Praktiske løsninger for utveksling av EPJ 21. oktober 2005
Hvem er DIPS ASA? En av de største EPJ/PAS leverandører i Norge Per tiden 58 ansatte Hovedkontor i Bodø, avdelingskontor i Trondheim og Oslo
Bakgrunn Økt behov for samhandling og samarbeid om pasientbehandling mellom helseforetak Fritt sykehusvalg gjør pasientene mer mobile = > Økende behov for tilgang til all tilgjengelig journalinformasjon om en pasient
Den gode løsning (visjonen) Helsepersonell må ha tilgang til nødvendig pasientinformasjon der helsehjelpen ytes Men: Komplisert og tildels uklart lovverk og fortolkninger Kan den gode løsning realiseres innenfor dagens regelverk?
Behov Effektiv informasjons-, arbeids- og prosessflyt Innen og mellom virksomheter Meldingsutveksling mellom virksomheter Henvisninger med vedlegg fra EPJ Sikre det kliniske behov Online tilgang til journaler (også på tvers av virksomheter) Henvisninger med vedlegg dekker noe av behovet Meldingsutveksling mellom virksomheter er i mange tilfeller ikke godt nok
Online/direkte tilgang Mot egen og andre virksomheter Detektivarbeid Når symptomene er uklare Behov for tilgang til (helst) hele journalen For å levere forsvarlig helsehjelp Akutthjelp Tilgang til kritisk medisinsk informasjon Snakk om å berge liv Meldingsutveksling ikke egnet Lovverk en begrensning? Ikke nødvendigvis
Lovverk Helseregisterlov og Helsepersonellov Kun tilgang ved uttrykkelig angitt formål og da kun opplysninger som er nødvendig Taushetsplikt Utlevering til samarbeidende helsepersonell For aktuell tilstand Innenfor og utenfor virksomheten Utlevering til andre som yter helsehjelp Mellom virksomheter Krever aktiv handling fra avsender Pasient kan motsette seg utlevering Dokumentasjon av tilgang og utlevering/innsyn m/begrunnelse
Konklusjon ift. lovverk Dagens lovverk åpner for direkte/online tilgang til (deler av) EPJ detektivarbeid akutthjelp Eksplisitt vurdering dersom tilgang/utlevering til andre virksomheter Helsepersonelloven 45
Hvordan deles EPJ i dag? Innen virksomheten Online tilgang med automatisk kontroll av tilgang/utlevering Autentisering: brukernavn + passord Proprietære/lokale sikkerhetsløsninger Mellom virksomheter Meldingsutveksling (henvisning) Aktiv handling fra avsender Avsender velger mottaker Proprietære/lokale sikkerhetsløsninger
Hva med detektivarbeid og akutthjelp? Støttes bra innen virksomheten samme EPJ-system online tilgang Automatisk tilgangskontroll Behov for online tilgang mellom virksomheter Meldingsutveksling m/vedlegg er ikke tilstrekkelig Avsender vet ikke nødvendigvis hva mottaker trenger Ikke praktisk å overføre hele journaler
Hva bør gjøres? Innføre forsterket autentiseringsmekanisme Autentisering som har tillit på tvers av systemer og virksomheter (og ovenfor off. myndigheter) Systemuavhengig forsterket autentisering Innføre nasjonal PKI-infrastruktur Innføre felles autorisasjonsmodell Koblet opp mot nasjonal virksomhets- og personrolle-register HER-register Selve autorisasjon tildeles i lokale systemer Både for online tilgang og meldingsutveksling
Tilgangsstyring innen virksomheten EPJ-standard: Beslutningsstyrt tilgang Rolle i virksomheten alene gir ikke tilgang Tilgang baseres på besluttede tiltak rundt pasient Pasient legges inn (inkl. akutthjelp) Rekvirering av røntgenundersøkelse Ordinerer medikasjon
Samarbeidende helsepersonell innen virksomheten Sykehus A Lokal bruker autorisasjon Avd. A1 registrert i registrert i Avd. A2 tilgang til nødvendige journalopplysninger beslutter deltakelse Beslutning om Innleggelse Må sees på av spesialist tilgang til nødvendige journalopplysninger deltakelse Spesialist all tilgang registreres EPJ = Beslutningsstyrt tilgang
Samarbeidende helsepersonell på tvers av virksomheter Tiltaksbasert autorisasjon på tvers av virksomheter? Ja, forutsatt nasjonal PKI og nasjonalt HERregister Sikker nok autentisering for eksternt helsepersonell Autorisasjon kan settes opp på forhånd kjenner rollene til eksternt helsepersonell MEN: Kun for samarbeidende helsepersonell
Samarbeidende helsepersonell ved annen virksomhet Sykehus A Lokal bruker autorisasjon synkr. HER Avd. A1 Avd. A2 gitt autorisasjon registrert i Sykehus B deltakelse Avd. B1 tilgang til nødvendige journalopplysninger beslutter all tilgang registreres Beslutning om innleggelse Må sees på av spesialist EPJ deltakelse tilgang til nødvendige journalopplysninger Spesialist = Beslutningsstyrt tilgang
Tilgang til EPJ fra andre virksomheter? F.eks. tilgang til journalopplysninger fra tidligere opphold ved andre virksomheter Jf. scenario med detektivarbeid og akutthjelp Må ha online-tilgang Loven krever at (journal-)ansvarlig vurderer tilgang Helsepersonelloven 45 Forslag: Utvidet beslutningsstyrt tilgangsstyring
Andre virksomheter som yter helsehjelp Sykehus A HER synkr. Lokal bruker autorisasjon sjekk hvilken rolle lege ved avd A1 har Avd. A1 Sykehus B registrert i deltakelse Beslutning om innleggelse forespørsel inkl. samtykke fra pasient tilgang til nødvendige journalopplysninger m/begrunnelse (besluttet tiltak) EPJ Journalansvarlig beslutter vurdering av tilgang Trenger innsyn i kritisk info godkjenning nødvendig EPJ tilgang (tidsrom og omfang) all tilgang registreres = Utvidet beslutningsstyrt tilgang all tilgang registreres
Hva med akutt-/nødhjelp? Ikke praktisk med eksplisitt vurdering Tar for lang tid Mulig med tilgang til begrenset del av EPJ dersom samtykke fra pasient er gitt på forhånd? Kritisk medisinsk informasjon Allergier Medisiner pasienten står på Nei, ifølge streng tolkning av lovverk Eksplisitt vurdering nødvendig I beste fall uklart Gitt en sikker autentisering Det står om liv Kan i noen tilfeller forsvares og bryte loven Nødrett gir autorisasjon
Andre virksomheter som yter helsehjelp automatisk kontroll Avd. A1 Sykehus A HER synkr. Lokal bruker autorisasjon Lokal bruker autorisasjon synkr. Sykehus B registrert i deltakelse Beslutning om innleggelse beslutter forespørsel inkl. samtykke fra pasient tilgang til nødvendige journalopplysninger godkjenning nødvendig m/begrunnelse (besluttet tiltak) EPJ Trenger innsyn i kritisk info EPJ tilgang (tidsrom og omfang) all tilgang registreres = Beslutningsstyrt tilgang automatisk kontroll basert på besluttet tiltak ved sykehus A all tilgang registreres registrert i
Oppsummering 1 DEN GODE LØSNING = meldingsutveksling m/vedlegg for god informasjon- og arbeidsflyt mellom virksomhetene online tilgang (for bl.a. akuttbehov og detektivarbeid) +
Oppsummering 2 Mener at det er mulig å realisere den gode løsningen innen for dagens lovverk Forutsatt HER og nasjonal PKI innføres