Teknik og jura spænder ben for nyt nationalt patientregister
En række databaser ser dagens lys i sundhedssektoren i disse år. E-journal, Medicinprofil, Laboratoriesvar og flere andre rummer oplysninger om danskernes sundhedstilstand i digital form, og alle disse oplysninger skal samles og kunne læses ét sted, nemlig i det Nationale Patientindeks, NPI.
Men udviklingen af patientindekset giver problemer. Systemet skulle have været taget i brug i december, men nu bliver deadline skubbet til 1. marts 2010, oplyser Digital Sundhed, som er organisationen bag NPI.
Rent teknisk mangler der stadig integration med nogle af databaserne, og når det er kommet på plads, vil der derefter gå tid med test og kvalitetssikring, lyder meldingen.
Men udover de tekniske genvordigheder har der også været juridiske benspænd. Patientindekset skal både kunne bruges af patienter, som kan se en oversigt over, hvad sundhedsvæsenet har registreret, men også af læger, som på den måde hurtigt vil kunne få et overblik en patients sundhedstilstand.
Der er ingen juridiske problemer i at lade patienter se data om dem selv, men før lægerne kan få lov til at læse med, er der brug for 'yderligere juridisk afklaring', oplyser Digital Sundhed, som har været i dialog med Datatilsynet om problemet.
Efter den reviderede plan vil patienter få adgang til egne sundhedsdata fra 1. marts, mens lægerne kan risikere at skulle vente længere, afhængigt af hvor nemt det er at få styr på juraen i projektet.
Kommentarer (5)
Der er ingen juridiske problemer i at lade patienter se data om dem selv, men før lægerne kan få lov til at læse med, er der brug for ’yderligere juridisk afklaring’, oplyser Digital Sundhed, som har været i dialog med Datatilsynet.
Det nationale patientindeks er mere af de samme fejl vi hele tiden har set - bare smid det hele online og fjern al sikkerhed.
Så mangler man bare lige at tvinge Datatilsynet til at blåstemple modellen og vi er kørende.
Det triste er at vi aldrig bruger investeringerne til at lave holdbare løsninger - det bliver til lap på lap på lap af noget som allerede er forældet.
-
0 -
0
I "Gamle Dage" kørte langt de fleste sygehuse her i landet Det Røde System fra Kommunedata/SC i Århus. Det var et system, der kørte på én central mainframe. Det kørte også på en IMS-database, så det kørte virkelig godt. Det betød, at de fleste sygehuse havde data tilgængelige for hinanden, man kunne se, hvad der var sket ved indlæggelser på andre sygehuse og man kunne se, om der var særlige oplysninger som f.eks. medicinallergier, en oplysning af stor vigtighed. Der var to begrænsninger: 1) For at se data på en patient, skulle man have patienten indlagt eller indskrevet på ens egen afdeling. Det var jo let at kontrollere, når det hele lå lagret i Skejby. 2) Hvis der var tale om en indlæggelse på en psykiatrisk afdeling, kunne man ikke tilgå oplysningerne, med mindre det var oplysninger om en kontakt på ens egen afdeling. Også let at kontrollere. Selvfølgelig kunne man sny. Man skulle blot oprette en falsk kontakt, læse de sikkert meget spændende data, og slette den falske kontakt igen. MEN systemet loggede den manøvre, og ville skrive den ud på listen til sygehusets sikkerhedsansvarlige. Også meget nemt at lave. I øvrigt var benyttelsesloggen særdeles detaljeret. Faktisk gemte den hvert eneste skærmbillede. Dem var der til gengæld ikke så mange af.
Da Det Grønne System kom til, fortsatte Det Røde System med at fungere som en fælles "Databank" og oplysningerne var stadig tilgængelige, med de behørige check, også selv om driften af GS for nogle sygehuse blev udført andre steder.
Problemet med SUP/eJournal og nu NPI, er, at man ikke maskinelt og centralt kan sikre, at man har en rigtig kontakt med en given patient og derfor ikke kan sikre maskinelt, at man som læge har ret (som det var defineret af Registertilsynet) til at se denne patients data. Desuden er kredsen af personer, der kigger på disse data, blevet ret meget større. For praktiserende læger kan adgangen sikres ved, at de ikke får lov at læse data, med mindre de samtidig har adgang til patientens digitale signatur. Altså at patienten har givet tilsagn. Det kræver, at ALLE har en digital signatur, i praksis et borgerkort af en slags. Og at patienten har det med. Bevidstløse patienter må antages at være et forsvindende lille problem i lægepraksis. I givet fald har lægen også andre opgaver end at tilgå NPI!
Borgerne selv kan bruge sin digitale signatur, og kunne derfor i princippet se alt om sig selv. Utvivlsomt også alt om sine børn! Det var måske ikke lige meningen, men hvordan skal man styre dette, uanset valgt teknologi? Her er det største problem, at man mange steder begrænser adgangen til meget nye registreringer, da "man" er lidt ked af, at borgerne kan se data, der ikke er forberedt til dette. Lidt pudsigt, da borgere har haft adgang til egen journal i årevis som papir, dog med en mulighed for begrænset "censur".
Så er der sygehusene. De vil oftest få en henvisning, lang tid før patienten dukker op. De vil have brug for at kunne se nogle data, uden at patienten møder op med sin digitale signatur og giver dem adgang. Det skal altså skrues sammen på en anden måde. Og mange forskellige personalegrupper vil skulle have adgang til patientens oplysninger. Man kan ikke i praksis lave ret mange begrænsninger på typen af tilgængelige oplysninger, da der jo kan stå alt muligt i en journaltekst - og gør det - og en filtrering fra systemets side ville kræve en ganske fremskreden kunstig intelligens. Adgangen kan sikres med password og andre og bedre former for adgangskontrol. Og logning sådan som det allerede skal sek i dag. Man kan udbygge opfølgningen på den logning med mere intelligent kontrol af, om oplyningerne nu også VAR nødvendige i forhold til, hvad der siden er foretaget emd personen. Perfekt bliver det aldrig.
Men kan det undværes? I så fald kan sygehusene vanskelligt forberede sig på patienten og foretage prioriteringer af ventelisterne. Og er patienten bevidstløs, er man helt på spanden. Det sker faktisk tit!
-
0
-
0
Ditlev
Jeg ved ikke om du opfatter det ovenstående som et argument for de fejl men begår eller som et råb om hjælp. Hvis det er førstnævnte, så narrer du dig selv. Du argumenterer fra en centralistisk systemtilgang men kommer ikke ind til problemets kerne.
For det første begår du den grove fejl at sætte lighedstegn mellem hvad "man" kan centralt i systemet og hvad "hvem" kan, dvs. du mener selv at skulle kunne det samme som lægen kan - det er nonsens. Systemadministrator er en bagdør som skal designes ud - han kan lave backup af krypterede data, men ikke kende indhold eller hvem data vedrører.
Du må ikke centralt kunne blot tilnærmelsesvis det samme som lægen. Kun en specifik behandler-relation kan berettige adgang til personhenførbare EPJ-data, det er lovens klare budskab selvom forvaltningen har gjort mange forsøg på at tilrane sig ikke-legitim adgang med "løgnagtige" påstande om hvad "man kan".
Selvfølgelig nytter det ikke at holde fast på principper som ikke kan håndteres - men vi kan sagtens håndtere problemerne hvis man blot begyndte at agere demokratisk. Sikkerhedsmæssigt har vi alle de værktøjer vi skal bruge - resten er vilje til at overvinde særinteressernes skævvridning.
For at tage det bagfra - akut/nødsituationen er vigtig. Men Det bør ske ved at borgeren selv fysisk bærer en nøgle til override og endda for kritiske sygdomme data til off-line brug. Her er en andengenerations RFID perfekt - den tekniske sikkerhed kan håndteres. Omkring risikoen for at man kan "miste" RFIDen, så vil jeg ikke advokere for implementering selvom nogle vil. Min preferred er som en "dogtag" eller et smykke man altid bærer - formålet er IKKE at identificere i dagligt brug (det er en RFID ikke stærkt nok til fordi der ikke er et brugerinterface), men KUN til nødstilfælde.
Du begår endvidere den klassiske fejl at tro at "mainframen passes bedre" og forveksler det med sikkerhed. Problemet er - som du selv påpeger - at verden ikke er et mainframe system. For at få fordelene af digitalisering en meget mere åben struktur. Mainframen er blot en database server som ikke er mere sikker end den eksterne nøglehåndtering. Bagdøre på mainframen er en åben invitation til misbrug.
Faktum er at man ikke i et centralt system KAN rumme modeleringen af verden rent sikkerhedsmæssigt og netop derfor ikke bør ligge magten i en primitiv adgangskontrol. Denne adgangskontrol degenerer af bl.a. administrative årsager til "overvågning", "logning" og "rolle-baseret adgangskontrol" som substitut for sikkerhed.
I praksis må du foretage det afgørende skift - serveren MÅ ikke kunne tilgå identificerbare data. Serveren kan checke formålsspecifikke credentials med henblik på adgangsbegrænsning og evt. betinget identifikation (dvs. mulig efterfølende ansvarliggørelse), men hvis adgangskontrollen KAN give tilgang til usikrede data, så kan både kriminelle og dem som styrer systemet gå udenom sikkerheden og blotlægge data.
I stedet skal patienten have kontrollen med data klient-side. Men kunne finegrained delegere en nøgle til netop dem som har behandler-relationer - og evt. kortvarigt under indlæggelse til en mere dynamisk håndtering på en hospitalsafdeling hvor udskiftningen er stor.
Det er klart at denne specifikke sikkerhed er begrænset af vores evne til at gøre det brugervenligt og forståeligt, dvs. nøglehåndteringen er den kritiske faktor BÅDE for at sikre mainframen og for at sikre patienten.
Du skriver så
For praktiserende læger kan adgangen sikres ved, at de ikke får lov at læse data, med mindre de samtidig har adgang til patientens digitale signatur. Altså at patienten har givet tilsagn. Det kræver, at ALLE har en digital signatur, i praksis et borgerkort af en slags. Og at patienten har det med.
Nej - INGEN må kunne se personhenførbare data medmindre de eksplicit har nøgler til at få adgang. Det andet kan ikke sirkes i en digitalt integreret verden. Det løb er kørt.
Formålet med et Borgerkort er IKKE at identificere af hensyn til en ikke-eksisterende serversikkerhed, men en væsentligt mere fine-grained nøglestyring og nøglehåndtering.
Borgerne selv kan bruge sin digitale signatur, og kunne derfor i princippet se alt om sig selv. Utvivlsomt også alt om sine børn! Det var måske ikke lige meningen, men hvordan skal man styre dette, uanset valgt teknologi? Her er det største problem, at man mange steder begrænser adgangen til meget nye registreringer, da "man" er lidt ked af, at borgerne kan se data, der ikke er forberedt til dette. Lidt pudsigt, da borgere har haft adgang til egen journal i årevis som papir, dog med en mulighed for begrænset "censur".
Sundhedssektoren i en nøddeskal - alle andre end patienten skal kunne se data om patienten. En rigtig fabriks- og regime mentalitet.
Vi har etiske begrænsninger såsom aldrig at præsentere en patient om terminale sygdomme uden der er en læge til stede. Men det er ikke din pointe.
Så er der sygehusene. De vil oftest få en henvisning, lang tid før patienten dukker op. De vil have brug for at kunne se nogle data, uden at patienten møder op med sin digitale signatur og giver dem adgang. Det skal altså skrues sammen på en anden måde.
Med henvisningen laves en specifik delegering.
Sygehus er en meget mere kompleks størrelse end de fleste har forholdt sig til - men det sidste man skal gøre er at forsøge at håndtere den dynamiske kompleksitet i en mainframe.
Og mange forskellige personalegrupper vil skulle have adgang til patientens oplysninger. Man kan ikke i praksis lave ret mange begrænsninger på typen af tilgængelige oplysninger, da der jo kan stå alt muligt i en journaltekst .. Perfekt bliver det aldrig.
Den gruppe må ganske enkelt ikke have adgang til personhenførbare data. Man skal selvfølgelig lave løsninger hvor dele af data gøre tilgængelige på gruppe-bases som f.eks. Rollebaseret adgangskontol - men selvfølgelig kun til IKKE-personhenførbare data. Behandler-relationen er den eneste valida adgang.
Jeg vil trække EPJ sikkerhed helt derud hvor det ikke er teknisk muligt at slå en given borgers læge op noget sted for at undgå targeting. Hvis du har brug for den viden, så har du den allerede.
I sidste ende må man hente den via den konkrete patientsnøglebackup som formentlig dels vil indebære en varm backup (mindst 2 opdaterede nøgleenheder) og en kold backup (f.eks. en deponering baseret på key-split blandt personlige relationer inkl. spouse).
Ditlev
Beklager - jeg ved at mine kommentarer er lidt hårde, men du argumetnere ud fra en forældet mainframe-tilgang som ganske enkelt ikke er holdbar i den verden vi hastigt er på vej ind i. Der er ingen central sikkerhed - slet ikke med cloud eller ambient devices. Sikkerheden er enten designet ind i bunden og alle fysiske entiteter virtualiseret overfor den digitale online verden - eller kontrollen og magtmisbruget er overført til nogen som ikke kan håndtere den.
Ingen bagdøre - kun åbne og verificerbare frontdøre.
-
0
-
0
Al den blokering af personhenførbare data gør ethvert sundheds-it-system stort set ubrugeligt. Det kan i så fald KUN bruges til at lave produktionsstatistikker med. Og det er ikke den vigtigste opgave for sundhedssektoren.
I øvrigt er der fejl i alle systemer. Også fejl fra programmer, som vi selv har kodet. En del af disse fejl har lægerne ikke en jordisk fejl for at rette op på. Så vi som systemadministratorer har pine død brug for en "bagdør" til systemet i disse situationer. Man kan IKKE korrigere krypterede data. Det kræver selvfølgelig rimeligt stramme systemer for at holde styr på, hvem der tilgår hvad og roder med hvad. Jeg har for eksempel ikke uden videre adgang til Kundens system. Jeg skal kontakte kundens it-folk og anmode om en midlertidg adgang og forklare, hvorfor jeg skal have den adgang. Det kunne sikkert strammes mere, men det er faktisk ganske besværligt at arbejde med. Sidst tog det mig TRE timer at udskifte en desktop-ikon! Så måske har vi mere administration end egentlig sikkerhed? Men jeg tror altså ikke, at man kan konstruere ret mange anvendelige it-systemer, hvor "nogen" ikke har en mulighed for at snige sig til at se ting, de ikke har lov til.
-
0
-
0
Ditlev
Det er formentlig den tyndeste undskyldning for at ødelægge it-sikkerheden, jeg endnu er stødt på.
"Jeg skal kunne rette i data".
Der er intet væsentligt som man ikke vil kunne gøre i en Security By Design verden. I sidste ende kan patient eller læge altid delegere en - midlertidig finegrained - adgang, hvis der er behov herfor.
Men en række funktioner skal af helt naturlige årsager skifte og placeres anderledes - det er en naturlig del af innovation. Bedre betyder anderledes. F.eks. skal og vl en masse funktioner flytte helt ud til borgeren selv som den eneste der kan og har motiv til at varetage eget helbred og egne rettigheder. Men selvfølgelig med rådgivere.
Hvad vi reelt ser - også lige præcis her - er modstand mod forandring. Frygten for det anderledes får alle til at holde på sit.
Problemet er "den lille egoist" som virker på alle niveauer. Alle fokuserer på deres egeninteresse - mens hensynet til patienten og samfundet bliver sekundært.
Og i den process taber vi hele digitaliseringen på gulvet - fordi vi ligger magten forkert. Magten ligger i systemet eller hos den kommercielle udbyder i stedet for hos mennesket. Og det sker på bekostning af effektiviteten over tid, innovationen og navnlig it-sikkerheden.
-
0
-
0
