Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti ARKKKITEHTUURIMÄÄRITTELY 28.2.2006 --- Versio 1.0 --- Laatija: STM ja konsultit Tarkistaja: Hyväksyjät:
ARKKITEHTUURIMÄÄRITTELY 29.12.2006 KANTA-KOKONAISARKKITEHTUURIN KUVAUS Tämän dokumentti on Kansallisen sähköisen potilastietojen arkiston (KANTA) tietojärjestelmän kokonaisarkkitehtuurin kuvaus. Arkkitehtuuridokumentissa kuvataan järjestelmän looginen sovellusarkkitehtuuri ja tekninen arkkitehtuuri sellaisella tasolla, että dokumentteja voidaan käyttää järjestelmän toteutuksen kilpailutuksessa niin, että arkkitehtuuri jättää tilaa tietojärjestelmätoimittajakohtaiselle ratkaisuarkkitehtuurille järjestelmän tarjousvaiheessa. KANTA muodostuu seuraavista loogisista osajärjestelmistä: Viestinvälitys (VV), Tunnistaminen ja sähköinen allekirjoitus (TS), Arkisto (AR), Hakemisto ja Rekisteröinti (HR), Suostumustenhallinta (SH), Loki ja valvonta (LV) ja Koodisto (KP). Tämä dokumentti kuvaa kokonaisarkkitehtuurin (KA). Tässä arkkitehtuurikuvauksessa on kuvattu myös arkiston, hakemisto ja rekisteröintipalvelun, suostumustenhallinnan, loki ja valvontapalvelun ja koodiston arkkitehtuurimäärittely osana kokonaisarkkitehtuuria.
ARKKITEHTUURIMÄÄRITTELY 29.12.2006 Tämä dokumentti on arkkitehtuurimäärittelydokumenttien ylätason kuvaus, jonka lisäksi KANTA-arkkitehtuurimäärittelyyn kuuluvat myös seuraavat arkkitehtuurin kuvausdokumentit: Kansallisen terveydenhuollon arkiston viestinvälitys (jatkossa KANTA viestinvälitysarkkitehtuuri) Kansallisen terveydenhuollon arkiston tunnistaminen ja sähköinen allekirjoitus (jatkossa KANTA tunnistus ja sähköinen allekirjoitus -arkkitehtuuri) Edellä mainitun kahden arkkitehtuuridokumentin sisältö on laadittu sillä oletuksella, että tämä kokonaisarkkitehtuuridokumentti on luettu ensin.
ARKKITEHTUURIMÄÄRITTELY i SISÄLLYSLUETTELO 1 JOHDANTO... 1 1.1 Dokumentin sisältö... 1 1.2 Määrittelyn kattavuus ja rajaukset... 2 2 SOVELLUSARKKITEHTUURIN PERIAATE... 3 2.1 Nykyinen tilanne... 3 2.2 Sovellusarkkitehtuurin tausta... 4 2.3 Kansallinen terveydenhuollon arkkitehtuuri ja KANTA... 5 2.3.1 Tiedon tuottajat... 6 2.3.2 Tiedon käyttäjät... 6 2.3.3 Tiedon huoltajat... 7 2.3.4 Viestinvälitys... 7 2.3.5 Sähköinen lääkemääräys... 7 2.3.6 Terveydenhuollon oikeusturvakeskus TEO... 8 2.3.7 Väestörekisterikeskus VRK... 8 2.4 Sovellusarkkitehtuurille osoitetut vaatimukset... 8 3 SOVELLUSARKKITEHTUURIN YLEISKUVAUS... 10 3.1 KANTAn rakenne... 10 3.1.1 Tiedon tuottajat ja Tiedon käyttäjät (Document Source & Document Consumer)... 11 3.1.2 Arkisto (Repository)... 12 3.1.2.1 Asiakirjojen operatiivinen käyttö... 12 3.1.2.2 Arkistonhoito ja arkistojen hallinta... 12 3.1.2.3 Arkistokomponentin moduulirakenne... 13 3.1.3 Hakemisto ja rekisteröinti (Register)... 14 3.1.4 Suostumusten hallinta... 15 3.1.4.1 Suostumusvarasto... 16 3.1.5 Loki ja valvonta... 17 3.1.5.1 Luovutusloki... 17 3.1.5.2 Arkiston käyttöloki... 19 3.1.5.3 Potilastietojärjestelmän käyttöloki... 19 3.1.5.4 Potilastietojärjestelmien käyttölokien varastointi... 20 3.1.5.5 KANTAn tekninen tapahtumaloki... 20 3.1.5.6 KANTAn ylläpitäjän käyttöloki... 20 3.1.6 Koodistopalvelu... 20 3.1.6.1 Tietovarasto... 21 3.1.6.2 Käyttö- ja sovellusliittymät koodistojen ylläpitoon... 21 3.1.6.3 Ulkoiset rajapinnat... 22 3.1.6.4 KANTAn rajapinnat... 23 3.2 Käytettävät viitekehykset ja standardit... 23 3.2.1 Viitekehykset... 23 3.2.2 Standardit... 23 3.3 Rakennemalli... 24 3.3.1 Palveluväylä... 24 3.3.2 Osajärjestelmät ja tiedon tallennus... 26 4 KANTA: ULKOISET PALVELUT (B2B)... 27 4.1 Palvelurajapinnat... 27
ARKKITEHTUURIMÄÄRITTELY ii 4.1.1 Virhetilanteiden käsittely... 28 4.1.1.1 Epäkelpo sanoma... 28 4.1.1.2 Epäkelpo hyötykuorma... 28 4.1.1.3 Sovellusvirhe... 29 4.1.1.4 Odottamaton tekninen virhetilanne... 29 4.1.2 Valmiit asiakirjat... 29 4.1.2.1 Arkistoi ja rekisteröi asiakirja... 30 4.1.2.2 Asiakirjan haku... 33 4.1.2.3 Arkistoidun asiakirjan käyttö... 37 4.1.2.4 Arkistoidun asiakirjan luovutus... 39 4.1.3 Keskeneräiset asiakirjat... 41 4.1.4 Kansalaisen tiedonsaannin rajapinnat... 41 4.1.4.1 Kansalaisen omat tiedot... 41 4.1.5 Arkistonhoito ja arkistojen hallinta... 43 4.1.6 Koodistot... 44 4.1.6.1 Koodistopalvelun tuetut kyselyt... 44 4.1.6.2 Koodistopalvelun rajapinnat... 45 4.1.6.2.1. Anna pyydetty koodisto... 45 4.1.6.2.2. Anna pyydetty koodi... 46 5 KANTA: SISÄISET PALVELUT (EAI)... 47 5.1.1 Palveluväylä... 47 5.1.2 Tunnistaminen ja sähköinen allekirjoitus... 47 5.1.3 Arkisto... 48 5.1.3.1 Asiakirjan arkistointi... 48 5.1.3.2 Asiakirjojen jakelu... 48 5.1.3.3 Asiakirjan elinkaaren ylläpito arkistossa... 49 5.1.3.4 Asiakirjojen hävitys... 51 5.1.4 Hakemisto ja rekisteröintipalvelu... 53 5.1.4.1 Asiakirjojen rekisteröintirajapinta... 54 5.1.4.2 Asiakirjojen hakurajapinta... 54 5.1.4.3 Rekisteröintitietojen hävitysrajapinta... 55 5.1.5 Suostumusten hallinta... 56 5.1.5.1 Suostumusvaraston päivitys... 56 5.1.5.2 Suostumusten hakutarkistus... 56 5.1.5.3 Suostumusten luovutustarkistus... 57 5.1.6 Loki ja valvonta... 58 5.1.6.1 Luovutuslokin kirjaus... 58 5.1.6.1.1. Lokikirjaus Luovutuslokiin... 58 5.1.6.2 Arkiston käyttölokin kirjaus... 58 5.1.6.2.1. Lokikirjaus Arkiston käyttölokiin... 58 6 TIETOARKKITEHTUURI... 59 6.1 Tietomalli... 59 7 TIETOTURVA... 61 7.1 Tietoturvan yleiskuvaus... 61 7.2 Käyttäjähallinta... 61 7.2.1 Käyttäjän tunnistaminen... 62 7.2.2 Käyttäjän käyttöoikeudet... 62 7.3 Tiedon salaaminen... 62 7.4 Sähköinen allekirjoitus... 62
ARKKITEHTUURIMÄÄRITTELY iii 7.5 Kansalaisen katseluyhteys... 63 7.6 Ohjeita ja suosituksia... 63 8 LÄHDEDOKUMENTIT JA VIITTAUKSET... 64
ARKKITEHTUURIMÄÄRITTELY iv KUVAT Kuva 1: Kelan KanTo-palveluklusteri... 1 Kuva 2. Nykytilan arkkitehtuuri... 3 Kuva 3: Terveydenhuollon kansallinen arkkitehtuuri... 5 Kuva 4: KANTA-osajärjestelmät... 11 Kuva 5: Arkisto-osajärjestelmän moduulirakenne... 13 Kuva 6: Hakemisto ja rekisteröintipalvelun moduulirakenne... 14 Kuva 7: Suostumusten hallinnan moduulikaavio... 16 Kuva 8: Suostumusvaraston tietosisältö... 16 Kuva 9: Loki ja valvontapalvelun moduulirakenne... 17 Kuva 10: Luovutuslokin rakenne... 18 Kuva 11: Arkiston käyttöloki... 19 Kuva 12: KANTA tekninen rakenne... 24 Kuva 13: Palveluväylä... 25 Kuva 14: KANTA sisäiset palvelut... 26 Kuva 15: Asiakirjan luonti: Valmiin asiakirjan arkistointi ja rekisteröinti... 31 Kuva 16: Asiakirjan haku... 34 Kuva 17. Kansalaisen omat tiedot... 42 Kuva 18: Anna pyydetty koodisto... 45 Kuva 19: Anna pyydetty koodi... 46 Kuva 20: Asiakirjan elinkaaren ylläpito arkistossa... 50 Kuva 21: Asiakirjan hävittäminen... 52 Kuva 22: KANTAn asiakirjojen tietomalli... 59
ARKKITEHTUURIMÄÄRITTELY 1 (64) 1 JOHDANTO 1.1 Dokumentin sisältö Sosiaali- ja terveysministeriö, jatkossa STM, on käynnistänyt hankkeen kansallisen sähköisten potilastietojen arkistopalvelun (KANTA) perustamiseksi. Tässä dokumentissa kuvataan tämän arkistopalvelun toteuttavan tietojärjestelmän tekninen kuvaus kokonaisarkkitehtuurin tasolla. Tämä tietojärjestelmäarkkitehtuurin kuvaus -dokumentti määrittelee terveydenhuollon kansallisen arkkitehtuurin toimijat ja niiden väliset yhteydet. Kansallinen arkkitehtuuri toimii Kelan Kansallinen Toimija palveluklusterin (KanTo) arkkitehtuurina. KanTo:n osapalveluita ovat Sähköinen lääkemääräys (eresepti), Koodistopalvelin ja KANTA (kuva 1). Kuva 1: Kelan KanTo-palveluklusteri Tässä dokumentissa määritellään KANTA, joka on yksi terveydenhuollon kansallisen arkkitehtuurin toimijoista. KANTAn rooli kansallisessa arkkitehtuurissa on seuraava: mahdollistaa potilasasiakirjojen helppo saatavuus terveydenhuollon eri toimijoiden välillä yli organisaatiorajojen standardissa muodossa tarjota potilastietojärjestelmille keskitetty paikka arkistoida potilasasiakirjat, jotka arkistointia edellyttävät. Koodistolla on kansallisessa arkkitehtuurissa itsenäinen roolinsa kansallisesti yhtenäistettyjen termistöjen, nimikkeistöjen, luokitusten, toimipaikkatietojen ym. rekisterien keskitetyssä hallinnoinnissa ja jakelussa. Koodistolla on myös rooli KANTAn sisäisessä toiminnallisuudessa. Tässä dokumentissa kuvataan koodiston molemmat roolit.
ARKKITEHTUURIMÄÄRITTELY 2 (64) 1.2 Määrittelyn kattavuus ja rajaukset Määrittely tarkentaa viime vuosien aikana laadittujen yleisten määrittelyiden pohjalta (Opas sähköisen potilaskertomuksen rakenteesta ja Kansallinen sähköinen potilastietojen arkistopalvelu, toiminnallinen vaatimusmäärittely) toiminnallisuuskuvauksen ja järjestelmäarkkitehtuurin riittävälle tietotekniselle tasolle, jotta hanke voi edetä nopeasti suunnittelu- ja toteutusvaiheeseen. Nykyiset järjestelmät voidaan tulevaisuudessa liittää osaksi valtakunnallista terveydenhuoltojärjestelmää ja määrittely myös mahdollistaa uusien luotavien järjestelmien yhteensopivuuden. Märittelyn toiminnallisen viitekehyksen muodostaa Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (HE 253/2006, EV 232/2006) Määrittelyssä käytetään yleisesti käytössä olevia informaatioteknologian standardeja ja niiden kuvaustapoja. Määrittely tehdään järjestelmäriippumattomasti, jotta työn tulokset voidaan tehokkaammin kilpailuttaa ja toteuttaa useilla erilaisilla laite- ja palveluympäristöillä. Tähän dokumenttiin liittyvät seuraavat rajaukset: Määrittely keskittyy kuvaamaan terveydenhuollon ammattihenkilön potilastietojärjestelmän kautta tapahtuvaa KANTAn käyttöä. Kansalaisen katseluyhteys, liittymä kansalaisportaalin kautta ja suorat käyttöliittymät: käyttötarve huomioidaan mutta kuvataan vain yleisellä tasolla. Viestinvälityksessä keskitytään potilastietojärjestelmien (ml. aluejärjestelmien) ja KANTAn väliseen viestinvälitykseen; muut viestinvälitystarpeet huomioidaan mutta kuvataan vain yleisellä tasolla. Muita tunnistettuja viestinvälitystarpeita ovat ereseptin viestinvälitys, tilastotietojen välittäminen (mm. Stakes ja KTL). Määrittelyissä on huomioitu nykyisten paikallisten ja alueellisten järjestelmien valmiudet ja migraatiopolku liittymiseen valtakunnallisiin järjestelmiin, mutta näihin ja potilastietojärjestelmiin tarvittavia muutostöitä ei määrittelyssä kuvata.
ARKKITEHTUURIMÄÄRITTELY 3 (64) 2 SOVELLUSARKKITEHTUURIN PERIAATE 2.1 Nykyinen tilanne Tässä luvussa kuvataan terveydenhuollon tietojärjestelmien ja niiden välisen integraation nykytila ja KANTA-sovellusarkkitehtuurin tausta sekä tunnistetaan kansallisen terveydenhuollon kokonaisarkkitehtuurin toimijat KANTA-näkökulmasta. Terveydenhuollossa käsitellään potilastietoja mm. potilaskertomus-, kuvantamisja laboratoriojärjestelmien avulla. Järjestelmiin kirjataan potilaan hoitoon liittyviä tietoja järjestelmän sisäisen tietorakenteen mukaisesti. Yleisimmin käytettyjä potilaskertomusjärjestelmiä ovat mm. Effica, Pegasos, MD/Miranda-Oberon, Musti ja Doctorex. Kuvantamisen järjestelmiä (PACS, Picture Archiving and Communication System) toimittavat mm. AGFA, Kodak ja Sectra. Lisäksi terveydenhuollon organisaatioissa on käytössä lukuisia muita ohjelmistoja. Tekstiä HL7 RIS Kuvantamisen Varaukset ym hallinto Kuvia DICOM Kertomukset HIS Potilastieto Tekstiä HL7 Viitetietojärjestelmät Kahdenväliset yhteydet Kertomukset Tekstiä HL7 HIS Potilastieto Kuvia Tekstiä Tekstiä HL7 Mittaukset DICOM PACS lyhytaikainen Kuvantaminen Lausunnot DICOM pitkäaikainen Kertomukset HIS Potilastieto LAB Kokeet EKG Biosignaalit Lausunnot Kuva 2. Nykytilan arkkitehtuuri. Terveydenhuollon organisaatioiden välinen integraatio ja viestinvälitys on järjestetty pääasiassa sanomapohjaisena. Potilastietojen sähköinen siirto tapahtuu käyttämällä yhtenäisiä HL7-sanomakuvauksia. Tiedonsiirto on perinteisesti toteutettu kahdenvälisillä yhteyksillä. Sairaanhoitopiirien sisällä käytetään myös viitetietojärjestelmiä, joissa talletetaan viittaus potilastietoon sen varsinaisessa talletuspaikassa. Hahmotelma potilastietojärjestelmien nykytilanteen arkkitehtuurista on esitetty kuvassa 2.
ARKKITEHTUURIMÄÄRITTELY 4 (64) Tietojärjestelmät potilaskertomusten ja muiden potilaan hoitoon liittyvien tietojen käsittelyä varten ovat yleistyneet viime vuosina ja lähes 90 % potilastiedoista on sähköisessä muodossa. Potilasasiakirjojen sähköistä arkistointia ei ole kuitenkaan vielä toteutettu. 2.2 Sovellusarkkitehtuurin tausta Sosiaali- ja terveysministeriön tavoitteena on ohjata ja kehittää kansallisia terveydenhuoltopalveluita ja niihin liittyviä tietohallinnon ratkaisuja. Tarkoituksena on kehittää paikallisista ja alueellista järjestelmistä valtakunnallisesti toimiva yhtenäinen terveydenhuollon tietojärjestelmäkokonaisuus. Keskeisenä osana nykyistä kehitystyötä ovat valtakunnalliset potilasasiakirjojen arkistointipalvelut, jotka toimiakseen vaativat kaikille siihen liittyville järjestelmille yhteisen tietojärjestelmärajapinta-arkkitehtuurin. Tämä mahdollistaa eri terveydenhuollon toimijoiden kesken tiedon käsittelyn, siirtämisen ja jakamisen tehokkaasti ja tietoturvallisesti. Terveydenhuollon toimintayksiköille keskitettyä palvelua tarjoava Kansallinen sähköinen potilastietojen arkisto (KANTA) -järjestelmä on laaja kokonaisuus, joka sisältää sekä operatiivista toimintaa tukevia uusia palveluja mahdollistamalla sekä tiedon entistä laajemman yhteiskäytön että asiakirjojen pitkäaikaisarkistointia tukevia toimintoja.
ARKKITEHTUURIMÄÄRITTELY 5 (64) Käyttäjien tunnistaminen ja oikeuksien hallinta on arkistopalveluun liittyvien potilastietojärjestelmien vastuulla. KANTAssa on tieto (sertifikaatti) luotetuista palvelimista ja järjestelmistä, jotka ovat oikeutettuja käyttämään KANTAn palvelurajapintaa. Palvelin- ja asiakasvarmenteiden käsittely ja muodostus on tarkemmin kuvattu dokumenteissa KANTA viestinvälitysarkkitehtuuri, luku Viestinvälityksen osapuolten tunnistaminen ja varmentaminen ja KANTA tunnistus ja sähköinen allekirjoitus arkkitehtuuri, luku Järjestelmän tunnistamisen sovellusarkkitehtuuri. 2.3 Kansallinen terveydenhuollon arkkitehtuuri ja KANTA Tässä dokumentissa kuvattu terveydenhuollon kansallinen arkkitehtuuri (Kuva 3) on kokonaisuus, jonka muodostavat KANTAn näkökulmasta terveydenhuollon kansalliset, alueelliset ja paikalliset toimijat sekä KANTAn osajärjestelmät. Apteekkijärjestelmät Potilastietojärjestelmät Roolit & oikeudet Viitetietokannat ym. alueelliset ratkaisut Katseluyhteys Roolit & oikeudet Palvelu pyyntöjä toimitus resepti Tiedon syöttö Tiedon haku Erikoissairaanhoito Terveyskeskukset Kuvantaminen Yksityinen sektori IP-verkko Kansallinen terveydenhuollon arkisto(kanta) Palveluväylä KANTA eresepti Tilastot Tunnistus & Varmennus Kela/ Stakes Koodistot Koodit Hakemisto & Rekisteröinti Asiakirjan hakutiedot Arkisto Lokipalvelu Luovutusloki Arkiston käyttöloki Tapahtumaloki AMS: Asiakirjat Asiakirjat Asiakirjat AMS AMS +metatiedot Suostumuksen hallinta eresepti TEO-varmennepalvelut Reseptikeskus Tilastot Koodistopalvelut Arkistonhoitajat Kuva 3: Terveydenhuollon kansallinen arkkitehtuuri Toimijat on jaettu erilaisiin toiminnallisiin rooleihin KANTAn näkökulmasta. Sama toimija voi olla useammassa roolissa. KANTAan liittyvien osapuolien roolit ovat: Tiedon tuottajat Tiedon käyttäjät Tiedon huoltajat Lisäksi toimijat voivat toimia eri rooleissa, mikäli asia tarkastellaan Kelan KanTopalveluklusterin näkökulmasta. Näin tilanne on esimerkiksi Apteekkijärjestelmien osalta, jotka toimivat myös tiedon tuottajan roolissa KanTo-arkkitehtuurissa.
2.3.1 Tiedon tuottajat 2.3.2 Tiedon käyttäjät ARKKITEHTUURIMÄÄRITTELY 6 (64) Potilastietojärjestelmän liittäminen KANTA-palveluun edellyttää järjestelmältä tiettyjä teknisten ja laadullisten vaatimusten täyttämistä. Vaatimuksia ovat mm. käyttäjän vahva tunnistaminen, käyttäjien oikeuksien hallinta niin, että käyttäjä voi käsitellä KANTAn jakelemaa tietoa vain oikeuksiensa sallimassa laajuudessa sekä kyky lähettää ja vastaanottaa HL7v3-sanomia. Potilastietojärjestelmien KAN- TAan liittymiselle asetetut vaatimuksia on käsitelty dokumentissa Kokonaisarkkitehtuurin vaatimusmäärittely, luvussa Vaatimukset asiakastietojärjestelmille. Potilastietojärjestelmällä tarkoitetaan terveydenhuollon toimijan käytössä olevaa tietojärjestelmää, joka tuottaa potilaskertomustietoa. Potilastietojärjestelmiä ovat mm. nykyiset terveydenhuollon toimijoiden käytössä olevat potilaskertomusjärjestelmät. Näissä järjestelmissä syntyvät KANTAan talletettavat potilasasiakirjat. Terveydenhuollon kansallisessa arkkitehtuurissa myös apteekkijärjestelmät toimivat tiedon tuottajana sähköisen lääkemääräyksen (eresepti) tapauksessa, mutta KANTAn kannalta apteekkijärjestelmät eivät tuota eivätkä voi käyttää KANTAn potilastietoja. KANTAan arkistoitua potilastietoa voi KANTAsta luovuttaa vain toiselle terveydenhuollon palvelujen antajalle. Tiedon käyttäjille avataan palvelurajapinta KANTAssa olevan tiedon etsimiseksi ja KANTA:sta noutamiseen. Potilasasiakirjojen pääasiallinen käyttö tapahtuu edellä kuvatuissa potilastietojärjestelmissä. Muita kansallisessa terveydenhuollon arkkitehtuurissa tunnistettuja tiedon käyttäjiä ovat: Kansalaisportaali; palvelun kehittäminen on vielä varhaisessa vaiheessaan. Oletuksena on, että portaali toteutuessaan pystyy käyttämään samoja rajapintoja kuin kansalaisen katseluyhteys. Kansalaisen katseluyhteys; laki edellyttää KANTA-palvelun tarjoajaa perustamaan kansalaiselle katseluyhteyden, jolla hän voi selata itseään tai edustamaansa henkilöä koskevia potilastietoja lain sallimissa rajoissa. KANTA tarjoaa palvelurajapinnan, jolla tarvittavat tiedot voidaan hakea näytettäväksi kansalaiselle. Apteekkijärjestelmät; KANTAn määrittelyjen rinnalla etenee kansallinen eresepti-hanke. Oletettavaa on, että apteekkijärjestelmien liittymät rakennetaan ereseptin ylläpitämään reseptikeskukseen eikä KANTAan. Teknisiä esteitä luovuttaa ja vastaanottaa tietoa apteekkijärjestelmien suuntaan ei ole, mutta laki ei nykyisessä muodossaan salli potilastiedon luovuttamista apteekeille. Vakuutusjärjestelmät, mukaan lukien Kela, kun se toimii vakuutusyhtiön roolissa; vakuutusyhtiöille luovutetaan tietoa nykyään perusjärjestelmistä. Tämä käytäntö säilyy muuttumattomana, koska vakuutusyhtiöille tehtävät luovutukset edellyttävät lääkärin tai muun hoidosta vastaavan aktiivista tie-
2.3.3 Tiedon huoltajat 2.3.4 Viestinvälitys ARKKITEHTUURIMÄÄRITTELY 7 (64) don käsittelyä. Tieto tapahtuneesta luovutuksesta ja vakuutusjärjestelmiin luovutetut potilasasiakirjat arkistoidaan KANTAan. Tiedon huoltajat ovat arkistonmuodostajan oikeuttamia henkilöitä, jotka arkiston julkaiseman käyttöliittymän välityksellä ylläpitävät arkiston ohjaustietoja, mm. arkistonmuodostussuunnitelmaa (AMS), ja valvovat arkistoidun tiedon eheyttä. Oletuksena on, että arkistotietojärjestelmä sisältää riittävät käyttöliittymät, joilla arkiston hoidon tehtävät voidaan suorittaa. Tiedon huollon ja arkiston hoidon toiminnallisuus on kuvattu Arkiston vaatimusmäärittely -dokumentissa. KANTA ei edellytä ulkoisia viestinvälityksen osapuolia ja tietoverkkoratkaisuksi riittää tämän määrittelyn mukaan IP-verkon tarjoamat palvelut. KANTA:n viestinvälitys toteuttaa rajapinnat, joilla tiedon tuottajat, tiedon käyttäjät ja KANTA välittävät potilasasiakirjoja. Viestinvälityksen toinen päätehtävä on orkestroida KANTAn ulkoisia palveluja tarjoavia prosesseja, kuten Arkistoi ja rekisteröi asiakirja tai Arkistoidun asiakirjan käyttö. Tietoa KANTAan tuottavat ja sitä käyttävät järjestelmät käynnistävät KANTAn ulkoisia palveluja, jotka koostuvat orkestroiduista osajärjestelmien tarjoamista palveluista. KANTA:n viestinvälitysrajapintaa tullaan käyttämään myös muissa Kelan palveluklusterin (KanTo) tuottamissa palveluissa, joita ovat eresepti, tilastotiedon välittäminen (mm. Stakes ja KTL), koodistopalvelu ja TEOn palveluiden hyödyntäminen KANTA:ssa. KANTA:n viestinvälityksen arkkitehtuuri on kuvattu dokumentissa KANTA Viestinvälitysarkkitehtuuri. 2.3.5 Sähköinen lääkemääräys Sekä Sähköisen lääkemääräyksen (eresepti) että KANTAn teknisenä palveluntarjoajana on Kela. Tämä mahdollistaa synergiaetuja palvelutuotannossa, kun KAN- TAn määrittelyissä huomioidaan ereseptin suunnittelu ja päinvastoin. Tunnistettuja yhtymäkohtia ovat: Kansalaisen katseluyhteys: kansalaisella on oikeus katsella sekä sähköisiä lääkemääräyksiään, jotka ovat reseptikeskuksessa, että KANTAssa säilytettäviä omia tietojaan lain säätämissä puitteissa. Viestinvälitysarkkitehtuuri: Teknisesti molemmat palvelut ovat osia Kelan KanTo-hankkeesta ja molemmat on rakennettu samantyyppiselle palveluarkkitehtuurille. eresepti ja KANTA käsittelevät osin myös samaa potilaan lääkitystä koskevaa tietoa. Nykyinen linjaus on, että sähköinen lääkemääräys ei ole potilasasiakirja eikä
ARKKITEHTUURIMÄÄRITTELY 8 (64) sitä arkistoida KANTAssa, vaikka lääkitystieto itsessään on tietoa, joka kuuluu potilasasiakirjoihin. 2.3.6 Terveydenhuollon oikeusturvakeskus TEO Terveydenhuollon oikeusturvakeskuksen (TEO) velvollisuus on tarjota sähköinen palvelu Terveydenhuollon ammattihenkilöiden varmentamiseksi. Terveydenhuollon ammattihenkilön tunnistaminen ja varmentaminen on tarkemmin kuvattu KANTA tunnistus ja sähköinen allekirjoitus arkkitehtuuri -dokumentin luvussa Käyttäjän tunnistamisen sovellusarkkitehtuuri. TEO varmentaa myös KANTAan liittyvät tietojärjestelmät ja palvelimet. Palvelinja osapuolivarmenteiden käsittelyä ja muodostamisen logiikkaa on kuvattu KAN- TA viestinvälitysarkkitehtuuri -dokumentin luvussa Viestinvälityksen osapuolten tunnistaminen ja varmentaminen. 2.3.7 Väestörekisterikeskus VRK Väestörekisterikeskuksella (VRK) ei tällä hetkellä ole määriteltyjä liittymiä KAN- TAan. VRK tuottaa palveluita, joiden hyödyntämistä KANTAssa tulee jatkossa arvioida. Näitä palveluja ovat: Väestötietojärjestelmä (VTJ) on valtakunnallinen atk-rekisteri, jossa on perustiedot Suomen kansalaisista ja Suomessa vakinaisesti asuvista ulkomaalaisista. Henkilöistä talletetaan rekisteriin nimi ja henkilötunnus, osoitetiedot, kansalaisuus ja äidinkieli, perhesuhdetiedot sekä syntymä- ja kuolintiedot. Nykytilanteessa potilastietojärjestelmät käyttävät väestötietojärjestelmää potilaan perustietojen ylläpitämiseen ja potilaan kuolintiedon saamiseen. Sähköinen henkilökortti mahdollistaa kansalaisen vahvan tunnistamisen, josta on hyötyä mm. suostumuksia käsiteltäessä ja kansalaisen katseluyhteyden toteutuksessa, kun palvelu edellyttää kansalaisen vahvaa tunnistamista. 2.4 Sovellusarkkitehtuurille osoitetut vaatimukset Tässä dokumentaatiossa kuvattu arkkitehtuuri perustuu SOAan (Service-oriented Architecture). SOA on arkkitehtuurimalli, jolla kuvataan löyhästi sidottujen sovelluspalveluiden käyttöä liiketoimintalogiikan vaatimusten täyttämiseen. SOAarkkitehtuuria voi toteuttaa erilaisilla teknologioilla, kuten CORBA tai Web Services. SOA ei sido ratkaisua tiettyyn teknologiaan. Viestinvälityksen viestikehys perustuu HL7 Web Services Profiles -määrityksille. Arkistoitava asiakirja on CDA R2-dokumentti tai DICOM-standardin mukainen tiedosto. Toiminnalliset, vasteaika-, laatu-, tallennuskapasiteetti- ja tiedonsiirtokapasiteettivaatimukset kokonaisarkkitehtuurille on kuvattu dokumentissa Kokonaisarkkiteh-
ARKKITEHTUURIMÄÄRITTELY 9 (64) tuurin vaatimusmäärittely. Kunkin osajärjestelmän vaatimusmäärittelydokumentissa on kuvattu osajärjestelmän toiminnalliset vaatimukset.
ARKKITEHTUURIMÄÄRITTELY 10 (64) 3 SOVELLUSARKKITEHTUURIN YLEISKUVAUS 3.1 KANTAn rakenne KANTA perustuu palveluarkkitehtuuriin (SOA), jossa järjestelmä tarjoaa palvelurajapinnat siihen liittyville järjestelmille. KANTAn palvelut vastaanottavat asiakastietojärjestelmän palvelupyynnön, tuottavat pyydetyn palvelun ja lähettävät vastaussanoman. Vastaussanoma voi sisältää joko arkistoidun asiakirjan tai kuittaussanoman, jossa kerrotaan, miten pyydetty palvelu tuli suoritetuksi. On potilastietojärjestelmien sisäistä logiikkaa, miten vastaussanoma käsitellään ja näytetään järjestelmää käyttävälle terveydenhuollon ammattihenkilölle. KANTA on jaettu toiminnallisiin osajärjestelmiin. Osajärjestelmät julkaisevat sisäisiä palveluja (esim. Web Service), jotka kapseloivat osajärjestelmän sisäisen sovelluslogiikan palvelurajapinnan taakse. KANTA-järjestelmän sovelluslogiikka voidaan ajatella palveluista muodostuvina prosesseina. Liiketoimintaprosesseja suoritetaan palveluväylän prosessimoottori-komponentissa. Prosessimoottoriin määritellyt prosessit ovat KANTAn ulkoinen palvelurajapinta, joka näkyy asiakasjärjestelmiin esim. Web Services rajapintoina palveluväylän kautta. Palveluväylää ja sen toiminnallisuutta KANTA-kontekstissa on kuvattu KANTA viestinvälitysarkkitehtuuri -dokumentissa, luvussa Viestinvälityksen tekninen arkkitehtuuri. Palveluväylään voidaan liittää seuranta- ja analysointiohjelmistoja (esim. BAM, Business Activity Monitoring), joilla seurataan liiketoimintaprosessien suorittamisen tehokkuutta ja voidaan asettaa automaattisia hälytyksiä poikkeavan käytön varalle. Loki- ja valvontapalvelu vaatimusmäärittely -dokumentin luvussa Valvonta kuvataan KANTAn valvontatoimintaa, esimerkiksi mitä ja ketä valvotaan ja erilaisia mahdollisuuksia toteuttaa valvonta lain ja hyvän toimintaperiaatteen edellyttämällä tavalla. Käyttäjien tunnistaminen ja oikeuksien hallinta on arkistopalveluun liittyvien potilastietojärjestelmien vastuulla. KANTAssa on tieto (sertifikaatti) luotetuista palvelimista ja järjestelmistä, jotka ovat oikeutettuja käyttämään KANTAn palvelurajapintaa. Koska KANTAn palveluväylästä muodostuu jatkossa Kelan KanTopalveluklusterin viestinvälitysratkaisu, on ulkoisten palveluiden osalta määriteltävä KanToa käyttäville osapuolille erilaisia oikeuksia. Näillä oikeuksilla rajataan potilastietojärjestelmän saatavilla olevat KanTon ulkoiset palvelut. KANTA muodostuu osajärjestelmistä (kuva 4).
ARKKITEHTUURIMÄÄRITTELY 11 (64) Kuva 4: KANTA-osajärjestelmät Kuvassa 4 on esitetty KANTAn osajärjestelmät ja niiden väliset transaktiot; kuvan arkkitehtuuri mukailee IHE:n XDS -määrityksiä toiminnallisella tasolla. Kuvassa 4 IHE XDS:n tunnistamat vastaavat toimijat on esitetty suluissa XDS:n käyttämin termein. 3.1.1 Tiedon tuottajat ja Tiedon käyttäjät (Document Source & Document Consumer) Nämä toimijat eivät ole osa KANTAn osajärjestelmiä vaan itsenäisiä järjestelmiä, joita varten KANTA on olemassa. Toimijat on kuvattu tarkemmin tämän dokumentin luvuissa Tiedon tuottajat ja Tiedon käyttäjät. Transaktiot: Asiakirjan haku Asiakirjan arkistointi ja rekisteröinti Keskeneräisen asiakirjan rekisteröinti Tiedon tuottajat ovat terveydenhuollon palvelujen antajia, joiden toiminnassa potilaiden hoidon dokumentaatioksi syntyvät potilaskertomustiedot arkistoidaan asiakirjoina KANTAan. Kukin palvelujen antaja ylläpitää omaa asiakirja-arkistoaan KANTAssa.
ARKKITEHTUURIMÄÄRITTELY 12 (64) 3.1.2 Arkisto (Repository) Tiedon käyttäjät ovat myös terveydenhuollon palvelujen antajia, jotka käyttävät arkistoimiaan asiakirjoja omasta arkistostaan tai luovuttavat asiakirjoja toisille terveydenhuollon palvelujen antajille potilaan suostumuksella. Tiedon käyttäjiä ovat myös kansalaiset, joiden potilastietoja KANTAaan arkistoidaan. Kansalaisella on lain mukaan oikeus saada tietoa itseään tai edustamaansa henkilöä koskevista tiedoista. Sovellusarkkitehtuurin kannalta arkistotietojärjestelmä jakautuu kahteen osaan: asiakirjojen operatiiviseen käyttöön ja arkistonhallintaan. Operatiivisella käytöllä tarkoitetaan asiakirjojen arkistointia, säilytystä ja jakelua käyttö- ja luovutustarkoituksiin. Arkistonhallinnalla tarkoitetaan arkistonmuodostajien omistamien arkistojen hallinnointia, esimerkiksi asiakirjojen hävittämistä, arkistonmuodostussuunnitelman ylläpitoa sekä arkistojen yhdistämisessä, jakamisessa, perustamisessa ja sulkemisessa tapahtuvia toimenpiteitä. Arkistokomponentista on tunnistettavissa myös sisäisiä palveluita, jotka on syytä toteuttaa arkkitehtonisesti itsenäisinä moduuleina. 3.1.2.1 Asiakirjojen operatiivinen käyttö Asiakirjojen ja kuvien operatiivinen käyttö on tietojärjestelmien välistä käyttöä, jossa palvelurajapinnan kautta välitetään asiakirjoja arkiston ja potilastietojärjestelmien välillä. Arkistokomponentti ei saa asettaa rajoitteita arkistoitujen asiakirjojen tallennusmuodoille. Käytännössä asiakirjat ovat alkuvaiheessa CDA R2- tai DICOM-muotoisia. KANTA ei tarjoa suoraa käyttöliittymää arkistoitujen asiakirjojen katselua varten. Kansalaisen katseluyhteys toteutetaan erillisenä palveluna, joka käyttää KANTAn palvelurajapintaa hakeakseen kansalaiselle näytettävää tietoa KANTAsta. 3.1.2.2 Arkistonhoito ja arkistojen hallinta Arkistonhoidossa ja arkistojen hallinnassa arkistonhoitajat ja arkistopalvelun tuottaja käyttävät arkistotietojärjestelmää suoraan arkiston hallinnollisen käyttöliittymiensä kautta, joka ei mahdollista potilasasiakirjojen sisällön katselua. Arkistonhoito on kansallisen arkistopalvelun keskeinen toiminnallisuus, joka toteutetaan suoraan arkistojärjestelmään. Se tarjoaa arkistonhoitajille ja arkistopalvelun tuottajalle pääsyn ja käyttöliittymän arkistonhoidollisten ja ylläpidollisten tehtävien toteuttamiseksi. Lain lähtökohtana on, että rekisterinpitäjän vastuu säilyy nykyisellään, mistä seuraa asiakirjan luovuttamiseen liittyviä velvoitteita (kuvattu Arkiston vaatimusmäärittelyssä). Arkistonhoitajan tehtävät ja arkistonmuodostussuunnitelman sisältöä on kuvattu Arkiston vaatimusmäärittelydokumentissa.
3.1.2.3 Arkistokomponentin moduulirakenne ARKKITEHTUURIMÄÄRITTELY 13 (64) Arkistokomponentti tulee toteuttaa modulaarisena arkkitehtuurina, jossa sisäisiä palveluja tuottavat komponentit on eristetty omiksi, itsenäisesti kehitettäviksi ja testattaviksi moduuleiksi, jotka kommunikoivat keskenään komponentin sisäisten rajapintojen kautta. Kuva 5: Arkisto-osajärjestelmän moduulirakenne Moduulien kuvaukset Arkistokomponentista voidaan tunnistaa seuraavat sisäiset moduulit: Arkistopalvelun antajan ja arkistonhoitajan käyttöliittymä. Tämä on itsenäinen käyttöliittymäsovellus, joka kytkeytyy arkistopalvelun palvelurajapintoihin. Arkistointirajapinta. Asiakirjat viedään arkistoon arkistointirajapinnan kautta. Potilastietojärjestelmät kytkeytyvät siihen epäsuorasti, palveluväylän kautta. Jakelurajapinta. Arkistoidut asiakirjat jaellaan jakelurajapinnan kautta käyttö- tai luovutustarkoitukseen. Potilastietojärjestelmät kytkeytyvät siihen epäsuorasti, palveluväylän kautta. Transaktioseuranta. Arkisto ylläpitää omaa, sisäistä lokiaan komponenttiin tulleista pyynnöistä ja niihin saaduista vastauksista. Lokia tarvitaan teknisten ongelmien ratkomisessa sekä integraatiotyön helpottamisessa. Transaktioseurantalokia säilytetään vain lyhyen aikaa. Elinkaarihakemisto. Arkistokomponentti ylläpitää arkistoitujen asiakirjojen elinkaarta eams:iin kirjattujen sääntöjen perusteella ryömimällä asiakirjat läpi yksitellen. Ryöminnän optimoimiseen tarvitaan erillinen elinkaarihakemistomoduuli, joka tietää, milloin asiakirja on tarkastettu ja koska se seuraavaksi pitää tarkastaa. Elinkaarimoottori tulkitsee eams:iin kirjattuja elinkaaripolitiikkoja suhteessa asiakirjojen arkistollisiin metatietoihin. Asiakirjan metatiedot. Arkisto säilyttää asiakirjan arkistollisia ja syntykontekstin osoittavia metatietoja.
Arkistokomponentin käyttämiä palveluita ARKKITEHTUURIMÄÄRITTELY 14 (64) e-ams eli sähköinen arkistonmuodostussuunnitelma. eams koostuu tehtäväluokista ja niihin liittyvistä eams-lehdistä, joille on kirjattu kuhunkin luokkaan liittyvät säilytyspolitiikat ja muut arkistonmuodostustiedot. Jokaisella arkistonmuodostajalla on oma eams:insa, mutta niiden tulee käyttää yhteistä (myöhemmin määriteltävää) eamsin ydintä, jotta tiedot olisivat yhteismitallisia. Eheyden ylläpito. Arkistokomponentti ylläpitää ja valvoo asiakirjojen eheyttä kryptografisin menetelmin. Eheyden ylläpitomoduuli sisältää palvelut allekirjoitusten tarkastamiseen ja muodostamiseen, sulkulistojen tarkistamiseen varmentajalta ja aikaleimojen hakemiseen luotetusta aikaleimapalvelusta. Ajastus. Kuorman tasaamiseksi kaikkea arkiston toimintaa ei voi tehdä synkronisesti, vaan sitä täytyy jakaa eri aikoihin. Ajastuskomponentti ajastaa arkiston sisäisiä prosesseja, erityisesti asiakirjan elinkaaren hallintaa, sekä asynkronisesti toteutettavia kyselyitä, esimerkiksi eräajot. Arkistokomponentti käyttää toiminnoissaan seuraavia ulkoisia palveluita: Kirjaa lokitieto. Kaikista arkistonhoitoon liittyvistä operaatioista kirjataan lokitieto arkiston tekniseen tapahtumalokiin, joka sijaitsee lokipalvelussa. Tällaisia operaatioita ovat esimerkiksi asiakirjojen hävitys ja eams:in ylläpito. Aikaleima. Arkistokomponentti aikaleimaa asiakirjat aikaleimapalvelussa, kun ne arkistoidaan ja tarvittaessa jaeltaessa. Se myös käyttää aikaleimapalvelua, kun se virkistää vanhenevia asiakirjoja järjestelmäallekirjoituksellaan. Varmentajan sulkulistapalvelu. Arkistokomponentti tarkistaa asiakirjojen allekirjoitusvarmenteet tästä palvelusta. 3.1.3 Hakemisto ja rekisteröinti (Register) Kuva 6: Hakemisto ja rekisteröintipalvelun moduulirakenne
3.1.4 Suostumusten hallinta ARKKITEHTUURIMÄÄRITTELY 15 (64) Hakemisto- ja rekisteröintipalvelu liittyy kokonaisarkkitehtuuriin yhtenä osapalveluna, joka tarjoaa toiminnallisuuden Valmiiden ja keskeneräisten asiakirjojen rekisteröintiin eli rekisteröintitietojen tallennukseen ja ylläpitoon sekä rekisteröintitietojen hävittämiseen asiakirjan hävittämisen yhteydessä Palveluun rekisteröityjen asiakirjojen hakemiseen (etsimiseen). Hakemisto ja rekisteröintipalvelun transaktiot ovat Suostumusten tarkastukset Hakutuloksen luovutusloki Suostumustenhallinnan palvelu on KANTAn osajärjestelmä. Suostumustenhallinnan palvelun keskeinen tarkoitus on hakemistotietojen ja potilasasiakirjojen saannin salliminen tai rajoittaminen terveydenhuollon palvelun antajien välisissä sähköisissä luovutuspyyntötilanteissa. Suostumustenhallinnan palvelua kutsutaan kansallisen arkistojärjestelmän muista osapalveluista, joille se tarjoaa teknisen palvelurajapinnan. Hoitotilanteen tietotarpeesta päättää ja suostumuksen pyytää ja sen kirjaa pääsääntöisesti tietoja tarvitseva palvelun antaja. Poikkeuksena tästä on etukäteen suunniteltu palvelukokonaisuus, jolloin suostumuksen saajat ja suostumuksen laajuus on ohjeistettu jo palvelukokonaisuuden aloittavalla palvelun antajalla. Suostumus annetaan tietyn palvelutapahtuman tai palvelukokonaisuuden järjestämistä varten eikä pitkäaikaisia yleissuostumuksia ole lain mukaan sallittua toteuttaa. Suostumusasiakirja arkistoituu tyypillisesti haku- tai luovutuspyynnön yhteydessä. Suostumustenhallinnan palvelu rajoittaa hakutietojen näkymistä potilaan asettamien kieltojen perusteella. Hakutietojen näyttämisen kiellot rajoittavat hakutietojen näkymistä riippumatta siitä, haetaanko niitä suullisella vai kirjallisella suostumuksella. Kirjallinen suostumus, joka kohdistetaan kieltoon, antaa pääsyn palvelutapahtumaa tai palvelukokonaisuutta varten tarvittaviin potilasasiakirjoihin kielloista huolimatta.
ARKKITEHTUURIMÄÄRITTELY 16 (64) Kuva 7: Suostumusten hallinnan moduulikaavio 3.1.4.1 Suostumusvarasto Suostumusvarastolla tarkoitetaan tässä loogista tietovarastoa, jossa tietoa potilaan suostumuksista voidaan ylläpitää. Potilaan antamat suostumukset talletetaan KAN- TAan asiakirjoina mutta tehokkuussyistä voi olla tarkoituksenmukaista toteuttaa niiden lisäksi erillinen tietovarasto, josta tieto potilaan suostumuksista on saatavissa nopeasti esimerkiksi tietokantakyselyllä. Suostumusasiakirjoja ovat neljä kuvassa (Kuva 8) vasemmalla esitettyä asiakirjaa, joiden sisältämät suostumusten tarkistuksessa tarvittavat tiedot suostumustenhallinta tallettaa suostumusvarastoon. Alkuperäiset suostumusasiakirjat ovat potilasasiakirjoja ja ne kansallinen palvelu rekisteröi ja arkistoi hakemisto- ja rekisteröintipalvelun sekä arkistopalvelun avulla. Suostumustenhallinta tarkistaa luovutuspyynnön suostumusvarastoa vasten ja palauttaa tiedon tarkistuksen onnistumisesta. Suostumusasiakirja, potilashallinnon varmenneasiakirja ja luovutuspyyntöasiakirja tulevat pääsääntöisesti luovutuspyynnön mukana suostumustenhallinnan palvelulle. Kuva 8: Suostumusvaraston tietosisältö
3.1.5 Loki ja valvonta ARKKITEHTUURIMÄÄRITTELY 17 (64) Suostumusvaraston tiedot tallennetaan ne pyytäneen palveluntuottajan rekisterinpitäjäkohtaiseen arkistopalveluun, eli suostumus on annettu tälle palveluntuottajalle. Suostumus voi vaihtoehtoisesti olla annettu palvelukokonaisuudelle, mutta se varastoidaan silti suostumuksen kirjaajalle. Suostumusvarastossa hallitaan myös suostumusten ja kieltojen mitätöinti. Kuvassa 8 on suostumuksen kohteesta mainittu vain luettelo rekisterinpitäjistä, joiden tietoihin suostumus voidaan antaa. Tietosisältö on kuvattu tarkemmin suostumustenhallinnan vaatimusmäärittelyssä. Suostumustenhallinnan transaktiot ovat: Asiakirjan arkistointi ja rekisteröinti suostumus- ja kieltoasiakirjan ja niiden mitätöinnin osalta, sekä mahdollisen potilashallinnon varmenteen osalta KANTA järjestelmässä syntyy monen tasoista lokia. Loki- ja valvonta - osajärjestelmän näkökulmasta lokeista merkittävin on luovutusloki, jonka tietoja kansalaisella on oikeus selata sähköisen katseluyhteyden avulla. Luovutusloki muodostuu luovutusasiakirjoista, jotka käsitellään ja arkistoidaan kuten muutkin asiakirjat. Kuva 9: Loki ja valvontapalvelun moduulirakenne 3.1.5.1 Luovutusloki Loki- ja valvontapalvelu liittyy KANTAn kokonaisarkkitehtuuriin yhtenä osapalveluna, joka tarjoaa seuraavan toiminnallisuuden: Luovutuslokiasiakirjan luominen ja tallennus luovutettaessa asiakirjoja Toimitusasiakirjan luominen ja tallennus kopioitaessa asiakirjoja arkistosta Loki- ja valvontapalvelun transaktiot ovat: Asiakirjan arkistointi ja rekisteröinti (Luovutusasiakirjan muodostuksen osalta) Luovutuksesta tallennetaan KANTAan Luovutusasiakirja, joka sisältää potilaan henkilötietojen lisäksi tiedot luovutuspyyntö-, suostumus- ja potilashallinnon varmenneasiakirjasta sekä viittaukset luovutettuihin potilasasiakirjoihin (kuva 10).
ARKKITEHTUURIMÄÄRITTELY 18 (64) Kuva 10: Luovutuslokin rakenne Luovutuslokien tulee olla rekisterinpitäjäkohtaisesti erotettavissa siten, että kullakin rekisterinpitäjällä on näkymä vain omiin tietoihin.
ARKKITEHTUURIMÄÄRITTELY 19 (64) 3.1.5.2 Arkiston käyttöloki Terveydenhuollon ammattihenkilön hakiessa käyttöönsä KANTAsta oman toimintayksikkönsä asiakirjoja loki- ja valvontapalveluun tallennetaan tästä hausta Arkiston käyttölokiin tiedot käytetyistä asiakastiedoista, palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja ajankohdasta. Kuva 11: Arkiston käyttöloki Käyttötoimituksesta tallennetaan KANTAan käyttötoimitusasiakirja, joka sisältää tiedot käyttöpyyntö-, potilashallinnon varmenneasiakirjasta sekä käyttöön toimitetuista potilasasiakirjoista (kuva 11). Arkiston käyttölokien tulee olla rekisterinpitäjäkohtaisesti erotettavissa siten, että kullakin rekisterinpitäjällä on näkymä vain omiin tietoihinsa. 3.1.5.3 Potilastietojärjestelmän käyttöloki Terveydenhuollon ammattihenkilön käyttäessä oman toimintayksikön potilastietojärjestelmässä olevia asiakirjoja (myös KANTAsta luovutettuja), tallennetaan tieto käytetyistä asiakastiedoista, palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja ajankohdasta potilastietojärjestelmän käyttölokiin.
ARKKITEHTUURIMÄÄRITTELY 20 (64) 3.1.5.4 Potilastietojärjestelmien käyttölokien varastointi Kansaneläkelaitos voi tarjota toimintayksiköille mahdollisuuden tallentaa potilastietojärjestelmien käyttölokit kansalliseen KANTAn käyttölokivarastoon. Potilastietojärjestelmien käyttölokien tietojen siirto KANTAan varastoitavaksi edellyttää perusjärjestelmien käyttölokien rakenteen ja sisällön yhtenäistämistä. 3.1.5.5 KANTAn tekninen tapahtumaloki Ylläpitoa, valvontaa, ongelmien selvittämistä ja mahdollisesti laskutustietojen keruuta ja vastaavia varten talletetaan suoritetuista prosessien palveluista lokitiedot erilliseen KANTAn tekniseen tapahtumalokiin. Tapahtumalokitietoja säilytetään erillisessä asetuksessa määrättävän ajan. Tapahtumalokista on mahdollista saada valvontaa varten erikseen määriteltäviä raportteja, esimerkiksi kuinka paljon luovutuksia on tehty, kenelle ja milloin. KANTAn tekninen tapahtumaloki palvelee KANTAn ylläpitoa ja valvontaa ja siihen ei ole palvelunantajan henkilöillä ja kansalaisilla suoraa tiedonsaantioikeutta. KANTAn tekninen tapahtumaloki on osa viestinvälityspalvelua. Tapahtumalokin monitorointi ja valvonta suoritetaan viestinvälitykseen sisältyvillä automaattisilla monitorointityövälineillä. 3.1.5.6 KANTAn ylläpitäjän käyttöloki 3.1.6 Koodistopalvelu Kansaneläkelaitosta sitoo valtakunnallisia tietojärjestelmäpalveluja järjestäessään potilastietojen salassapitoa koskevat säännökset. Kansaneläkelaitoksen on ylläpidettävä rekisteriä sen järjestämisvastuulla olevien tietojärjestelmäpalvelujen ylläpitotehtäviin oikeutetuista ja näiden käyttöoikeuksista. Kansaneläkelaitoksen on myös ylläpidettävä lokirekisteriä näiden palvelujen ylläpitotehtävien edellyttämistä potilastietojen käyttötapahtumista, jotka tallentuvat ylläpitäjän käyttölokiin. Nykytilanteessa koodistopalvelusta vastaa Stakes, mutta siirtymävaiheen jälkeen Stakes vastaa vain koodistopalvelun sisällöstä ja palvelun tekninen tarjoaja on Kela. KANTA-määrittelyssä on tunnistettu luonteeltaan teknistä sisältöä, joka toiminnallisesti sopii luontevasti koodistopalveluun, mutta jonka ylläpidon ei voida katsoa kuuluvan Stakesin vastuulle. Esimerkki tämän tyyppisestä sisällöstä on KANTApalveluiden ja potilastietojärjestelmien välisessä viestinnässä tarvittava palveluosoitteisto, joka loogisesti on toimipaikkarekisterin sisällöllinen laajennus. Koodistopalvelimen toimipaikkarekisteristä on löydettävissä annettua OID:ta vastaava terveydenhuollon toimija, jolle on em. syistä tarpeen liittää tieto myös em. toimijan palvelurajapintojen url-osoitteista. Muun muassa tästä johtuen KANTAmäärityksessä on koodistopalvelu määritetty jatkokehitettäväksi siten, että koodistopalvelimen sisältöjen ylläpitovastuut voidaan kontrolloidusti hajauttaa.
3.1.6.1 Tietovarasto ARKKITEHTUURIMÄÄRITTELY 21 (64) Tiedonsiirrossa on tarkoitus käyttää HL7 yhdistyksen määrittelemää SOAP siirtokehystä ja sovellustason kuittauskäytäntöjä. Tiedonsiirron tekniset periaatteet ja yksityiskohdat on kuvattu HL7 yhdistyksen dokumenteissa OpenCDA 2005: Tiedonsiirto, versio 1.0, 15.1.2005, OID:1.2.246.777.11.2005.8 ja OpenCDA 2006: Tiedonsiirto ja tiedon välitys, versio 2.0, 28.2.2006, OID:1.2.246.777.11.2006.6 Koodistopalvelimen nykytoteutus tukee koodistopalvelimen sisältöjen sanomapohjaista päivittämistä ulkopuolisista järjestelmistä. Tätä toiminnallisuutta ei kuitenkaan ensimmäisessä vaiheessa tarjota potilastietojärjestelmille vaan se on tarvittaessa myöhemmän vaiheen kehittämiskohde. HL7 CDA R2 -muotoiset asiakirjat, jotka arkistoidaan kansalliseen arkistoon, on tarkastettava koodistojen osalta kansallisen koodistopalvelun koodistojen mukaisesti. Tämä tarkoittaa, että ennen asiakirjan arkistoimista kansalliseen arkistoon, on potilastietojärjestelmällä oltava potilasasiakirjan tarkastusta varten käytössä koodistopalvelu, joka päivittää tiedot riittävällä tiheydellä kansalliselta koodistopalvelulta. Kansallisen koodistopalvelun tehtävänä on tarjota tietovarasto koodistojen talletusta ja hallinnointia varten, käyttö- ja sovellusliittymät koodistojen ylläpitoon sekä ulkoiset rajapinnat ja KANTAn rajapinnat tietojen käyttöä varten. Koodistopalvelu tarjoaa tietovaraston sosiaali- ja terveydenhuollon digitaalisissa toimintajärjestelmissä hyödynnettävien, kansallisesti yhtenäistettyjen termistöjen, nimikkeistöjen, luokitusten, toimipaikkatietojen ym. rekisterien keskitettyyn hallinnointiin. Näistä rekistereistä käytetään jäljempänä tässä dokumentissa yleistermiä koodisto. Koodistopalvelu tarjoaa tietovaraston myös KANTAn tarvitsemien teknisten koodistojen hallinnointiin. Teknisen koodiston muodostavat esimerkiksi KANTAn ulkoisten palveluiden ja potilastietojärjestelmien välisen viestiliikenteen reitittämiseen käytettävät palvelusosoitteet. 3.1.6.2 Käyttö- ja sovellusliittymät koodistojen ylläpitoon Koodistopalvelu tarjoaa suojatun käyttöliittymän koodistojen julkisten ja eijulkisten sisältöjen ylläpitoon. Koodiston ylläpito edellyttää käyttäjän tunnistamisen. Lisäksi edellytetään, että käyttäjälle on määritetty oikeus kyseisen koodiston ylläpitoon. Koodistojen ylläpito jakautuu kahteen päätoimintoon seuraavasti: Uuden koodiston lisäys Palvelussa jo ennestään olevan koodiston päivitys, joka jakaantuu kahteen erilliseen käyttötilanteeseen: koodiston sisällön päivitys siten, että koodisto kokonaisuudessaan versioituu uudeksi koodistoksi ja koodiston sisällön päivitys siten, että koodiston versio pysyy samana, mutta osa koodiston sisältämistä koodiriveistä versioituu tai koodiston ominaisuudet päivittyvät
3.1.6.3 Ulkoiset rajapinnat ARKKITEHTUURIMÄÄRITTELY 22 (64) Julkisella käyttöliittymällä voidaan tehdä hakuja/kyselyitä palvelun julkiseen sisältöön. Julkisen sisällön selailu ei edellytä käyttäjän tunnistamista. Ei-julkiseksi sisällöksi on voitava määrittää joko kokonainen koodisto tai jotkut koodiston ominaisuudet. Esimerkki koodistosta, joka on voitava määrittää eijulkiseksi, on KANTA-palveluiden sisäisessä käsittelyssään tarvitsema tekninen koodisto (esim. virheilmoitukset / toimintokoodit ja niiden selitteet). Esimerkki eijulkiseksi määritettävästä koodiston osasta on toimintayksikkökoodin ominaisuudet, joita käytetään KANTA-palveluiden ja potilastietojärjestelmien välisen viestinvälityksen reititykseen. Koodistojen ja yksittäisten koodiarvojen teknisinä yksilöivinä tunnisteina käytetään OID-koodeja. Teknisten tunnisteiden lisäksi koodistoilla ja koodeilla on ominaisuuksia jotka mm. mahdollistavat koodien selväkielisen merkityksen tunnistamisen ja tulkinnan (esimerkiksi koodin ulkoinen koodiarvo ja selitteet eri kielillä) ja voivat ohjata sovellusten käsittelylogiikkaa (esimerkiksi koodiarvon soveltuvuus jossain käyttöyhteydessä tai toimipaikkarekisterin ominaisuuksiin tallennettavien palveluosoitteiden hyödyntäminen palvelupyyntöjen reitityksessä). Koodistopalvelu tarjoaa avoimiin rajapintoihin perustuvat liittymät koodistojen jakelemiseksi sosiaali- ja terveydenhuollon asiakasjärjestelmien käyttöön. Jatkossa rajapintojen tulee perustua KANTAn viestinvälityksen suosituksen mukaisesti HL7v3 siirtokehyksen käyttöön. Liitännäisjärjestelmien oletetaan käyttävän kansallista koodistopalvelua siten, että ne lataavat käyttämänsä kansallisesti yhtenäistetyt koodistot koodistopalvelimelta omiin rekistereihinsä. Potilastietojärjestelmien oletetaan sisäisessä tiedonkäsittelyssään tukeutuvan fyysisesti KANTA-arkkitehtuuriin nähden erilliseen koodistotietovarastoon, jonne kansallisesti yhtenäiset koodistot ladataan kansallisesta koodistopalvelusta. Suomen HL7 -yhdistys on tehnyt Stakesin tilauksesta koodistojen sanomarajapintamääritykset, jotka perustuvat HL7 Avoimet Rajapinnat sanomakehyksille. KAN- TAn viestinvälitysratkaisu on HL7v3:n siirtokehys, mikä tarkoittaa, että koodiston rajapintojen viestinvälityskehys pitää tarkentaa vastaamaan tässä tehtyä määritystä. Koodiston ulkoisia rajapintoja ovat: 1) Kyselyrajapinta, jossa potilastietojärjestelmä tai vastaava pyytää koodiston metatietoja, muuttuneita koodiarvoja tai kokonaisia koodistoja ladattavaksi omaan tietovarastoonsa. Lataus potilastietojärjestelmään edellyttää palvelimen tunnistamista varmenteella. Rajapinnan käyttäjiä voivat potilastietojärjestelmien ohella olla paikalliset ja alueelliset koodistopalvelut, jotka sitten toimivat identtisesti koodistopalvelimen kanssa tarjoten koodistopalvelut potilastietojärjestelmille. Tietojen kysely potilastietojärjestelmään tai vastaavan järjestelmän tekemä kysely jakautuu kahteen erilliseen käyttötilanteeseen, joista ensimmäinen on potilastietojärjestelmässä jo ennestään olevan koodiston päivitys. Tällöin potilastietojärjestelmä tunnistaa koodistopalveluun tekemänsä kyselyn perusteella, mistä sen käyttämistä koodistoista löytyy koodistopalvelimelta uudemmat versiot ja päivittää ja versioi ne omaan rekisteriinsä. Toinen rajapinta perustuu potilastietojärjestelmän kannalta uuden koodiston lisäykseen. Potilas-
3.1.6.4 KANTAn rajapinnat ARKKITEHTUURIMÄÄRITTELY 23 (64) tietojärjestelmä pyytää koodistopalvelimelta koodiston uusimman version ja lisää koodiston tiedot omaan rekisteriinsä. 2) Rajapinta, jolla koodistoja ylläpidetään palveluun KANTA-arkkitehtuurin ulkopuolisesta järjestelmästä. KANTA-arkkitehtuurin ulkopuolisesta järjestelmästä tehtävä sanomapohjainen päivitysrajapinta on myös jatkokehityksessä huomioitava mahdollisuus. Nykytoteutus tukee jo toimintamallia sanomamääritysten osalta. KANTAn osajärjestelmät voivat omassa tiedonkäsittelyssään tukeutua kansallisen koodistopalvelun sisältöön myös reaaliaikaisesti. Jäljempänä tässä dokumentissa käytetään reaaliaikaisesta koodistopalvelun sisällön hyväksikäytöstä termiä suorakäyttö. Esimerkki suorakäytöstä on yksittäisen koodin haku koodistopalvelusta esimerkiksi arkistoitavan asiakirjan sisältämän koodin oikeellisuuden tarkistamiseksi tai toimipaikkatiedon ominaisuutena kuvattavan palveluosoitteen haku käytettäväksi KANTA-palveluiden ja potilastietojärjestelmien välisen viestiliikenteen reitittämiseen. 3.2 Käytettävät viitekehykset ja standardit 3.2.1 Viitekehykset 3.2.2 Standardit Tässä luvussa luetellaan viitekehykset ja standardit, joita KANTAan suunnitteluvaiheessa tulee huomioida. Osajärjestelmien toiminnallisissa vaatimusmäärittelyissä on määritelty standardit, jotka erityisesti vaikuttavat ko. osajärjestelmän toiminnallisuutta. Seuraavassa on lueteltu standardit, jotka ovat vaikuttaneet kokonaisarkkitehtuurin muodostumiseen tässä dokumentissa kuvatun kaltaiseksi. 1 SOA (Service-oriented Architecture). SOA on arkkitehtuurimalli. Malli perustuu palveluihin, jotka ovat löyhästi toisiinsa liitettyjä. 2 Web Services 3 IHE XDS Tietojärjestelmäarkkitehtuuria työstettäessä on käytetty IHE:n XDS -mallia toiminnallisen määrittelyn osalta niin, että korkean tason toimijat ja toimijoiden väliset tapahtumat ovat yhteismitallisia mallin kanssa. IHE XDS ei kuitenkaan sovellu suoraan määrittelyn perustaksi, koska XDS ei ole arkistostandardi vaan tiedon jakamisen viitekehys, jolloin XDS:ssä ei ole huomioitu arkistoinnin vaatimuksia. Lisäksi XDS ei tunne keskeneräisen asiakirjan käsitettä ja XDS-määrittely edellyttää käytettäväksi tarkkoja tietorakenteita ja viestinvälitysprotokollia, jotka eivät sinällään sovi yhteen KANTA-vaatimusten kanssa. Tämä määrittely ei aseta IHE XDS yhteensopivuutta vaatimukseksi suunnittelu- ja toteutusvaiheille. 1 SOAP 1.1