Foto av Johan Eltes

Kan OAuth2 vara dörren till att öppna journalerna för marknaden?

// Johan Eltes

(Sorry for writing this up in Swedish - the post is in the context of Swedish e-health. If this moves forwards I’ll wright the next post in english…hrmmm…well.. Swinglish)

Kim Nordlander (SLL) och Åke Rosander (Cehis) presenterade projektet Mina Hälsotjänster under nationella eHälsodagen här om veckan: http://www.nationellehalsa.se/program.html. Ett sätt att dela upp tjänster (i betydelsen IT-stöd) för invånaren är att utgå från avsändaren. Om vård och omsorg är avsändaren kan marknaden leverera e-tjänster till invånaren, men det måste förmodligen ske genom att sälja tjänsten till landstingen. Det betyder (som jag uppfattat saken) att e-tjänsten måste ligga inom ramen för landstingets uppdrag - dvs ha direkt koppling till vårdprocessen. Några exempel kan vara tidbokningstjänster för invånaren och visualisering av mina remissers status i remissprocessen.

Men det talas allt mer om tjänster invånaren själv väljer för att samla, hantera och utbyta information kring sin hälsa. Dessa tjänster går under många namn:

  • Mitt Hälsokonto
  • Min hälsodagbok
  • PHR - Personal Health Record

Dessa kan användas för att samla in och sammanställa information från träningsdagböcker (t.ex. Runkeeper), från egen privat hälsotillståndsmätning (en växande marknad av gadgets för såväl hypokondriker som olika former av kroniker) eller helt enkelt egna observationer. Informationen kan användas i sociala medier riktade mot olika sjukdomstillstånd eller kanske som underlag för en “second opinion” för den som känner osäkerhet kring kvalitén i hanteringen av ett hälsoärende.

Denna typ av invånar-tjänster söker man själv upp. Det är ett privat beslut att “hoppa på” en specifik “app”. Man byter kanske till en annan om det dyker upp en bättre, eller om en annan tjänst fått en större community och därför över tiden visat sig vara ett bättre val. Så vad har det då med Mina Hälsotjänster att göra? En tanke som sysselsatt mig ett tag är vad det skulle innebära att öppna upp dagens vård-data-api:er till denna typ av applikationer för privat hälsodata.

Idag kan en app anslutas till nationella api:er mot landstingens vårdsystem så länge appen har en vårdhuvudman som avsändare. Den bakomliggande säkerhetsmodellen är okomplicerad och beprövad: så kallad organisationstillit. Det betyder lite förenklar att man kan “öppna informationskanalerna” mellan parternas system så länge parterna är betrodda organisationer (läs vårdgivare). Tekniskt sett upprättas tilliten med enkla medel så som klient-authenitiserade (funktionscertifikat) krypterade kanaler (TLS).

Men hur gör man för att en app som marknaden byggt och som invånaren själv beslutat använda för sin hälsodata ska kunna hämta in data från vårdens verksamhetssystem? Jag kanske vill integrera information från mina labbsvar i min hälsodatabas? Ett annat scenaro är att min vårdgivare vill få in mina egna mätningar som bilaga till journalen. Eller en bokningsfunktion som liksom hotell-och flygbokningsagenter aggregerar en mängd underliggande tjänster för min bekvämlighet? Det behövs något sätt att låta invånaren ta ansvar för vilka appar som får läsa och påverka infromation hos vårdgivarna under invånarens identitet.

Det juridiska perspektivet måste förstås belysas. Patientdata-juristen Andreas Hager har gjort en genomlysning som indikerar att det kan finnas stöd i lagar och författningar. Jag tänker mig att det vore ung. samma frågeställning som om jag kunde logga in i Mina vårdkontakter, se mina labbsvar och sedan gavs möjlighet att ladda ner dem (“spara som …”) till min dator för att sedan importera filen till min valda “hälsodagboksapp”. Men att appar jag väljer istället kan göra jobbet åt mig - dvs utan manuell filhantering.

I presentationen nedan har jag försökt skissa en arkitektur för invånarstyrd informationsåtkomst. Det är mina funderingar och representerar alltså inte någon av mina uppdragsgivares strategier eller beslut.

Vad tror du? Finns behovet? Är OAuth2 i så fall rätt väg? Skulle du låta Google Health läsa labbsvar från dina hälsoärenden i vård och omsorg? Skulle du låta en facebookapp som jag utvecklat läsa din medicinlista från journalen hos en vårdenhet för att ge dig påminnelser när du ska ta dina mediciner? Är detta den gyllene länken mellan patienten, dagens journalsystem och marknadens innovatörer?

Kommentarer