SlideShare a Scribd company logo

Gradueret adgang til EPJ

Download as PPT, PDF
Michael Erichsen
Michael Erichsen

A presentation for the Danish parliament Heathcare Committee concerning proposed changes to the Electronic Patient Journal legislation from 2006. The recommendations were in line with the other witnesses and helped change the legislation.

Software
1 of 12
Gradueret adgang til EPJ Folketingets Sundhedsudvalg, November 2006 Michael Erichsen på vegne af PROSA merichse@csc.com
Talerens Baggrund • Over 20 års beskæftigelse med store, integrerede systemer, både i den private og offentlige sektor – Heraf 10 år som chefkonsulent hos CSC • Arbejder med IT ud fra forretningsmæssige, arkitektoniske og teknologiske synsvinkler • Rådgivet om og deltaget i design af bl.a. CPR, SU, Den Ny Kirkebog, Tinglysning/Web og Schengen systemet, herunder sikkerhed • Har mest arbejdet for CPR, Rigspolitiet og Økonomistyrelsen de seneste år • Har selv ingen særlig erfaring med EPJ eller fra sundhedssektoren – Har konsulteret fagekspertise under forberedelsen til mødet
De Stillede Spørgsmål • Belysning af de nuværende teknologiske muligheder for at begrænse/graduere adgangen til oplysninger i EPJ (f.eks. personfølsomme intime oplysninger uden betydning for den aktuelle behandlingssituation) – hvilke barrierer er der (økonomiske, tekniske m.v.)? • Hvilke tekniske forhold skal der tages hensyn til nu, så man ikke iværksætter/starter op med tekniske løsninger, hvor det ikke senere hen er muligt at foretage politisk ønskelige udbygninger/tilpasninger i takt med udviklingen af de teknologiske muligheder (bl.a. i forhold til siden hen at give andre faggrupper end de nu foreslåede samt patienten selv direkte adgang til EPJ)? • Hvilke tekniske forhold skal der lægges vægt på/tages højde for, når det skal sikres, at der ikke sker uretmæssig brug, og at man ikke kan hacke sig ind i systemerne - og er de tekniske løsninger herpå tilgængelige i dag? • Hvilke sikkerhedsmæssige krav bør der stilles i forhold til log-in (bl.a. synspunkter på fælles log-in contra individuel person log-in), og er modellerne teknisk mulige? • Hvilke tekniske muligheder er der i forhold til logning, så man kan se, f.eks. hvem der har søgt, hvornår og i hvilken sammenhæng, og hvor stor betydning har logning ud fra en sikkerhedsmæssig vinkel?
Det Korte Svar • JA, DET KAN MAN GODT! – En naturlig del af alle moderne IT-sikkerhedssystemer – Fremmes af de pågående standardiseringsbestræbelser • Svaret er teknisk; men spørgsmålet er i høj grad politisk – Den tekniske løsning hedder ”rollebaseret sikkerhed” – Den afgørende forudsætning er, at opgaver, roller og journalernes struktur er veldefinerede – Fremtidige, ændrede krav til gradueret adgang vil hænge uløseligt sammen med ændret anvendelse af systemet og ændringer i magtstrukturerne inden for sundhedsområdet
Et Lidt Længere Svar • Sikkerhed for datakommunikation og datalagring er i dag gennemstandardiseret og ”kendt stof” – Baserer sig på kryptering, f. eks. med et digitalt certifikat • Standarden for adgangssikkerhed er rollebaseret sikkerhed – Understøttes af alle leverandører på alle platforme, såvel Windows som Unix som IBM mainframes – Kan spille sammen på tværs af leverandører og platforme – og på tværs af organisationer og sektorer – Kan implementeres i platforme og operativsystemer – evt. i samspil med applikationernes indre sikkerhedssystemer
Rollebaseret Sikkerhed, Teknisk Overblik • Brugere autenticeres og autoriseres • Autenticering (bekræftelse af identitet) – Pålogning med userid, password og/eller digitalt certifikat, hvorved personlig userid og roller tildeles • Autorisering – For hver ressource i systemet kontrolleres, om brugerens roller har adgang – Hermed kan opnås gradueret adgang – hvis ressourcerne kan beskrives entydigt i den virkelige verden – Hver bruger kan tillægges en eller flere roller, herunder arbejdsfunktioner og geografiske lokaliteter – Jo mere ”finkornet” graduering, jo dyrere kan implementeringen blive, hvis eksisterende applikationer skal modificeres hertil • Standardiseret strukturerede data er lettere at graduere end ustruktureret tekst • Roller kan fungere på tværs mellem systemer, FORUDSAT AT ROLLERNE ER VELDEFINEREDE OG STANDARDISEREDE
Roller og Adgang – Roller bør knyttes til arbejdsopgaver, specialer, afdelinger og patientgrupper, ikke blot til oprindelig uddannelse – Skriveadgang medfører ikke nødvendigvis læseadgang • Datafangst bør kunne ske af alle personalegrupper, også sådanne, som ikke har læseadgang – Nødadgang (”slå glasset ind”) skal kunne tildeles i akutte situationer med særlig logning og efterkontrol – Visse områder bør kunne skjules (aborter), mens andre kan være synlige for alle – Det bør kræves, at leverandørerne udvikler grænseflader, hvor medarbejdere kan tildeles gradueret adgang på en nem, logisk og overskuelig måde, svarende til deres roller
Systemforudsætninger • Hvis en journal blot er ét stort tekstdokument, bliver adgang et enten-eller spørgsmål • Journaler bør struktureres i adskilte afsnit, der afspejler veldefinerede roller • Dette stiller både krav til systemerne og til anvendernes datadisciplin
Typiske Adgangsveje • Sikkerheden kan også knyttes til adgangsvejen til et system • Direkte adgang – Ofte en ”tyk klient” • Webadgang – Kræver digital signatur • System-til-system adgang – Når flere og flere myndigheder indfører serviceorienterede arkitekturer (kendt som SOA), vil det blive almindeligt at kalde services i andre systemer, herunder EPJ-systemer • Geografisk opdelte eller helt anonymiserede statistiske udtræk – Leveres ofte som CD-ROM, filoverførsel, webadgang eller print
Sandsynlige Fremtidige Tendenser • Alle brancher vil møde øgede krav fra ”besværlige”, ”urimelige” og ”krævende” kunder og medarbejdere – ”Politiske forbrugere”, små årgange • Det vil også gælde sundhedssektoren – ”Kompetente patienter” og bekymrede døtre i 50-års alderen, øget teamwork på tværs af faggrænser • Perspektivforskydning fra sygdomsforløb til personers fulde livsforløb • EPJ primært som del af… – Hospitalers forretningsgange for sygdomsforløb – Individuelle borgeres digitale brugerservice (selvbetjening) • Akkreditering vil kræve stor datadisciplin og standardisering • Internationalisering – Tværeuropæisk EPJ?
Praktiske Spørgsmål • Personlig Login – Fordelen ved personlig login er at kunne logge al adgang og efterforske ”snagen” – Ulempen med tiden og besværet ved at logge personligt ind kan løses teknisk • For eksempel med chipkort (som i detailhandelen) eller med biometrisk udstyr • Logning – Logning kan ske på system- eller applikationsniveau • Systemniveau anses for sikrest – Hvem kigger i loggene? • Stikprøver? Ekstern revision? Ekspertsystemer til at finde uregelmæssigheder? Borgerens adgang til at se logge over hvem, der har set dennes data? – Nem adgang til at kontrollere loggene er i sig selv adfærdsregulerende • Fysisk sikkerhed – Uautoriseret overførsel af fortrolige data til mindre sikre systemer – Åbne terminaler – Print
En Læseanbefaling • Sundhedsstyrelsens ”IT-sikkerheds- vejledning for sygehuse” fra 2002 beskriver både den tekniske og den forretningsmæssige side af problemet

Recommended

A Natural Web Front End using CICS Transaction Gateway
A Natural Web Front End using CICS Transaction GatewayA Natural Web Front End using CICS Transaction Gateway
A Natural Web Front End using CICS Transaction GatewayMichael Erichsen
 
Diapo de blog
Diapo de blogDiapo de blog
Diapo de blogAnneltc12
 
Planejamento
PlanejamentoPlanejamento
Planejamentojuliano583647
 
Empower to Cook Final
Empower to Cook FinalEmpower to Cook Final
Empower to Cook FinalHelen Cavill
 
Horses Helping People CIC
Horses Helping People CICHorses Helping People CIC
Horses Helping People CICHelen Cavill
 
Automating the Donut Donation
Automating the Donut DonationAutomating the Donut Donation
Automating the Donut DonationMichael Erichsen
 
Pk wenna
Pk wennaPk wenna
Pk wennatata19_chyata
 
Java on the Mainframe
Java on the MainframeJava on the Mainframe
Java on the MainframeMichael Erichsen
 

Recommended

A Natural Web Front End using CICS Transaction Gateway
A Natural Web Front End using CICS Transaction GatewayA Natural Web Front End using CICS Transaction Gateway
A Natural Web Front End using CICS Transaction GatewayMichael Erichsen
 
Diapo de blog
Diapo de blogDiapo de blog
Diapo de blogAnneltc12
 
Planejamento
PlanejamentoPlanejamento
Planejamentojuliano583647
 
Empower to Cook Final
Empower to Cook FinalEmpower to Cook Final
Empower to Cook FinalHelen Cavill
 
Horses Helping People CIC
Horses Helping People CICHorses Helping People CIC
Horses Helping People CICHelen Cavill
 
Automating the Donut Donation
Automating the Donut DonationAutomating the Donut Donation
Automating the Donut DonationMichael Erichsen
 
Pk wenna
Pk wennaPk wenna
Pk wennatata19_chyata
 
Java on the Mainframe
Java on the MainframeJava on the Mainframe
Java on the MainframeMichael Erichsen
 
Sepsis Core Quality Measures Webinar
Sepsis Core Quality Measures WebinarSepsis Core Quality Measures Webinar
Sepsis Core Quality Measures WebinarAcesoCloud Inc
 
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICSRESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICSDr Suraj Dhankikar
 
Receptors and signal transduction
Receptors and signal transductionReceptors and signal transduction
Receptors and signal transductionaljeirou
 
Volunteer Hub Final Report for Organisations
Volunteer Hub Final Report for OrganisationsVolunteer Hub Final Report for Organisations
Volunteer Hub Final Report for OrganisationsHelen Cavill
 
Normas apa
Normas apa Normas apa
Normas apa Jenn200
 
Through CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an HourThrough CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an HourMichael Erichsen
 
Saisons
SaisonsSaisons
SaisonsMounir Hasnaoui
 
pi926.pdf
pi926.pdfpi926.pdf
pi926.pdfunn | UNITED NEWS NETWORK GmbH
 
EquityDaily.pdf
EquityDaily.pdfEquityDaily.pdf
EquityDaily.pdfunn | UNITED NEWS NETWORK GmbH
 
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...InfinIT - Innovationsnetværket for it
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
 
Peter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelsePeter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelseVidenDanmark
 
Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)Brola
 
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25VidenDanmark
 
VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311VidenDanmark
 
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområdeRita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområdeVidenDanmark
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
Fra User experience til Fødevarer? af Lars Bo Larsen, AAU
Fra User experience til Fødevarer? af Lars Bo Larsen, AAUFra User experience til Fødevarer? af Lars Bo Larsen, AAU
Fra User experience til Fødevarer? af Lars Bo Larsen, AAUInfinIT - Innovationsnetværket for it
 
InfinIT temadag om remote usability testing 10. december 2014
InfinIT temadag om remote usability testing 10. december 2014InfinIT temadag om remote usability testing 10. december 2014
InfinIT temadag om remote usability testing 10. december 2014InfinIT - Innovationsnetværket for it
 
PROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptxPROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptxcaniceconsulting
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013BestBrains
 
Digital Borgerservice af Marianne Carlsen og Jakob Schou Pedersen
Digital Borgerservice af Marianne Carlsen og Jakob Schou PedersenDigital Borgerservice af Marianne Carlsen og Jakob Schou Pedersen
Digital Borgerservice af Marianne Carlsen og Jakob Schou PedersenInfinIT - Innovationsnetværket for it
 

More Related Content

Viewers also liked

Sepsis Core Quality Measures Webinar
Sepsis Core Quality Measures WebinarSepsis Core Quality Measures Webinar
Sepsis Core Quality Measures WebinarAcesoCloud Inc
 
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICSRESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICSDr Suraj Dhankikar
 
Receptors and signal transduction
Receptors and signal transductionReceptors and signal transduction
Receptors and signal transductionaljeirou
 
Volunteer Hub Final Report for Organisations
Volunteer Hub Final Report for OrganisationsVolunteer Hub Final Report for Organisations
Volunteer Hub Final Report for OrganisationsHelen Cavill
 
Normas apa
Normas apa Normas apa
Normas apa Jenn200
 
Through CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an HourThrough CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an HourMichael Erichsen
 

Viewers also liked (9)

Sepsis Core Quality Measures Webinar
Sepsis Core Quality Measures WebinarSepsis Core Quality Measures Webinar
Sepsis Core Quality Measures Webinar
 
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICSRESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
RESPIRATORY SYSTEM EXAMINATION IN PEDIATRICS
 
Receptors and signal transduction
Receptors and signal transductionReceptors and signal transduction
Receptors and signal transduction
 
Volunteer Hub Final Report for Organisations
Volunteer Hub Final Report for OrganisationsVolunteer Hub Final Report for Organisations
Volunteer Hub Final Report for Organisations
 
Normas apa
Normas apa Normas apa
Normas apa
 
Through CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an HourThrough CICS OS/2 with 50 Million Peas an Hour
Through CICS OS/2 with 50 Million Peas an Hour
 
Saisons
SaisonsSaisons
Saisons
 
pi926.pdf
pi926.pdfpi926.pdf
pi926.pdf
 
EquityDaily.pdf
EquityDaily.pdfEquityDaily.pdf
EquityDaily.pdf
 

Similar to Gradueret adgang til EPJ

Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...InfinIT - Innovationsnetværket for it
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
 
Peter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelsePeter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelseVidenDanmark
 
Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)Brola
 
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25VidenDanmark
 
VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311VidenDanmark
 
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområdeRita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområdeVidenDanmark
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
PROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptxPROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptxcaniceconsulting
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013BestBrains
 
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...Microsoft
 
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)Mikkel Ingwar Karlsen
 
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR grafer
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR graferOs2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR grafer
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR graferThomas Hildebrandt
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværs
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværsU cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværs
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværsMaikenHolmNors
 
VidenDanmark seminar: Dan Thomsen 310311
VidenDanmark seminar: Dan Thomsen 310311VidenDanmark seminar: Dan Thomsen 310311
VidenDanmark seminar: Dan Thomsen 310311VidenDanmark
 

Similar to Gradueret adgang til EPJ (20)

Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
Fra arbejdsgange i praksis til smidige, procesorienterede IT-systemer af Mikk...
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
 
Peter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelsePeter malling Seminar om brugerinddragelse
Peter malling Seminar om brugerinddragelse
 
Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)Organisatorisk it kommunikation (lektion 5)
Organisatorisk it kommunikation (lektion 5)
 
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
Gitte svendsen arbejdsgangsbanken viden danmark 2012.01.25
 
VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311VidenDanmark seminar: Bjerne Hansen 310311
VidenDanmark seminar: Bjerne Hansen 310311
 
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområdeRita Lützhøft om standardisering på det offentlige sags- og dokumentområde
Rita Lützhøft om standardisering på det offentlige sags- og dokumentområde
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?
 
Fra User experience til Fødevarer? af Lars Bo Larsen, AAU
Fra User experience til Fødevarer? af Lars Bo Larsen, AAUFra User experience til Fødevarer? af Lars Bo Larsen, AAU
Fra User experience til Fødevarer? af Lars Bo Larsen, AAU
 
InfinIT temadag om remote usability testing 10. december 2014
InfinIT temadag om remote usability testing 10. december 2014InfinIT temadag om remote usability testing 10. december 2014
InfinIT temadag om remote usability testing 10. december 2014
 
PROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptxPROSPER - Module 1 - Unit 2 da.pptx
PROSPER - Module 1 - Unit 2 da.pptx
 
Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013Best brains product_owners_ værktøjskasse_mar2013
Best brains product_owners_ værktøjskasse_mar2013
 
Digital Borgerservice af Marianne Carlsen og Jakob Schou Pedersen
Digital Borgerservice af Marianne Carlsen og Jakob Schou PedersenDigital Borgerservice af Marianne Carlsen og Jakob Schou Pedersen
Digital Borgerservice af Marianne Carlsen og Jakob Schou Pedersen
 
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...
Microsoft Next 2014 - Insights session 1 - Mobilt BI i Søfartsstyrelsen – tan...
 
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)
Sikkerhedsarkitektur i det danske sundhedsvæsen (v13)
 
Orla Pedersen, Dafolo
Orla Pedersen, DafoloOrla Pedersen, Dafolo
Orla Pedersen, Dafolo
 
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR grafer
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR graferOs2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR grafer
Os2 Erfa-møde - Fleksibel og Agil Digitalisering ved hjælp af DCR grafer
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud Compliance
 
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværs
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværsU cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværs
U cr ac rekvirent castbjerggård ved katja lund, entreprenørskab på tværs
 
VidenDanmark seminar: Dan Thomsen 310311
VidenDanmark seminar: Dan Thomsen 310311VidenDanmark seminar: Dan Thomsen 310311
VidenDanmark seminar: Dan Thomsen 310311
 

More from Michael Erichsen

How to test a Mainframe Application
How to test a Mainframe ApplicationHow to test a Mainframe Application
How to test a Mainframe ApplicationMichael Erichsen
 
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...Michael Erichsen
 
Java is a new language on the mainframe
Java is a new language on the mainframeJava is a new language on the mainframe
Java is a new language on the mainframeMichael Erichsen
 
Websphere on z/OS and RACF security
Websphere on z/OS and RACF securityWebsphere on z/OS and RACF security
Websphere on z/OS and RACF securityMichael Erichsen
 
z13: New Opportunities – if you dare!
z13: New Opportunities – if you dare!z13: New Opportunities – if you dare!
z13: New Opportunities – if you dare!Michael Erichsen
 

More from Michael Erichsen (11)

ZCX Hybrid Application
ZCX Hybrid ApplicationZCX Hybrid Application
ZCX Hybrid Application
 
SMP/What?
SMP/What?SMP/What?
SMP/What?
 
ZD&T Survival Kit
ZD&T Survival KitZD&T Survival Kit
ZD&T Survival Kit
 
How to test a Mainframe Application
How to test a Mainframe ApplicationHow to test a Mainframe Application
How to test a Mainframe Application
 
A002 200 yearsofit
A002 200 yearsofitA002 200 yearsofit
A002 200 yearsofit
 
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...
SOA Mainframe Service Architecture and Enablement Practices Best and Worst Pr...
 
Java is a new language on the mainframe
Java is a new language on the mainframeJava is a new language on the mainframe
Java is a new language on the mainframe
 
Websphere on z/OS and RACF security
Websphere on z/OS and RACF securityWebsphere on z/OS and RACF security
Websphere on z/OS and RACF security
 
Trends but No Directions
Trends but No DirectionsTrends but No Directions
Trends but No Directions
 
z13: New Opportunities – if you dare!
z13: New Opportunities – if you dare!z13: New Opportunities – if you dare!
z13: New Opportunities – if you dare!
 
Cobol 5 presentation
Cobol 5 presentationCobol 5 presentation
Cobol 5 presentation
 

Gradueret adgang til EPJ

  • 1. Gradueret adgang til EPJ Folketingets Sundhedsudvalg, November 2006 Michael Erichsen på vegne af PROSA merichse@csc.com
  • 2. Talerens Baggrund • Over 20 års beskæftigelse med store, integrerede systemer, både i den private og offentlige sektor – Heraf 10 år som chefkonsulent hos CSC • Arbejder med IT ud fra forretningsmæssige, arkitektoniske og teknologiske synsvinkler • Rådgivet om og deltaget i design af bl.a. CPR, SU, Den Ny Kirkebog, Tinglysning/Web og Schengen systemet, herunder sikkerhed • Har mest arbejdet for CPR, Rigspolitiet og Økonomistyrelsen de seneste år • Har selv ingen særlig erfaring med EPJ eller fra sundhedssektoren – Har konsulteret fagekspertise under forberedelsen til mødet
  • 3. De Stillede Spørgsmål • Belysning af de nuværende teknologiske muligheder for at begrænse/graduere adgangen til oplysninger i EPJ (f.eks. personfølsomme intime oplysninger uden betydning for den aktuelle behandlingssituation) – hvilke barrierer er der (økonomiske, tekniske m.v.)? • Hvilke tekniske forhold skal der tages hensyn til nu, så man ikke iværksætter/starter op med tekniske løsninger, hvor det ikke senere hen er muligt at foretage politisk ønskelige udbygninger/tilpasninger i takt med udviklingen af de teknologiske muligheder (bl.a. i forhold til siden hen at give andre faggrupper end de nu foreslåede samt patienten selv direkte adgang til EPJ)? • Hvilke tekniske forhold skal der lægges vægt på/tages højde for, når det skal sikres, at der ikke sker uretmæssig brug, og at man ikke kan hacke sig ind i systemerne - og er de tekniske løsninger herpå tilgængelige i dag? • Hvilke sikkerhedsmæssige krav bør der stilles i forhold til log-in (bl.a. synspunkter på fælles log-in contra individuel person log-in), og er modellerne teknisk mulige? • Hvilke tekniske muligheder er der i forhold til logning, så man kan se, f.eks. hvem der har søgt, hvornår og i hvilken sammenhæng, og hvor stor betydning har logning ud fra en sikkerhedsmæssig vinkel?
  • 4. Det Korte Svar • JA, DET KAN MAN GODT! – En naturlig del af alle moderne IT-sikkerhedssystemer – Fremmes af de pågående standardiseringsbestræbelser • Svaret er teknisk; men spørgsmålet er i høj grad politisk – Den tekniske løsning hedder ”rollebaseret sikkerhed” – Den afgørende forudsætning er, at opgaver, roller og journalernes struktur er veldefinerede – Fremtidige, ændrede krav til gradueret adgang vil hænge uløseligt sammen med ændret anvendelse af systemet og ændringer i magtstrukturerne inden for sundhedsområdet
  • 5. Et Lidt Længere Svar • Sikkerhed for datakommunikation og datalagring er i dag gennemstandardiseret og ”kendt stof” – Baserer sig på kryptering, f. eks. med et digitalt certifikat • Standarden for adgangssikkerhed er rollebaseret sikkerhed – Understøttes af alle leverandører på alle platforme, såvel Windows som Unix som IBM mainframes – Kan spille sammen på tværs af leverandører og platforme – og på tværs af organisationer og sektorer – Kan implementeres i platforme og operativsystemer – evt. i samspil med applikationernes indre sikkerhedssystemer
  • 6. Rollebaseret Sikkerhed, Teknisk Overblik • Brugere autenticeres og autoriseres • Autenticering (bekræftelse af identitet) – Pålogning med userid, password og/eller digitalt certifikat, hvorved personlig userid og roller tildeles • Autorisering – For hver ressource i systemet kontrolleres, om brugerens roller har adgang – Hermed kan opnås gradueret adgang – hvis ressourcerne kan beskrives entydigt i den virkelige verden – Hver bruger kan tillægges en eller flere roller, herunder arbejdsfunktioner og geografiske lokaliteter – Jo mere ”finkornet” graduering, jo dyrere kan implementeringen blive, hvis eksisterende applikationer skal modificeres hertil • Standardiseret strukturerede data er lettere at graduere end ustruktureret tekst • Roller kan fungere på tværs mellem systemer, FORUDSAT AT ROLLERNE ER VELDEFINEREDE OG STANDARDISEREDE
  • 7. Roller og Adgang – Roller bør knyttes til arbejdsopgaver, specialer, afdelinger og patientgrupper, ikke blot til oprindelig uddannelse – Skriveadgang medfører ikke nødvendigvis læseadgang • Datafangst bør kunne ske af alle personalegrupper, også sådanne, som ikke har læseadgang – Nødadgang (”slå glasset ind”) skal kunne tildeles i akutte situationer med særlig logning og efterkontrol – Visse områder bør kunne skjules (aborter), mens andre kan være synlige for alle – Det bør kræves, at leverandørerne udvikler grænseflader, hvor medarbejdere kan tildeles gradueret adgang på en nem, logisk og overskuelig måde, svarende til deres roller
  • 8. Systemforudsætninger • Hvis en journal blot er ét stort tekstdokument, bliver adgang et enten-eller spørgsmål • Journaler bør struktureres i adskilte afsnit, der afspejler veldefinerede roller • Dette stiller både krav til systemerne og til anvendernes datadisciplin
  • 9. Typiske Adgangsveje • Sikkerheden kan også knyttes til adgangsvejen til et system • Direkte adgang – Ofte en ”tyk klient” • Webadgang – Kræver digital signatur • System-til-system adgang – Når flere og flere myndigheder indfører serviceorienterede arkitekturer (kendt som SOA), vil det blive almindeligt at kalde services i andre systemer, herunder EPJ-systemer • Geografisk opdelte eller helt anonymiserede statistiske udtræk – Leveres ofte som CD-ROM, filoverførsel, webadgang eller print
  • 10. Sandsynlige Fremtidige Tendenser • Alle brancher vil møde øgede krav fra ”besværlige”, ”urimelige” og ”krævende” kunder og medarbejdere – ”Politiske forbrugere”, små årgange • Det vil også gælde sundhedssektoren – ”Kompetente patienter” og bekymrede døtre i 50-års alderen, øget teamwork på tværs af faggrænser • Perspektivforskydning fra sygdomsforløb til personers fulde livsforløb • EPJ primært som del af… – Hospitalers forretningsgange for sygdomsforløb – Individuelle borgeres digitale brugerservice (selvbetjening) • Akkreditering vil kræve stor datadisciplin og standardisering • Internationalisering – Tværeuropæisk EPJ?
  • 11. Praktiske Spørgsmål • Personlig Login – Fordelen ved personlig login er at kunne logge al adgang og efterforske ”snagen” – Ulempen med tiden og besværet ved at logge personligt ind kan løses teknisk • For eksempel med chipkort (som i detailhandelen) eller med biometrisk udstyr • Logning – Logning kan ske på system- eller applikationsniveau • Systemniveau anses for sikrest – Hvem kigger i loggene? • Stikprøver? Ekstern revision? Ekspertsystemer til at finde uregelmæssigheder? Borgerens adgang til at se logge over hvem, der har set dennes data? – Nem adgang til at kontrollere loggene er i sig selv adfærdsregulerende • Fysisk sikkerhed – Uautoriseret overførsel af fortrolige data til mindre sikre systemer – Åbne terminaler – Print
  • 12. En Læseanbefaling • Sundhedsstyrelsens ”IT-sikkerheds- vejledning for sygehuse” fra 2002 beskriver både den tekniske og den forretningsmæssige side af problemet