Administrativa uppdrag. Beskrivning av modell för administrativa behörigheter version 1.1

Transkript

1 Administrativa uppdrag Beskrivning av modell för administrativa behörigheter version 1.1

2 Innehållsförteckning 1. Om detta dokument och vidare behandling Definitioner Bakgrund Utgångspunkter vid vidareutvecklingen av behörighetsmodellen Modellen Domäner Struktur för domäner Struktur för domänområden Förvaltning av domäner Administrativa uppdrag Struktur för administrativa uppdrag Uppdrag som medlem i ett uppdrag Förvaltning av administrativa uppdrag Administrativa uppdrag i en biljett Exempel Hämta uppgifter om asylsökande från Migrationsverket Revisionshistorik Version Författare Kommentar 1.0 HSA Förvaltningsgrupp Första fastställda versionen 1.1 HSA Förvaltning Information om Säkerhetstjänster borttagen. Exemplet kring spärr- och logghantering är borttagen. Migrationsverkets användningsfall är uppdaterat. Sid 1/17

3 1. Om detta dokument och vidare behandling Detta dokument är framtaget av HSA Förvaltning baserat på: 1. Resultatet av två genomförda workshopar kring administrativa behörigheter. Vid dessa workshopar deltog en arbetsgrupp bestående av Ulf Palmgren från CeHis/SKL, Richard Lindblad från Region Skåne (endast workshop 1), Patrik Munter från Stockholms läns landsting (endast workshop 1), Dennis Larsson från 1177.se (endast workshop 1), Per Mützell från Säkerhetstjänster, Johan Zenk från Landstinget i Östergötland samt Ulrika Nilsson (endast workshop 1) och Henrika Littorin från HSA. 2. Bearbetning av modellen, Johan Zenk och Ulrika Nilsson. 3. Vidare arbete i en arbetsgrupp bestående av Rune Gunnarsson från Region Skåne, Susanne Danielsson från Landstinget i Kalmar län, Anders Dahl från Örebro läns landsting, Anne-Berit Fredriksson från Västra Götalandsregionen, Annika Asp, TNC, Johan Zenk, Landstinget i Östergötland, och Ulrika Nilsson från HSA. Sid 2/17

4 2. Definitioner Begrepp administrativt uppdrag domän domänansvarig domänområde medarbetaruppdrag uppdragsansvarig vårduppdrag Definition medarbetaruppdrag som används för att styra behörigheter av administrativ karaktär och som inte omfattas av PDL behörighetsområde med egna regler för behörigheter Domän kan vara ett enskilt system, en tjänst eller ett regelverk. person som ansvarar för en viss domäns egenskaper, egenskapsgrupper och regler för behörigheter del av domän som beskriver till exempel en speciell rättighet eller roll inom domänen objektklass i HSA med en uppsättning fördefinierade egenskaper (ändamål och rättigheter) som när det kopplas till en medarbetare anger i vilken utsträckning och inom vilken giltighetstid denne har behörighet att hantera information inom en enhet Det finns två typer av medarbetaruppdrag: administrativt uppdrag och vårduppdrag. Uppdragstypen styr vilka egenskaper medarbetaruppdraget kan bestå av. ansvarig person för beslut om tilldelning och borttag av det administrativa uppdraget medarbetaruppdrag som används för att styra behörigheter av vårdoch omsorgskaraktär och som omfattas av PDL Sid 3/17

5 3. Bakgrund Nuvarande behörighetsmodell för hälso- och sjukvården (se /hsa under Behörighetsmodell) som togs fram för att reglera åtkomst till patientinformation i enlighet med Patientdatalagen (PDL) publicerades i december Denna behörighetsmodell baserar sig på vårdgivare och vårdenheter enligt definition från utredningen Patientdatalagen i praktiken och bygger på att vårdpersonal efter individuell behovs- och riskprövning samt beslut av ansvarig verksamhetschef tilldelas uppdragsberoende egenskaper i form av ett medarbetaruppdrag, egenskaperna ger i sin tur åtkomst till vårdinformation. Åtkomst kan också vara beroende av andra egenskaper, till exempel personliga egenskaper (exempelvis att personen tillhör en legitimerad yrkesgrupp). Registrering av vårdgivare, vårdenheter, medarbetaruppdrag och andra egenskaper sker i HSA. Själva utvärderingen av behörigheten sker i en regelmotor som värderar användarens och uppdragets egenskaper mot en förutbestämd uppsättning regler och medger eller inte medger åtkomst till olika informationsresurser. Fig. Regelutvärdering (vårduppdrag) bedömer åtkomst genom kontroll av personens, uppdragets och informationens egenskaper Behörighetsmodellen är systemoberoende så till vida att man styr behörighet på informationstyp och inte på enskilda system/funktioner. Samma egenskaper i HSA ska ge tillgång till samma informationsmängd oavsett vilket system/vilken funktion som används. Det som dock är den största avvikelsen från traditionell behörighetsstyrning är att det är ansvarig verksamhetschef som beslutar om vilken informationsmängd en person som har uppdrag åt verksamheten ska få tillgång till, inte den enhet som har producerat informationen eller den som förvaltar systemet. Detta fungerar av två skäl dels att vårdgivare har ingått en överenskommelse om sammanhållen journalföring och dels att grunden för åtkomsten är reglerad i lagen. Behörighetsmodellen är idag etablerad och används för åtkomst till vårdinformation i ett antal nationella tjänster, t.ex. Pascal och NPÖ (Nationell Patientöversikt). Men det finns även ett behov av att, via egenskaper i HSA, styra åtkomst till information och funktioner som inte är Sid 4/17

6 vårdrelaterade och av den anledningen har behörighetsmodellen utökats så att den även omfattar s.k. administrativa uppdrag. Exempel på sådana administrativa uppdrag är olika redaktionella uppdrag inom 1177.se, personaladministration eller åtkomst till uppgifter från Migrationsverket om asylsökande som ska hälsoundersökas. Att direkt återanvända nuvarande behörighetsmodell för dessa syften är inte möjligt på grund av att: behörigheter behöver kunna ges för andra enheter än vårdenheter variationen i informationsmängder, ändamål och organisationsomfång är mycket stor det är olika chefer som tilldelar rättigheter till olika informationsmängder för samma enhet/organisation det finns inte något lagrum som beivrar överträdelser, t.ex. om en obehörig person skriver en medicinsk rådgivningstext Ett mål med skapandet av administrativa uppdrag är också att komma ifrån, eller åtminstone kraftigt minska, användningen av systemroller på personer (hsasystemrole). Denna användning har ökat och ger svåröverskådliga behörigheter som är svåra att administrera korrekt över tid och som saknar möjlighet att begränsa organisationsomfånget. Sid 5/17

7 4. Utgångspunkter vid vidareutvecklingen av behörighetsmodellen I den första versionen av behörighetsmodellen styrdes mycket av Patientdatalagen, som var själva grunden för behörigheterna. För påbyggnaden med administrativa uppdrag finns, på gott och ont, inget sådant övergripande regelverk, vilket leder till några förändringar. För att hantera detta har vi haft följande utgångspunkter: Hanteringen av administrativa uppdrag ska vara så lik nuvarande vårduppdrag som möjligt Dels för att förenkla för katalogadministratörerna och de som satt sig in i den första versionen och dels för att i möjligaste mån kunna återanvända redan framtagna gränssnitt på nationell och lokal nivå. Organisatoriskt omfång beskrivs i uppdraget I den nuvarande hanteringen av vårduppdrag är vårdenheten som medarbetaruppdragsobjektet är placerad under en utgångspunkt för det organisatoriska omfånget, men organisatoriskt omfång kan även väljas till vårdgivare eller sammanhållen journalföring. För administrativa uppdragen gäller, i normalfallet, att det organisatoriska omfånget (om det används) gäller från den startpunkt (=enhet) som anges i uppdraget och nedåt i HSA-hierarkin. Men möjlighet finns också att i uppdraget ange exakt de enheters HSAid:n som uppdraget ska gälla för. Ett administrativt uppdrag kan bara gälla inom det egna o:et. Fig. Administrativt uppdrag som pekar ut uppdragets organisatoriska omfång i HSA genom att peka ut ett helt delträd samt genom att ange en unik enhet Sid 6/17

8 Ändamål (syfte) ska inte anges för administrativa uppdrag Att ange ändamål för vårduppdrag är ett krav från PDL. Lagen styr också vilka ändamål som får finnas. Något sådant behov finns inte för administrativa uppdrag, och det är också svårt att hantera den mångfacetterade floran av ändamål. Uppdragsansvarig kan anges i uppdraget och hämtas inte från enheten I och med att den tydliga kopplingen till ansvarsområde, som finns i fallet Vårdenhet, saknas för administrativa uppdrag kan man vid behov ange uppdragsansvarig direkt i det administrativa uppdraget. Uppdrag kan kopplas till uppdrag Ett kraftfullt sätt att hantera distribuerad administration är att använda andra uppdrag som listor på personer. Genom att koppla ett annat uppdrag som ett underuppdrag kan medlemmarna i underuppdraget ges huvuduppdragets rättigheter. PDL tillåter inte den otydlighet i ansvaret som koppling uppdrag till uppdrag innebär men för administrativa uppdrag är detta möjligt att använda. De uppdrag som ska kopplas kan vara placerade var som helst inom HSA. Egenskaperna för administrativa uppdrag styrs utifrån respektive domän För vårduppdragen styrs vilka egenskaper som kan finnas i uppdraget från den informationsmodell som togs fram i PDLiP. För administrativa uppdrag styrs vilka egenskaper som ska finnas från den/de domäner (se nedan) som uppdraget ska gälla för. Alla administrativa uppdrag är aktiva samtidigt För vårduppdrag sätter lagstiftningen stopp för att ha flera vårduppdrag aktiva samtidigt. Men för administrativa uppdrag så anser vi att fördelarna med att slippa byta uppdrag mellan arbetsuppgifterna överväger och därför är alla de uppdrag man har aktiva samtidigt. Det betyder alltså att man aldrig behöver välja några administrativa uppdrag. En användare kan ha bara administrativa uppdrag Administrativa uppdrag kan finnas parallellt med vårduppdrag men ingen av dem kräver att den andra typen finns. En användare kan alltså ha ett eller flera administrativa uppdrag utan att ha ett vårduppdrag och vice versa. Sid 7/17

9 Administrativa uppdrag version 1.1 HSA Förvaltning Senast ändrad 5. Modellen För att möta önskemål om att den nationella behörighetsmodellen också ska stödja mer traditionell behörighetshantering, det vill säga en modell där behörigheterna är systemunika, utvecklas den med ett andra ben. Det är inte bara system som kan ha krav på en anpassad, unik behörighetsstruktur. Som ett generellt uttryck har ordet domän valts för att beteckna det område inom vilket behörigheten gäller. En domän kan alltså vara ett enskilt system men också en tjänst eller ett regelverk. Det som beskrivs i den första versionen av behörighetsmodellen kan sägas vara domänen PDL, men eftersom vårduppdrag utgör grunden för behörighetsmodellen har den delen inte förändrats. Fortfarande är avsikten att behörigheterna ska grundas på de egenskaper som användaren har. Användarens egenskaper utgör också fortfarande en sammanslagning av de egenskaper som användaren har beroende på person, anställning, uppdrag och situation som beskrivs i nuvarande modell. Det finns inte några krav att använda egenskaper från alla ovanstående, modellen pekar bara på möjligheten. Inom de flesta administrativa domäner är det troligt att de uppdragsbaserade egenskaperna dominerar. Konceptet med regelutvärdering påverkas inte heller av förändringarna i modellen, det bygger fortfarande på en jämförelse mellan användarens egenskaper och egenskaperna i domänen. På grund av variationsbredden hos olika domäner kan ingen generalitet i regelutvärderingen skapas utan den ägs helt av respektive domän. Domänansvariga måste ta fram en beskrivning av vilka egenskaper som används i domänens regelmotor och vilka kombinationer som ger vilken behörighet inom domänen. Fig. Regelutvärdering (administrativa uppdrag) bedömer åtkomst genom kontroll av personens, uppdragets och domänens egenskaper Inera AB Box Sid 8/17

10 6. Domäner I modellen delas domäner in i domänområden för att hantera olika typer av rättigheter. Administrativa uppdrag bygger på att man väljer bland domänområdena för att ange de som är lämpliga för att uppdraget ska ge rätt behörighet. Domäner lagras i en särskild gren i HSA Tjänsteträd. Varje domän har en ansvarig person som förvaltar domänen och dess egenskaper. I och med lagringen blir domänen tillgänglig, via de lokala HSA-administratörernas administrativa gränssnitt, och domänområden kan inlemmas i ett administrativt uppdrag. Domänträdet stödjer inte skapandet av behörighetsmodell för en domän. Denna måste vara helt klar innan registreringen i HSA påbörjas. När en domän börjat användas måste förändringar i behörighetsstrukturen annonseras i god tid så att alla lokala administratörer hinner justera uppdragen. I bilden nedan visas hur domäner byggs upp genom domänobjekt och domänområdesobjekt. Domännod Domännod Domäner Domän A Domän B Domänområde n Domänområde A1 Domänområde A2 Domänområde B1 Fig. Schematisk bild över uppbyggnaden av domäner 6.1. Struktur för domäner Följande gäller för lagring och registrering av domäner: Varje domän har en gren i domänträdet där domänspecifika egenskaper lagras En ny nod i dc=services utgör startpunkten för domänträdet (dc=domains) Varje domän ska ha en utpekad domänansvarig En domän ska ha följande domänegenskaper, dessa lagras i ett domänobjekt (hsadomain): Egenskap Attribut Användning Kommentar namn cn Hämtas till förvalslistan för domäner som visas för HSAadministratören. Unikt Obligatoriskt Sid 9/17

11 Egenskap Attribut Användning Kommentar HSA-id hsaidentity Unik Obligatoriskt domänkod hsadomaincode Ett unikt prefix som ska inleda alla koder inom domänen för att göra dem globalt unika. Prefixet tilldelas genom HSA Förvaltning. beskrivning description Domänens fullständiga namn, kort beskrivning av vilka personer som kan vara aktuella för rättigheter samt kontaktuppgifter för önskemål om förändringar i värdemängder. Texten är till stöd för en HSA-administratör som ska välja rätt domän vid administration av uppdrag. Ska kunna visas i administrationsgränssnitten. domänansvarig hsadomainresponsible Information om ansvarig organisation och person samt dennes roll/funktion, t.ex. tjänsteansvarig eller förvaltare. Unik Obligatorisk Obligatorisk Obligatorisk, fritext 6.2. Struktur för domänområden Under domänen skapas domänområden (hsadomainarea), som innehåller följande domänområdesegenskaper: Egenskap Attribut Användning Kommentar namn cn Hämtas till förvalslistan för domänområden som visas för HSA-administratören. Unikt inom domänen Obligatoriskt HSA-id hsaidentity Obligatoriskt domänområdeskod hsadomainareacode Den kod som domänens regelmotor ska känna igen och utvärdera. Obligatorisk Unik kod, inleds med domänkoden beskrivning description Kort beskrivning av domänområdet. Huvudsyftet är att hjälpa HSAadministratören att välja rätt domänområde vid administration av uppdrag. Obligatorisk domänområdesbegränsning hsadomainareaallowed En möjlighet för domänansvarig att begränsa vilka organisationer som kan knyta domänområdet till ett uppdrag genom att ange HSA-id för organisationen. Endast uppdrag som ligger under den organisation som domänansvarig angivit här kan innehålla domänområdet. Frivilligt Flervärt Kan bara innehålla HSAid. Sid 10/17

12 Egenskap Attribut Användning Kommentar Begränsningen kan endast göras till organisation (=objekt av typen organization) och uppdrag som ska innehålla domänområdet måste ligga direkt under organisationen Förvaltning av domäner Domänen skapas av HSA Förvaltning som lägger till information om domänansvarig och tilldelar behörigheter utifrån beställningen. Endast tjänster som använder HSA som källa för behörigheter och har någon form av överenskommelse med HSA Förvaltning kan få en domän i domänträdet. Därefter skapar domänansvarig underliggande nivåer samt förser dessa med egenskaper. Domänen måste ha en plan för hur man tar emot och behandlar önskemål om förändringar, hur beslut om förändringar fattas, vem som kan ta beslut om förändringar samt hur förändringar kommuniceras till berörda. Varje domänansvarig har ansvar för att förmedla sin behörighetsmodell till användarna. Varje domänansvarig måste leverera en beskrivning av domänens behörighetsmodell enligt en mall utformad av HSA Förvaltning. Domänansvarig ansvarar för att kommunicera eventuella förändringar till HSA Förvaltning. Domäner som ej längre ska användas raderas av HSA Förvaltning. Domänansvarig ansvarar för eventuellt behov av arkivering. Sid 11/17

13 7. Administrativa uppdrag Som beskrivet ovan liknar hanteringen av administrativa uppdrag mycket hanteringen av vårduppdrag Struktur för administrativa uppdrag Följande gäller för lagring och registrering av administrativa uppdrag: En ny typ av medarbetaruppdrag (hsaadmincommission) skapas för de administrativa uppdragen Administrativa uppdrag får skapas under alla enheter (organization- eller organizationalunit-objekt) såvida inte någon domänområdesbegränsning finns Administrativa uppdrag innehåller huvudsakligen följande information: Egenskap Attribut Användning Kommentar namn cn Uppdragets namn. Obligatoriskt HSA-id hsaidentity Obligatoriskt beskrivning description Beskrivning av uppdraget. Frivilligt uppdragsansvarig organisation uppdragsansvarig person uppdragets domänområden uppdragets medlemmar, personer uppdragets medlemmar, andra uppdrag uppdragets organisationsomfång hsaadmincommissionresponsibleorganization hsaadmincommissionresponsibleperson hsadomainareacode hsaadmincommissionmemberp hsaadmincommissionmemberc hsaadmincommissionsector HSA-id för den organisation som ansvarar för uppdraget. Organisation som pekas ut måste ha organisationsnummer angivet. HSA-id för den person som ansvarar för uppdraget. De domänområdeskoder som kopplas till uppdraget. HSA-id för de personer som har uppdraget samt eventuellt start- och slutdatum. HSA-id för ett annat administrativt uppdrag vars medlemmar har detta uppdrag samt eventuellt start- och slutdatum. Uppdraget gäller för den/de enheter (HSA-id:n) som anges. Om en flagga anges för att enheten är en hierarkisk startpunkt så gäller uppdraget från denna enhet och nedåt. Frivilligt Frivilligt Frivilligt Flervärt Frivilligt Flervärt Frivilligt Flervärt Frivilligt Flervärt Sid 12/17

14 Uppdrag som medlem i ett uppdrag Möjligheten att ange ett administrativt uppdrag som medlem i ett annat administrativt uppdrag används i de fall då en uppdragsadministratör vill ge rättigheter till en grupp inom ett annat område men inte själv vill administrera gruppens medlemmar. Regelverket ser ut så här: Huvuduppdrag = uppdrag som innehåller domänområdena (rättigheterna) Underuppdrag = uppdrag som kopplas som medlem till Huvuduppdraget, används i det här sammanhanget bara som lista på personer. Underuppdraget kan ha egna domänområden men dessa har ingen betydelse i detta sammanhang. Administratören för Huvuduppdraget är den som kan koppla ihop och koppla isär uppdragen. Hopkopplingen förutsätter en överenskommelse mellan ansvarig för Huvuduppdraget och Underuppdraget men ansvaret för Huvuduppdraget gentemot domänansvarig förblir oförändrat. Kopplingen gäller bara en nivå. Se exemplet nedan: Uppdrag B är medlem i Uppdrag A och Uppdrag C är i sin tur är medlem i Uppdrag B. Men medlemmarna i Uppdrag C får inte domänområdena från Uppdrag A UPPDRAG A Personmedlem - Olle - Börje Gruppmedlem - Uppdrag B Domänområden - MV_1 UPPDRAG B Personmedlem - Frans - Gjördis Gruppmedlem - Uppdrag C Domänområden - HG_1 UPPDRAG C Personmedlem - Arvid - Eva Domänområden - FF_3 RESULTAT Medlem har Domänområden Olle MV_1 Börje MV_1 Frans HG_1 MV_1 Gjördis HG_1 MV_1 Arvid FF_3 HG_1 Eva FF_3 HG_1 Fig. Exempel på uppdrag som innehåller medlemmar från andra uppdrag 7.2. Förvaltning av administrativa uppdrag Varje organisation ansvarar för sin information i HSA, vilket även innefattar administrativa uppdrag. Det innebär ansvar för vilka personer som är kopplade till uppdragen under vilken tid samt vilka rättigheter som medarbetaruppdraget innehåller. Sid 13/17

15 8. Administrativa uppdrag i en biljett De egenskaper som en användare har vid ett visst tillfälle kan förpackas av en idp (identity provider) till en eller flera biljetter. Hur biljetten utformas är inte en fråga som behandlas här men ett viktigt påpekande är att eftersom alla administrativa uppdrag är aktiva samtidigt men kan ha olika organisationsomfång måste man i en biljett kunna förmedla vilket organisationsomfång som gäller för varje aktuellt domänområde. Sid 14/17

16 9. Exempel 9.1. Hämta uppgifter om asylsökande från Migrationsverket Migrationsverket förser idag landsting med uppgifter om vilka nytillkomna asylsökande som ska genomgå hälsoundersökning. Landstingen rapporterar sedan tillbaka vilka som genomgått undersökningen och skickar in ersättningskrav till Migrationsverket. Migrationsverket har även kontakt med kommuner när det gäller asylsökande. Idag hanteras behörigheter för landstings- och kommunanställda av Migrationsverket, vilket innebär administrativa och säkerhetsmässiga svårigheter. Genom att för detta ändamål använda administrativa uppdrag skulle man kunna komma tillrätta med problematiken. En domän för Vård av asylsökande skulle kunna skapas med fyra domänområden, se exempelbilder nedan. Domän Vård av asylsökande Namn: HSA- id: Domänkod: Beskrivning: Domänansvarig:, Domänområden Vård av asylsökande SE DO12345 MV_ Denna domän hanterar den kommunikation kring nya asylsökande som Migrationsverket har med landsting och kommuner. Frågor om domänen ställs till Migrationsverkets systemförvaltnings- enheten. Förvaltningsledare Börje Exempel Domän Vård av asylsökande Lista asylsökande Rapportera hälsounder- sökning Begära ersättning Se begärda ersättningar Fig. Den fiktiva domänen Vård av asylsökande Sid 15/17

17 Domän Vård av asylsökande Domän Vård av asylsökande Domänobj ekt Domänområden Lista asylsökande Begära ersättning Namn: HSA- id: Domänområdeskod Beskrivning Domänområdesbegränsning Lista asylsökande SE DO12347 MV_ListAsyl Ger rätt att hämta en lista över de asylsökande som ska genomgå hälsoundersökning. Denna behörighet kan bara tilldelas användare inom landsting. SE AAAA SE AAAA SE AAAA Namn: HSA- id: Domänområdeskod Beskrivning Domänområdesbegränsning Begära ersättning SE DO12346 MV_ErsattKrav Ger rätt att skicka in ersättningsbegäran för vård av asylsökande. Denna behörighet kan bara tilldelas användare inom landsting och kommun. SE AAAA SE AAAA Fig. Två domänområden för den fiktiva domänen Vård av asylsökande Sid 16/17