Introduktion til BRS

Offentlige og private dataansvarlige skal - under ansvar over for Datatilsynet - træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at potentielt personhenførbare og fortrolige oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. persondatalovens §41, stk. 3.

Specifikt for sundhedsfaglige offentlige registre og elektroniske patientjournaler gælder det, at den, der indhenter oplysninger, skal være en sundhedsperson, der deltager i patientbehandling. Det kræves eksplicit, at der findes en aktuel behandlingsrelation imellem patienten og vedkommende sundhedsperson (se betænkning over forslag til lov om ændring af sundhedsloven).

I praksis implementeres de påkrævede tekniske og organisatoriske foranstaltninger af de enkelte serviceudbydere.

Med behandlingsrelation menes, at sundhedspersonen har en aktuel kontakt til borgeren. Det er i sundhedsloven nærmere defineret som:

Informationen om, at en patient er ”i behandling”, er i princippet en afledt information, der kan bekræftes ved opslag i forskellige registre herunder:

• Den nationale Henvisningsformidling (Kilde: DNHF)
• Landspatientregistret (Kilde: LPR3)
  
• Sygesikringsregistret - Ydelser/fx Speciallæger  (Kilde: SSR)
• Sygesikringsregistret - Sikrede/Egen læge (Kilde: SSR)

Nærværende produkt er en it-teknisk løsning (en service), der henter informationer fra registrene ovenfor, og på forespørgsel returnerer svar på, hvor meget evidens, der er for en aktuel behandlingsrelation på forespørgselstidspunktet.

Derudover består produktet af services til opsamling og notifikation. Disse to services er blevet anvendt til at etablere en mekanisme til opfølgning på behandlingsrelationer. Opfølgning på behandlingsrelationer er nødvendig, fordi de nationale registre opdateres på bagkant af behandlinger, og det derfor med den nuværende opdateringsfrekvens af nationale registre, ikke er muligt at garantere opdaterede svar i behandlingsøjeblikket.

It-løsningen, som genererer en opfølgning på behandlingsrelation, gør det muligt for en serviceudbyder at bestille en verifikation af en behandlingsrelation. Opfølgningsservicen modtager bestillingen og foretager efterfølgende opslag i registrene, indtil enten det ønskede verifikationsniveau opnås, eller den af serviceudbyderen angivne tidsfrist udløber.

Resultatet af verifikationen stilles efterfølgende til rådighed på NSP for den pågældende serviceudbyder.

BRS erstatter ikke eksisterende sikkerhedsforanstaltninger, men kan indgå i foranstaltningerne og bidrage til at målrette sikkerhedsindsatsen og derigennem styrke verificeringen af en aktuel behandlingsrelation imellem patient og sundhedsperson.

BRS udbydes på NSP, så servicen er tilgængelig for alle sundhedsvæsenets parter under fælles og velkendte vilkår. BRS giver mulighed for at serviceudbydere på en ensartet og veldefineret måde kan tilgå informationer fra en række relevante registre med henblik på at kunne vurdere, om der er tilstrækkelig evidens for en given behandlingsrelation.

BRS udstilles på NSP (både dNSP og cNSP), og det er derfor teknisk muligt at få adgang til servicen både fra regionale it-systemer (dNSP) og fra it-systemer, der gør brug af den central NSP-instans (cNSP).

Til brug for at håndtere data er linket til SOR benyttes en intern NSP microservice SORES til SOR/SHAK mapning og opslag.

Forretningsmæssig motivation

Behandlingsrelationsservicen giver en enkel måde at verificere og dokumentere, at en sundhedspersons opslag på en borger er foretaget på baggrund af en behandlingsrelation. Servicen giver etablerer dermed en kosteffektiv, systemteknisk overholdelse af gældende lovgivning.

• BRS formulerer og tilbyder en ensartet klassifikation af behandlingsrelationer, der kan bruges på tværs af services og i en lang række anvendelsesscenarier, hvor der er krav til kvaliteten af en given behandlingsrelation. BRS giver således en fælles fortolkning af begrebet behandlingsrelation.
• BRS giver mulighed for at optimere og effektivisere den opfølgende kontrol ved for eksempel at foretage mere kvalificerede stikprøvekontroller.
• En bagudrettet, manuel opfølgning på baggrund af ikke-autoriseret eller utilsigtet informationsadgang er en omkostningstung og ressourcekrævende proces. Ikke mindst er arbejdet med at identificere sandsynlige overtrædelser meget ressourcekrævende.

BRS sigter mod at gøre det muligt og enkelt at lave en automatisk it-teknisk opsamling og opfølgning på kvaliteten af aktuelle behandlingsrelationer - uden at det afføder væsentligt merarbejde eller ressourcetræk hos serviceudbyderen.

Opfølgningsservicen sigter mod at levere gevinster i såvel kvalitet som kvantitet, fordi servicen kan automatisere dele af de eksisterende manuelle processer omkring (typisk stikprøvebaseret) opfølgning. 

• Den sikkerhedsmæssige opfølgningsservice giver en systemteknisk mulighed for automatisk at følge op på, om de formelle regler og relevanskriterier for adgang til sundhedsdata rent faktisk er opfyldt.
• Opfølgningsservicen udstiller et ensartet workflow til at oprette, lagre og afvikle sikkerhedsmæssig hændelser ved brug af nationale services.

• Servicen tilbyder en høj grad af automatisering af ovenstående workflow til erstatning for en omfangsrig, bagudrettet, manuel opfølgning.

Behandlingsrelationsregler

BRS klassificerer behandlingsrelationer på en ordnet skala, arrangeret efter ”styrken” af behandlingsrelationsevidens, hvor ”A+” pt. er den kategori, der beskriver relationer med stærkest evidens for en aktuel behandlingsrelation.

Skalaen for klassifikationerne er:

Registre (Evidenskilder)

Sygesikringsregistret (også kendt som "ydelsesregistret"):

• Match på ydernummer, patient cpr og dato (interval bestående af start- og slutdato): Kategori A
• Match på ydernummer, patient cpr, men ikke dato: Kategori C
• Ingen af ovenstående, og testet interval er max 62 dage (konfigurerbart) siden: Kategori D
• Ingen af ovenstående: Kategori E
• Forespørgsler, hvor ydernummer ikke indgår: Kategori E

Sikrede/Egen læge/Sygesikringsregistret:

• Match på ydernummer, patient cpr og dato: Kategori B
• Match på ydernummer og patient cpr, men ikke dato: Kategori C
• Ingen af ovenstående, og testintervallet er max 10 dage siden: Kategori D
• Ingen af ovenstående: Kategori E
• Forespørgsler, hvor ydernummer ikke indgår: Kategori E

Henvisningshotellet (REFHOST):

Mulighed for intern BRS-mapning fra SOR-kode til SHAK inden opslag. REFHOST-kilden benytter SHAK som nøgle.

• Match på "STED", patient cpr, yder cpr og dato: Kategori A+
• Match på "STED", patient cpr og dato: Kategori A
• Match på "STED", patient cpr, men ikke dato: Kategori C
• Ingen af ovenstående, og testintervallet er max 2 dage siden: Kategori D
• Ingen af ovenstående: Kategori E

LPR:

Mulighed for intern BRS-mapning fra SOR-kode til SHAK inden opslag. LPR-kilden benytter SHAK som nøgle.

• Match på SKS afdelingskode, patient cpr og dato (Lookup overlapper med admitted): Kategori A
• Match på SKS sygehuskode, patient cpr og dato (Lookup overlapper med admitted): Kategori B
• Match på sks, patient cpr: Kategori C
• Ingen af ovenstående: Kategori E

LPR3:

Mulighed for intern BRS-mapning fra SHAK til SOR kode. LPR3-kilden benyttes SOR-kode som nøgle. LPR3-data forefindes med nedenstående typer, som benyttes af reglerne:

• F: FORLOEBSELEMENT
• K: KONTAKT
• P: PROCEDURE
• I: INITIEL_HENVISNING
• H: HENVISNING
• R: RESULTATINDBERETNING
• O: OPHOLDSADRESSE

Reglerne er således:

• Match på SOR afdelingskode eller underafdeling, patient cpr, dato (Lookup overlapper med admitted) og type F, K, P, I eller H: Kategori A
• Match på SOR sygehuskode, dato (Lookup overlapper med admitted) og type og type F, K, P, I eller H: Kategori B+
• Match på SOR afdelingskode eller underafdeling, patient cpr, dato (Lookup overlapper med admitted) og type R eller O: Kategori B
• Match på SOR afdelingskode eller underafdeling og patient cpr: Kategori C
• Ingen af ovenstående: Kategori E

Beregning af om der skal bestilles opfølgning

Følgende logik afgør om der skal bestilles opfølgning:

1. Der tjekkes om der skal laves follow up. Det sker på baggrund af parametrene acceptableRelations, followupRelations og worstRelation (altid E)

Logikken til dette er:
  - Hvis worstRelation (E) er stærk nok i forhold til acceptableRelations returneres der falsk til at der skal laves follow up.
  - Hvis followupRelations er ALL returneres der sandt til at der skal laves follow up.
  - Hvis worstRelation (E) er stærk nok i forhold til followupRelations så returneres der falsk ellers returneres der sandt.

Hvis punkt 1 returnerer sandt:  bestilles der opfølgning og der returneres E til brugeren.

Hvis punkt 1 returnerer falsk:  udfør beregningen på baggrund af actual relations (se logikken punkt 2).

2. Der tjekkes om der skal laves follow up. Det sker på baggrund af parametrene acceptableRelations, followupRelations og actual relations.
Logikken til dette er:
  - Hvis actualRelation er stærk nok i forhold til acceptableRelations returneres der falsk til at der skal laves follow up.
  - Hvis followupRelations er ALL returneres der sandt til at der skal laves follow up.
  - Hvis actualRelation er stærk nok i forhold til followupRelations så returneres der falsk ellers returneres der sandt.

Hvis punkt 2 returnerer sandt: bestilles der opfølgning og actual relations returneres til brugeren.

Hvis punkt 2 returnerer falsk: der bestilles ikke opfølgning

Logikken i punkt 1 udføres ikke hvis property dk.nsi.brs.extended.followup.enabled er sat til falsk

I nogle tilfælde vil der være forsinkelser i registreringen af informationerne i kilderegistrene, og dokumentationen for relationen bliver mere sikker over tid, som illustreret nedenfor:

Tjenesteudbyderen kan ”bestille” en opfølgning hos servicen (BRS opsamling), hvorefter opfølgningen jævnligt vil pågå indtil der enten er opnået den forventede ”styrke” af behandlingsrelationen, eller der er gået for lang tid siden bestillingen. 

Hvor længe opfølgningen skal foregå og hvilken grad af evidens, der forventes at blive opnået, afgøres af bestilleren.

Opfølgning på behandlingsrelation gør det lettere at evaluere handlinger foretaget af sundhedsfaglige på nationale services, idet opfølgningsservicen gennemfører verifikationen og klassificerer behandlingsrelationen til efterfølgende brug hos serviceudbyderen.

En typisk logopfølgning består af et it-job, der gennemføres med jævne mellemrum, f.eks. hver måned. Jobbet løber loggen igennem og udtager relativt få stikprøver. Disse stikprøver efterprøves enten it-teknisk eller manuelt. Nedenfor er illustreret, hvordan udtagningen af stikprøver kan optimeres ved at udtage flere stikprøver blandt adgange, hvor behandlingsrelationerne har lav eller ingen evidens og færrest blandt relationer med god evidens. Dette bør sikre, at der udtages langt flere relevante prøver, og at opfølgningen – f.eks. i form af en dialog med den pågældende bruger – kan foretages med højere kvalitet.