Single-sign-on sparer Region Sjælland tusindvis af support-timer

It-udfordringen: Ved at koble en række hospitals-systemer sammen med Windows Active Directory, sparer Region Sjælland 20 minutters support-tid for hver eneste nye medarbejder.

En ny sygeplejerske bliver ansat og skal oprettes som bruger både Region Sjællands Windows-miljø, men også en stribe it-systemer til hospitalet. Det tog nemt en halv time for it-supporteren at komme igennem dem alle, men nu er processen automatiseret, så det kan gøres på 5-10 minutter.

Samtidigt sparer sygehusenes medarbejdere masser af tid til daglig på at skulle igennem færre login-skærme. Her fortæller it-projektleder Michael Dehn fra Region Sjælland om projektet.

Hvad går projektet ud på?

»Vi skulle sammenlægge de tre tidligere amters it-systemer og skabe en fælles portal for de ansatte på hospitalerne i Region Sjælland, i systemet Opus Arbejdsplads fra CSC. Det udviklede sig til, at Opus Arbejdsplads også skulle give nem adgang til andre systemer for klinikerne (hospitals-personalet, red.). De skulle helst ikke bruge andet end deres Windows-logon.

Vi har omkring 12.000 kliniske medarbejdere, og når organisationen er så stor, kræver det en massiv brugeradministration. De skal have adgang til systemer, med intranet og så videre, og så selvstændig adgang til vores patientadministrationssystem (PAS), og medicinmodulet. Populært sagt skulle man oprettes to gange, og det kunne tage 20-30 minutter for vores helpdesk.

Nu har vi automatiseret anden-oprettelsen ved hjælp af webservices. Vi blev inspireret af et besøg på et lille, selvejende epilepsi-hospital, hvor de havde gjort sådan.«

Hvad er målet for projektet?

»Målet er, at det kun er nødvendigt at oprette brugerne én gang i vores IDM-system (Identity Management), og at det så sender signaler videre til vores specialsystemer. Vi har taget fat i de systemer, som flest bruger, og som var tungest og oprette, og det får både klinikerne og vores helpdesk glæde af.

Før kunne helpdesk godt have svært ved at følge med, men nu er de godt med. Der er selvfølgeligt perioder, hvor der er mange nyansættelser, hvor der er travlt. Vi får 300-400 nye ansatte hver måned.«

Hvad var din rolle i projektet?

»Jeg var projektleder for den tekniske samkørsel og for portalen. Vi var i alt fire projektledere, og jeg havde tre faste folk med i min gruppe. Det tog halvandet år og blev afsluttet sidste år. Men vi mangler stadig at gøre det samme for nogle af sundheds-systemerne. Dem tager vi løbende, i takt med at vi har økonomisk råderum til det.«

Hvilken teknologi indgik i projektet?

»Vi startede med lønsystemet, fordi det er her, de første officielle papirer bliver oprettet ved en ansættelse. Vi har ét AD for hele Region Sjælland, og så lavede vi en snitflade fra lønsystemet til vores IDM-system. Derfra bliver brugerne automatisk oprettet i andre systemer ved hjælp af webservices.

Vores patientadministrations-system og medicinmodul er CSC-systemer, så CSC hjalp os med at udvikle de webservices. Og så supplerede vi med et lille egetudviklet system, fordi der er mange parametre i patientadministrations-systemet. Vi vil ikke have så mange parametre i vores AD, bare bruger, rolle og sted. Det er ikke nok til PAS, så vi har de supplerende parametre i det lille supplerende system.«

Hvilke problemer eller udfordringer stødte I på undervejs?

»Vi troede, at det var en udfordring at få lavet disse webservices, og at CSC ikke var i stand til det. For de havde ikke gjort det før, selvom det ikke er ny teknologi, så vi undrede os over, at det ikke var lavet før. Men de gik vældigt konstruktivt ind i det, og vi havde et forbilledligt samarbejde.

Vi skulle også vænne folk til, at de skulle bruge samme bruger-ID flere steder. Der var lidt forvirring, så vi delte det op i små etaper for at sikre, at det ikke gik galt. Og så gjorde vi det samtidigt med, at der alligevel kom ny sygehus-struktur, hvor der blev indført ét sygehus-nummer for hvert sygehus.«

Hvilke anbefalinger kan I give videre til andre?

»Jeg kan kun anbefale andre at gøre det samme. Og så er det vigtigt at have ét fælles AD, og at man ikke har it delt op i mange forskellige, selvstændige organisationer, for så er det svært at se nytten af, at det hele er fælles.

Når folk bliver oprettet, har vi valgt at de får minimumsroller, så for eksempel en sygeplejerske får minimumsadgang til det mikrobiologiske system. Hvis hun så skal arbejde i mikrobiologisk afdeling, kan den lokale it-afdeling løfte hende op til ekspert-bruger.

Så får vi gevinsten fra de mange, som ikke har brug for fuld adgang, i stedet for at fokusere på de få undtagelser. Tit har man fokus på de få brugere, der er komplicerede, i stedet for de mange, der er simple.

Næste trin er sessionsbevarelse med tynde klienter, som de har indført på Bispebjerg Hospital. Så man kan kalde sin session frem på alle computere. Det skal vi også supplere med, og det regner jeg med sker næste år. Man kan sige, at vi har taget første halvleg, og de har taget anden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Der er i sig selv intet galt med de målsætninger som er sat op. Teknologivalget er derimod farligt fordi det fastlåser systemerne.

Vi står i dag i en alvorlig modsætning mellem tilgang på den ene side og sikkerhed på den anden side med fleksibilitet, åbenhed og opgraderbarhed som kritiske parametre.

I Sjælland vælger man en total sammenkøring men uden en plan for at rydde op igen og uden rum for en klient-side nøglekontrol. Konsekvensen er f.eks. at man blokerer sig selv fra at kunne bruge cloud fordi man har eliminerer mulighederne for at sikre systemerne. Samtidig risikerer man at blokere for at kunne sikre en løsning af gangen.

Denne form for Plug-on sikkerhed = ingen sikkerhed.

Men det skal også holdes op mod det nuværende kaos mange steder. Det er bare en dårlig strategi at gøre det pænt på overfladen, mens man blokerer for at løse problemerne nedenunder.

  • 0
  • 0
#3 Anonym

Nej - faktisk er der mange fejl på en gang. OG at alle får adgang til et system er ligegyldigt fordi adgang til et system ikke i sig selv bør kunne give autorisation til noget.

a) Systemerne må ikke kontrollere data. Data skal adskilles fra systemet og systemet må kun kunne se de data som en konkrete bruger må kunne se.

b) Modellen er central administreret i stedet for dynamisk opbygget. At tildele autorisation er en gruppe-ret, ikke en specifik ret overfor en specifik borger. Denne model beskriver klart hvordan det fører til at centrale besparelser sker på bekostning af sikkerhed.

c) Modellen er ikke-interoperabel. One-size-fits-all og ude af stand til at rumme parallelle sikrede systemer så man f.eks. kan sende noget i cloud.

d) Nøglekontrollen er central=nul sikkerhed - det er ren perimeter som vi ikke kan regne med.

e) Man genbruger nøgler på tværs af kontekst hvorved man umuliggør logisk sikkerhed som er den eneste måde at erstatte erosionen af perimetersikkerheden.

Men hovedproblemet er at modellen er ekslusiv og etablerer bagdøre til alt. Den kortsigtede "effektivisering" målt på én regnskabspost sker på bekostning af sikkerhed og innovation i hele systemet, dvs. blokerer for effektivisering.

Men det er meget typisk offentlig planøkonomisk tænkning - kortsigtede stive centralistiske tiltag som gør os mere ineffektive og reducerer tilpasningsevnen.

Jeg siger ikke at det er nemt - men som jeg læser dette så gennemfører man en Big Bang som kun kan løses med endnu en Big Bang. Det er ikke holdbart. Vi er nødt til at arbejder os hen mod åbne og interoperable interfaces så processerne kan arbejde uafhængigt.

  • 0
  • 0
#4 Marc Munk

Jeg burde kunne have sagt mig selv, at du ikke bragte noget nyt til bordet. Du så lige en overskrift, hvor du kunne fyre din sædvanlige svada af..? Du kan godt designe et system, der bruger SSO uden at det nødvendigvis også skal bruge personhenførbare data. Det kræver selvfølgelig at det designes ind fra starten af men umuligt? Det vil jeg ikke mene det er.

Problemet som jeg ser det med det her system er at åbenbart har valgt ikke at bruge et rolle basseret system. Havde man det ville personalet ikke have adgang til data fra andre afdelinger, hvilket jeg ville mene måtte være bedre for persondata sikkerheden. Og i sidste ende spare arbejde for den lokale itafdeling på alle afdelinger. De slap for at skulle 'opgradere' rettighederne for brugeren.

  • 0
  • 0
#5 Anonym

Det er ret ligegyldigt om det er rollebaseret eller ej. Det er blot en metode i den centrale administration som ikke i sig selv må give adgang itl persondata.

Du kan godt designe et system, der bruger SSO uden at det nødvendigvis også skal bruge personhenførbare data. Det kræver selvfølgelig at det designes ind fra starten af men umuligt? Det vil jeg ikke mene det er.

Du udtrykker dig ikke præcis her. Ja, man kan godt lave systemer som ikke bruger personhenførbare data.

Men du kan ikke lave end-to-end-systemer hvor f.eks. du kommunikerer med din læge med server-side SSO systemer fordi nøglekontrollen ligger serverside.

Du kan godt etablere en overbygning - men det kan ikke beskytte mod SSO der kobler på tværs.

Hvis du vil sikre en digital transkation og system så er du nødt til at helt at ignorere SSO og etablere et parallelt system ved siden af.

Problemet er at det vil SSO-politiet (den antagede tvangspolitik som vi f.eks. ser i eDag3) i sig selv modarbejde i stedet for at understøtte - som det burde.

Server-side SSO er i sig selv en samfundsnedbrydende tankegang fordi det flytter magten fra personen til systemet - og systemet fejler i tiltagende grad.

Vores udfordringer er at have klient-side SSO-funktionalitet uden det kan detekteres server-side.

  • 0
  • 0
#6 Anonym

Marc

Lad os reducere diskussion til det helt konkrete.

Vi kan med rette fremføre at mange klienter i dag er sårbare overfor forskellige former for vira, dvs. at de skal forbedres og herunder at nøglerne skal flyttes ud i et tamperresistent space etc.

Men vi kan ikke med rette fremføre at serverne ikke er endnu mere usikre når man gange op med risiko og konsekvens. hvad værre er - der er er ingen fremtid for server-baereret sikkerhed. De kan kun blive mere usikre i takt med at de bliver mere åbne, mere tilgængelige og kritiske funktioner flyttere tættere på det rent softwarebaserede cloud. Der er ingen sikkerhedsmodel til cloud - ikke engang teorietisk og jeg kan ikke se den komme.

Konklusion: 1) Den kortsigtede gevinst som Region Sjælland taler om er måske nok reel givet de historiske problemer med adskilte systemer og besværet med adgangskontrol.

Men den model man arbejder med lider af 2 seriøse problemer 2) Man er nu igang med at hardkode alle applikationer op mod et destabiliserende setup, dvs. man skaber legacy og koncenterer risiko enormt.

3) Man blokerer for at sikre modeller kan køre og modnes parallelt, dvs. man gør legacy total. Du kan ikke koble en Security By Design model ind i en Server-baseret SSO uden at invalidere hele modellen.

Dvs, de kortsigtede gevinsterne vil lynhurtigt blive ædt op af de problemer man selv skaber og de løsninger man forhindrer. Det er et gennemgående problem i det offentlige, men sikkerheden rammer alle applikationer og processer så det er et alvorligt problem.

  • 0
  • 0
#7 Marc Munk

Du udtrykker dig ikke præcis her. Ja, man kan godt lave systemer som ikke bruger personhenførbare data.

Men du kan ikke lave end-to-end-systemer hvor f.eks. du kommunikerer med din læge med server-side SSO systemer fordi nøglekontrollen ligger serverside.

Erm okey. Der er intet til hinder for at designe systemet sådan at du blot får adgang til systemet uden at få adgang til persondata. Du har selv et par gange komme med meget ukonkrete designforslag til en løsning hvor det er patienten der skal give adgang til disse data. Men det mener du altså ikke kan bygges sammen med et SSO system?

  • 0
  • 0
#8 Anonym

Du har selv et par gange komme med meget ukonkrete designforslag til en løsning hvor det er patienten der skal give adgang til disse data. Men det mener du altså ikke kan bygges sammen med et SSO system?

Jeg ville ønske jeg kunne se bare en model for hvordan det skulle kunne lade sig gøre. Men jeg opfatter det som et logisk umuligt problem at løse.

Sjælland vil aldrig kunne indføre dette som en dækkende løsning og det er kun et spørgsmål om tid inden den skal udfase igen.

Problemet er at hele tankegangen om serverside identifikation som del af sikkerheden ikke bare er forældet men modarbejder formålet.

Det værste der kan ske er katastrofer som eDags3 hvor centrale it-folk og andre bureaukrater ser det som vejen frem at tvinge alle til at indordne sig på en sådan ineffektiviserende tankegang.

Men omvendt er problemet at selvom vi kan se masser af konkrete løsninger, så er det en kæmpe udfordring at få alle aspekterne samlet i en simpel brugervenlig og teknisk funktionel model.

  • 0
  • 0
#9 Deleted User

Kære Alle

Jeg kan se, at debatten udspringer fra tidligere debatter om emnet. Og at der er en super god ild og interesse for et af hvor tids vigtige emner. Godt at det er sådan!

MEN jeg må tillade mig kort at demontere debatten en smule med væsentlig baggrunds viden..

Pkt.1: Vi skal efterleve et sikkerhedsniveau der overstiger et normalt kontor niveau. Pkt.2: Alle vores dispositioner gøres med klinikeren for øje, under hensyntagen til pkt.1.

Ovenstående projekt var jo en del af den samlende konsolidering af regionens "epj-" og andre kliniske systemer. Med andre ord: Et gigantisk teknisk og processuelt projekt (eller rettere mange).

Et af dem var at samle regionen i ét fælles AD. Et andet var vores kliniske portal. Førstnævnte er vel en selvfølge som mål i alle fusioner?

Den anden er speciel, fordi der både er rolle og brugerstyring, samt kontekst bevarelse i alle de mange systemer der er implementeret i portalen. Med andre ord: Klinikeren logger sig på potalen og har adgang til de relevante funktioner/systemer via et menu system uden yderligere log-on (beskrevet standard snitflade som de enkelte systemleverandører skal leve op til). Besparelse af frustrationer og tid er den direkte konsekvens af dette. Derudover har de den enkelte patient i fokus når de skifter system (skal ikke søges frem igen). Med andre ord: flere tids- og frustrationsbesparelser for klinikeren.

Region Sjælland her dermed taget nogle store skridt for forbedringen af den enkelte klinikers hverdag i brugen af de kliniske systemer.

Er vi færdige? Nej da. Vi er startet på en lang rejse med et delmål. Mange flere ting følger efter.

Vi kan dog ikke springe alle trin over og har begrænsede midler. Derfor skal i ikke dømme os om vi er nået til det ultimative mål i denne omgang, men mere konstatere, at vi har taget et meget pænt skridt..

Jeg håber det giver klarhed?

Mvh Michael S. Hansen, IT Direktør, Region Sjælland

  • 0
  • 0
#10 Anonym

Hej Michael

Positivt at du deltager.

Jeg bemærker dog at du kun kommenterer på den ene side at problemet - at etablere adgang. Den anden side af problemet, dvs. de negative konsekvenser på kort og langt sigt undgår du behændigt - og det er der alle omkostningerne og de alvorlige negative konsekvenser ligger.

For nu at sige det simpelt - sikkerhed er nemt når default er ja - meget besværligt når default er nej.

Problemet er centralt styret perimetersikkerhed til ellers pivåbne systemer bare ikke holder, dvs. spørgsmålet som skal stilles er hvordan man forbereder sig til at distribuere sikkerhedskontrollen igen efter at man har centraliseret (og dermed elimineret) den?

Vi ved alle at sikkerhed i sundhedssektoren er en fordømt besværlig problemstilling - at det ikke er en nem eller triviel løsnng at give en læge en PDA eller en gammel senil dame et borgerkort - men hvordan undgår I at alle applikationer bliver hardkodet mod en uholdbar sikkerhedsmodel?

Et af dem var at samle regionen i ét fælles AD. Et andet var vores kliniske portal.

Førstnævnte er vel en selvfølge som mål i alle fusioner?

Nej - en ting er at have et centralt personaleregister hvor man autorisere, dvs. både kan initiere adgange kan finde sted og stoppe adgange fordi autorisationer ophører, Noget helt andet er hvis det eneste som skal til at få adgang til specielt persondata er at man står i dette personaleregister - eller rettere at systemerne har adgang til data uanset om brugeren har. Det holder ikke.

Det andet problem er at man koder systemer efter et udbyderfokus - ikke efter et behovsdrevet fokus og efter sikkerhedsmodeller som muliggør at man kan udnytte f.eks. cloud. Det fører til stive og fastlåste systemer.

Man kan vende udmeldingen rundt og sig at man måske har en tendens til se for kortsigtet på formålet og flemme at se fremad.

Læøsningen minder lidt om at løse Københavns parkeringsproblemer ved at sende alle biler til Rådshuspladsen for at få en parketingsbillet i en central billetbås. Når det endelig går op for folk at det var en dårlig ide, så er samtlige parkeringsbåse hardkodet til at kun en billet fra billetbåsen kan åbne for parkering. Bilerne parkerer hvor de vil og bagdørene til billetbåsen står på vid gab.

Endnu værre er at klinikerne ikke kontrollerer nøgler man kan bygge sikkerhed på, dvs. man har låst systemet i begge ender.

Hvad gør man så hvis man vil sikre et system?

  • 0
  • 0
#11 Deleted User

Kære Stephan

Lad mig sige det på denne måde... Jeg er helt uenig i dine betragtninger og sammenligninger. Der er netop ikke kun ét sted at få sin ticket i regionen.. Vi taler jo ikke om borgerrettede systemer her. Vi taler om systemer der skal reguleres efter om man må se data eller ej. Systemer der ligeledes bliver logget (se sundhedsdata lovgivningen). Og hurtig, sikker og korrekt adgang er meget vigtigt for vores klinikere.

Vi arbejder med ret distribueret adgang. Vi arbejder med fler-faktor adgange. Vi arbejder med tunge og tynde og mobile klienter - alt efter hvor det giver mening. Ja, vi har en central governance af sikkerhed - det tror vi ikke vi kan overlade til 17.500 brugere.

Og når man automatiserer i en virksomhed, så er det netop om man står i et givet register med de rette parametre der afgør om man kan det ene eller andet. Hos os har det betydet en kæmpe forandring for vores Personale folk. De bliver pludseligt meget vigtige i denne proces. Derudover er der, ud over de automatiske rettigheds tildelinger, også nogle der seperat kræver chefgodkendelse for at få. Jeg synes ikke jeg kan se en bedre og billigere løsning?

Virkeligheden for alle danske regioner er, at vi ikke kan lave hele vores arv om. Der er ikke 20 mia til at udskifte alle systemerne og tænke dem fundamentalt anderledes .. Så ja, vi er nødt til at bruge de midler vi har indenfor vores rammer - og dermed få det bedste for det.

Du argumenterer for Cloud, men Cloud er jo kun ét middel af mange og ikke nødvendigvis den rigtige løsning..Vi driver jo faktisk en 'private cloud' om du vil.. Og tanken er jo netop fleksibilitet, stabilitet og kapacitet når der er behov.. til bedste pris.. Og jeg synes det er en svær debat hvis midlet bliver ophøjet til målet. Målet er stadig: Let, sikker og korrekt adgang til mange tusinde klinikere hver dag.

Nu kan det godt være jeg ikke forstår alle dine pointer. Men jeg vil mene at der er sket store fremskridt og at disse fremskridt er en solid base for de skridt vi skal tage de kommende år. Og det er jeg sikker på du vil være enig med mig i?

Dernæst er jeg også enig i, at udviklingen i både teknologi, nye omgivelser /sygehus byggerier), arbejdsprocesser og andre krav, vil kræve vi kontinuerligt tager skridt mod udviklingen af vores sikkerheds paradigme.

  • 0
  • 0
#12 Marc Munk

Jeg ville ønske jeg kunne se bare en model for hvordan det skulle kunne lade sig gøre. Men jeg opfatter det som et logisk umuligt problem at løse.

Hvis det er måden du ser på det kan jeg da godt forstå at du ikke kan se en løsning på det. Se nu udfordringer istedet for problemer. Det gør det hele noget sjovere.

Du har selv tidligere talt om at alt persondata skulle være låst så det kun var patienten der skulle kunne låse disse data op. Det kan man da sagtens designe ind i et system med SSO?

At man bruger SSO betyder jo ikke andet end at man kan nøjes med at logge ind et sted og så have adgang til alle systemer. Det betyder som tidligere nævnt ikke at de nødvendigvis får adgang til alle dataene der kan bruges i de enkelte programmer.

  • 0
  • 0
#13 Anonym

@ Michael

Nu kan det godt være jeg ikke forstår alle dine pointer. Men jeg vil mene at der er sket store fremskridt og at disse fremskridt er en solid base for de skridt vi skal tage de kommende år. Og det er jeg sikker på du vil være enig med mig i?

Klart nej - det er et gigantisk skridt baglæns - tilbage mod mere af den tankegang som blev forældet for 15-20 år siden.

Der er intet at bygge på fremover - tværtimod vil I skulle rulle hele øvelsen tilbage når I skal flytte sikkerheden tilbage i applikationerne.

Det er fint at man har et centralt register over autorisation og prokura forhold. Men så skriver du selv

Vi taler jo ikke om borgerrettede systemer her. Vi taler om systemer der skal reguleres efter om man må se data eller ej.

Fint når vi taler ikke personhenførbare data - det kan rolle-styres.

Men ikke når vi taler patientdata og borgerdata - det kan ikke sikres eller styres centralt. Det vil både blokere og skade udviklingen.

Ja, vi har en central governance af sikkerhed - det tror vi ikke vi kan overlade til 17.500 brugere.

Selvfølgelig kan I det. .. og de 820.000 borgere. Det er den eneste måde at få sikkerhed i disse systemer.

Centralt kan man lave backup af krypterede data for at sikre availability. Og man kan blokere adgange hvis credentials ikke er up-to-date, men man må aldrig kunne få adgang til hele den blotlagte database med personhenførbare data.

  • 0
  • 0
#14 Anonym

Marc

Hvorfor i alverden skulle man forsøge at presse noget servers-side SSO ind over en sikkerhedsmodel!?

Det kan kun reducere sikkerheden (ved f.eks. at gøre data personhenførbare) og gøre systemerne mindre interoperable.

Det er fair nok at man serverside kræver check af autorisationer for at kunne stoppe adgange for afgående medarbejdere - men det bør ikke involveere identifikation af brugeren og slet ikke genbrug af nøgler på tværs af kontekst som er den helt store risikoskaber.

  • 0
  • 0
#16 Deleted User

Kære Stephan

Det er så kedeligt, at du ikke kan se ud over dine egne ambitioner og ellers gode tanker til at du kan anerkende et godt tykke arbejde som Michael Dehn og rigtigt mange andre involverede har lavet.

Din debatform gør, at en ellers god idé dør! Tænk på det.

Det er ikke muligt til at give borgerne fuldt ejerskab og dermed kontrol over data, ligesom det vil være MEGET uheldigt ved mange akutte situationer at det er den enkelte borger der skal bestemme - og så skulle vi alligevel have en central 'override' mulighed.

Borgerne HAR deres date via sundhed.dk. Og der kommer hele tiden flere detaljer til. Tjek f.eks. e-journalen hvor så godt som alle sygehuse bidrager til den enkeltes journalom et par måneder. Med deres egen digitale signatur iøvrigt.

At lægge sikkerheden tilbage i aplikationer konmplicerer i virkeligheden hele problemet - og dermed gør det sikkerheden svagere. Hvis du endeligt skulle gå den vej - hvilket ikke ligger i de udstukne rammer (!) - så burde det være på data niveau at sikkerheden blev implementeret og ikke engag applikationsniveau.

Tanken om at data ejes og styres af den enkelte borger kan være meget god. Dog skal du tage den til politikerne i stedet for at bruge alle debat muligheder til at ride den hest.

Iøvrigt synes jeg, at du kun argumenterer ud fra hvad du selv synes og ikke fakta.

Du har nu fået hvad der er virkeligheden og ikke en teoretisk tanke. Fakta er, at det slet ikke er muligt at implementere dit ønskede paradigme i de flere hundrede special systermer der findes på de enkelte sygehuse! Så dine tanker er ret progressive, men markant ude af trit med en virkelig verden.

  • 0
  • 0
#17 Marc Munk

Hvorfor i alverden skulle man forsøge at presse noget servers-side SSO ind over en sikkerhedsmodel!?

Jeg ved godt du ynder at se på datasikkerhed som den eneste form for sikkerhed. Men sikkerhed er meget bredere end det. Det vil alt andet lige ikke øge sikkerheden at alt personfølsomt data skal findes på hver tyk klient på hele hospitalet. Heller ikke selvom man så kun har den del der kan være relevant for den enkelte afdeling.

Det kan kun reducere sikkerheden (ved f.eks. at gøre data personhenførbare) og gøre systemerne mindre interoperable.

Det mener jeg ikke er sandt. Jeg mener godt at vi kan designe systemer der tilgodeser datasikkerheden foruden resten af det brede område vi til dagligt kalder for it sikkerhed.

Det er fair nok at man serverside kræver check af autorisationer for at kunne stoppe adgange for afgående medarbejdere - men det bør ikke involveere identifikation af brugeren og slet ikke genbrug af nøgler på tværs af kontekst som er den helt store risikoskaber.

Med brugeren mener du den enkelte medarbejder eller kliniker? Jeg ville være ked af at der ikke var mulighed for at se hvilken kliniker der har set på de data de nu engang får adgang til når de skal analysere en blodprøve f.eks.

Husk at vi ser på: Hvad får vi ud af det og hvad mister vi?

  • 0
  • 0
#18 Anonym

Michael

Jeg ville stadig foreslå at debatten kunne fungere mere konstruktivt under andre former, men siden du insisterer på denne måde.

Det som du kalder "virkelighed" og "fakta" er ikke andet end valg truffet af bureaukrater og dem som lever af at gøre som bureaukraterne vil have det.

Du fremlægger ikke en faktuel barriere og slet ikke en analyse som ser fremad med blik for de krav som må indregnes. Systemer kan pakkes ind og problemer kan isoleres midlertidigt. Det afhænger af om man har noget som minder om en vision.

Hvis du med "et godt stykke arbejde" mener Regionernes "Pejlemærker" http://regioner.dk/DanskeRegionerInternet/Sundhed/Sundheds-IT/~/media/Fi...

Så beklager at måtte være negativ - I påstår at indregne fremtidens behov, men jeg ser meget lidt i den retning - det bruges som undskyldning for det jeg ville kalde den bureaukratiske teknologidetermisme. Alting filteres efter et bureaukratisk paradigme - ikke efter et behovsdrevet - og det afpejler resultatet.

Rapporten udmærker sig ved en række nemme beslutninger som allesammen læner sig op af en stram centralisering. Den bygger på mig at se på 2 kritiske antagelser - at centralisering og tvangsstandardisering effektiviserer og at der er noget som ligner en holdbar it-arkitektur til grund. Ingen af disse antagelser holder.

1) At den vover at bruge udtryk som "Patient Empowerment" er spinretorik uden indhold. Det er det 100% stik modsatte. Man flytter styringen VÆK fra behovet og centraliserer voldsomt -> ineffektiviserer.

(Sundhed.dk og Borger.dk misbruges som dårlige undskyldninger for total registersamkøring uden nogen sikkerhedmodel eller funktionel værdiskabelse - det er essensen af Rådhuspladsanalogien og reducerer Empowerment til retten til at se med på de nyinstallerede overvågningskameraer i folks soveværelse.)

2) At den vover at bruge udtryk som "optimering af sygehusdrift" er for mig at se udtryk for ren planøkonomisk tænkning. Der er nok små synlige regnskabsposter som forbedres (a la artiklen her), men omkostningerne flyttes og man indregner slet ikke den næremst deterministiske planøkonomiske ineffektivisering.

Der ser ingen mekanismer fremlagt hverken økonomisk, teknisk og slet ikke interoperabilitetsmæssigt som kan bidrage i den forstand.

2) Jeg ser heller intet grundlag for "Samarbejde og Sammenhæng" andet end krav om indrapportering til de centrale databaser.

Hvis man f.eks. vil dele i en lukket behandlergruppe med patienten i centrum, en blødere kreds af plejefunktioner og samtidig en personlig kreds af familie og venner omkring så kræver det helt anderledes og stærkere sikkerhedsmodeller for at modvirke det hastigt eskalerende misbrug - i staten planøkonomisk, i infrastrukturen kommercielt men også de kriminelle bagdøre tager til.

4) Jeg kritiserer derimod ikke at man giver klinikeren adgang til data - selvfølgelig skal de det. Problemet er at der ikke er nogen måde at styre HVILKE data han skal have adgang til, slet ingen måde at sikre at andre ikke har adgang til data og interoperabilitet er det sædvanlige med at fastlåse på flere niveauer uden forandringsevne.

Det eneste I for mig at se vil gøre er at ligge alle patientdata online og flytte hele styringen centralt så vi mister alle effektiviseringsdrivere og sikkerhed reduceres til en mediejoke.

Jeg forstår godt at man har et stort behov for handling, at problemet er komplekst og udgangspunktet er nærmest kaos i gammel spagetti.

Men dette er at svigte. Det er visionsløst og enderne mødes ikke.

Det ekspert- og bureaukratvælde som sættes op bryder totalt sammen af mangel på ressourcer som igen skyldes mangel på rettidig omhu (f.eks. lige nu).

Fremtiden er stærkt distribueret, online, præget af et væld af mere eller mindre autonome devices og automatiske feedback mekanismer og triggers. Den er præget af secondlevel eksperter som hurtigt kan trækkes ind telemedicinsk - mange udenlands. Den er også præget af et væld af nye kommercielle interesser som kommer dybt ind i sundhedssektoren og en nuværende sundhedsstruktur som slet ikke kan finansieres - i noget land i verden.

Der skal radikale forandringer til - og vi har afsindigt travlt med meget lidt tid at forberede os i. Der skal være en meget skarp visionsforståelse og fokus på de kritiske nøglespørgsmål som bare skal på plads.

Der skal en helt anden grad af forståelse for egenomsorg, evidensbaseret forebyggelse og patientnetværk. Og man er nødt til at arbejde målbevidst.

Teknisk skal - som du selv peger på - data UD af applikationen og over i en struktur hvor online sikkerhed og end-to-end sharing er i højsæddet, dvs. 100% klient-side nøglekontrol - herunder også for at kunne give sikekr sekundær adgang.

Sikkerhedspolicies, dvs. valideringer etc. hænger tæt sammen med forretningslogikken og skal dermed TILBAGE i applikationen - gerne som fælles regelstyrede moduler fremfor den hardkodning af implicitte antagelser som man i dag låser sig fast på.

Den del skal formentlig ses i forhold til hele processunderstøttelsen i bredere forstand. Men det er andre meget bedre til end jeg er.

Den ontologi-støttede interoperabilitet er kritisk for at undgå at "standarder" blokerer for fornyelse. Specielt på sikkerhedssiden.

Men der er reelt intet som server-side SSO kan tilføre generelt på tværs andet end stiv administration og reduktion af sikkerhed. Om man skal gøre det rent midlertidigt fordi brugerdevices ikke er på plads!? Teknisk måske - logisk nej. Hvordan undgår man at række fanden en lillefinger !?

Teknisk er der mindst 2 seriøse udfordringer som end ikke addresseres.

a) En vision for end-to-end sharing mellem patient og direkte involverede i behandlingen. Det kræver at nøglehåndteringen er på plads - og det er det svære.

Både den logiske nøglestruktur som samtidig skal muliggøre sekundær tilgang til ikke-personhenførbare data OG gøres nemt for både borger og fagpersoner. Og ja, akut er et issue, men håndterbart. Og der er stor forskel på situationen under indlæggelse i et næsten kaotisk hospitalsmiljø (set sikkerheds- og kommunikationsmæssigt) og andre situationer.

Men du kan intet gøre i en situation, hvor ingen kontrollerer egne nøgler, hvor sikkerheden fastlåsesi knuudepunkter serverside og hvor fokus ligger på styring af behovet i stedet for at behovets valg tvinger processerne til at tilpasse sig.

b) at få det hele gjort semantisk interoperabelt. Ikke bare på fagtermer og G-EPJ (som jeg nok skal hold afstand fra at blande mig i), men navnlig på sikkerhed, kommunikation og det underliggende applikationen. Vi ser ind i en verden med en eksplosion af medico-devices spredt ud over det hele.

I er ikke i nærheden af at have styr på en arkitektur eller en vision som kan rumme det. Bare op i "e-journalen" og så kører det hele.

Det eneste jeg ser er en blind 1960-style nærmest tayloristisk embedsmandsfilosofi som gælder om at koble alting op på den store centrale "governance" mainframe hvor man kan sidde centralt og fjernstyre alting - mens alt går i sort af mangel på effektiviseringsdrivere og mangel på fleksibilitet.

I forsøger at demonstrere handling - men enderne mødes slet ikke. Når I engang om 6-8 år kommer frem vil I opdage at I er landet et sted hvor ingen ønsker at værre - og så er problemerne først mangedoblet i omfang.

I vælger selv jeres "virkelighed" og "fakta", men det er skatteborgerne og patienterne som kommer til at betale - plus de ansatte i sundhedssektorens dårlige samvittighed over ikke at slå til.

Kort sagt - hvis "Pejlemærker" er det "gode arbejde" som jeg burde støtte. Så må jeg sige at man har svigtet på opgaveformuleringen - bortset fra at generere lidt lappeløsninger ovenpå kaos og bringe os fra asken til ilden.

Vil vi have politikerne ind over? Så går det da først for alvor galt. Det fungerede ikke før L50B og nu er det dokumenteret at det går helt galt efter embedsfolkene fik frit spil. Jeg kan se af Pejlemærker at man vil fjerne de sidste rester af pseudo-rettigheder.

Beklager Michael - jeg betvivler ikke den gode vilje. Men resultaterne er præget af en klar mangle på visioner og et forældet bureaurkatisk paradigme.

Darnmark har ikke råd til at sundhedssektoren går i sort.

  • 0
  • 0
#19 Rene Madsen

Borgerne HAR deres date via sundhed.dk. Og der kommer hele tiden flere detaljer til. Tjek f.eks. e-journalen hvor så godt som alle sygehuse bidrager til den enkeltes journalom et par måneder. Med deres egen digitale signatur iøvrigt.

Ja tak, kan jeg komme ind på det site uden signatur fra DanID? NEJ, jeg vil have adgang til mine data uden om DanID. Giv mig i det mindste mulighed for selv at vælge login metode og ikke låse mig fast til DanID.

Btw. Jeg har ikke mine data, sundhed.dk har mine data hos sig ;-)

  • 0
  • 0
#20 Rene Madsen

Du har nu fået hvad der er virkeligheden og ikke en teoretisk tanke. Fakta er, at det slet ikke er muligt at implementere dit ønskede paradigme i de flere hundrede special systermer der findes på de enkelte sygehuse! Så dine tanker er ret progressive, men markant ude af trit med en virkelig verden.

Nej, data er nu blevet centraliseret. Hvis det skulle være en mere fremtidsorienteret løsning, så havde man valgt at lave dokumenterede snitflader imellem de forskellige systemer, så man kan skifte et delsystem ud når det bliver nødvendigt. Men som det er blevet lavet nu, så har man låst sig fast i en svær situation, når det centrale skal skiftes ud, det bliver meget svært og kan koste nedetid.

Delsystemer med interoperability i mente giver fleksibilitet og mulighed for at skalere og forbedre delsystemer. Det giver også mulighed for at mindre virksomheder kan være med og dermed øge konkurrencen på det område. Det er noget sværrer med et centralt system uden interoperability i mente.

  • 0
  • 0
#21 Anonym

Rene

Man skal passse på med at reducere sundhedssektoren til simple unuancerede betragtninger.

"Central" betyder i denne kontekst personhenførbar for andre (navnlig servere) end patienten og dem som er direkte involveret i behandlingen. Data som ikke er personhenførbare eller adgangen monopoliseret i en gatekeeper er ikke "centrale".

Mmen det samme gælder at man skal tage teknologiske spørgsmål som rammer mange forskellige processer og mennesker meget mere alvorligt end det sker i dag, hvor specielt embedsfolk ofte agerer ud fra nogle letkøbte antagelser som ofte er stærkt fejlbehæftede

Vi kan f.eks. pakke de gamle systemer ind, så de fremstår som vi sigter efter mens de gradvist udskiftes/opgraderes. Det gjorde man med de gamle 3270-systemer - det skal vi gøre igen fordi kravene er langt større i dag end for 20-30 år siden hvor mange af de nuværende modeller stammer fra.

Vi kan isolere de kritiske situationer, såsom akut, så det ikke får lov til at ødelægge basisdesignet. Og så kan vi løse dem rigtigt med respekt for at forandringer ikke sker fra den ene dag til den anden.

Vi kan arbejde med mere dynamisk og kontekstuelt tilpassende sikkerhedsmekanismer, så f.eks. en indlag får en Digital Agent som midlertidigt og lokalt styrer adgangen og sammenstilling af data.

Tilsvarende med kommunikation - hvor intet system i sundhedsektoren overhovedet bør kende dit mobiltelefonnummer eller emailaddresse. Det er forbehold din egen styring af indgående kommunikation.

Problemet er at det hele løber sammen i meget mere alvorlig grad i Sundhedseektoren. Og der er ikke noget som bare er i nærheden af at ligne en holdbar vision.

Regionernes "Pejlemærker" ligner f.eks. blot en forværrende fortsættelse af det bureaukratisk-elitære paradigme - en tilgang som slet ikke kan følge med - hverken teknisk eller økonomisk.

Det enkeltstående mest kritiske aspekt af al it-design i dag er om det er systemcentrisk eller behovscentrisk, dvs. om kontrollen ligger indenfor eller udenfor systemet (hos mennesker).

Hvis jeg troede de mange fejltiltag var udtryk for en bevidst filosofi, ville jeg ikke skrive sådan her.

Jeg er overbevist om at det primært skyldes en dårlig organsiering og økonomistyring som ikke evner at favne problemets kompleksitet og understøtte en gradvis forbedring. Desuden er alle ramt af mangel på kompetance, dvs. sidder på bunden af hver sin lille tønde og ser kun en lille del af en stadigt mere kompleks verden.

Det minder meget om den indiske legende om Elefanten og de 5 blinde mænd, hvor ingen af de 5 blinde mænd favner elefanten men på basis af begrænset indsigt gætter forkert på hvilket dyr de har med at gøre.

  • 0
  • 0
#22 Deleted User

Kære Stephan

Nu sker der lidt i debatten.. Og med dine seneste indlæg demonstrerer du jo indsigt i problemstillingen.. Så det er jo på sin plads at jeg trækker udsagnet om det modsatte tilbage  Og ja, det her er et svært sted at have en ordentlig debat.. Der er klart bedre måder. Se, du adresserer flere problemstillinger i dine indlæg.. Og jeg tror det er vigtigt at skille dem ad for at få de det rette debat.. 1. Hvad regionerne er herre over og skal/kan de levere 2. Hvordan borgerne kan få større magt og indflydelse (læs kontrol over egne data) Er det ikke en fair opdeling?

Mht. 1. så er det RSI pejlemærkerne fokuserede på at flytte fra en nu situation til næste niveau. Det er helt sikkert kun første skridt på vejen. Men når de er opfyldt, så er vi nået rigtigt langt i forhold til i dag og helt sikkert i forhold til for f.eks. 5-7 år siden. Det er formentligt første gang der lægges op til at flytte så store dele af porteføljen op på en fælles niveau. Et niveau vi alle ønsker det skal være på. Men det er også en forudsætning for at vi kan opnå de kvalitets og produktivitets gevinster der skal til i den kommende til. Er der tale om planøkonomi? Ja, for det er den måde regionerne reguleres på. Og der udstikkes nemlig både rammer og mål (på forskellige dimensioner) som skal opnås. Samtidig med, at vi står overfor meget store demografiske udfordringer i forhold til både befolkning, men også vores ansatte klinikere. Så derfor handler det om at flytte hele det regionale sundhedsvæsen så hurtigt som muligt, til gavn for os alle. Kunne vi have valgt bedre ord til pejlemærkerne? Ja selvfølgelig. Der er mange der vil tolke dem i forskellige retninger. Jeg tror på det er et godt bud som kan lade sig gøre hvis vores aftalepartner – ministeriet – vil det. Pejlemærkerne beskriver jo ikke alt på detaljeret niveau og en del af løsningerne skal jo først i udbud og designes. I den forbindelse tror jeg du vil blive positivt stemt for den interoperabilitet der arbejdes med mellem og indenfor regionerne. Et par af pejlemærkerne indeholder jo netop en del tekniske løsninger der giver dette. Nej, ikke ud til borgerne, men mellem regionerne og indenfor regionerne. Det er klart fokus at optimere systemporteføljen til at kunne understøtte de store forandringer der er i gang og kun fortsætter i sundhedsvæsnet. Her tænker jeg på speciale planerne, de nye sygehusstrukturer og så den store mobilitet hos vores ansatte. Husk, det er vores primære fokus i den model vi opererer indenfor i Danmark..

Mht. 2. Jeg er helt enig i, at der kunne tænkes andre tanker og vil sige, at det gøres der også. Her har vi dog med et emne at gøre som regionerne ikke styrer selv. Det er en udfordring som skal og bliver løftet af alle parter i sundheds sektoren (både regioner, kommuner, praksissektor, styrelse, ministerium osv.). Derfor er det heller ikke en del af RSI pejlemærkerne som sådan. Vores andel er, at få lavet en ensartet tilgang til data (og gøre data ensartet). At sikre at vi kan levere de relevante data til det sted hvor man så skal konstruere den sikkerhedsmodel der skal sikre borgernes adgang til data. Kunne det være mere smart? Sikkert, men lige nu er det den digitale signatur der er valgt for alle statens services og data. Men denne diskussion er vel heller ikke slut og fortsætter? Det er dine (og andres) indlæg jo et godt billede af. Jeg synes du har nogle spændende tanker. Jeg kan ikke overskue om det giver andre problemer, som f.eks. matematisk øget risiko ved løst koblede tilgange? At vi har en lang række borgere der reelt ikke er digitale? At vi får flere ældre i den kommende tid? At en stor del af befolkningen formentligt er ligeglade med dette , men ønsker sundhedsydelsen når det er nødvendigt og ikke mere?.. du kender sikker flere af dem jeg nævner. Det er ikke for at tale mig ud af det, men blot for at bemærke, at der er andre hensyn også. Jeg tror, at de olk der arbejde med denne problematik også ser denne debat. Så det kan jo være det giver god inspiration, hvis de ikke allerede arbejder med det?

Lad mig lige slutte af med at sige, at borgernes data og sikkerhed om disse ligger os meget på sinde. Ligesom kvalitet og service gør det. Som du selv siger, vi kan ikke tillade at sygehusene går i sort.. Tak for inspirationen. Jeg ved jo hvor jeg kan finde dig og omvendt når arbejdet bliver aktuelt på disse områder.

  • 0
  • 0
#23 Anonym

Kære Michael

Konstruktiv opfølgning. Måske nærmer vi os tidspunktet hvor man begynder at tage fat på problemerne i stedet for at grave grøfterne dybere.

Ser frem til noget konkret.

5 væsentlige kommentarer som bør være i det åbne.

a) Selvfølgelig er det meningsløst at spilde tid på at tvangsensrette systemerne mellem regionerne.

Kun planøkonomer kan vildlede sig selv til at tro at tvangshomogenisering gavner noget. Det eneste man opnår er at skabe værre legacy og blokere totalt for innovation. Homogenisering er specialiseringens fjende nummer 1.

Koordinering og interoperabilitet skal ske via open-ended datastrukturer og de logiske processer mellem systemerne som skal indrettes med borgeren i centrum som det styrende subjekt fremfor som objekt for analyse og styring.

b) Det er slående at det er nemmere at eliminere basale rettigheder og kritiske principper i lovgivningen end det er at få ministerierne og regionerne til at samarbejde om løsninger som overholder lovgivningen og gavner samfundet.

Man vildledte folketinget omkring L50B og nu er man øjensynligt i gang med at gøre det samme igen.

c) Det er bureaukraterne som gør samtykke til et problem og vil fjerne det.

I virkeligheden er "samtykke" løsningen som bør opdateres og STYRKES kraftigt. Men det skal operationaliseres og indbygges dynamisk så f.eks. en henvisning automatisk skaber samtykke (delegering) tilpasset forholdene. En god samtykke håndtering er stort set usynlig fordi den fungerer implicit som default uden at borgeren mister kontrollen.

Det er også i patientens egeninteresse at en behandlende klinikker har adgang til AL relevant viden. Men KUN dem direkte involveret i behandlingen - til forskel fra alle andre sekundære / analyserende / servere som kun må kunne tilgå ikke-personhenførbare data.

d) Nej, jeg forventer klart ikke at udbuddet kan løse problemerne. Fejlene er lavet længe inden og som vi så med Nem bliver det kun forværret af "konkurrencepræget dialog" når de kritiske krav mangler. I rapporten er det nærmest ikke-diskuterede forudsætninger.

Man har først forstået de centrale pointer, når man kan redegøre for hvorfor den gamle Medcom-model ineffektiviserer og er overmoden til udfasning. Samt at indpakningen af de gamle systemer netop skal ske i samordning med en kraftigt opdateret Medcom som åbner hele systemet mod borgeren fremat at lukke sig om borgeren.

e) At at "give borgerne adgang til deres data". Nej, nej. Det er mere af det samme "styring af borgeren" som forårsager ineffektiviten og alle de andre problemer.

Borgeren selv er det eneste sikre koordinationselement og det skal helt ned i opgraderingen af Medcom så du ganske enkelt ikke KAN tilgå data uden om borgeren og den logiske styring fordi det sikrer koordinering og effektivisering.

Den logiske tilgang til offentlig system udvikling i dag ville være at antage at borgeren er både digitalt intelligent og kompentent, dvs. selv har alle data og kan svare på alt. Det giver ET INTERFACE som så blot skal være semantisk åbent og teknisk neutralt.

Ingen anden eller anden mekanisme kan tilvejebringe den viden, koordinering og effektivisering samtidig.

Specialtilfældende skal netop håndteres specielt - Akut, analysestøtte, håndtering af biologiske prøver, forskning, udredning af vanskelige tilfælde (inddragelse af 2. level kliniker support i en konkret patientbehandling) etc.

Så kan vi parallelt udvikle semantisk interoperable services som koordinerer via borgeren samtidig med at vi tilvejebringer borgeren værktøjer stadigt bedre værktøjer. Som sagt er en indlagt borger formentlig at sammenligne med en Digital Agent som midlertidig styrer de lokale adgange. Udenfor indlæggelse er det måske en spouse eller anden pårørende som er mere nærliggende med den primære læge som en slags backup med særlige forpligtelser.

Selvfølgelig skal vi kompensere for de udtagelsestilfælde hvor borgeren ikke kan, vil eller må bestemme selv. Vi har hele spændvidden. I starten skyldes det alvorlige fejl som Nemid og andre stærkt bureaukratiserende konstruktioner som de fakto fratager borgeren og lægen enhver indflydelse.

Hvilke systemer man bruger i en given region er ret ligegyldigt når først man har sikret at borgeren sidder i førersæddet. Det vil ganske enkelt tvinge systemerne til at samordne og trække både integration, innnovation og effektivisering.

Man har først forstået den verden vi er på vej ind i, når man har erkendt at det ikke må være teknisk muligt for en serverapplikation at kalde en anden serverapplikation med cpr-nummer som reference. Ganske enkelt fordi ingen af applikationerne kender cpr-nummeret eller en anden persistent genbrugt identifier. De er NØDT til at koordinere via borgeren og deri ligger hele løsningen.

Det er her fårene skilles fra bukkene. Bureaukraten /den systemcentrerede tænker "Åh nej, så mister jeg kontrollen og de dumme borgere kan ikke håndtere noget!". Den samfundsansvarlige tænker "Super - men hvordan sikrer vi at det fungerer i praksis, f.eks. at det ikke kan misbruges og patienten overlever bedre?".

  • 0
  • 0
Log ind eller Opret konto for at kommentere