HelsIT 2011 Pasientinformasjon "på veggen" Balansegang mellom informasjonsbehov og personvern Erlend Andreas Gjære SINTEF IKT Systemutvikling og sikkerhet
Informasjonsdeling og samarbeid HelsIT 29. september 2011 2
Informasjonstavler/"whiteboards" Informasjon om felles arbeid uten avbrytelser - Møtested for koordinering og synkronisering Gjennomsiktighet for: - Steder og ressurser: Reduserer behov for mobilitet - Pasienter/-forløp: Bedre planlegging i nær framtid HelsIT 29. september 2011 3
Informasjonstavler/"whiteboards" (II) Digitalisering gir nye muligheter og samtidig utfordringer: - Koding av informasjon er ikke "personlig" lenger - Økt tilgang krever økt beskyttelse - Lovverk for elektronisk behandling av helseopplysninger HelsIT 29. september 2011 4
Tilgangskontroll i journalsystemer Norsk undersøkelse om tilgangskontroll (2011): - 37 % blir ofte forsinket i arbeidet - 16 % gjør ofte eller alltid dokumentasjonsarbeid i andres navn Innlogging med brukernavn/passord: - Tidkrevende tar fokus bort fra primæroppgaven - Personlig kan passe dårlig for delte arbeidsflater HelsIT 29. september 2011 5
Konsekvenser for systemdesign Digitale tavler blir mer lik PCer enn analoge tavler - Enda et pasientjournalsystem..?! Hvordan utnytte det beste fra begge? 1. Tenke nytt rundt innlogging av brukere 2. Definere grenser mellom fri og innlogget bruk HelsIT 29. september 2011 6
Autentisering Hvordan kjennetegne brukerne av et system ved innlogging? HelsIT 29. september 2011
Innlogging (I): Noe man HAR "Smart" ID-kort Mobil-/IP-telefon PDA/nettbrett Posisjonerings-tag Annen sikkerhets- "dings" HelsIT 29. september 2011 8
Innlogging (II): Noe man "ER" Fingeravtrykk Iris Ansikt Tale Signatur HelsIT 29. september 2011 9
Innlogging (III): Noe man VET Brukernavn/passord PIN-kode Svaret på et spørsmål Betydning av en kode Noe om pasienten..? HelsIT 29. september 2011 10
"Fleksibel" avidentifisering Identifiserende informasjon fjernes Tilgangskontroll innebygd i selve informasjonen - Identiteter må kunne skjules for utenforstående - Gjenværende informasjon må samtidig ha nytteverdi Nyttig som tilgangskontroll for økt tilgjengelighet? HelsIT 29. september 2011 11
Hva kan vi fortelle om pasienten? Diagnose HelsIT 29. september 2011
Hva kan vites av hvem som helst? Skjermen forteller Alle kan vite HelsIT 29. september 2011 13
Hva kan bare autoriserte brukere vite? Kun autorisert kunnskap Skjermen forteller HVA HVOR NÅR HelsIT 29. september 2011 14
Hvordan fortelle noe nyttig? Legens initialer Hastegrad Tid Beskrivelse av undersøkelse HelsIT 29. september 2011 15
Eksperiment i brukbarhetslaboratorie Sykepleiere testet prototyp som del av "realistisk" rollespill Test av nytteverdi - Når kan den inntreffe? HelsIT 29. september 2011 16
Hendelsestype og tidspunkt HelsIT 29. september 2011 17
Beskrivelse av hendelse HelsIT 29. september 2011 18
Ansvarlig kliniker HelsIT 29. september 2011 19
Initialer og fødselsår HelsIT 29. september 2011 20
Fornavn og fødselsdato HelsIT 29. september 2011 21
Pseudonymisering HelsIT 29. september 2011 22
Balansegang Hvordan oppnå identifisering av pasienter? Hvilken informasjon er ønsket/nødvendig? Hva er lovlig å vise? HelsIT 29. september 2011 23
Resultater Testpersonene var ikke enige om hvilke perspektiver som skal veie tyngst Varianter av navn og fødselsdato er ofte foretrukket men ikke avidentifisert Avidentifisering alene kan ikke beskytte nyttig pasientinformasjon i offentlig rom HelsIT 29. september 2011 24
Fritt tilgjengelig innhold avhenger av: Skjermens fysiske plassering, innsynsvinkel, etc. Størrelse på utvalgsgruppe (pasienter) Styrke av faktorer for programvarens tilgangskontroll Tilgangskontroll for fysisk område HelsIT 29. september 2011 25
Autentiseringsfaktorer Risiko bør påvirke tilgjengelig informasjonsmengde mer finkornet Muliggjør hensiktsmessig bruk av både svake og sterke faktorer - Alene eller i kombinasjon HelsIT 29. september 2011 26
Prototyp med tilgangskontroll (I) HelsIT 29. september 2011 27
Prototyp med tilgangskontroll (II) Trinn (0): Anonymisert for "offentlig" plassering Trinn (1): Avidentifisert - Dersom autentiserbar bruker kan være til stede Trinn (2): Tilnærmet identifisert - Krever autentisering med annen faktor Trinn (3): Medisinske opplysninger i klartekst - Videresendes til pålogget brukers mobile enhet HelsIT 29. september 2011
Tilbake til operasjonskorridoren HelsIT 29. september 2011 29
Referanser Bardram (2005). The trouble with login: on usability and computer security in ubiquitous computing. Personal and Ubiquitous Computing, 9(6), 357-367. Bjørn & Hertzum (2010). Artefactual Multiplicity: A Study of Emergency-Department Whiteboards. Computer Supported Cooperative Work (CSCW), 20(1-2), 93-121. Faxvaag, Johansen, Heimly, Melby, Grimsmo (2011). Healthcare Professionals Experiences With EHR-System Access Control Mechanisms. In Proceedings of MIE 2011, Oslo Gjære, Tøndel, Line, Andresen, Toussaint (2011). Personal Health Information on Display: Balancing Needs, Usability and Legislative Requirements. In Proceedings of MIE 2011, Oslo Lillebo, Gjære, Faxvaag (2011). Combining field studies and usability laboratory experiments in the design and preclinical validation of the UI of a hospital patient care system. Paper presented at HFEHI Symposium, Trondheim HelsIT 29. september 2011 30
Kotanktinformasjon Erlend Andreas Gjære erlendandreas.gjare@sintef.no SINTEF IKT Systemutvikling og sikkerhet S.P. Andersens vei 15B 7031 Trondheim www.costt.no Tel.: (+47) 735 92 821 HelsIT 29. september 2011 31
Internasjonalt fremragende sammen HelsIT 29. september 2011 32