Regelverket för DataController behöver luckras upp
Issue #82
closed
I gällande version står att DataController ska sättas till orgnummer (bolagsverket) för PU-ansvarig vårdgivare. Det har visat sig problematiskt att få fram orgnummer för journalleverantörerna. Resultatet är att de behöver införa manuell mappning mellan HSA-id och orgnummer enbart för att kunna uppdatera EI enligt regelverket. Det är en stor börda för system med många vårdgivare (Take Care, Svevac vaccinationsjournal) etc iom att de inte redan har den uppgiften. HSA-id innehåller organisationsnummer med det är HSA-utfärdarens HSA-id - inte vårdgivarens. Ibland sammanfaller dessa, men inte alltid. Inom SLL finns 100-tals vårdgivare under SLL:s HSA-gren. Alla har SLL:s orgnummer som del i sina HSA-id:n.
Förslaget är därför att omformulera kravet på värde för DataController till att vara något värde som i källsystemet (med id SourceSystemHSAid) unikt identifierar PU-ansvarig organisation. Kravet från PUL är att ha spårbarhet till PU-ansvarig. Det finns inget krav på att detta måste ske genom att just organisationsnummer finns i posten.
För att komma vidare har CGM redan nu i sin implementation tvingats använda vårdgivarens HSA-id istf organisationsnummer. Samma sak för Svevac som tvingats använda ett internt id för vårdgivare som inte r orgnummer, men som kan härledas till orgnummer via en administrativ aktivitet.
#####Originally written by johan.eltes [callistaenterprise.se] on code.google.com
Comments (5)
-
Account Deleted
-
Account Deleted
Förslaget från arbetet med Svevac-anslutningen, är att i EI-anropen ange i källsystemet (Svevac) lokal unikt identifiere för organisationen; lösningen som följer någon slags allmänt koncept som vi valt där är "lokal rymd för ID, typiskt källsystemets HSAid":"identifierare", dvs
<Svevacs HSAid>:<Svevacs primärnyckel för PU-ansvarig organisation>
Därmed uppfylls PDLs krav på spårbarhet av PU-ansvarig organisation.
#####Originally written by marcus.claus [mawell.com] on code.google.com
-
Account Deleted
Hej Marcus!
Tack för input'en!
Givet att vi ändrar kravet enligt förslaget ovan till att det är kombinationen av SourceSystem och DataController som unikt skall identifiera PU-ansvarig organisation så skulle ni väl egentligen inte behöva lägga med Svevacs HSAid i DataController - fältet? Eftersom det redan ingår i SourceSystem fältet.
#####Originally written by magnus.larsson [callistaenterprise.se] on code.google.com
-
Account Deleted
Har bett Ewa Jerilgård, ansvarig för säkerhetsarkitektur på CeHis, granska förslaget. Väntar svar under nästa vecka.
#####Originally written by magnus.larsson [callistaenterprise.se] on code.google.com
-
Account Deleted
Åtgärdad i v1.0-RC11, se http://code.google.com/p/rivta/downloads/detail?name=ServiceContracts_itintegration_engagementindex_1.0-RC11.zip&can=2&q=
#####Originally written by magnus.larsson [callistaenterprise.se] on code.google.com - Status changed:
Closed. - Log in to comment
Hej och tack för problembeskrivningen.
Kan en lösning vara att man fastslår att det är kombinationen av innehållet i fälten SourceSystem och DataController som unikt skall identifiera personuppgiftsansvarig organisation?
Det skulle öppna upp för källsystemet-specifika identiteter på personuppgiftsansvarig organisation, vilket jag uppfattar skulle lösa problemställningen ovan?
Då behöver vi oxå förtydliga att det leder till att man kan behöva gå till det utpekade källsystemet för att utläsa vilken den personuppgiftsansvarig organisationen är (i klartext).
#####Originally written by magnus.larsson [callistaenterprise.se] on code.google.com - Status changed:
Assigned.