Helseplattformen tar tak i en av helse-Norges store utfordringer: fragmenterte systemer uten nok samhandling på tvers av helsetjenesten. En utfordring som har ført til at pasienter selv har måttet sørge for at helsepersonell fikk tilgang til viktige opplysninger og historikk på tvers av helsetjenesten.
I Midt-Norge har kommuner og foretak gått sammen om en felles samhandlingsløsning og journal. Helseplattformen er nå i bruk i hele 34 kommuner og ni sykehus og har erstattet en lang rekke systemer og verktøy. Fra sykehus til sykehjem, helsestasjon og legevakt – plattformen skal gi helsepersonell tilgang til riktig informasjon til riktig tid.
Alle som er kjent med problemstillinger innen tilgangsstyring i komplekse organisasjoner, vil se utfordringen vi har tatt på oss.
En unik tilgangsløsning
Helseplattformen brukes av fast ansatte, ferievikarer og dem som bare tar en og annen ekstravakt. Til sammen hele 60.000 brukerkontoer. I plattformen er det også et stort antall pasientjournaler. Dette krever at vi tar personvern og informasjonssikkerhet på største alvor gjennom tekniske og organisatoriske tiltak. Vår løsning for tilgangsstyring er en viktig brikke.
De fleste tilgangsstyringsløsninger har tradisjonelt gitt brukere fra én organisasjon tilgang inn i mange løsninger. Vår løsning gir tilgang til sluttbrukere fra mange forskjellige virksomheter, inn i én felles løsning. Sentralt i konseptet er kravet om BankID eller tilsvarende for pålogging, samt en automatisert løsning for tildeling, endring og avslutning av tilganger.
En forutsetning for at dette skal fungere, er en tydelig definert ansvarsfordeling mellom helsetjenesten som bruker løsningen og Helseplattformen AS, som utvikler, drifter og forvalter den. Helseplattformen AS har ansvar for sikker autentisering av sluttbrukere og teknisk implementering av tilgangsstyringen. Helsetjenesten har ansvaret for informasjonsgrunnlaget i tilgangsbestillinger og at bestillingene knytter seg til personer som har et tjenstlig behov.
Her trenger vi kjøreregler for vurdering av tjenstlig behov, som alle parter er enige i. Derfor har spesialisthelsetjenesten og kommunehelsetjenesten i Midt-Norge blitt enige om et sett med felles prinsipper som gjelder for alle parter som bruker Helseplattformen.
Det er kommunen eller helseforetaket selv som, innenfor rammen av prinsippene, bestemmer tilgangene deres sluttbrukere skal ha. En lege har behov for andre tilganger enn en sekretær, en jordmor andre tilganger enn en hjelpepleier på et sykehjem, og en sykepleier i akuttmottaket skal ha andre tilganger enn en sykepleier i hjemmetjenesten.
Helse Midt-Norge: Tekniske problemer rettet – menneskelig svikt skal være årsaken
Automatisert prosess
Helsevirksomheten definerer reglene som angir hvilken funksjonalitet, hvilke pasienter og hvilken informasjon helsearbeideren får tilgang til. Regelsettet bruker informasjon om stilling, funksjon og arbeidssted til å tildele riktige tilgangsmaler. Regelsettet som den enkelte virksomhet beslutter for sine ansatte, legges inn i våre tekniske løsninger for tilgangsstyring.
Informasjon fra helsetjenestens ansattsystemer overføres automatisk til Helseplattformen og valideres mot offentlige registre. Ved nyansettelser legges informasjon som navn, fødselsnummer, stilling og funksjon, arbeidssted og leder, HPR-nummer (Helsepersonellregisteret) samt start- og sluttdato inn i ansattsystemet.
Denne informasjonen overføres til Helseplattformen via sikre API-er og sammenstilles i en masterdata management-løsning for tilgangsstyring (MDM). Ferdig sammenstilt brukerinformasjon overføres deretter til komponenten som administrerer og kontrollerer brukeridentiteter og tilgangsrettigheter (IGA). Denne er kjernen i den automatiserte tilgangsstyringsløsningen og tildeler, endrer eller trekker tilbake tilganger.
Nyansatte får riktig tilgang automatisk, og når et ansettelsesforhold avsluttes, fjernes tilgangen automatisk. Den automatiserte løsningen sikrer slik at gamle tilganger blir fjernet og reduserer risikoen for feil tilgangsnivå.
Hovedutfordringer
Automatisering krever god kvalitet i datagrunnlag og prosesser. Vi har kommet langt, men vi har fortsatt enkelte utfordringer.
Datakvalitet: For at tilgangsstyringen skal fungere, må ansattinformasjonen være oppdatert og korrekt. Gode rutiner og prosesser i helsetjenesten er en forutsetning for god kvalitet på informasjonen. Utdatert informasjon kan føre til at brukere mister tilgang eller at tilganger blir hengende igjen.
Standardisering: Manglende standardisering av stillingsdefinisjoner på tvers av virksomheter gir stadig flere regelsett for tilganger. Dette fører til en krevende forvaltning av løsningen og økende kompleksitet, som igjen gir økt risiko for feil. Forenkling og standardisering er nøkkelen til en effektiv, automatisk tilgangsstyring for både helseforetak, kommuner og Helseplattformen AS.
Endringer i organisasjonsstruktur: Tilganger i løsningen er knyttet til organisasjonsstrukturen i helsetjenesten, noe som betyr at endringer må meldes inn til oss. Manglende oppdatering kan føre til feil i tilgangene.
Personer uten fødselsnummer eller D-nummer: Helseplattformen benytter norsk fødselsnummer eller D-nummer for å identifisere og autentisere sluttbrukere. Men ikke alle ansatte, eksempelvis utenlandske vikarer, har slikt nummer. Da tildeles sluttbrukeren et midlertidig ID-nummer som registreres manuelt i Helseplattformen og en egen flerfaktor-løsning for autentisering. Når D-nummer eller fødselsnummer blir tildelt senere, må også dette oppdateres manuelt for å unngå en ny konto for samme bruker.
Veien videre
Helseplattformens tilgangsstyringsløsning skal sikre at helsepersonell har riktig tilgang til riktig tid. Vi har ikke løst alle utfordringene, men sammen med helsetjenesten vil vi fortsette å forbedre prosesser og løsning slik at helsesektoren er godt rustet til å møte fremtidens behov.
UiA får gebyr: Fødselsnumre lå ute på Teams
