Identiteter och roller inom vård och omsorg Varför behövs rollbaserad behörighet? (roll och roll?) Europoint, seminarium 16 oktober 2014 Identitetstjänster och Federationer Ulf Palmgren, SKL 2014-10-16
Bakgrund: Landskapet Privatpersoner och Medarbetare Inloggning Inloggning SAMBI, Offentlig och privata federationer etjänster Invånare etjänster Medarbetare Gemensamma E-tjänster Tjänsteplattformen Gemensam och regionala tjänsteplattform Spärr TGP Logg Gemensamma stödtjänster System 1 System 2 System 3 Anslutna Vårdgivare
Inloggning etjänster Invånare Inloggning etjänster Medarbetare Lagren Identitetsfederation -Svensk e-legitimation Identitets- och behörighetsfederation -SAMBI -Skolfederation Spärr TGP Logg Tjänsteplattformen Federation Informationsutbytesfederation System 1 System 2 System 3
Visionen: En säkerhetslösning till allt? Kommun Ekonomi Miljö & Hälsa Vård & Omsorg Skola Bygglov Social-tjänst Gata & Park Barnomsorg Överförmyndare
Visionen: En säkerhetslösning till allt? Molntjänst Ekonomi Skola Myndigheter Migration SKV SHS FK AF Kommun Ekonomi Skola Miljö & Hälsa Bygglov Gata & Park Vård & Omsorg Barnomsorg Socialtjänst Överförmyndare RIV SAML Vård och Omsorg Landsting Nationella system Privat vårdgivare ehm Privata utförare Ekonomi Vård & Omsorg Övriga Apotek Invånare Skola Gata & Park E-handel Företag
e-tjänstelegitimation Medarbetare Gemensam tjänst Webbläsare etjänst Uppgifter från certifikatet HSAID Person Organisation Organisationsenhet Legitimerad Yrkestitel
e-legitimation Medarbetare Gemensam tjänst Webbläsare etjänst Behörighet Uppgifter från certifikatet HSAID Person
Identitets och behörighetsfederation Medarbetare Gemensam tjänst Webbläsare Intygsutgivare Intyg -vem -vad E-tjänst etjänst Katalog Behörighet Uppgifter i Intyget HSAID Person HSAID VG/VE Medarbetaruppdrag Förskrivarkod Arbetsplatskod..
E-legitimation Idag Imorgon? En lösning för Vård och Omsorg SITHS Valfrihet för alla sektorer Svensk e-legitimation?
Behörighetsgrundande egenskaper AA eller Intyg?
Skola: Exempel utan federation Kommun/Skola Läromedelsförlag Inloggning Elever Läromedelsförlag Läromedelsförlag Läromedelsförlag Läromedelsplattform Inloggning Användarnamn Lösenord Lärare/pedagog elevkatalog elevkatalo elevkatalo g g elevkatalog Affärsavtal, (Personuppgiftsbiträdesavtal)
Skola: Idenitet via Svensk e- legitimation, funkar det? Federationsoperatör e-nämnden Tillsyn Inloggning IDP Medlemsregister Metadata Anvisningstjänst Kommun/Skola Läromedelsförlag Elever Läromedelsförlag Läromedelsförlag Läromedelsförlag Läromedelsplattform Intyg Personnummer Namn Adress. Lärare/pedagog elevkatalog elevkatalo elevkatalo g g elevkatalog alt Ställ en fråga till AA För att få veta vilken skola/klass eleven tillhör Affärsavtal, (Personuppgiftsbiträdesavtal)
Skola: Identitets och behörighetsfederation, www.skolfederation.se Federationsoperatör.SE Tillsyn Medlemsregister Metadata Anvisningstjänst Kommun/Skola Inloggning IDP Läromedelsförlag Elever Läromedelsplattform Intyg Pseudonym Skola Årskurs Läromedelsförlag Läromedelsförlag Läromedelsförlag Lärare/pedagog elevkatalog Affärsavtal, (Personuppgiftsbiträdesavtal)
När roll blev Medarbetaruppdrag
Egenskapsbaserad rättighetshantering ABAC (Attribute Based Access Control) Aktör Resurs Kontroll Aktörsegenskaper HSA-id Legitimation Organisation Verksamhetsområde Syfte Regeltillämpning Regler Resursegenskaper Patientid Organisation Verksamhetsområde Datum
Basregel 2 skriva Aktör (Subject) Regel Resurs (Resource) Unik ID Legitimation Förskrivarkod Aktivitet (Activity) Läsa PatientId Organisation Verksamhetsområde Arbetsbeskrivning Organisation Verksamhetsområde = = Skapa Skriva Ordinera Infotyp Tid AnsvarigId Syfte =Hälso- och sjukvård SkapandeId Resursid
Behörighetsstyrning Utgångspunkten är att behörigheten ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Krav på att vårdgivaren ska ha rutiner för att tilldela, förändra, ta bort och regelbundet följa upp individuella (tekniska) behörigheter för åtkomst till patientuppgifter.
18 070116 Stockholms läns landsting GVD-programmet Förslag till behörighetskategorier Särskild behörighet: Information om rättspsykiatriska utredningar, könsbyte och LVU-ärenden. Hög Allmän Översiktlig Anteckningar av känslig karaktär, psykoterapisamtal, sexuella övergrepp, HIV Anteckningar om medicinsk vital information, diagnos och social anamnes. Översikt över personuppgifter och tidigare vårdkontakter.
Patientdatalagen Personal med Medarbetaruppdrag Stark Autentisering Behörighet Patient-/Vårdrelation Tillgänglig patient (TGP) Aktivt Val Vårdgivarens undantag Patientens begärda spärrar Patientens samtycke Patientens ställningstagande (SHJ) Vårdgivare Egen Vårdenhet Patient uppgift Andra Vårdenhet Patient uppgift Andra Vårdgivare Patient uppgift Sammanhållen Journal (SHJ) Åtkomstkontroll (Loggning/Logguppföljning)
Regler använder sig av HSA Vårdgivare / Vårdenhet Vårdgivare Vårdgivare Medarbetaruppdrag Vårdenhet Vårdenhet Patient uppgift Vårdgivare Egen Vårdenhet Patient uppgift Andra Vårdenhet Patient uppgift Andra Vårdgivare Patient uppgift Sammanhållen Journal (SHJ)
Medarbetaruppdrag 2.0 Kodverk Behörighets Domän Kodverk Personliga Förskrivarkod Yrkestitel Vårdgivare Vårdenhet Arbetsplatskod Områdesomfång Inforesursaktivitet VE VG SHJ Läsa Skriva Hög behörighet (fritext) Inforesurs Ändamål/Syfte Lab LF VoB Admin HoS; SHJ;Läsa;LAB;VoB HoS;VE;Skriva;LAB;VoB Medarbetaruppdrag Behörighetgrundande
Använda fler fack i SAML-intyget Behovet är att förutom identiteten hantera behörigheten.
Framtagna modeller för Medarbetaruppdrag Sammanhållen journalföring (NPÖ) Status Klar. RIV-spec finns Samordnad vårdplanering. Påbörjad och parkerad. Administrativa uppdrag Pågår http://www.inera.se/tjanster--projekt/hsa/dokument/hsa-innehall/
E-remiss utkast Nummer Beteckning Rem ORem APe System AMo Bed Utf RSA ASv RSm ORSm RKo A1:1 Val av patient Rem ORem APe A1:2 Val av mottagande vårdenhet Rem ORem APe A1:2.1 Urval av vårdenhet - vårdtyp Rem ORem APe A1:2.2 Sortering på väntetider Rem ORem A1:2.3 Sortering på geografi Rem ORem A1:3 Registrera remittent Rem ORem APe A1:4 Registrera remisstidpunkt Rem ORem APe A1:5 Registrera remissidentitet System A1:6 Skapa remissinnehåll Rem ORem APe A1:6.1 Hämta krav på remissinnehåll Rem ORem APe A1:7 Spara remiss Rem ORem APe A1:8 Ändring av remiss Rem ORem APe A1:9 Signera remiss Rem A1:10 Skicka remiss Rem ORem APe A2:1 Ankomstregistrering av remiss APe AMo A2:2 Vidarebefordra till bedömare APe AMo Bed A2:3 Bedöma och prioritera remiss Bed A2:4.1 Begär komplettering av remiss Bed A2:4.2 Vidareskicka till annan enhet APe AMo Bed A2:5 Acceptera remiss Bed A2:5.1 Lägga till intern information APe AMo Bed A2:5.2 Skicka remissbekräftelse APe AMo Bed A2:6 Vidarebefordra till tidbokning APe Bed A2:7 Vidarebefordra till utförare APe Bed Utf A2:8 Läsa accepterad remiss Bed Utf A2:9 (Avsluta inkommen remiss)
Attribut som önskas i SAML-biljett till Beställningsportalen, fas 1 Obligatoriska attribut för alla användare Hsa-id (behöver ej vara HSA-id som finns i EK) id för användaren. Finns möjlighet att koppla ihop användaren med befintlig användare i Beställningsportalen. Förnamn användarens förnamn Efternamn användarens efternamn Epostadress användarens e-postadress Telefon telefonnummer där användaren kan nås. Användarroll en till flera användarroller krävs för användaren. Följande roller är möjliga: Förskrivare, FörskrivareLäs, Leverantör, LeverantörLäs, Controller, Helpdeskanvändare, Talonganvändare. UppdragsId kan detta vara klart att komma med i fas 1? Detta är mer en fråga för federationen.
Attribut som önskas i SAML-biljett till Beställningsportalen, fas 1 Obligatoriska attribut för användare med användarroll Förskrivare Yrkesroll ett värde av följande krävs för förskrivare: arbetsterapeut, sjukgymnast, logoped, sjuksköterska, läkare, distriktssköterska, uroterapeut, synpedagog, optiker, dietist, diabetessjuksköterska, lymfterapeut. EnhetKombikakod kombikakod för den enhet som användaren avser förskriva för. EnhetNamn namn på den enhet som användaren avser förskriva för. EnhetKommun anger om förskrivande enheten är kommunal eller inte. EnhetEpost e-postadress till arbetsledare/chef för förskrivande enheten. EnhetArbetsledare namn på arbetsledare/chef för förskrivande enheten. Attributen nedan kan komma att önskas i en senare fas Enhetstyp anger typen på enheten, något av följande värden - Närsjukvård, Privata sjg, log, Habilitering, Sjukhus, Kommun, Leverantörer, Övriga. EnhetKommun/Stadsdel/Område anger geografisk tillhörighet för förskrivande enheten. EnhetAdress - Adressuppgifter till förskrivande enheten.
Pascal: Leg yrkesgrupp / Förskrivarkod
ApSe: Argos Roll FORSKRIVARE LEG_VARDPERSONAL EJ_LEG_VARDPERSONAL FARMACEUT_APOTEK PERSONAL_APOTEK PRIVATPERSON
Apse: Argos Attributnamn Max längd Beskrivning efternamn 35 Efternamn. fornamn 35 Förnamn. forskrivarkod 7 Förskrivarens individuella legitimationskod eller förskrivarens gruppförskrivarkod då individuell kod saknas. legitimationskod 6 Legitimationskod för vårdpersonal. organisationsnummer 12 Organisationsnummer. postort 35 Arbetsplatsens postort. postnummer 5 Arbetsplatsens postnummer. postadress 35 Arbetsplatsens gatuadress (Adress 2). personnummer 12 Personnummer för privatperson som anropar tjänst. telefonnummerdirekt 15 Telefonnummer direkt till användaren. telefonnummer 15 Telefonnummer till användaren eller arbetsplatsen. yrkeskod 2 Yrkeskod
Standardegenskaper, går det? Personliga egenskaper - HSA ID - Legitimerad (Läkare, Sjuksköterska) - Arbetsplatskod (för läkemedel) Uppdragsspecifika personliga egenskaper - Tilldelade behörighetsgrundande egenskaper - Kommer över överskådlig tid ej att kunna standardiseras - Låt parterna själva komma överens om vad som ska användas. Organisationens egenskaper - Vårdgivare - Vårdenhet
Sambi Identitets och behörighetsfederation Var ligger ansvaret och för vad? www.sambi.se Federationsoperatör.SE Anvisningstjänst Medlemsregister Tillsyn Medlem uppfyller Regelverk, Tillitsramverk, Policys, Inloggning Intygsutfärdare IDP Intyg - Vem - Vad Auktorisation ettjänst Katalog Behörighetstyra nde attribut AA HSA Vårdgivare Avtal Gemensam tjänst
Slut
Extra mtrl. Brygga federationer 2014-05-13
Använda Svensk e-legitimation som e-legitimation i tjänsten Identitet E-tjänst Privatpersoner e-legitimation privat e-legitimation i tjänsten Brygga (SP) Intygsutgivare (IDP/CA) Intygsutgivare (IDP/CA) Identitet och behörighet E-tjänst Anställda Anvisningstjänst Attributtjänst Attributtjänst
Driver på flera federationer för e- tjänstelegitimation e-legitimation privat e-legitimation i tjänsten Brygga (SP) Intygsutgivare (IDP/CA) Attributtjänst Attributtjänst Identitet Intygsutgivare (IDP/CA) Medlemsregister Offentlig sektor Medlemsregister Privat sektor Identitet och behörighet Medlemsregister SAMBI Medlemsregister skolfederation Medlemsregister. E-tjänst Privatpersoner Anvisningstjänst E-tjänst Anställda
Fråga: Hur många federationer blir det? Kommun Svensk e-legitimation Skolfederation Vårdfederation Federation X Y Z? Test/Certifiering Tillsyn/Revision Avgifter, LIS Test/Certifiering Tillsyn/Revision Avgifter, LIS Test/Certifiering Tillsyn/Revision Avgifter, LIS Test/Certifiering Tillsyn/Revision Avgifter, LIS
Klient Server ehm POT
SAML Metadata TP Metadata Webb klient Uthopp Rik klient IDP STS CS Medarbetaruppdragsval Katal og SP NPÖ Pascal Server WS Soap TP WS Produce nt Mål ID användare Organisation VG/ Medarbetaruppdr Instans System WS Metadata
SAML Metadata TP Metadata Webb klient Uthopp Rik klient IDP SAML 2.0 CS WS Trust 1.3 STS (intyg SAML) Katal og SP NPÖ Pascal Server WS Soap WS Basic Profile Version TP 1.1 WS Produce nt Mål ID användare Organisation VG/ Medarbetaruppdr Instans System WS Metadata