EFA Kommunikationsmuster
Dieses Dokument gibt wieder:
Implementierungsleitfaden EFA Kommunikationsmuster (0.9). Die Teilmaterialien gehören der Kategorie cdaefa an. |
February 2013
Jörg Caumanns, Raik Kuhlisch
Inhaltsverzeichnis
Akteure der EFA-Kommunikationsmuster
Die logische Anwendungsebene einer Fallakten-Infrastruktur besteht im einfachsten Fall aus fünf Klassen von Akteuren:
- Ein EFA-Kontext-Manager (eCR Context Manager) baut den Sicherheitskontext zur Nutzung von Fallakten auf und verwaltet die darin bereit gestellten Sicherheitsnachweise des EFA-Teilnehmers.
- Ein EFA-Ressource-Manager(eCR Resource Manager) stellt ein Verzeichnis zur Verwaltung von Fallakten und EFA-Partitionen bereit. Mit dem selben Patienten und dem selben Zweck verbundene Partitionen bilden eine Fallakte.
- Ein EFA-Daten-Register (eCR Document Registry) stellt ein Verzeichniss zur Verwaltung von Dokumenten bereit. In einem regionalen Gesundheitsnetz kann ein einzelner EFA-Teilnehmer das EFA-Register für das gesamte Netzwerk anbieten.
- Ein EFA-Speichersystem (eCR Repository) hält die registrierten Dokumente vor und stellt sie für berechtigte Nutzer zum Abruf bereit. Jeder EFA-Teilnehmer kann ein eigenes EFA-Speichersystem bereitstellen und an das EFA-Register anbinden.
- Ein EFA-Teilnehmersystem (eCR Consumer) bildet eine Nutzerschnittstelle ab, über die ein Arzt Behandlungsdaten anderer Ärzte aus an einem EFA-Register registrierten Speichersystemen abrufen kann bzw. in einem Speichersystem verwaltete Behandlungsdaten am EFA-Register registrieren kann.
Hinzu kommen zwei Klassen von Sicherheitstoken-Diensten, die jeweils Sicherheitsnachweise zum Aufbau eines zwischen EFA-Teilnehmersystem und EFA-Fachdienst (Register bzw. Speichersystem) geteilten Sicherheitskontextes bereit stellen:
- Ein Identity Provider stellt einen von allen anderen EFA-Akteuren als vertrauenswürdig akzeptierten Identitätsnachweis für authentifizierte Nutzer aus. Der Identity Provider unterstützt potenziell beliebige Verfahren der Authentifizierung (z. B. mittels Passwort, HBA oder SMC-B).
- Ein Policy Provider liefert die für den aufrufenden Nutzer gültigen Berechtigungsregeln (Policy) auf einer spezifischen Fallakte.
Der Aufruf der Sicherheitstoken-Dienste und die Verwaltung der von diesen abgerufenen Sicherheitsnachweise wird gegenüber dem EFA-Teilnehmersystem über den EFA-Kontext-Manager gekapselt.
Aufbau des Sicherheitskontextes
Die nachfolgende Abbildung stellt das Kommunikationsmuster zum Aufbau des Sicherheitskontextes im Überblick dar. Jeder nachfolgende Aufruf eines EFA-Dienstes erfordert, dass der im EFA-Kontext-Manager verwaltete Sicherheitskontext in Form von authentischen Sicherheitsnachweisen an den aufgerufenen Dienst übergeben wird. Dieser wird so in die Lage versetzt, den Sicherheitskontext des Aufrufers zu rekonstruieren und dadurch den Aufruf innerhalb dieses Kontextes gegen die geltenden Sicherheitsregeln zu verifizieren.
- Der EFA-Teilnehmer authentisiert sich gegenüber dem EFA-Teilnehmersystem. Die EFA Spezifikation macht hierzu keine normativen technischen Vorgaben, Umsetzungen müssen jedoch die Regularien des EFA Sicherheitskonzepts berücksichtigen.
- Das EFA-Teilnehmersystem (TNS) erfasst die für die EFA-Nutzung wichtigen Informationen zum EFA-Teilnehmer und übermittelt sie an den EFA-Kontext-Manager. Hierzu wird die funktionale Schnittstelle openContext des EFA-Kontext-Managers verwendet.
- Der EFA-Kontext-Manager nutzt die übergebenen Informationen, um für den EFA-Teilnehmer von den EFA-Sicherheitsdiensten Sicherheitsnachweise abzurufen, die von den EFA-Fachdiensten prüfbar sind. Welche Dienste aufgerufen werden, hängt von der konkreten Sicherheitspolitik eines EFA-Netzwerks ab. Eine typische Konfiguration umfasst den Aufruf des Identity Providers zum Abruf eines netzweit gültigen Identitäts- und Authentisierungsnachweises. Optional können auch Teile der für den Teilnehmer geltenden Zugriffspolitik bereits vor dem Aufruf der EFA-Fachdienste von einem EFA Policy Provider abgefragt werden.
- Der EFA-Kontext-Manager verknüpft die abgerufenen Sicherheitsnachweise mit der aktuellen Nutzersitzung und liefert einen Verweis auf den so gebildeten Sicherheitskontext an das EFA-Teilnehmersystem zurück.
Anlegen einer Fallakte
Eine neue Fallakte wird angelegt, indem im EFA-Ressource-Manager eines EFA-Providers für den betroffenen Patienten eine neue Partition angelegt wird, die sowohl mit einem Zweck als auch einer Einwilligung verbunden ist:
- Gemäß der Vorgaben des Interaktionsmusters Anlegen einer Fallakte erteilt der Patient eine informierte, schriftliche Einwilligung über die Nutzung einer Fallakte zur Unterstützung einer Behandlung. Die vom Patienten benannten Teilnehmer der Behandlung sind die zugriffsberechtigten Teilnehmer der Fallakte.
- Der Arzt baut über sein EFA-Teilnehmersystem den zur Anlage einer EFA erforderlichen Sicherheitskontext auf (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Der Arzt fordert beim von seinem EFA-Provider bereit gestellten EFA-Ressource-Manager die Anlage einer neuen Fallakte an. Hierbei benennt der den Zweck der Akte sowie die als Teilnehmer zu berechtigenden Personen und Organisationen. Mit der Anlage einer Fallakte ist implizit die Anlage einer Partition verknüpft.
- Der EFA-Provider prüft, ob für den Patienten bereits eine Fallakte existiert, die mit dem angegebenen Zweck assoziiert ist. Im Ergebnis dieser Prüfung müssen zwei Konstellationen unterschieden werden:
- Es besteht noch keine Fallakte für den benannten Patienten und den benannten Zweck: Eine neue, aus einer einzigen Partition bestehende Fallakte wird angelegt
- Es besteht bereits eine Fallakte für den benannten Patienten und den benannten Zweck: Im Ergebnis der angeforderten Anlage einer neuen EFA wird diese der bestehenden Fallakte als weitere Partition hinzugefügt. Der Teilnehmerkreis (und damit die Zugriffsrechte) werden wie in der neuen Einwilligung angegeben angepasst.
Die nachfolgenden Abschnitte definieren das Verhalten des EFA-Providers in diesen beiden Konstellationen.
Neu-Anlage einer Fallakte
- Im EFA-Berechtigungsmanagement des EFA-Providers wird eine neue Berechtigungsregel registriert, die den für die Aktenanlage angegebenen Zweck und die Patientenidentität mit den in der Patienteneinwilligung angegebenen Vorgaben zu den EFA-Teilnehmern und der Gültigkeit der Fallakte verknüpft.
- (Patient, Zweck) -> (Teilnehmer, Gültigkeit)
- Der EFA-Provider legt zu der Akte eine initiale Partition als Container-Objekt an, mit dem Dokumente verknüpft werden können.
- Sofern die Einwilligung des Patienten als (gescanntes) Dokument vorliegt, wird diese als Dokument in die neu angelegte Partition eingestellt.
Fusion mit einer bestehenden Fallakte
- Im EFA-Berechtigungsmanagement des EFA-Providers wird die Patienteneinwilligung (Berechtigungsregel) für die bestehende Fallakte darauf hin geprüft, ob
- der Arzt, der die neue Akte anlegen möchte, als Teilnehmer an der bereits zum selben Zweck bestehenden Akte registriert ist. Ist dieses der Fall, wird der Vorgang abgebrochen und eine Fehlermeldung ausgegeben. Ein bereits berechtigter EFA-Teilnehmer kann zu einer bestehenden Akte eine neue Partition hinzufügen oder eine neue/erweiterte Patienteneinwilligung registrieren. Eine gleichzeitige Ausführung beider Aktionen ist nicht möglich, da sich in diese Aktivität unterschiedliche Motivationen hinein interpretieren ließen, die jeweils zu einer unterschiedlichen Verarbeitung der übergebenen Berechtigungen führen würden.
- die zu der bestehenden Akte registrierte Einwilligung eine Erweiterung der Berechtigungen durch aktuell nicht registrierte Personen/Organisationen zulässt. Ist dies nicht der Fall, wird der Vorgang abgebrochen und eine Fehlermeldung ausgegeben. In diesem Szenario müsste ein bereits berechtigter Teilnehmer zunächst die neue Einwilligung des Patienten an der Akte registrieren. Anschließend könnte der so zum Aktenzugang berechtigte Arzt eine neue Partition an der Akte registrieren.
- die vom Patienten für die neue Akte gegebene Einwilligung die Fusion mit einer eventuell bereits bestehenden Akte autorisiert. Ist dies nicht der Fall, wird der Vorgang abgebrochen und eine Fehlermeldung ausgegeben. Um die bestehende Akte dennoch um eine weitere Partition erweitern zu können, muss eine entsprechend erweiterte Einwilligung des Patienten vorliegen.
- Die bestehende Akte wird um eine neue Partition erweitert.
- Die im EFA-Berechtigungsmanagement des EFA-Providers bereits registrierten Berechtigungsregeln werden um die in der neuen Einwilligungserklärung benannten Teilnehmer erweitert.
- Sofern die neue/erweiterte Einwilligung des Patienten als (gescanntes) Dokument vorliegt, wird diese als Dokument in die neu angelegte Partition eingestellt.
Anlegen einer Partition zu einer bestehenden Fallakte
Zur Teilnahme an einer EFA berechtigte Teilnehmer können dieser Akte weitere Partitionen - z.B. zur Zusammenfassung der im Kontext eines Klinikaufenthalts erhobenen Daten - hinzufügen. Die Anlage einer neuen Partition muss innerhalb eines gültigen EFA-Sicherheitskontextes erfolgen und erfordert neben der Angabe einiger Daten zu der Partition selbst (Titel, etc.) vor allem eine Referenz auf die Akte, der die Partition hinzugefügt werden soll. Mit der Anlage der Partition können bereits in die Partition einzustellende Dokumente übergeben werden.
Die Anlage einer Partition erfolgt in den folgenden Schritten:
- Aufbau eines Sicherheitskontextes, der dem EFA-Provider die sichere Identifizierung und Authentifizierung des Teilnehmers ermöglicht (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Auffinden und Öffnen der Fallakte, der die Partition hinzugefügt werden soll. Hierzu werden Metadaten der die Akte repräsentierenden Partitionen abgerufen, in denen u.a. die eindeutige Referenz auf die Akte kodiert ist (siehe Kommunikationsmuster Auflisten von Partitionen).
- Anlegen der neuen Partition innerhalb des Sicherheitskontextes durch Angabe der Referenz auf die übergeordnete Akte, der Metadaten zur Partition sowie (optional) in die Partition einzustellender Dokumente.
- Der EFA-Provider prüft, ob der Teilnehmer zum Zugriff auf die Akte berechtigt ist. Falls dies nicht der Fall sein sollte wird die Operation mit einer Fehlermeldung abgebrochen.
- Der EFA-Provider legt die internen Strukturen der Partition an und verknüpft diese mit den Zuordnungsdaten der Fallakte (Patientenidentität und Zweckbezeichnung der Fallakte). Hierdurch ist die neue Partition Bestandteil der Akte und es gelten die für die Akte definierten Zugriffsrechte.
- Der EFA-Provider verknüpft die ggf. übergebenen Dokumente mit der neuen Partition.
- Über interne Mechanismen wie z.B. einen Kommunikationsserver kann der Teilnehmer die neue Partition mit einer internen ID (z.B. Fall-ID der aktuellen Behandlungsepisode) verknüpfen um das Einstellen intern mit dieser ID verknüpfter Daten in die EFA zu vereinfachen.
Schließen einer Fallakte
Eine Fallakte wird durch den EFA-Provider geschlossen, wenn die vom betroffenen Patienten gegebene Einwilligung ihre Gültigkeit verliert (siehe auch Zustandsdiagramme zu den EFA-Geschäftsobjekten).
Die Gültigkeit der Einwilligung erlischt implizit mit Erreichen des in der Einwilligung angegebenen Gültigkeitsdatums. Darüber hinaus erlischt die Einwilligung, wenn sie entweder explizit vom Patienten zurückgenommen wird oder wenn der Zweck der EFA nicht mehr gegeben ist. In diesen Fällen greift das Interaktionsmuster "EFA Schließen".
Das Kommunikationsmuster entspricht weitgehend dem übergeordneten Interaktionsmuster und besteht im wesentlichen in der Übermittlung der Aufforderung zur Schließung der Akte an den EFA-Provider.
Im Einzelnen werden die folgenden Schritte durchlaufen:
- Aufbau eines Sicherheitskontextes, der dem EFA-Provider die sichere Identifizierung und Authentifizierung des Teilnehmers ermöglicht (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Auffinden und Öffnen der Fallakte, die geschlossen werden soll. Hierzu werden Metadaten der die Akte repräsentierenden Partitionen abgerufen, in denen u.a. die eindeutige Referenz auf die Akte kodiert ist (siehe Kommunikationsmuster Auflisten von Partitionen).
- Schließen der Akte innerhalb des Sicherheitskontextes durch Angabe der Referenz auf diese Akte sowie der Begründung zur Schließung der Akte.
- Der EFA-Provider prüft, ob der Teilnehmer zum Zugriff auf die Akte berechtigt ist. Falls dies nicht der Fall sein sollte wird die Operation mit einer Fehlermeldung abgebrochen.
- Der EFA-Provider verknüpft die Begründung zur Aktenschließung und die ggf. übergebenen Dokumente mit einer bestehenden Partition der Akte.
- Der EFA-Provider leitet die Schließung der Akte ein indem er den Status der Akte und die Zugriffsberechtigungen gemäß des Lebenszyklus einer EFA ändert.
Auflisten von Partitionen
Eine Fallakte ist ein Verbund von Partitionen, die mit dem selben Patienten und dem selben Zweck verknüpft sind. Um auf eine Fallakte zuzugreifen müssen in einem ersten Schritt Informationen zu den zugehörigen Partitionen abgerufen werden. Anhand der so ermittelten Aktenreferenz (ecrRef) und Partitions-Identifier (partitionID) können anschließend Daten aus der Akte ausgelesen und in die Akte eingestellt werden.
Das Auflisten der Partitionen der für den anfragenden Nutzer zugreifbaren Fallakten erfolgt in den folgenden Schritten:
- Aufbau eines Sicherheitskontextes, der dem EFA-Provider die sichere Identifizierung und Authentifizierung des Teilnehmers ermöglicht (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Senden der ID des Patienten, dessen EFAs gefunden und genutzt werden sollen, an den EFA-Provider.
- Der EFA-Provider sucht nach Aktenreferenzen (Patienten-ID und Zweck) an die eine Zugangsberechtigung für den anfragenden Arzt gebunden ist.
- Der EFA-Provider sucht nach Partitionen, die mit den gefundenen Aktenreferenzen verknüpft sind und sendet die Metadaten dieser Partitionen an den Aufrufer zurück
- Das Teilnehmersystem (Primärsystem) zeigt dem Aufrufer die gefundenen Akten und zugehörigen Partitionen an
Einstellen von Dokumenten
Daten zu einer Fallakte werden immer in eine an diese Akte gekoppelte Partition eingestellt. Das Einstellen von Daten erfolgt innerhalb eines gültigen EFA-Sicherheitskontexts und bedingt, dass der die Daten einstellende Nutzer ein berechtigter Teilnehmer der Fallakte ist, zu der er Daten hinzufügen möchte.
Die Benennung der Ziel-Partition erfolgt über eine partitionID. Sofern diese nicht bereits im Primärsystem des Nutzers bekannt ist (z.B. aufgrund einer statischen Verknüpfung eines internen Fall-Identifiers mit dieser Partiton), muss dieser Identifier zunächst durch Öffnen der Fallakte - d.h. Auflisten der zugängigen Partitionen - ermittelt werden.
Das Einstellen von Daten in eine Partition erfolgt in den folgenden Schritten:
- Aufbau eines Sicherheitskontextes, der dem EFA-Provider die sichere Identifizierung und Authentifizierung des Teilnehmers ermöglicht (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Ermitteln der partitionID, mittels der die Ziel-Partition und deren übergeordnete Fallakte eindeutig identifizierbar sind. Sofern diese ID nicht bereits bekannt ist, muss sie über das Kommunikationsmuster Auflisten von Partitionen ermittelt werden.
- Senden der partitionID und der in diese Partition einzustellenden Daten an das Document Repository des EFA-Providers.
- Der EFA-Provider prüft, ob der Teilnehmer zum Zugriff auf die der Partition übergeordneten Akte berechtigt ist. Falls dies nicht der Fall sein sollte wird die Operation mit einer Fehlermeldung abgebrochen.
- Der EFA-Provider legt die übergebenen Daten zur sicheren Speicherung im Document Repository ab
- Das Document Repository sendet die Benennung der Ziel-Partition und die Metadaten der empfangenen Dokumente zur Registrierung an das Document Registry des EFA-Providers
- Der EFA-Provider verknüpft die übergebenen Dokumente im Document Registry mit der angegebenen Partition und speichert die Metadaten sicher ab.
- Der EFA-Provider meldet dem Teilnehmer die erfolgreiche Bereitstellung der übergebenen Dokumente zurück.
Auflisten von Dokumenten
Daten zu einer Fallakte werden immer in an diese Akte gekoppelten Partition verwaltet. Das Auflisten der verwalteten Daten erfolgt immer auf Ebene dieser Partitionen, d.h. um alle mit einer Fallakte verknüpften Daten aufzulisten müssen alle Partitionen "angefasst" werden.
Die Benennung der auszulesenden Partition erfolgt über eine partitionID, die im Rahmen des Öffnens einer Fallakte beim Auflisten der zugängigen Partitionen ermittelt werden kann.
Das Auslesen der Metadaten zu allen an einer vorgegebenen Partition registrierten Dokumenten erfolgt in den folgenden Schritten:
- Aufbau eines Sicherheitskontextes, der dem EFA-Provider die sichere Identifizierung und Authentifizierung des Teilnehmers ermöglicht (siehe Kommunikationsmuster Aufbau des Sicherheitskontextes).
- Ermitteln der partitionID, mittels der die auszulesende Partition und deren übergeordnete Fallakte eindeutig identifizierbar sind. Sofern diese ID nicht bereits bekannt ist, muss sie über das Kommunikationsmuster Auflisten von Partitionen ermittelt werden.
- Senden der partitionID an das Document Registry des EFA-Providers.
- Der EFA-Provider prüft, ob der Teilnehmer zum Zugriff auf die der Partition übergeordneten Akte berechtigt ist. Falls dies nicht der Fall sein sollte wird die Operation mit einer Fehlermeldung abgebrochen.
- Im Document Registry werden die mit der Partition verknüpften Dokumente ermittelt und deren Metadaten zu einer Antwortnachricht zusammengestellt.
- Der EFA-Provider übermittelt dem Teilnehmer die Metadaten der in der Partition registrierten Dokumente zurück.
- zurück zur EFA-2.0-Spezifikation