• Gruppa er enig om at HPR-nr bør være med hvis det finnes (HelseID bør berike hvis tilgjengelig)
• Enkelte helsepersonell har ikke autorisasjon

Autorisasjoner og Lisenser fra HPR er tilgjengelige i både HPR og i HelseID sitt userinfo endepunkt i dag - ved behov kan datakilden/dokumentkilden gjøre oppslag mot disse tjenestene. Informasjonen trenger ikke å være med i access token..

I spesifikasjonen i dag kommer det ikke klart fram hva attributtet skal benyttes til.

Jeg foreslår at vi legger til en kolonne i tabellen som viser oversikten over attributtene, hvor vi indikerer:

• tilgangsstyring
• loggkontroll og sporbarhet
• pasientens rettigheter

Det står ikke beskrevet hvordan vi har tenkt å versjonere spesifikasjonene.
Vi bør legge til litt tekst i README om hvordan dette er tenkt gjort.. Sikkert lurt å skrive noe om dette i discussions også.

Synes det mangler en klar referanse til entitetene i informasjonsmodell. Gjelder egentlig flere av avsnittene 3.2.5.x.

Hei,
tar meg den frihet å melde inn et par ting om https://github.com/NorskHelsenett/Tillitsrammeverk/blob/main/specs/informasjons_og_datamodell.md.

1: feilstavingen practictioner bør byttes ut, i eksempler og dataformater

2: under healthcare_service nevnes kodeverk som er utgått.
8627 Tjenestetyper innen spesialisthelsetjenesten - erstattet med 8655
Linkene til kodeverkene er feil.
(Generelt bør disse kodeverkene samsvare med dem som brukes av RESH, HPR og andre registre hos https://register-web.test.nhn.no/docs/api/ - RESH lister 8653, 8654, 8655 (og iblant 8652, 8663))

3: Bør ikke kodeverket for "purpose_of_use_details" være et offisielt norsk kodeverk og dermed ligge i Volven og ikke være DIPS-proprietært? Også logisk at kodeverket 9151 for kommunene ligger under healthcare service?

I informasjonsmodellen er attributter som ikke egentlig er spesifikke for verken helsepersonellet eller pasienten når disse sees uavhengig av hverandre lagt under care_relation. I SAML-sikkerhetbeviset vi i dag mottar fra nasjonal XCA ligger dette attributtet under subject, som altså tilsier at helsehjelpstjenesten er koblet mot helsepersonellet og egentlig uavhengig av hvilken pasient det er snakk om. Det kan godt være riktig i mange tilfeller, men strengt tatt burde vel healthcareservice heller ligge utenfor subject ettersom det vi er på jakt etter her er hvilken helsehjelpstjeneste som ytes av helsepersonellet for den aktuelle pasienten som sikkerhetsbeviset og forespørselen gjelder. Et og samme helsepersonell kan godt primært yte en spesifikk helsehjelpstjeneste i de fleste tilfeller, men når de inngår i en behandling av pasienter er det behandlingen pasienten mottar fra virksomheten som er relevant for å kunne forstå hvorfor dette helsepersonellet har et tjenstlig behov for tilgang de aktuelle helseopplysningene når det gjelder denne spesifikke pasienten i akkurat dette tilfellet. Mitt forslag er derfor at healtchares_service legges utenfor subject direkte på rot-nivå i SAML-sikkerhetsebeviset.

4.2 Personvern

Datamodellen legger til rette for en utlevering av personopplysninger, herunder helseopplysninger, som en behandling av en særlig kategori av personopplysninger, gjennom å sammenstille opplysninger om helsepersonellet, pasientens identifikasjonsnummer, opplysninger om virksomheten der helsehjelpen utføres, formålet med tilgangen til helseopplysninger og relasjonen mellom helsepersonellet og pasienten, for å autentisere tilgang til gitte helseopplysninger.

4.2.1 Tap av personopplysninger

Ved å utnytte svakheter og sårbarheter i programvare kan kan en angriper observere personopplysninger som utleveres mellom tekniske tjenester som benyttes av virksomheter ved deling av helseopplysninger.
Tap av personopplysninger kan oppstå mellom flere parter i verdikjeden:

• mellom konsument og autorisasjonsserver/IdP
• mellom konsument og informasjonstjeneste
• mellom informasjonstjeneste og datagrensesnitt
  For å sikre mot potensielt tap av personopplysninger bør det vurderes å etablere tiltak for å ivareta konfidensialiteten.

4.2.2 Overvåkning av ansatte i andre virksomheter

Datamodellen innebærer en utlevering av opplysninger om helsepersonellets arbeidsforhold. Disse opplysningene utleveres til andre virksomheter enn den virksomheten helsepersonellet er ansatt hos eller yter helsehjelp på vegne av. Det legges derfor til rette for at opplysninger kan benyttes til å monitorere helsepersonell i andre virksomheter. Dataansvarlige må følgelig være bevisste begrensningene i formålet med behandlingen av personopplysninger og eventuelt vurdere risiko knyttet til behandling av personopplysninger utover dette formålet.

4.2.4 Vurdering av personvernkonsevenser

For å ivareta rettighetene og frihetene til pasienten og helsepersonellet som registrerte, bør dataansvarlig virksomhet vurdere hvorvidt behandlingen av personopplysninger medfører høy risiko for at de registrertes rettigheter og friheter ikke ivaretas.

4.2.3 Forutsetninger for behandling av personopplysninger med utgangspunkt i datamodellen

Med utgangspunkt i at datamodellen legger til rette for en utlevering av personopplysninger, herunder helseopplysninger, som en behandling av en særlig kategori av personopplysninger, vil det forutsettes at behandlingen skjer i tråd med prinsipper for behandling av personopplysninger. Personvernkonsekvensene ved tap av personopplysninger eller utilsiktet tilgang vil være store, og behandlingen vil følgelig måtte innebære et særlig fokus på misbruk gjennom behandling av opplysningene til andre formål og helsepersonellets dokumenterte tjenstlige behov for tilgang til gitte helseopplysninger

ref: @ArneHD

2: under healthcare_service nevnes kodeverk som er utgått.
8627 Tjenestetyper innen spesialisthelsetjenesten - erstattet med 8655
Linkene til kodeverkene er feil.
(Generelt bør disse kodeverkene samsvare med dem som brukes av RESH, HPR og andre registre hos https://register-web.test.nhn.no/docs/api/ - RESH lister 8653, 8654, 8655 (og iblant 8652, 8663))

Redigere direkte i Gihub
Visual studio code - med extensions
Ghostwriter

Hei @steinarnoem!

Forbehold om at jeg forstår dette riktig. Dette er jo innsynslogging (auditlogging), mens Log4J brukes jo til systemlogging, altså en annen type logging.

Det jobbes med en nasjonal implementasjonsguide for FHIR AuditEvent som viser hvordan token-attributtene (claims) skal mappes fra token til AuditEvent, se https://github.com/HL7Norway/AuditEvent.

Denne bør selvsagt tilpasses nasjonal informasjonsmodell for tillitsrammeverket

Hilsen
Trond :-)

Er det konsumenten, via sin EPJ, som angir hvilken "authorization" konsumenten har i det øyeblikket forespørselen sendes? Eller skal konsumenten bare angi fødselsnummer, hvorpå HelseID vil berike token med både HPR nummer og autorisasjoner fra HPR registeret? Dersom det er det siste (HelseID beriker), hva vil da skje dersom konsumenten har flere autorisasjoner i HPR? Vil alle autorisasjonene inkluderes i aksess token?

Konseptet rundt attestering og attest bør tydeliggjøres i spesifikasjonen. Jeg tror at formålet med informasjonsmodellen blir lettere å forstå når vi rammer det inn på en litt annen måte enn vi har gjort tidligere..

@richardhus , @eirikbroen og andre - noen innspill? Skal jeg forsøke meg på noen formuleringer?

Hvilke informasjonselementer beskriver pasientens organisasjonstilhørighet: Legal entity, point-of-care, department ... eller bare point-of-care og department. -- fordi spesifikasjon er inconsistent. I tillegg hvorfor?

I møtet 10.03.2023 ble vi enige om å beholde "purpose_of_use", men indikere at informasjonskilden både kan være KJ og konsument.

ref: https://github.com/NorskHelsenett/Tillitsrammeverk/blob/main/meeting_minutes/2023-03-10%20temam%C3%B8te.md

Kjerneteamet:
Richard Husevåg (HSØ)
Sverre Martin Jensen (Oslo Kommune)
Erik Vegler Broen (Oslo Kommune - Origo)

Andre bidragsytere:
Trond Elde (DIPS), Asefeh Johnsen, Eva Tone Fosse, Helge Bjertnæs

Legg til flere etterhvert som de kommer til

Datamodellen kan f.eks. representeres ved bruk av JSON, CBOR eller XML. Dette bør komme fram av spesifikasjonen.
Det bør presiseres at vi har brukt JSON i eksemplene i spesifikasjonen fordi JSON formatet er mer lesbart enn f.eks. XML.

Bør ikke Norm for informasjonssikkerhet også refereres i tillegg lovverket?

Norm for informasjonssikkerhet er jo styrende for de som kobler seg til Norsk Helsenett.

Det mangler tekst og oid på flere eksempler i dag. Det bør legges til, slik at eksemplene reflekterer virkeligheten litt bedre.

Dere har nevnte 2 informasjonselementer som ikke er en del av attest fordi informasjon ikke er inkludert i grunnlaget for hvorfor helsepersonellet fikk tilgang til pasientens informasjon i sitt lokal EPJ:
1 - Helsepersonellets level of assurance som kommer via helsepersonellets brukerpålogging ved bruk av HelseID (ikke EPJ), og
2 - Teknisk tracing referanse som blir generert av EPJ men ikke en del av attest.

Vi må avklare hvilke spesifikasjon skal sikre disse info-elementer kommer frem til SAML-token.

Har et par spørsmål til attributter i utkast til datamodell

structural_role Antar at de fleste EPJ systemer ikke har en mapping fra brukerrolle til de tre foreslåtte verdiene. Denne attributten er satt opp som obligatorisk. Er tanken her at denne verdien angir hvilken rolle personell har i i en gitt behandlingsrelasjon og som ikke kan utledes fra HPR informasjon eller mangel på denne?

functional_role Foreslått kodeverk her er satt til å være STYRK-08 og at informasjonskilde er EPJ/HR system. Antar at mange virksomheter har EPJ uten direkte integrasjon med HR system og dermed enten må lage en slik integrasjon eller gjøre en form for dobbeltføring. Burde vi foreslå en mulig mapping fra funksjonelle roller i EPJ. Typ - EPJ Rolle "Lege" i et system i primærhelsetjenesten = STYRK-08 2211 - Allmennpraktiserende Leger?

locality Bør ta en diskusjon på hva som er forventining knyttet til verdi på dette attributtet. Kan se for meg flere situasjoner hvor det for eksempel ikke er fornuftig å spesifisere avdeling - Eks. Overgrepsmottak. Hva er formålet med denne attributten? Er det hovedsaklig å gjøre det enklere for pasient å forstå innsynslogg?

purpose_of_use Dette attributtet diskuterte vi endel i pilot Oslo Kommune/HSØ, kom der frem til at det i legevaktsammenheng var lite verdifullt å avgi noen annen verdi enn "Behandling". Ser EHDSI spesifikasjon lister ganske få mulige verdier. Naturlig nivå å legge seg på? Dette er nok også en verdi som ikke finnes direkte i EPJ og som vi bør tilby eksempel på mapping av hvis den skal være obligatorisk.

Ref: https://github.com/NorskHelsenett/Tillitsrammeverk/blob/main/meeting_minutes/2023-03-10%20temam%C3%B8te.md

Ved gjennomgang og sammenstilling av attributter fra HelseID informasjonsmodell med SAML fra kjernejournal og Helse Sør-Øst sikkerhetsbevis virker det som om HelseID-informasjonsmodellen mangler attributtet som angir autentiseringsstyrken på sluttbrukerens autentisering. Innholdet reflekterer typisk EIDAS lav, betydelig eller høy, eventuelt hvilket av nivåene 1-4 i henhold til den særnorske kategoriseringen som er benyttet. I SAML fra kjernejournal finnes SecurityLevel for dette, som vi mapper til hso:subject:assurance-level i Helse Sør-Øst sikkerhetsbeviset. Denne finnes helt sikkert også i HelseID vil jeg tro, men den mangler i informasjonsmodellen/spesifikasjonen så vidt jeg kan se.

Kilde for legal entity:

• for multi-tenancy og §9 samarbeid: EPJ (HelseID kontrollerer at det foreligger en delegering i Altinn)
• for on-premise (single-tenant): HelseID er kilde (utledes av metadata basert på klientid+klienthemmelighet)

Feature-teamet har konkludert med at id og navn i attributtstruktur skal være: "legal_entity" og "point_of_care".

Behandlingssted ("point_of_care") skal være obligatorisk:

• attributtet skal være obligatorisk både i teknisk kontrakt og i vilkår
• dersom juridisk enhet og behandlingssted er likt skal juridisk enhet gjentas i feltet for behandlingssted

Mener det bør fram at tilgangskontroll ikke kun er knyttet til tjenstlig behov, men også kontroll av pasientens reservasjoner knyttet til utlevering av pasientopplysninger (sperring) som en del av å "støtte opp under innbyggers rettigheter".

Ref beslutning i arbeidsmøte 02.03.2023 - https://github.com/NorskHelsenett/Tillitsrammeverk/blob/main/meeting_minutes/2023-03-02%20informasjonsmodell.md

Strukturell rolle fjernes fra spesifikasjonen.

Discussed in #9

Spesifikasjonen er strukturert på en litt rotete måte nå - se om det er mulig å forbedre strukturen..

Gjøre det helt tydelig i dokumentasjonen at aktuelt verdisett er kun 3 verdier (fra det mer omfattende kodeverket https://terminology.hl7.org/ValueSet-v3-PurposeOfUse.htmlhttps://terminology.hl7.org/ValueSet-v3-PurposeOfUse.html): TREAT/treatment, ETREAT/Emergency Treatment og COC/coordination of care.

Helsepersonellets fødselsnummer og navn må overføres til datakilden.
Fødselsenummer er pr i dag den eneste identifikator som unikt identifiserer helsepersonellet ettersom ikke alt helsepersonell har HPR-nummer.
Navn som gjaldt på tidspunktet hvor HP fikk innsyn må også med, ettersom det kan endres i etterkant.

ref: @ArneHD arnedh

1: feilstavingen practictioner bør byttes ut, i eksempler og dataformater

"care_type": er ikke påkrevd (f.eks. legevakt-case)
Peker på kodeverk fra IPLOS, men har overlapp med HSØ sin "purpose_local"

Lage tydelige retningslinjer for i hvilke scenarioer hver av disse er aktuelle å bruke, gjerne med et par-tre eksempler fra ulike helsetjenester.

• Gruppa er enig om at HPR-nr bør være med hvis det finnes (HelseID bør berike hvis tilgjengelig)
• Enkelte helsepersonell har ikke autorisasjon

Dette bør beskrives i spesifikasjonen, og i vilkårstekst.

ref: https://github.com/NorskHelsenett/Tillitsrammeverk/blob/main/meeting_minutes/2023-03-10%20temam%C3%B8te.md

OID for organisasjonsnummer er 2.16.578.1.12.4.1.4.101 - ref: https://www.ehelse.no/teknisk-dokumentasjon/oid-identifikatorserier-i-helse-og-omsorgstjenesten

Kapittel om EHDSi og HL7 standard kan inngå som vedlegg i bunn av dokumentet. Dette vil øke lesbarheten.

Helseforetakene i Helse Sør-Øst har nå fått litt erfaring med å gjøre logganalyse basert på informasjon fra konsumenter som formidles til dem som kilder etter spesifikasjonen som Helse Sør-Øst startet med under utprøvingen. Blant de attributtene de så langt har funnet nyttige finner vi et boolsk flagg som indikerer om en tilgang er systemutledet basert på informasjon om helsepersonellet og pasienten som er registeret i PAS/EPJ (eventuelt i annet fagsystem) eller om tilgangen er basert på en egenerklæring av at helsepersonellet trenger tilgang til pasienten. Ønsker derfor å foreslå at denne typen informasjon innlemmes også i tillitsrammeverket.

I Helse Sør-Øst ser vi at for fagsystemer som skal opprette brukere/personer basert på innhold mottatt i sikkerhetsbevis, så har vi behov for at navn formidles strukturert, altså at fornavn og etternavn formidles i hvert sitt informasjonselement, fremfor å være sammenslått til et informasjonselement slik både HelseID og SAML-sikkerhetsbevisene for helsenorge.no og kjernejournal har det i dag. I tillegg ser jeg når jeg sammenlikner med HL7 FHIR at man for personnavn i stor grad legger opp til å bruke datatypen HumanName (http://hl7.org/fhir/datatypes.html#HumanName), der det er støtte for elementene given (fornavn), family (etternavn) og text (fullt navn) pluss et par andre metadatainformasjonselementer som enn så lenge neppe er aktuelle. For logging til FHIR AuditEvent vil det også være en fordel om vi har en mest mulig kompatibel struktur på navn når dette formidles i sikkerhetsbevis.

Vi må bruke samme struktur for å beskrive forskjellige attributter.

Feature-teamet har landet på følgende strukturer:

"person (juridisk/fysisk)": {
	"id": "xxxxxxxx",
	"name": "navn på juridisk eller fysisk person",
	"system": "x.x.x.x.x.x", //oid for F-nr/D-nr/Org.nr
    "authority": "www.brreg.no" //eller www.skatteetaten.no
}

"verdi_fra_kodeverk":{    
	"code": "en_kode",
	"text": "en_beskrivende_tekst",
	"system": "oid kode for system", 
	"assigner": "den_ansvarlige_for_kodeverket"
}

"fritekst": {
    "type": "NUMERIC|ALPHANUMERIC|DECIMAL",
    "value": "en verdi" 
}

"hendelse_referanse":{
    "id": "xxxxxxxx",
	"verdi_fra_kodeverk": {
        "code": "XX",
        "text": "en_beskrivende_tekst",
        "system": "x.x.x.x.x.x",
        "assigner": "den_ansvarlige_for_kodeverket"
    },
	"person (juridisk/fysisk)": {
        "id": "xxxxxxxx",
        "name": "navn på juridisk eller fysisk person",
        "system": "x.x.x.x.x.x", //oid for F-nr/D-nr/Org.nr
        "authority": "www.brreg.no" //eller www.skatteetaten.no
    },
    "fritekst":{
        "type": "NUMERIC|ALPHANUMERIC|DECIMAL",
        "value": "en verdi" 
    }
}

Eks 1: Tilgangsbeslutning/hjemmelsgrunnlag
"hendelse_referanse":{
    "id": "xxxxxxxx",
	"verdi_fra_kodeverk": {
        "code": "XX",
        "text": "en_beskrivende_tekst",
        "system": "x.x.x.x.x.x",
        "assigner": "den_ansvarlige_for_kodeverket"
    },
   "fritekst":{
        "type": "NUMERIC|ALPHANUMERIC|DECIMAL",
        "value": "en verdi" 
    }
}

Eks 2: Tilgangsbeslutning/hjemmelsgrunnlag (ikke unntak)
"hendelse_referanse":{
    "id": "xxxxxxxx",
	"person (juridisk/fysisk)": {
        "id": "xxxxxxxx",
        "name": "navn på juridisk eller fysisk person",
        "system": "x.x.x.x.x.x", //oid for F-nr/D-nr/Org.nr
        "authority": "www.brreg.no" //eller www.skatteetaten.no
    },
    "fritekst":{
        "type": "NUMERIC|ALPHANUMERIC|DECIMAL",
        "value": "en verdi" 
    }
}

Dette bør indikeres i informasjonsmodell og i datamodell, slik at man kan se hva som er en del av den endelige spesifikasjonen.

F.eks. beskrive hva som menes med begrepet sikkerhetsbillett. Ta med alternative navn f.eks. sikkerhetsbevis., og eksempler kan være SAML eller JWT. Referere til autoritative kilder f.eks. RFCer etc med offisielle definisjoner.

Informasjonsmodellens care_relation-gruppering inneholder etter det jeg kan se nå enkelte attributter som egentlig er knyttet til helsepersonellet eller pasienten uavhengig av hverandre. Med det mener jeg for eksempel at legal_entity, point_of_care og department kan og bør legges både på helsepersonellet og på pasienten fremfor å ligge i care_relation som beskriver relasjonen mellom dem. Dette fordi helsepersonellet fint kan tilhøre et annet arbeidssted/behandlingssted enn pasienten i sin behandling av pasienten. Da er det ryddig og også mest intuitivt for leverandører å hente frem helsepersonellets tilhørighet og legge det i disse elementene under subject, mens de kan hente frem pasientens tilhørighet separat og legge det under patient. Har man det kun under care_relation, så får man ikke uttrykt både helsepersonellets og pasientens tilhørighet, man må velge en av disse og hvilken er det da riktigst å velge?

Enkelte helsepersonellkategorier påberoper seg anonymisering ved oppslag i en pasients opplysninger. Dette kan f.eks. gjelde AMK--operatører. Skal dette kobles opp mot tillitsrammeverket på en eller annen måte? Kan man f.eks. se for seg at dersom koden "ETREAT" benyttes for purpose_of_use, så skal helsepersonellets identitet anonymiseres i innsynsloggen til innbygger?

Jeg synes at kapitlene innledning og bakgrunn for spesifikasjonene for info- og datamodellen bør forbedres.

Teksten kan spisses litt mer - slik den står nå bærer den preg av å være lite gjennomarbeidet.

Eksempelet i informasjonsmodellen inneholder verdier som "resh:xxxxxx" i value-feltet og "resh:x.x.x.x.x" i system-feltet, mens det her er unødvendig og forvirrende å ha med prefixet "resh:" ettersom det skal være lov med andre typer enn bare RESH (og RESH har en egen OID som skal brukes i system, så der er det direkte feil med resh: som prefix). @steinarnoem: Kan du oppdatere eksempelet?