Ehealth Suisse standarde și recomandări de arhitectură IV (proiect) comunicare între

ehealth Suisse Recomandări privind standardele și arhitectura IV (proiect) Comunicare între comunități/portalul de acces Raport pentru audiere Berna, 16 august 2012

ehealth

Page 2 1 Situația inițială. 3 1.1 Introducere. 3 1.2 Delimitare. 4 1.3 Termeni. 5 2 Componente și servicii centrale. 8 3 Comunicarea între comunități. 12 3.1 Principii generale. 12 3.2 Conceptul de autorizare. 13 4 Audit și notificare. 16 5 Portal de acces. 19 6 Recomandări tehnice. 23 6.1 Recomandări tehnice pentru componente și servicii centrale. 23 6.2 Recomandări tehnice pentru identificare și autentificare. 23 6.3 Recomandări tehnice pentru conceptul de autorizare. 24 6.4 Recomandări tehnice pentru audit și notificare. 25 7 Observații finale. 27 Anexa 1: Fundamente relevante ale arhitecturii. 29 Anexa 2: Atribute ComReg (Directorul Comunităților). 31

Pagina 5 între diversele grade de maturitate este garantată. Recomandările de la I la IV de la ehealth Suisse sunt limitate la nivelul de maturitate 2. În prezent nu este posibil să se estimeze când va fi anunțat nivelul de maturitate 3. Acesta poate fi găsit deja ici și colo în cadrul instituțiilor și organizațiilor, dar nu încă dincolo de granițele organizaționale. Figura 2: Modelul de maturitate Evoluția sănătății 1.3 Termeni O comunitate este o unitate organizațională a îngrijitorilor, comunitatea 1. este implicată în tratamentul pacientului și 2. creează și utilizează informații legate de pacient și 3. schimbă informații legate de pacient cu alte comunități. Cooperarea în cadrul unei comunități trebuie reglementată prin contract și este necesară o formă juridică. Practicanții individuali pot aparține mai multor comunități. Definiția nu conține nicio cerință privind dimensiunea, delimitarea geografică sau structura organizațională a unei comunități. Următoarea listă oferă informații despre posibilele forme de comunități: Asociația practicienilor din diferite categorii (de exemplu, cabinetele medicilor, kinetoterapeuții, spitalele) dintr-o regiune pentru a forma o rețea de îngrijire, de asemenea, peste granițele cantonale

Page 9 Figura 3: Spațiul de încredere EPD și componentele/serviciile centrale În comparație cu recomandările III (vezi pagina 12, recomandarea 3), portalurilor de acces extern li se permite, de asemenea, să facă schimb de informații prin citire. În plus, proiectarea tehnică este definită cu atributele necesare. Fiecare comunitate certificată și fiecare portal de acces extern trebuie să fie introduse în director. Rulează doar comunități valide, certificate și portaluri de acces extern. Intrarea în director și întreținerea intrărilor se efectuează central. Toate informațiile solicitate în director pot fi găsite în Anexa 2 „Atribute ComReg”. Recomandarea 3 Director central al comunităților și portalurilor de acces extern Pentru implementarea controlului accesului la datele pacienților, trebuie să fie posibilă atribuirea persoanelor tratante identificate în mod clar la unul sau mai multe roluri autorizate. Pentru alte informații importante, cum ar fi grupul profesional și calificarea, este necesar un serviciu de index profesional al sănătății la nivel elvețian (serviciu HPI).

Page 11 Un serviciu director metadate trebuie să fie disponibil ca serviciu central separat. Administrarea acestui director trebuie coordonată în toată Elveția. Recomandarea 7 Serviciul central al directorului de metadate

Pentru controlul accesului, trebuie efectuată mai întâi o verificare a identității în comunitatea solicitantă (tehnic în gateway-ul inițiator), următoarea verificare a autorizației este responsabilitatea comunității care răspunde (tehnic în gateway-ul care răspunde). Pentru verificarea autorizației, setul de atribute ale drepturilor pacientului trebuie citit din comunitatea de bază și evaluat. Așa cum se arată în Figura 4, există un management distribuit al persoanelor și al accesului (gestionarea identității și a accesului). Verificarea drepturilor de acces Figura 4: Identitate distribuită și gestionarea accesului și atributele drepturilor în comunitatea de bază O verificare a autorizației cât mai curând posibil are sens, deoarece acțiunile ulterioare inutile pot fi evitate. În plus, aplicarea timpurie a autorizațiilor reduce diseminarea incorectă a datelor sensibile. Cu toate acestea, nu toate accesările pot fi stabilite în prealabil. La accesarea unui registru de documente, autorizarea poate fi efectuată numai după acces, deoarece fiecare rezultat al căutării trebuie verificat individual. Cu toate acestea, atunci când accesați un depozit de documente, verificarea trebuie efectuată înainte de acces.

Page 15 Accesele trebuie verificate întotdeauna cât mai curând posibil în ceea ce privește autorizațiile. În calitate de proprietar de date, comunitatea emitentă decide dacă sunt disponibile autorizațiile necesare. Recomandarea 13 Verificarea timpurie a drepturilor de acces

Page 18 Pacientul poate selecta intervalul pentru rezumatul evenimentelor (zilnic, săptămânal, lunar). De asemenea, poate schimba nivelul de confidențialitate prestabilit și, prin urmare, poate acorda acces persoanelor tratate. Înregistrările de audit (de exemplu, schimbarea drepturilor, demisia) ar trebui păstrate pe termen nelimitat din motive de trasabilitate. Acestea ar putea fi relevante pentru probleme legale sau juridice chiar și la mulți ani după eveniment. Cu toate acestea, pacientul poate solicita în orice moment ca documentele de tipul documentului corespunzător să nu mai fie afișate. Perioada de păstrare a documentelor centrate pe pacient (inclusiv documentele de protocol) este legal stabilită.

Page 22 Portalurile de acces certificate îndeplinesc HONcode al Fundației Health on the Net: Standardele, principiile și liniile directoare privind calitatea informațiilor privind sănătatea, accesibilitatea și ușurința utilizatorului portalului de acces trebuie luate în considerare în toate procesele. Recomandarea 22 Certificare HONcode Portalurile de acces ar trebui să poată fi utilizate fără restricții de către toți pacienții, indiferent de capacitățile lor fizice sau tehnice. Pentru a optimiza accesul la portal fără bariere, așa cum este necesar pentru certificarea HONcode, se recomandă ca liniile directoare ale World Wide Web Consortium (W3C) pentru conținutul web fără bariere (WCAG) 2.0 și agentul utilizator (browser web, player media) Liniile directoare care trebuie urmate. Furnizorii de portal pot folosi accesibilitatea ca o caracteristică distinctivă. Recomandarea 23 Accesibilitate

Page 25 Gateway-ul de răspuns verifică conținutul identificării și atributelor furnizate (prin afirmația SAML de la IHE: XUA) cu autorizațiile valabile în prezent și astfel poate decide accesul sau refuzul. Responding Gateway devine astfel un punct de punere în aplicare a accesului care decide între comunități dacă este permisă sau nu o tranzacție. Relația dintre gestionarea identității și accesului distribuite (IAM) și punctul de punere în aplicare a accesului este prezentată schematic în Figura 6. Recomandarea 30 Verificarea autorizării de către gateway-ul de răspuns Figura 6: Interacțiunea în conceptul de autorizare 6.4 Recomandări tehnice Audit și notificare Profilul IHE ATNA (Audit Trail and Node Authentication) definește modul în care gazdele sunt protejate și cum și ce informații înregistrează. Jurnalele de audit create ca parte a ATNA au o granularitate fină și sunt foarte tehnice. ATNA este limitată la un domeniu de afinitate IHE "și nu definește niciun acces între comunități. Implementarea cu profiluri IHE Deoarece toate sistemele și aplicațiile participante au dependențe de timp și evenimentele lor trebuie să fie înregistrate cu timbre de încredere, orele lor trebuie sincronizate.

Page 26 Comunitățile certificate își sincronizează sistemele conform profilului de integrare IHE Recomandarea timpului consecvent (CT) Sincronizarea orei conform IHE: Comunitățile certificate CT înregistrează evenimentele declanșatoare în conformitate cu profilul de integrare IHE Audit Trail și Node Authentication (ATNA) într-un jurnal de sistem local. Recomandarea 32 declanșează evenimente conform IHE: ATNA