Regelverket för DataController behöver luckras upp

[GoogleCodeExporter]

I gällande version står att DataController ska sättas till orgnummer 
(bolagsverket) för PU-ansvarig vårdgivare. Det har visat sig problematiskt 
att få fram orgnummer för journalleverantörerna. Resultatet är att de 
behöver införa manuell mappning mellan HSA-id och orgnummer enbart för att 
kunna uppdatera EI enligt regelverket. Det är en stor börda för system med 
många vårdgivare (Take Care, Svevac vaccinationsjournal) etc iom att de inte 
redan har den uppgiften. HSA-id innehåller organisationsnummer med det är 
HSA-utfärdarens HSA-id - inte vårdgivarens. Ibland sammanfaller dessa, men 
inte alltid. Inom SLL finns 100-tals vårdgivare under SLL:s HSA-gren. Alla har 
SLL:s orgnummer som del i sina HSA-id:n.

Förslaget är därför att omformulera kravet på värde för DataController 
till att vara något värde som i källsystemet (med id SourceSystemHSAid) 
unikt identifierar PU-ansvarig organisation. Kravet från PUL är att ha 
spårbarhet till PU-ansvarig. Det finns inget krav på att detta måste ske 
genom att just organisationsnummer finns i posten.

För att komma vidare har CGM redan nu i sin implementation tvingats använda 
vårdgivarens HSA-id istf organisationsnummer. Samma sak för Svevac som 
tvingats använda ett internt id för vårdgivare som inte r orgnummer, men som 
kan härledas till orgnummer via en administrativ aktivitet.

Original issue reported on code.google.com by johan.el...@callistaenterprise.se on 22 May 2013 at 9:55

[GoogleCodeExporter]

Hej och tack för problembeskrivningen.

Kan en lösning vara att man fastslår att det är kombinationen av innehållet 
i fälten SourceSystem och DataController som unikt skall identifiera 
personuppgiftsansvarig organisation?

Det skulle öppna upp för källsystemet-specifika identiteter på 
personuppgiftsansvarig organisation, vilket jag uppfattar skulle lösa 
problemställningen ovan?

Då behöver vi oxå förtydliga att det leder till att man kan behöva gå 
till det utpekade källsystemet för att utläsa vilken den 
personuppgiftsansvarig organisationen är (i klartext).

Original comment by magnus.l...@callistaenterprise.se on 23 May 2013 at 8:16

• Changed state: Assigned

[GoogleCodeExporter]

Förslaget från arbetet med Svevac-anslutningen, är att i EI-anropen ange i 
källsystemet (Svevac) lokal unikt identifiere för organisationen; lösningen 
som följer någon slags allmänt koncept som vi valt där är "lokal rymd för 
ID, typiskt källsystemets HSAid":"identifierare", dvs

<Svevacs HSAid>:<Svevacs primärnyckel för PU-ansvarig organisation>

Därmed uppfylls PDLs krav på spårbarhet av PU-ansvarig organisation.

Original comment by marcus.c...@mawell.com on 24 May 2013 at 6:46

[GoogleCodeExporter]

Hej Marcus!

Tack för input'en!

Givet att vi ändrar kravet enligt förslaget ovan till att det är 
kombinationen av SourceSystem och DataController som unikt skall identifiera 
PU-ansvarig organisation så skulle ni väl egentligen inte behöva lägga med 
Svevacs HSAid i DataController - fältet?
Eftersom det redan ingår i SourceSystem fältet.

Original comment by magnus.l...@callistaenterprise.se on 24 May 2013 at 9:17

[GoogleCodeExporter]

Har bett Ewa Jerilgård, ansvarig för säkerhetsarkitektur på CeHis, granska 
förslaget. Väntar svar under nästa vecka.

Original comment by magnus.l...@callistaenterprise.se on 24 May 2013 at 10:41

[GoogleCodeExporter]

Åtgärdad i v1.0-RC11, se 
http://code.google.com/p/rivta/downloads/detail?name=ServiceContracts_itintegrat
ion_engagementindex_1.0-RC11.zip&can=2&q=

Original comment by magnus.l...@callistaenterprise.se on 3 Jun 2013 at 7:17

• Changed state: Closed