SKLTP EI SAD - Följsamhet mot T-bokens styrande principer

Owned by
Magnus Larsson (Unlicensed)
Last updated: mars 02, 2015 by
Mats Ekhammar (Unlicensed)
7 min read

Följsamhet mot T-bokens styrande principer

IT2: Informationssäkerhet

Förutsättningar att uppfylla

Uppfyllnad

Verksamhetskritiskt IT-stöd designas för att möta verksamhetens krav på tillgänglighet vid frånfall av ett externt beroende. Ju fler beroenden till andra komponenters tillgänglighet, desto lägre egen tillgänglighet.

Systemet har beroenden till tjänsteplattformens tjänsteadresseringskatalog (dess tjänsteproducent enligt tjänstedomän för tjänsteadressering). För att minska riskerna cachar implementationen data från uppslagen mot tjänsteadresseringskatalogen.

Systemet har uppdateringsberoenden till de system som prenumererar på indexhändelser (producenter av ProcessNotification). Tjänstekontraktsbeskrivningen föreskriver robusthetskrav för EI som denna implementation tillgodoser genom asynkron hantering av notifiering med omsändningsalgoritmer.

Verksamhetskritiska nationella stödtjänster (t.ex. tillgång till behörighetsstyrande information) erbjuder möjlighet till lokala instanser som med tillräcklig aktualitet hålls uppdaterade med nationell master.

Detta index uppfyller kraven för att kunna tillämpas regionalt. Det är öppen källkod och öppet tillgängligt för regional tillämpning. Arkitekturen för EI (enligt tjänstekontraktsbeskrivningen) stödjer federering genom notifieringsfunktionen så att nationellt index kan uppdateras via regionala index.

Krav mellan integrerande parter regleras genom integrationsavtal. Integrationsavtal är det avtal där informationsägaren godkänner att en ett visst system får agera mot information genom ett visst tjänstekontrakt. Exempelvis skall enligt integrationsprocessen för den nationella tjänsteplattformen ett avtalsnummer för ett integrationsavtal registreras i samband med att man "öppnar dörren" för en viss tjänstekonsument mot en viss kombination av informationsägare och tjänstekontrakt.

Den organisation som erbjuder ett engagemangsindex behöver ha personuppgiftsbiträdesavtal upprättade enligt CeHis modellavtal 2, med berörda vårdgivare.

Arkitekturen måste möjliggöra tillräcklig tillgänglighet vid flera samverkande system.

Redundant infrastruktur är nödvändig för en driftsinstans av EI eftersom många e-tjänster beror av EI. Detta behöver säkerställas genom en väl avvägd infrastrukturdesign för aktuell driftspunkt.

En sammantagen tolkning av tillämpliga lagar och förordningars konsekvenser för teknisk realisering av informationsfångst, utbyte och lagring.

Cehis och SLL:s patientdatajurister har genomlyst Engagemangsindex ur juridiska perspektiv. Tjänsten påverkas av PUL då data lagras, men inte av PDL då ingen direktåtkomst erbjuds (stödtjänster saknar användargränssnitt).

Den organisation som erbjuder ett engagemangsindex behöver ha personuppgiftsbiträdesavtal upprättade enligt CeHis modellavtal 2, med berörda vårdgivare.

Förutsättningar för spårbarhet etableras i form av loggningsregler för komponenter som deltar i säkert informationsutbyte.

Tjänstekonsument och tjänsteproducent ansvarar för att följa de krav som finns på spårbarhet och loggning. Stödtjänsten i sig är inte en aktiv part i att delge medarbetare eller patienter information.

Interoperabla, internationellt beprövade och för leverantörer tillgängliga standarder tillämpas för kommunikation mellan parter som har upprättat tillit.

Allt informationsutbyte sker enligt nationella tjänstekontrakt för engagemangsindex.

IT3: Nationell funktionell skalbarhet

Förutsättningar att uppfylla

Uppfyllnad

Nationella tjänstekontrakt definieras med nationell täckning som funktionell omfattning. Det är möjligt för ett centraliserat verksamhetssystem som användas av alla verksamheter i Sverige att realisera varje standardiserat tjänstekontrakt. Det får inte finnas underförstådda funktionella avgränsningar till regioner, kommuner, landsting eller andra organisatoriska avgränsningar i nationella tjänstekontrakt.

Enligt tjänstekontraktens specifikation kan ett index vara nationellt eller regionalt. Samma lösning (denna implementation) stödjer båda rollerna. En indexinstans kan inte ha rollen som två regionala index. Det är i någon mening ett avsteg, men det ligger inte i lösningen utan i det nationella tjänstekontraktets struktur.

 

SLA ska definieras för varje tjänstekontrakt. Detta SLA ska ta hänsyn till framtida kapacitet för tjänstekontraktet med avseende på transaktionsvolym, variationer i användningsmönster och krav på tillgänglighet, i kombination med förmåga till kontinuerlig förändring.

Detta projekt har inte ansvarat för att specificera tjänstekontrakten. Tjänstekontrakten är kravdokument för detta projekts implementation av ett engagemangsindex.

Integration ska ske över en integrationsinfrastruktur (t.ex. virtualiseringsplattform) som möjliggör uppföljning av tjänsteproducenters fullföljande av SLA.

Nationell Tjänsteplattform eller regionala tjänsteplattformar förutsätts användas för indexets kommunikation med omvärlden.

System och e-tjänster som upphandlas kan utökas med fler organisationer som kunder utan krav på infrastrukturella ingrepp (jämför s.k. SaaS)

 Nej, det är inte möjligt. Enligt tjänstekontraktens specifikation kan ett index vara nationellt eller regionalt. Samma lösning (denna implementation) stödjer båda rollerna. En indexinstans kan inte ha rollen som två regionala index. Det är i någon mening ett avsteg, men det ligger inte i lösningen utan i det nationella tjänstekontraktets struktur.

IT4: Lös koppling

Förutsättningar att uppfylla

Uppfyllnad

Meddelandeutbyte baseras på att kommunikation etableras utgående från vem som äger informationen som ska konsumeras eller berikas, inte vilket system, plattform, datalager eller tekniskt gränssnitt som informationsägaren för stunden använder för att hantera informationen. Genom centralt administrerad förmedlingstjänst skapas lös koppling mellan informationskonsument och informationsägarens tekniska lösning.

Meddelandeutbyte är baserade på tjänstekontrakt. Tjänstekontrakten  följer T-boken och RIV-TA2.1

Den logiska adresseringen till EI sker med hjälp av journalsystemens hsa-id, adresseringen ifrån EI (ProcessNotification) sker med hjälp av en fråga till tjänsteadresseringskatalogen för att få alla producenters system-hsa-id som då används till den logiska adressen.

 

En arkitektur som skapar lös koppling mellan konsumenter och producenter, avseende adressering och standarder för kommunikation.

T-boken och RIV-TA 2.1 tillämpas genom att all kommunikation sker via nationella fastställda tjänstekontrakt.

En nationell integrationspunkt ska kunna erbjudas för varje nationellt standardiserat tjänstekontrakt, som en fasad mot bakomliggande brokiga systemlandskap.

Projektet förutsätter att all kommunikation med EI (in och utgående) sker via virtuella tjänster i en tjänsteplattform.

Nationella tjänstekontrakt förvaltas i en nationellt koordinerad förvaltning.

Detta projekt har inte ansvarat för att specificera tjänstekontrakten. Tjänstekontrakten är kravdokument för detta projekts implementation av ett engagemangsindex.

För en process inom vård och omsorg kan flera tjänstekontrakt ingå. Därför är det viktigt att alla tjänstekontrakt baseras på en gemensam referensmodell för informationsstruktur.

Detta projekt har inte ansvarat för att specificera tjänstekontrakten. Tjänstekontrakten är kravdokument för detta projekts implementation av ett engagemangsindex.

Parter som samverkar i enlighet med arkitekturen integrerar med system hos parter som lyder under annan styrning (t.ex. myndigheter, kunder och leverantörer). Det kan leda till att vård- och omsorgsgivare antingen:

  • Nationellt bryggar informationen (semantisk översättning) eller
  • Nationellt införlivar externt förvaltat tjänstekontrakt som standard.

Observera att semantisk bryggning av information till vårdens referensmodell förutsätter en nationell förvaltning av bryggningstjänster.

För att införliva ett externt förvaltat tjänstekontrakt förutsätts en transparent, robust och uthållig tjänstekontraktsförvaltning hos den externa parten.

Projektet har inget uppdrag att etablera elektronisk samverkan med externa parter.  

Befintliga system behöver anpassas till nationella tjänstekontrakt. Detta kan göras av leverantörer direkt i produkten, eller genom fristående integrationskomponenter (”anslutningar”). En anslutning bör ligga nära (logiskt vara en del av) det system som ansluts, oavsett om det är i rollen som konsument eller producent för anslutningen som genomförs.

Projektets utgångspunkt är att källsystem-leverantörer och e-tjänster som prenumererar på index-notifieringar anpassas till de aktuella tjänstekontrakten. Det finns inga komponenter för system-specifika anpassningar i lösningen.

Interoperabla standarder för meddelandeutbyte tillämpas, så att integration med till exempel en Web Service kan utföras utan att anropande system behöver tillföras en för tjänsteproducenten specialskriven integrationsmodul (s.k. agent).

Tjänstekontrakten som tillämpas är utformade enligt RIV-TA 2.1.

IT5: Lokalt driven e-tjänsteförsörjning

Förutsättningar att uppfylla

Uppfyllnad

När utveckling av källkod är en del av en tjänsteleverans skall följande beaktas:


  • Alla leveranser tillgängliggörs under öppen källkodslicens. Valet av licensformer samordnas nationellt genom rekommendationer.
  • Utvecklingen bedrivs från start i en allmänt tillgänglig (över öppna nätverk) projektinfrastruktur där förvaltningsorganisation kan förändras över tiden inom ramen för en kontinuerligt tillgänglig projektinfrastruktur (analogi: ”Projektplatsen för e-tjänsteutveckling”).
  • Det innebär full insyn och åtkomst för utvecklare till källkod, versionshantering, ärendehantering, stödforum och andra element i en projektinfrastruktur under projektets och förvaltningens hela livscykel.  
  • Upphandlade e-tjänster fungerar på de vanligaste plattformarna hos vårdgivarna och hos nationella driftspartners (Windows, Linux, Unix) t.ex. genom att vara byggda för att exekvera på en s.k. Java virtuell maskin.
  • Gemensam referensmodell för e-tjänsters interna uppbyggnad stimulerar och förenklar återanvändning och överföring av förvaltningsansvar mellan organisationer.

Denna lösning är öppen källkod och publicerad på GitHub enligt RIVTA-riktlinjer för detta.

 

Utvecklingen har bedrivits på GitHub (Google Code från start), med möjlighet till full insyn. Även test-automationsmiljöer är publika och resultatet av byggen redovisas publikt. Se http://build.callistasoftware.org:8080/jenkins/job/engagemangsindex/lastCompletedBuild/testReport/

Lösningen är utvecklad för att kunna driftsättas i vilken Java EE 6-plattform som helst, som stödjer Java EE 6 Full Profile (web-services och JMS används). Den är därmed portabel över olika operativsystem och även över olika Java EE 6-implementationer.

Minsta möjliga – men tillräcklig – mängd standarder och stödjande gemensamma grundbultar för nationella e-tjänstekanaler säkerställer att även utvecklingsenheter i mindre organisationer kan bidra med e-tjänster för en integrerad användarupplevelse och att en gemensam back-office för anslutning av huvudmän till e-tjänster finns etablerad. I den mån etablerade standarder med bred tillämpning i kommersiella e-tjänster finns (t.ex. för single-sign-on), bör de användas i syfte att möjliggöra upphandling av hyllprodukter.

Engagemangsindex är inte en e-tjänst.

Utveckling sker mot globalt dominerande portabilitetsstandarder i de fall mellanvara (applikationsservrar) tillämpas. Det är möjliggöraren för nyttjande av free-ware och lågkostnadsverktyg i organisationer som inte orkar bära tunga licenskostnader för komplexa utvecklingsverktyg och driftsplattformar.

EI är skriven med Java EE 6 som grund och kräver en certifierad Java EE 6 applikationsserver (Full Profile), alla ingående ramverk som används är öppen källkod och leveransen av EI själv är även den släppt som öppen källkod.

I projektet så har JBoss 7, Mysql 5.5 samt IDE’n Netbeans använts men med målet att var och en av komponenterna är utbytbara för möjliggöra lokala anpassningar.

Nationell (eller regional – beroende på sammanhang vård/omsorg) förvaltning är etablerad (t.ex. s.k. Portal Governance), med effektiva processer för att införliva lokalt utvecklade e-tjänster i nationella e-tjänstekanaler. Systematisk och effektiv allokering av resurser för drift är en viktig grundförutsättning.

Engagemangsindex är inte en e-tjänst.

Genom lokal governance och tillämpning av det nationella regelverket får lokala projekt den stöttning som behövs för att från början bygga in förutsättningar för integration i samordnade (t.ex. nationella) e-tjänstekanaler.

Engagemangsindex är inte en e-tjänst.

IT6: Samverkan i federation

Förutsättningar att uppfylla

Uppfyllnad

Att gemensamma gränssnitt i alla federativa utbyten finns framtagna och beskrivna, vilket möjliggör kostnadseffektiva och leverantörsneutrala lösningar.

RIV-TA tillämpas

Det behövs organ och processer för att godkänna utgivare av elektroniska identitetsintyg och certifikat som är giltiga i federationen.

SITHS HCC certifikat används i enlighet med T-boken och RIV-TA2.1.  

  • Nationell eller regional SITHS förvaltning ansvarar för utgivning av certifikat.
  • Engagemangsindex-komponenten kräver inte PKI för kommunikation, utan kan vid behov förlita sig på att en tjänsteplattform agerar SSL-part i informationsutbytet med källsystem och e-tjänster.

Aktörer i olika nät, inklusive öppna nät ska vara välkomna i elektronisk samverkan genom att samverkande komponenter är säkra.

Kommunikation sker via nationellt tjänsteplattform. Via den nationella tjänsteplattformen kan EI nås från internet och Sjunet.

Att Ingående parter i federationen är överens om ett antal gemensamma ståndpunkter:

  • att stark autentisering likställs med 2-faktors autentisering
  • att vid samverkan acceptera följande metoder för stark autentisering; eID, PKI med lagring av nyckelpar på SmartCard eller motsvarande och metoder baserade på engångslösenord, antingen genererade i en fysisk enhet eller säkert distribuerad till fysisk enhet
  • att tillämpa en gemensam certifikat- och utfärdarpolicy, likvärdig med SITHS, som ett minimikrav för egen eller annans PKI
  • att sträva mot en autentiseringslösning, framför flera olika, för att realisera stark autentisering i den egna organisationen och i federation
  • att enbart acceptera SAMLv2, eller senare version, vid identitetsfederering samt tydliggöra att det i förekommande fall är det enda sättet att logga in och säkerställa det inte finns någon bakväg in
  • att tillämpa ett gemensamt ramverk för att ingå i en federation
  • att tillämpa en gemensam katalogpolicy, med utgångspunkt från HSA policy, som ett minimikrav för egna kataloger
  • att stäva mot att all gränsöverskridande kommunikation skall vara möjlig både över Sjunet och Internet. Det är den egna organisationen som beslutar vilken tillgänglighet som är tillräcklig för anslutningen
  • att sträva efter att möjliggöra kontroll av trafik till och från den egna infrastrukturen i en eller få kontrollpunkter
  • att utgå från att kommunikation över Internet och Sjunet har ett likvärdigt skyddsbehov

Engagemangsindex erbjuder inte ett användargränssnitt och har därför heller inget behov av att identifiera användare i en SSO-federation.