(Swedish) Kan OAuth2 vara dörren till att öppna journalerna för marknaden?

November 13th, 2011 by Johan Eltes

(Sorry for writing this up in Swedish – the post is in the context of Swedish e-health. If this moves forwards I’ll wright the next post in english…hrmmm…well.. Swinglish)

Kim Nordlander (SLL) och Åke Rosander (Cehis) presenterade projektet Mina Hälsotjänster under nationella eHälsodagen här om veckan: http://www.nationellehalsa.se/program.html. Ett sätt att dela upp tjänster (i betydelsen IT-stöd) för invånaren är att utgå från avsändaren. Om vård och omsorg är avsändaren kan marknaden leverera e-tjänster till invånaren, men det måste förmodligen ske genom att sälja tjänsten till landstingen. Det betyder (som jag uppfattat saken) att e-tjänsten måste ligga inom ramen för landstingets uppdrag – dvs ha direkt koppling till vårdprocessen. Några exempel kan vara tidbokningstjänster för invånaren och visualisering av mina remissers status i remissprocessen.

Men det talas allt mer om tjänster invånaren själv väljer för att samla, hantera och utbyta information kring sin hälsa. Dessa tjänster går under många namn:
- Mitt Hälsokonto
- Min hälsodagbok
- PHR – Personal Health Record

Dessa kan användas för att samla in och sammanställa information från träningsdagböcker (t.ex. Runkeeper), från egen privat hälsotillståndsmätning (en växande marknad av gadgets för såväl hypokondriker som olika former av kroniker) eller helt enkelt egna observationer. Informationen kan användas i sociala medier riktade mot olika sjukdomstillstånd eller kanske som underlag för en “second opinion” för den som känner osäkerhet kring kvalitén i hanteringen av ett hälsoärende.

Denna typ av invånar-tjänster söker man själv upp. Det är ett privat beslut att “hoppa på” en specifik “app”. Man byter kanske till en annan om det dyker upp en bättre, eller om en annan tjänst fått en större community och därför över tiden visat sig vara ett bättre val. Så vad har det då med Mina Hälsotjänster att göra? En tanke som sysselsatt mig ett tag är vad det skulle innebära att öppna upp dagens vård-data-api:er till denna typ av applikationer för privat hälsodata.

Idag kan en app anslutas till nationella api:er mot landstingens vårdsystem så länge appen har en vårdhuvudman som avsändare. Den bakomliggande säkerhetsmodellen är okomplicerad och beprövad: så kallad organisationstillit. Det betyder lite förenklar att man kan “öppna informationskanalerna” mellan parternas system så länge parterna är betrodda organisationer (läs vårdgivare). Tekniskt sett upprättas tilliten med enkla medel så som klient-authenitiserade (funktionscertifikat) krypterade kanaler (TLS).

Men hur gör man för att en app som marknaden byggt och som invånaren själv beslutat använda för sin hälsodata ska kunna hämta in data från vårdens verksamhetssystem? Jag kanske vill integrera information från mina labbsvar i min hälsodatabas? Ett annat scenaro är att min vårdgivare vill få in mina egna mätningar som bilaga till journalen. Eller en bokningsfunktion som liksom hotell-och flygbokningsagenter aggregerar en mängd underliggande tjänster för min bekvämlighet? Det behövs något sätt att låta invånaren ta ansvar för vilka appar som får läsa och påverka infromation hos vårdgivarna under invånarens identitet.

Det juridiska perspektivet måste förstås belysas. Patientdata-juristen Andreas Hager har gjort en genomlysning som indikerar att det kan finnas stöd i lagar och författningar. Jag tänker mig att det vore ung. samma frågeställning som om jag kunde logga in i Mina vårdkontakter, se mina labbsvar och sedan gavs möjlighet att ladda ner dem (“spara som …”) till min dator för att sedan importera filen till min valda “hälsodagboksapp”. Men att appar jag väljer istället kan göra jobbet åt mig – dvs utan manuell filhantering.

I presentationen nedan har jag försökt skissa en arkitektur för invånarstyrd informationsåtkomst. Det är mina funderingar och representerar alltså inte någon av mina uppdragsgivares strategier eller beslut.

Vad tror du? Finns behovet? Är OAuth2 i så fall rätt väg? Skulle du låta Google Health läsa labbsvar från dina hälsoärenden i vård och omsorg? Skulle du låta en facebookapp som jag utvecklat läsa din medicinlista från journalen hos en vårdenhet för att ge dig påminnelser när du ska ta dina mediciner? Är detta den gyllene länken mellan patienten, dagens journalsystem och marknadens innovatörer?

4 Responses to “(Swedish) Kan OAuth2 vara dörren till att öppna journalerna för marknaden?”

  1. Mycket intressant Johan! Hur ser du på OAuth2 i förhållande till WebID? Jag ser en hel del spännande användning av WebID i Linked Data tillämpningar. Inte minst från (den alltid lika aktive) Kingsley Kidehen: Solving Real Problems using Linked Data: InterWeb scale Verifiable Identity via WebID http://lists.w3.org/Archives/Public/public-lod/2011Nov/0003.html

  2. Johan Eltes says:

    Som jag ser det är OAuth löst kopplad till autentisering. OAuth2 har dessutom lämnat signering+okrypterad överföring till förmån för osignerade nycklar och TLS (överföring över krypterad kanal där ändpunkterna är ömsesidigt autentiserade). Mina Hälsotjänsters auktorisationstillämpning (där invånaren godkänner att en privat tjänst får en nyckel till utlämnad, anonymiserad patientdata om patienten) skulle kunna låta invånaren autentiseras via WebbID (istf för SAML). Det medför dock ingen koppling mellan Webid och OAuth2, som jag förstår det.

  3. Detta ligger i linje med de tankar även jag förmedlar, dock utan djup i tekniken utan fokus på de grundläggande socialiseringsnormerna som gäller och växer fram mellan aktörerna inom vård och hälsa.

    Hoppas CEHIS och Inera inför 2012 defacto kan påbörja en öppnare resa med att skapa en ’sustainable dev community’ runt eHälsa2.0 api:er och länkat-data, där identiterna vi delar med oss av blir kittet som håller ihop våra personliga val att hälso-appar kopplat till de scenarios där vi ber om access till vårt vård-data i EHR ägda av vårdgivaren. Förenkla samspelet, agera där patienten, anhörig och närstående finns och förbättre vården inre resa genom aktivt deltagande och partnerskap i hela processen. Då får vi innovation. Tack Johan!

Leave a Reply