Indledning

Sundhedsstyrelsens Bivirkingswebservice (BivWS) er en teknisk snitflade til indberetning af bivirkninger, observeret ved brug af lægemidler. Webservicen kaldes af fagsystemer i typisk primær- eller sekundærsektoren, der benyttes af sundhedsprofessionelle. Intentionen er at gøre det let at foretage indberetningen af bivirkninger fra eget system, ved automatisk at overføre stamoplysninger på bla. patienten, lægemidlerne og indberetteren fra fagsystemet til webservicen.

BivWS gøres tilgængelig på Den Nationale Sundhedsplatform (NSP) af National Sundheds-IT (NSI) og benytter den danske nationale standard for identitetsbaserede webservices i Sundhedssektoren, Den Gode Webservice [DGWS]. Systemer, der anvender BivWS (anvendersystemer) vil gøre dette gennem NSP. Logikken i BivWS er implementeret af Den Engelske Lægemiddelstyrelse (MHRA), som driver den i sammenhæng med Sundhedsstyrelsens bivirknings-sagsbehandlings-system, Sentinel, der ligeledes drives i England af MHRA. Når et anvendersystem kalder webservicen på NSP, stiller NSP kaldet videre til BivWS i England.

Dette dokument beskriver både den snitflade anvendersystemer skal benytte i form af Den Gode Webservice på NSP og den snitflade, NSP’en stiller videre til, samt arkitekturen for den proxy, der udstilles på NSP’en.

Terminologi

Følgende termer og centrale begreber er relevante i kontekst af denne specifikation:

Begreb	Beskrivelse
BivWS	Den Bivirknings Webservice, som udvikles under denne specifikation.
DGWS	Den Gode Webservice. Dansk identitetsbaseret Web Service profil fra NSI.
E2B	XML specifikation for hvordan ICSR filer kan beskrives og transporteres.
ICSR	Individual Case Safety Report. En bivirkningsindberetning, leveret til servicen via E2B.
MHRA	Medicines and Healthcare products Regulatory Agency. Den engelske sundhedsstyrelse.
NSI	National Sundheds-It.
NSP	National Sundheds-Platform.
Sentinel	SSTs sagsgangssystem til behandling af bivirkningsindberetninger.
SOAP	Specifikation for hvordan web services kan udvikles. Se [SOAP].
SST	Sundhedsstyrelsen. Den danske Sundhedsstyrelse.
Anvender-system	Det system, der benytter BivWS via Den Gode Webservice på NSP.

Arkitektur

Løsningen har én direkte brugeraktør, en ICSR Administrator, der har til ansvar at overvåge om E2B-filer flyttes succesfuldt til Sentinel. Desuden har systemet en indirekte brugeraktør i de Sundhedsprofessionelle, der står for de faktiske indberetninger. På systemaktørsiden tilgår anvendersystemer løsningen gennem NSP, hvor E2B-snitfladen udstilles via DGWS. NSP’en checker autenticiteten af afsenderen og autoriserer denne til at bruge den faktiske webservice, hvorefter der viderestilles til BivWS hos MHRA.

BivWS validerer E2B-kuverten og lægger denne over på Sentinel FTP-serveren, hvis valideringen gik godt. Hvis valideringen fejlede, returneres en fejlkode direkte via NSP til anvendersystemet.

Figuren nedenfor illustrerer det it-kompleks, som webservicen indgår i, samt hvordan sammenhængen er mellem webservicen og dets anvendere:

Web Service-snitflade

Webservicen har to operationer:

_ValidateE2B – Servicens valideringsregler anvendes på det XML, der er sendt ind, men data lagres ikke og sendes ikke videre til Sentinel
_UploadE2B – Det indsendte XML valideres og sendes derpå videre til Sentinel for yderligere behandling.

Begge operationer returnerer et svar med potentielt følgende to værdisæt:

a) Succes

b) evt. valideringsfejl

Valideringsfejl

Hvis servicen ikke kunne validere den indrapporterede bivirkning imod XML-skemaet, returneres en fejl med en liste over de felter, der fejlede. Følgende data leveres:

_SafetyReportID – Dette er det unikke ID på den rapport, der forårsagede valideringsfejlen..
_FieldName – Dette er navnet på det felt, der fejlede valideringen.
_ValidationMessage – En tekstuel beskrivelse på engelsk af hvorfor valideringen fejlede.
_Severity – En angivelse af hvor alvorlig fejlen var ud fra følgende to muligheder:

Error – Fejlen var så alvorlig, at bivirkingsrapporten ikke er sendt videre til Sentinel
Warning – Fejlen var ikke alvorlig og bivirkningsrapporten er sendt videre til Sentinel

Success

Dette er en boolsk værdi, der angiver om de indsendte rapporter er valide. Hvis en eller flere rapporter ikke kan valideres, returneres ”false”, ellers ”true”.

E2B

De to metoder tager begge en XML fil som input, der overholder den internationale specifikation E2B i version 3 (se [E2B])

E2B formatet rummer imidlertid ikke understøttelse for danske attributter, der er nødvendige for sagsbehandlingen i Sundhedsstyrelsen. Formatet er derfor udvidet minimalt med et sæt af ekstra felter, hvor ”N” angiver numeriske værdier og ”AN” alfanumeriske:

Felt	DTD Navn	Format	Beskrivelse
CPR	patientcprnumber	10N	Det danske CPR nummer
Autorisationsid	authorisationid	5AN	Sundhedsstyrelsens autorisationsid tildelt sundhedspersoner i Danmark
SKS Kode	skscode	20AN	Diagnose angivet efter den danske SKS klassifikation
Ydernummer	ydernummer	7AN	Sundhedsstyrelsen ydernummer tildelt privatpraktiserende sundhedspersoner

Den udvidede E2B DTD findes i et separat bilag.

BivWS via Den Gode Webservice hos NSP

Bemærk! Dette afsnit beskriver hvordan integrationen fra et anvendersystem i primær- eller sekundærsektoren til BivWS hos NSP implementeres. Afsnittet henvender sig til Leverandøren af integrationen mellem anvendersystemet og NSP. Kendskab til DGWS forudsættes.

BivWS udstilles på NSP vha. Den Gode Webservice. Et anvendersystem danner derfor en DGWS-kuvert og indlejrer bivirkningsindberetningen i form af en E2B-fil i denne, før hele kuverten sendes til NSP. Dette afsnit beskriver hvilke metadata, der skal være til stede i DGWS-kuverten til BivWS.

Netværk

Den Gode Webservice kræver et krypteret transportlag og aftaler mellem de udvekslende parter for at sikre konfidentialitet af data. BivWS udstilles på NSP via følgende netværkstyper:

Netværk	Tilladt?
Sundhedsdatanettet (VPN)	Ja
Andet VPN	Nej
SSL	Nej

Id-kort-attributter

Oplysninger om afsenderens identitet lagres i DGWS id-kortet. Hvis afsenderen identificerer en bruger er id-kortet af typen ”USER” og hvis det identificerer et system, af typen ”SYSTEM”.

Id-kortets versionsnummer refererer til den tilhørende DGWS specifikation og autentifikationsniveauet angiver hvilke typer af akkreditiver der er medsendt. På det laveste niveau, ”1” medsendes ingen akkreditiver, mens niveau ”2” tillader brugernavn og password. På niveau ”3” medsendes en digital signatur foretaget med et OCES virksomhedscertifikat (VOCES) og niveau ”4” tillader alene medarbejder OCES-signaturer (MOCES).

Id-kort attribut	Værdi
Type	SYSTEM
Version	1.0.1
Autentifikationsniveau	3 - VOCES signatur

Kommunikationsmodel

Den Gode Webservice definerer to overordnede kommunikationsmodeller: Sign On (SO) og Single Sign On (SSO). I et SO scenarium kommunikerer klient og serviceudbyder alene med hinanden, mens SSO scenariet introducerer en betroet tredjepart, Identitetsudbyderen (IdP) til at varetage autentifikationen. Service der kan håndtere SSO siges at indgå i SOSI føderationen.

Id-kort attribut	Tilladt?
Sign On	Ja
Single Sign On	Ja

Kuvert-attributter

I DGWS SOAP kuverters headere findes en række meta-oplysninger om de enkelte servicekald, hvoraf nogle udtrykker forventninger til serviceudbyderen. Selvom forventningerne i princippet kan variere fra operation til operation, idet der kan være forskel på hvor sensitive data der udveksles, ensretter denne specifikation attributterne på tværs af operationer aht. simpliciteten.

BivWS definerer, at der maksimalt må gå 24 timer siden brugeren blev autentificeret til et servicekald udføres. Dette ”Timeout” implementeres af serviceudbyderen og kan medsendes i DGWS-kuverter som et hint om hvad klienten forventer.

BivWS giver ikke mulighed for at anvendersystemet kan få en uafviselig kvittering ligesom kaldet heller ikke kan prioriteres.

Kuvert attribut	Tilladt?
Timeout	24 timer
Sikkerhedsniveau	3 - VOCES signatur
Uafviselig kvittering	Nej
Prioritet	RUTINE

Logning

Persondataloven og Sundhedsloven udstikker retningslinjer for hvornår det påkrævet at logge hvem der har haft adgang til data. Dette fortolkes i bredeste forstand som at have set eller opdateret personfølsom information om en anden person. Logning udføres af både klient og serviceudbyder.

Kontrol	Påkrævet?
Logning af adgang til personfølsomme data påkrævet?	Nej

BivWS hos MHRA

Bemærk! Dette afsnit beskriver hvordan integrationen fra Den Nationale Serviceplatform (NSP) til BivWS hos MHRA i England implementeres. Afsnittet henvender sig til Leverandøren af integrationen mellem NSP og BivWS og ikke anvendersystemer.

BivWS udstilles af MHRA direkte på det åbne internet i test på adressen:

http://dhma-ehr-service.web10.redantdev.com/SubmissionService.asmx

Eksempler på SOAP 1.1 og SOAP 1.2 requests og responses findes på:

http://dhma-ehr-service.web10.redantdev.com/SubmissionService.asmx?op=ValidateE2B.

Sikkerhed

Den Gode Webservice termineres hos NSP’en, der validerer den medsendte SAML-kuvert, autentificerer og autoriserer afsenderen til at benytte servicen. Transportlaget mellem NSP og BivWS krypteres med Secure Sockets Layer (SSL) via 128 bit nøgler, som sikrer konfidentialiteten af det transporterede indhold og de akkreditiver, der anvendes til at logge på.

Som akkreditiver forventer BivWS et brugernavn og et password, samt en identifikation af det kaldende system. Sundhedsstyrelsens opretter ét brugernavn og password, som NSP’en benytter ved alle kald, ligesom det vil være NSP’en, der står som kaldende system. Indberetninger, der sendes uden korrekt brugernavn og password får ikke et svar tilbage og vil heller ikke blive behandlet.

Referencer

[DGWS] Den Gode Webservice, http://www.medcom.dk/wm110731

[E2B] E2B Specifikationen, http://www.ich.org/fileadmin/Public_Web_Site/ICH_Products/Guidelines/Efficacy/E2B/Step4/E2B_R2__Guideline.pdf