av annan vårdgivares journal genom sammanhållen journalföring (ospärrade uppgifter).

• Vid forcering av spärr, oavsett då forcering skett med samtycke eller nödöppning.

Exempel på granskningskriterier från SALA (Systematisk Automatisk Logg Analys)

I detta utbildningsmaterial för SALA så ges ytterligare exempel på olika granskningsförfaranden för TakeCare (bild 19-23): https://alfresco-offentlig.vgregion.se/alfresco/service/vgr/storage/node/content/workspace/SpacesStore/e4bfb070-8003-4315-a52e-92da06e29e91/Åhörarmaterial SALA 191203.pdf?a=false&guest=true

• Öppnat anställds journal

• Öppnat egen journal

• Öppnat journal på patient med avvikande ålder jmf. med enhetens ålderskriterie, om sådant finns

• Patient med reservnummer

• Patienten har inte haft kontakt med enheten under de senaste 18 månaderna sedan tidigare kontakt

• Patienten har haft kontakt på enheten 3-18 månader tillbaka

• Patienten har inte haft kontakt på spärrgrupp/klinik (vårdenhet?) under de senaste 18 månaderna

• Patienten har haft kontakt med spärrgrupp/klinik (vårdenhet?) under de senaste 3-18 månaderna

• Användaren har inte skapat, sparat, signerat eller kontrasignerat dokument på aktuell patient under de senaste 18 månaderna

• osv…

Ineras format för PDL-loggar

Inera har beskrivit loggranskningstjänster i sin referensarkitektur RIV: https://rivta.se/tkview/#/domain/informationsecurity:auditing:log.

Ineras informationsmodell får anses vara en referens på vad en PDL-loggpost bör innehålla i det enklaste fallet.

Ett antal fält refererar till Ineras kodverk, en samlingssida för dem återfinns här: https://inera.atlassian.net/wiki/spaces/KINT/pages/2648506471/Kodverk+och+urval+i+de+nationella+tj+nstekontrakten

Log

Datatyp som representerar en loggpost enligt PDL. Datatypen beskriver grundformatet för en loggpost.

Fältet logId är normalt ett UUID och ska vara globalt unikt.

<xs:complexType name="LogType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar en loggpost enligt PDL. Datatypen beskriver grundformatet för en loggpost.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="logId" type="tns:Id"/>
            <xs:element name="system" type="tns:SystemType"/>
            <xs:element name="activity" type="tns:ActivityType"/>
            <xs:element name="user" type="tns:UserType"/>
            <xs:element name="resources" type="tns:ResourcesType"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

System

Datatyp som representerar ett system i loggposten. Det system som skapar loggposten.

Kommentar: SystemId är ett HSA-ID som logiskt identifierar en vårdapplikation. Det finns här inget som kan härleda loggen tillbaka till en specifik byggsten av en vårdapplikation, exempelvis en specifikt tjänst eller en fysisk server.

<xs:complexType name="SystemType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar ett system i loggposten. Det system som skapar loggposten.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="systemId" type="tns:HsaId"/>
            <xs:element name="systemName" type="tns:SystemName" minOccurs="0"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Aktivitet

Datatyp som representerar vilken typ av aktivitet som utförts, på vilken nivå, tidpunkt samt syftet med aktiviteten.

Aktivitet är på en hög nivå, det finns inget i i Ineras datastruktur som gör det möjlighet att härleda en PDL Log till en samling systemloggar som beskriver aktiviteten i källsystemet.

Aktivitetstyp kan vara följande

läsa, skriva, signera, utskrift, vidimera, radera/makulera

Aktuellt kodverk finns här: https://inera.atlassian.net/wiki/download/attachments/3615655/Kodverk inforesursaktivitetstyp.xlsx?version=2&modificationDate=1520940201822&cacheVersion=1&api=v2

Aktivitetsnivå kan vara följande

Övergripande, Övergripande inom resurstyp, Detaljerad

Syfte kan vara följande (motsvarar medarbetareuppdragets syfte)

Vård och behandling, Administration, Kvalitetssäkring, Kvalitetsregister, Annan dokumentation enligt lag, Statistik

<xs:complexType name="ActivityType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar vilken typ av aktivitet som utförts, på vilken nivå, tidpunkt samt syftet med aktiviteten.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="activityType" type="tns:ActivityTypeValue"/>
            <xs:element name="activityLevel" type="tns:ActivityLevel" minOccurs="0"/>
            <xs:element name="activityArgs" type="tns:ActivityArgs" minOccurs="0"/>
            <xs:element name="startDate" type="xs:dateTime"/>
            <xs:element name="purpose" type="tns:PurposeDescription"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Användare

Datatyp som representerar användaren som utfört aktivitet, tillika ägare av loggpost.

Kommentar: Assignment är namnet på ett medarbetaruppdrag. det finns inget HSA-ID som identifierar det specifika medarbetareuppdraget.

 <xs:complexType name="UserType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar användaren som utfört aktivitet, tillika ägare av loggpost.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="userId" type="tns:HsaId"/>
            <xs:element name="name" type="tns:UserName" minOccurs="0"/>
            <xs:element name="personId" type="tns:IIType" minOccurs="0"/>
            <xs:element name="assignment" type="tns:Assignment" minOccurs="0"/>
            <xs:element name="title" type="tns:UserTitle" minOccurs="0"/>
            <xs:element name="careProvider" type="tns:CareProviderType"/>
            <xs:element name="careUnit" type="tns:CareUnitType"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Resurs

Datatyp som representerar en resurs i loggposten. Det finns inte heller här utrymme för en referens där man från en PDL-log kan utan manuellt arbete att härleda till en specifik resurs i källsystemet som var aktuell.

Resurstyp

Exempel på resurstyper:

Finns många fler koder, aktuellt kodverk återfinns här: https://inera.atlassian.net/wiki/download/attachments/3615655/KV Informationstyp2.xlsx?version=1&modificationDate=1616135538325&cacheVersion=1&api=v2

<xs:complexType name="ResourceType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar en resurs i loggposten.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="resourceType" type="tns:ResourceTypeValue"/>
            <xs:element name="patient" type="tns:PatientType" minOccurs="0"/>
            <xs:element name="careProvider" type="tns:CareProviderType"/>
            <xs:element name="careUnit" type="tns:CareUnitType" minOccurs="0"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Patient

Datatyp som representerar en patient i en resurs.

IIType beskrivs som att det kan vara olika typer av patient id. Exempelvis personnummer, reservnummer, samordningsnummer, nationellt reservnummer. Flera förekomster av patient id kan inkluderas.

 <xs:complexType name="PatientType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar en patient i en resurs.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="patientId" type="tns:IIType"/>
            <xs:element name="patientName" type="tns:PatientName" minOccurs="0"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Vårdgivare

Datatyp som representerar en vårdgivare.

<xs:complexType name="CareProviderType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar en vårdgivare.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="careProviderId" type="tns:HsaId"/>
            <xs:element name="careProviderName" type="tns:CareProviderName" minOccurs="0"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Vårdenhet

Datatyp som representerar en vårdenhet.

<xs:complexType name="CareUnitType">
        <xs:annotation>
            <xs:documentation>
                Datatyp som representerar en vårdenhet.
            </xs:documentation>
        </xs:annotation>
        <xs:sequence>
            <xs:element name="careUnitId" type="tns:HsaId"/>
            <xs:element name="careUnitName" type="tns:CareUnitName" minOccurs="0"/>
            <xs:any maxOccurs="unbounded" minOccurs="0" namespace="##other" processContents="lax"/>
        </xs:sequence>
    </xs:complexType>

Framtida och relaterat arbete

Denna version av implementationsguiden (resultat av fas 1) innehåller ännu inte delar om vårdepisod/vårdprocess/hälsoärende och styrning av åtkomst baserat på det - sådant arbete kommer sannolikt påbörjas i December 2021 (fas 2) och sedan uppdateras denna implementationsguide. En tredja fas

Föra att på ett konsekvent leverantörsoberoende sätt definiera och välja ut uppmärksamhetsinformation och aktuell läkemedelsanvändning (som ofta undantas från spärr) bör gemensam svensk förvaltning av t.ex. en uppsättning AQL-frågor och terminologiurval övervägas. Förslagsvis görs detta som en del av den nationella openEHR-förvaltningen.

En separat framtida implementationsguide för arkivering av journalhandlingar bör skrivas för att underlätta PDLs krav på långsiktigt omhändertagande av journalhandlingar. En sådan guide bör åtminstone visa hur data från openEHR-baserade journalsystem arkiveras enligt svenska krav, men om tid finns får den gärna även visa hur man kan använda openEHR-baserade system och t.ex. Integration Information Model (openehr.org) för att importera/arkivera data på ett sökbart sätt även från system som inte baseras på openEHR.

Under arbetet kom vi (orelaterat till PDL) även på att https://discourse.openehr.org/t/svensk-tillampning-av-setting/1985 behövs.

Arbetskontext (även kopplat till hälsoärende - är medarbetaruppdrag för grovt?

Avslutning

Appendix A: Medverkande och arbetssätt

Arbetssätt

Arbetet initierades från den svenska openEHR-förvaltningen (2021-mm-dd) och har genomförts huvudsakligen via 90-minuters distansmöten på tisdagsförmiddagar.

I en första arbetsfas behandlades det som behövs för att behörighetsstyrning och åtkomst baserat på vårdenhet och vårdgivare (som är det som främst stöds i de flesta av dagens journalsystem). En stor del av detta rörde hur vårdenhet, vårdgivare m.m. lagras och sedan används för filtrering.

Första arbetsfasen innefattade även stöd för att med hjälp av arketyper och AQL definiera och välja ut uppmärksamhetsinformation och aktuell läkemedelsanvändning. Orsaken till detta är att sådan information vanligen ska undantas från spärr och därför behöver kunna särskiljas på ett konsekvent sätt.

Implementerbara och praktiskt användbara definitioner av vårdepisod/vårdprocess/hälsoärende är komplicerade och rekommendationer om vilka av openEHRs mekanismer som kan/bör rekommenderas för PDL-aspekterna av dessa tas/togs upp i andra fasen av författandet.

Rekommendationerna efter första fasen av arbetet baserades på att den nationella spärrtjänsten användes som “system of record” (master) för patientens önskemål angående spärr. En potentiell tredje fas kan omfatta de ytterligare openEHR-strukturer (samtycken, önskemål om spärr m.m.) som behövs om journalsystemet istället ska vara “system of record” (master) för patientens önskemål angående spärr och spegla aktuella önskemål via API till nationella spärrtjänsten.

Att bestämma: Ska loggning in i någon fas?

Nationell arbetsgrupp

• …

Remiss

• …

Appendix B: PDL-intressanta delar i openEHRs specifikationer

Exempel på dokumentation från openEHR-specifikationerna:

• Delar av https://specifications.openehr.org/releases/BASE/latest/architecture_overview.html

  • Kap 7 “Security and Confidentiality”

  • Om COMPOSITIONs och dess hantering

    • Avsnitt 4.2.4 + 4.3.* i EHR Information Model (openehr.org)

    • Kap 5 i EHR Information Model (openehr.org) notera t.ex. attributen COMPOSITION.composer (avsnitt 5.2.2) och EVENT_CONTEXT.health_care_facility (avsnitt 5.2.3.5)

• Delar av https://specifications.openehr.org/releases/RM/Release-1.1.0/common.html t.ex.

  • Lagring av inloggad användare i VERSION.(commit_)audit.committer se VERSION-klassen (avsnitt 6.5.2 m.m.) och AUDIT_DETAILS-klassen (avsnitt 4.36)

  • 4.3.5 PARTICIPATION

  • 4.3.1. PARTY_PROXY

• Delar av https://specifications.openehr.org/releases/BASE/latest/base_types.html Här kanske HSA-ID kan landa? Se t.ex.

  • 5.4.14. OBJECT_REF

  • 5.4.15. PARTY_REF

…

Appendix C: Saker att ev. arbeta in i andra stycken senare

Stryk vartefter det arbetats in i andra delar. Detta appendix

Exempel på vad en vårdgivare behöver uppfylla i en openEHR-baserad plattformslösning. [Källa: Region Stockholm]

• Plattformen SKA stödja loggning av åtkomst till patientinformation i enlighet med 4 kap. 3§ Patientdatalag (2008:355)

  • Accessloggning

• Plattformen SKA stödja patientens val att spärra åtkomst till sin patientinformation i enlighet med 4 kap. 4§ Patientdatalag (2008:355)

  • Spärr, spara spärr

• Plattformen SKA stödja utvärdering av åtkomst till patientinformation i enlighet med ändamålen i 4 kap. 4§ Patientdatalag (2008:355)

  • Spärr, och utvärdering utifrån verksamhetsuppdrag (t.ex. vård och behandling vs statistik)

• Plattformen SKA stödja åtkomst till spärrad information (bryta spärr) i enlighet med 4 kap. 5§ Patientdatalag (2008:355)

  • Spärr, bryta spärr

• Plattformen SKA stödja åtkomstkontroll vid sammanhållen journalföring i enlighet med 6 kap. 2§ Patientdatalag (2008:355)

  • Samtycke

• Plattformen SKA möjliggöra att patienten motsätter sig överföring av information till kvalitetsregister i enlighet med 7 kap. 2§ Patientdatalag (2008:355)

  • Samtycke

….