IHE suostumusprofiili BPPC Basic Patient Privacy Consents

Samankaltaiset tiedostot
IHE XDS.b - Kuinka Se Toimii Käytännössä?

DYNAMIC CARE PLANNING (DCP) JA DYNAMIC CARE TEAM MANAGEMENT (DCTM) IHE-PROFIILIT. Konstantin Hyppönen IHE-Finland

National Building Code of Finland, Part D1, Building Water Supply and Sewerage Systems, Regulations and guidelines 2007

Curriculum. Gym card

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Integration of Finnish web services in WebLicht Presentation in Freudenstadt by Jussi Piitulainen

Software Signing System System overview and key domain concepts

Olet vastuussa osaamisestasi

You can check above like this: Start->Control Panel->Programs->find if Microsoft Lync or Microsoft Lync Attendeed is listed

Esittely. IHE Finland- järjestön esittely. Osallistujien esittely

KODAK EIM & RIM VIParchive Ratkaisut

2017/S Contract notice. Supplies

Capacity Utilization

Tutkimusdata ja julkaiseminen Suomen Akatemian ja EU:n H2020 projekteissa

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

C++11 seminaari, kevät Johannes Koskinen

XDS-arkkitehtuuri ja sen soveltuvuus kansalliseen SOTE-arkkitehtuuriin

HL7 Finland ry: CDA 2011 projekti. Suostumusten ja kieltojen kehityslinjat CDA R3:ssa

Security server v6 installation requirements

7. Product-line architectures

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Security server v6 installation requirements

Innovative and responsible public procurement Urban Agenda kumppanuusryhmä. public-procurement

Paikka: Kallion Kortteli (Kuntatalo), kokoustila A 3.2 (Toinen linja 14, Helsinki) tai Skype for Business- etäyhteys

The CCR Model and Production Correspondence

BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.

Infrastruktuurin asemoituminen kansalliseen ja kansainväliseen kenttään Outi Ala-Honkola Tiedeasiantuntija

Julkaisun laji Opinnäytetyö. Sivumäärä 43

Efficiency change over time

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

MUSEOT KULTTUURIPALVELUINA

KONEISTUSKOKOONPANON TEKEMINEN NX10-YMPÄRISTÖSSÄ

AYYE 9/ HOUSING POLICY

Capacity utilization

Rekisteröiminen - FAQ

Tulevaisuuden terveydenhuollon tietojärjestelmäekosysteemi

Information on preparing Presentation

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Choose Finland-Helsinki Valitse Finland-Helsinki

RANTALA SARI: Sairaanhoitajan eettisten ohjeiden tunnettavuus ja niiden käyttö hoitotyön tukena sisätautien vuodeosastolla

Opera Hotel Edition. Arvonlisäverokantojen muutos Operaan Finland. Toukokuu 2010 MICROS-Fidelio Finland Oy, Hotel Systems HelpDesk

Lisensointikuulumisia - Kustannustehokkuus Oracle lisensoinnissa

Työsuojelurahaston Tutkimus tutuksi - PalveluPulssi Peter Michelsson Wallstreet Asset Management Oy

Results on the new polydrug use questions in the Finnish TDI data

7.4 Variability management

Data protection template

Tutkimuslääkkeiden GMP. Fimea Pirjo Hänninen

BLOCKCHAINS AND ODR: SMART CONTRACTS AS AN ALTERNATIVE TO ENFORCEMENT

Kaivostoiminnan eri vaiheiden kumulatiivisten vaikutusten huomioimisen kehittäminen suomalaisessa luonnonsuojelulainsäädännössä

HITSAUKSEN TUOTTAVUUSRATKAISUT

Date Päiväys J.Mikkonen Signature Allekirjoitus. V.Tepponen

Kvarkki XUA: sähköisen allekirjoituksen määritys 1 (6) V 1.0. Kvarkki XUA: sähköisen allekirjoituksen määritys

EU:n puiteohjelman eettisen ennakkoarvioinnin peruste, tavoite ja käytäntö

Kiintolevyjen tuhoaminen HDD Destruction. DIN EADMS Luokat/Classes

Changes in the drawing are allowed only by the permission of the authorities who have granted the certificate Muutokset sallittu vain sertifikaatin my

Kuva-aineistojen arkisto XUA-allekirjoituksen määritys

Changes in the drawing are allowed only by the permission of the authorities who have granted the certificate Muutokset sallittu vain sertifikaatin my

Operatioanalyysi 2011, Harjoitus 4, viikko 40

Aiming at safe performance in traffic. Vastuullinen liikenne. Rohkeasti yhdessä.

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

EU:n lääketutkimusasetus ja eettiset toimikunnat Suomessa Mika Scheinin

Hajautuneen potilastiedon hallinta

Miehittämätön meriliikenne

Increase of opioid use in Finland when is there enough key indicator data to state a trend?

AKKREDITOITU TESTAUSLABORATORIO ACCREDITED TESTING LABORATORY WE CERTIFICATION OY OPERATOR LABORATORY

NAO- ja ENO-osaamisohjelmien loppuunsaattaminen ajatuksia ja visioita

anna minun kertoa let me tell you

AFCEA PVTO2010 Taistelija / S4

16. Allocation Models

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

Supplies

Changes in the drawing are allowed only by the permission of the authorities who have granted the certificate Muutokset sallittu vain sertifikaatin my

PKI- ja hakemistotarpeet pacsissa

Atostek. KanTa-konseptin tuotteistaminen ja vienti ulkomaille

Teknologinen muutos ja yliopistojen tulevaisuus. Tievie-seminaari Helsinki Antti Auer

ETIIKKASEMINAARI Rahoitushauissa huomioitavaa

Kysymys 5 Compared to the workload, the number of credits awarded was (1 credits equals 27 working hours): (4)

SSTY:n EMC-seminaari. EMC ja sähköisten lääkintälaitteiden standardit. Ari Honkala SESKO ry

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Expression of interest

Information on Finnish Courses Autumn Semester 2017 Jenni Laine & Päivi Paukku Centre for Language and Communication Studies

Skene. Games Refueled. Muokkaa perustyyl. for Health, Kuopio

Tehosta toimintaasi oikealla tiedonhallinnalla Helsinki, TIVIAn tapahtuma Jussi Salmi

Miten standardit liittyvät palveluihin? Kimmo Konkarikoski / Standardisointipäällikkö

Supplies

Käyttäjäorganisaatioiden IHE-kokemuksia ja esimerkkejä

Information on Finnish Language Courses Spring Semester 2018 Päivi Paukku & Jenni Laine Centre for Language and Communication Studies

Technische Daten Technical data Tekniset tiedot Hawker perfect plus

Hankintailmoitus: Pohjois-Savon sairaanhoitopiirin kuntayhtymä/kiinteistöyksikkö : Puijon sairaalan Pääaula-alueen uudistus, Sähköurakka

Digitalisoituminen, verkottuminen ja koulutuksen tulevaisuus. Teemu Leinonen Medialaboratorio Taideteollinen korkeakoulu

IoT-platformien vertailu ja valinta erilaisiin sovelluksiin / Jarkko Paavola

Returns to Scale II. S ysteemianalyysin. Laboratorio. Esitelmä 8 Timo Salminen. Teknillinen korkeakoulu

Vertaispalaute. Vertaispalaute, /9

FIS IMATRAN KYLPYLÄHIIHDOT Team captains meeting

Smart specialisation for regions and international collaboration Smart Pilots Seminar

Salasanan vaihto uuteen / How to change password

Use of spatial data in the new production environment and in a data warehouse

Visualisoinnin aamu 16.4 Tiedon visualisointi. Ari Suominen Tuote- ja ratkaisupäällikkö Microsoft

X-road ja e-health seka valinnanvapaus- ja kapitaatiokokemukset Viron perusterveydenhuollossa. mitä voimme oppia Virosta.

Transkriptio:

IHE suostumusproiili BPPC Basic Patient Privacy Consents HL7 Finland IHE SIG 20.8.2009 Juha Mykkänen Kuopion yliopisto, HIS-tutkimusyksikkö SOLEA-hanke Contains material by Charles Parisot 1

BPPC: sisältöproiili Kehitettiin alun perin osana Patient Care Coordination:ia, siirretty 2007 IT inrastructureen (2006 versio deprecated) IHE Patient Care Coordination (PCC) Technical Framework perustettiin heinäkuussa 2005 ratkomaan integrointiongelmia, jotka ylittävät palvelujen antajien rajat, hoidon erikoisalueiden rajat tai aikarajat BPPC poikkeus sääntöön ei yhteenvetotietoja vaan suostumus Nykyversio: ITI Revision 6.0, Final Text, August 10, 2009 Volume 1: section 17: yhteenveto + scope Volume 2: section 5.1 tarkat määritykset, standardien soveltamisopas Pohjastandardina CDA R2 Kuten PCC-proiilit, neutraali käytettävän siirtotien suhteen Mutta määritellään kuitenkin toiminnallisia vastuita Proiilien kehittäjät usein mukana myös pohjastandardien (esim. HL7 CDA) kehittämisessä 2

PCC Content Integration Proiles (suunnitelma, kaikki mainitut eivät julkaistuja proiileja) Consent XDS-MS Lab Report BPPC Medical Documents XD*-LAB History and Physical Antenatal Care Summary Medical Summaries Care Assessments Preprocedure History and Physical PPHP 2005-2006 2006-2007 2007-2008 ACS Emergency Department Note EDN Reerral Emergency Department Reerral EDR Discharge Summary CA PHR Extract PHR Update XPHR 3

4 Sisältöproiili vs. sanoma / transaktio Content proile: tietosisältöproiili, ei ota kantaa mitä proiilia hyödynnetään tiedonsiirron toteuttamiseksi = hyödynnä jotain seuraavista IHE-määrityksistä

BPPC Scope Basic Patient Privacy Consents (BPPC) proiilin mekanismit ja käyttöalue: 1. Potilaan suostumusten kuvaaminen 2. XDS / XDR-inrastruktuurissa käytettävien asiakirjojen liittäminen dokumenttien jaon oikeuttaneeseen suostumukseen 3. Suostumuksen tarkistaminen ja siihen liittyvä pääsynhallinta (enorce consent) XDS-tiedonvaihdossa (rekisteri+dokumenttivarasto) aktorit Document source + Document consumer tietyn Ainity Domainin sisällä XDR-tiedonvaihdossa (kahdenvälinen dokumenttien vaihto) aktorit Document source + Document receiver Täydennys XDS-proiiliin: privacy policies toteuttaminen ja liittäminen tiedonvaihdon osapuolena oleviin järjestelmiin XDS:ssä oleva conidentialitycode ei riitä ilman tarkempia sopimuksia 5

Basic Patient Privacy Consents Value Proposition an Ainity Domain can develop privacy policies, and implement them with role-based or other access control mechanisms supported by EHR systems. A patient can Be made aware o an institutions privacy policies. Have an opportunity to selectively control access to their healthcare inormation. 6

Basic Patient Privacy Consents Standards and Proiles Used CDA Release 2.0 XDS Scanned Documents Document Digital Signature Cross Enterprise Document Sharing Cross Enterprise Point-to-Point Document Sharing ISO 22600 Privilege Management and Access Control termistö, mutta ei rajoitu PMAC toteuttaviin järjestelmiin 7

Basic Patient Privacy Consents Example Consent A Consent B Encounter 1 (Requires A) Encounter 2 (OK with B) 8

Basic Patient Privacy Consents Key Technical Properties Human Readable Consents Machine Processable Support or standards-based Role-Based Access Control 9

10 BPPC käyttö [pohj. Karen Witting ITI Update 2008] XDS Ainity domain sisällä määritellään käyttöpolitiikkoja use policy (yksilöidään OID:illa) Järjestelmät koniguroidaan määriteltyjen politiikkojen mukaiseen pääsynhallintaan (enorce) Kuhunkin dokumenttiin liitetään sen käyttövaltuuksien mukainen käyttöpolitiikkatunniste Tukee: suostumus, kielto, hätätilakäyttö, tutkimuskäyttö, de-identiioitu tieto, jne. Ei tue: potilaskohtaiset poikkeukset (yksilöityyn henkilöön kohdistuva kielto tai suostumus) BPPC demottu HIMSS interoperability showcasessa 2007 XDS-SD yhdistämisen avulla paperisen ja skannatun suostumusdokumentin käsittely huomioitu

Volume 1 käyttötapaukset Policy (esimerkissä) voi olla ihmisen luettavissa olevaa tekstiä, ei tarjota mekanismia sen tulkitsemiseen Mitä jaetaan, milloin, miten voi käyttää jne. BPPC:ssä EI aseteta vaatimuksia policy-sisällöille Opt-in Mitään ei jaeta ilman suostumusta Opt-out Jos on hoidon kohteena, suostuu tiedonjakoon, ellei erikseen kiellä Allekirjoitettu skannattu suostumus osana CDAdokumenttia -mahdollisuus 11

BPPC aktorit ja transaktiot, joihin vaikuttaa 12

13 Policyt Ainity Domainissa on yleis-policy (Ainity domain policy), jossa määritellään perussaantimalli joukko suostumus-policyjä (Patient Privacy Consent Policy) Policyn lähtökohtana on kirjoitettu ja ymmärrettävä muoto (tekstimuotoinen); myös koneellista policya ainakin kokeiltu (mutta ei ole osana BPCC määrittelyä) BPPC:n avulla saadaan kuvattua potilaan suostumus tai allekirjoitus (vain skannattu?) liittyen tiettyihin policy:ihin CDA-dokumentista viitataan niihin policyihin (OID), joiden piirissä sitä käsitellään ; conidentialitycode on XDS metatiedoissa (voi olla muutakin kuin CDA-dokumentti) Dokumenttia käytettäessä luetaan viitatut policyt ja noudatetaan niiden rajoituksia sovelluksessa

Esimerkkejä asioista, joita policy voi sisältää ( thoughts o things that might be ) 14 Yleisiä Näytetäänkö käyttäjälle sellaisten dokumenttien olemassaolo, joita hän ei pääse katsomaan Järjestelmäkohtaisten ja yhteisten roolikoodien mäppäykset? Ennen dokumentin julkaisua dokumenttijakoon Käyttöpaikkakohtainen vakio-policy Käyttäjältä kysytty käyttö-policy (esim. Valintalistasta) Dokumenttityyppikohtainen policy Validoidaan, että suostumus on kysytty -policy Validoidaan että kieltoa ei ole tehty Ennen dokumentin käyttöä / hakemista Näytetäänkö dokumentteja, joissa viitataan policyihin joita ei tunnisteta Vahvistetaanko käyttäjältä jokin tietty toimenpide erikseen Näytetäänkö / sallitaanko käyttäjälle yleinen policy (ohje) Näytetäänkö / sallitaanko käyttäjälle potilaan tietty suostumus Näytetäänkö / sallitaanko käyttäjälle policy override (esim. break-glass) Vaaditaanko aina uutta suostumusta Tarkistetaanko aina ettei ole kieltoa Tarkistetaanko kunkin dokumentin sisältämään policyyn liittyvä suostumus Voidaanko dokumenttia vain katsoa, ei poimia käsittelyyn tai kopioida Aiheuttaako dokumentin käyttö esim. ATNA emergency access audit -tapahtuman Vaaditaanko mitätöidyn / vanhentuneen asiakirjan conidentialitycode soveltamista (esim. mitätöity suostumukseen liittyvän tapahtuman johdosta) (?)

15 Supportable Opt-In to clinical use Opt-Out o sharing outside o local event use, allowing emergency override Opt-Out o sharing outside o local event use, without emergency override Speciic document is marked as available in emergency situations Additionally allow speciic research project Additionally allow speciic documents to be used or speciic research projects Limit access to unctional roles (eg: healthcare) (direct care) providers Limit access to structural roles (eg: organizational) (radiologist, cardiologist, billing clerk) multiple policies apply to each document Change the consent policy (change rom opt-in to opt-out) Allow direct use o the document, but not allowed to re-publish when the document is published on media using XDM when the document is published point-to-point using XDR when the document is retrieved across communities using XCA individual policy or opt-in at each clinic individual policy or opt-in or a PHR choice (choosing rom all possible PHRs - HIMSS 2008)

16 Possible vaatisivat monimutkaisia palveluja joita ei ole määritelty tarkemmin Allow access only to care providers with a direct treatment relationship Spouse not allowed access (to all or speciic document) Parent is not allowed access (to all or speciic document) Restrict access to a speciied care-setting All accesses to the data will result in a notiication o the patient (eg: email or such) All accesses to the data require that a new consent be captured (eg: capture new signature) when HL7 v2 or v3 messages are used. This would require urther proiling o the use o conidentialitycode in those messages. when DICOM is used. This would require urther proiling o the use o conidentialitycode in those messages. temporarly allowing a use o a document that would be not allowed by the current policies. This could be done with a new consent being registered that is soon ater deprecated, but this is not very good solution.

17 Not Possible Patient identiies individuals that have rights to their data Patient identiies individuals that do not have rights to their data Each access o the data must be individually authorized by the patient a document with a mixture o more/less sensitive inormation thus needing dierent levels o protection Notiication to those that have used a document under consent that is now revoked pulling back copies o documents that have been used under a consent that is now revoked

Basic Patient Privacy Enorcement Option (ITI TF-2a, esim. 3.15 Provide and Register Document Set ) 18 Osana useita ITI-transaktioita; jos toteutetaan: Document Sourcen on täytettävä conidentialitycodekentät tarvittavilla policyillä Document Sourcen on toteutettava (oltava koniguroitavissa) Ainity Domainin yleisessä ja eri suostumuspolicy:issä määritellyt rajoitukset Document Sourcen on sopivalla tavalla asetettava dokumenttia koskevat rajoitukset Document Recipient on toteutettava (oltava koniguroitavissa) Ainity Domainin yleisessä ja eri suostumuspolicy:issä määritellyt rajoitukset Recipientin on osattava tulkita vastaanotetut luottamuksellisuus-koodiarvot (policyt)

19 ITI TF-3: Cross-transaction and content speciications - 5.1 Basic Patient Privacy Consents Module 2 document template:a ilman skannattua dokumenttiosaa ja sen kanssa XDS-dokumenttientryjen metatietojen määrittelyt: XDSDocumentEntry.classCode : Consent jne. Basic Patient Privacy Consent Acknowledgement Document Content text description o what the patient consented to list o codes indicating the policy(s) agreed to time range indicating the eective time o consent may use digital signature serviceevent-elementeillä yksilöidään policyt joihin suostumusasiakirja liittyy (1 tai useita) Optionaalinen authorization elementti, jos halutaan lisäsuojausta Skannatussa dokumentissa lähinnä erona eri XDSDocumentEntry.ormatCode

20 CDA Header + template-viittaukset <ClinicalDocument xmlns='urn:hl7-org:v3'> <typeid extension="pocd_hd000040" root="2.16.840.1.113883.1.3"/> <templateid root='1.3.6.1.4.1.19376.1.5.3.1.1.1'/> <templateid root='1.3.6.1.4.1.19376.1.5.3.1.1.7'/> Medical Document Module <id root=' ' extension=' '/> (PCC-pohja, pakollinen) (ks. PCC-esitys 23.4.) <code code=' ' displayname=' ' codesystem='2.16.840.1.113883.6.1' codesystemname='loinc'/> <title>consent to Share Inormation</title> <eectivetime value='20070619012005'/> <conidentialitycode code='n' displayname='normal' codesystem='2.16.840.1.113883.5.25' codesystemname='conidentiality' /> <languagecode code='en-us'/> : <component><structuredbody> </structuredbody></component> </ClinicalDocument> Patient Privacy Consent Acknowledgment Document Speciication With no Scanned Document Part

21 serviceevent <documentationo typecode='doc'> <serviceevent classcode='act' moodcode='evn'> <templateid root='1.3.6.1.4.1.19376.1.5.3.1.2.6'/> kyseessä suostumus <id root=''/> yksilöintitunnus <code code='' displayname='' codesystem='' codesystemname=''/> <eectivetime> <low value=''/> <high value=''/> </eectivetime> </serviceevent> </documentationo> mikä suostumus kyseessä (viittaus policyyn) voimassaolo

22 Jatkokehitys ja käyttö BPPC on Basic: tunnustettu että aukkoja on Määrityksessä odotetaan HL7-määrittelyjä, joilla suostumusten automaattinen käsittely voitaisiin hoitaa Data Consent Release-1 Data Consent Drat Release-2 Speciication: Composite Privacy Consent Directive conidentialitycode käyttö mahdollista myös HL7- ja DICOM-sanomissa HITSP (USA:n kansalliset suositukset) consent directive määritykset viittaavat BPPC:hen

15 hyväksyttyä Connectathon testausta 23

Implementation Experiences On IHE XUA and BPPC [Namli, Dogac, 2006] Toteutuskokeilu SAML Enhanced Client and Proxy (ECP) käytöstä XDS:n kanssa Esimerkki siitä, kuinka XACML 2.0 roolipohjaisia pääsynhallintamäärittelyjä käytetään yhdessä BPPC:n kanssa suostumus-policyn määrittelyyn ja pääsynvalvontaan 24

?? Erutcurtsarni TI???? Stnesnoc ycavirp tneitap cisab?? http://his.uku.i/ihe/ http://www.uku.i/solea/ http://wiki.ihe.net/index.php?title=ihe_security_and_ Privacy_or_HIE The patient agrees to share their healthcare data to be accessed only by doctors wearing a chicken costume. [Policy example, Figure 19.1-1, IHE ITI] (korostaa, ettei IHE luo käyttöpolitiikkoja) 25

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute