Svevac Teknisk Utredning Slutrapport
Svevac Teknisk Utredning Slutrapport
Svevac Teknisk Utredning Slutrapport
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 1 (26)<br />
2013-02-05<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
<strong>Teknisk</strong> <strong>Utredning</strong> - <strong>Svevac</strong><br />
Beslutsunderlag<br />
slutrapport (v1.0)<br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 2 (26)<br />
2013-02-05<br />
Innehåll<br />
1 Bilagor ................................................................................................................................ 3<br />
2 Bakgrund ............................................................................................................................ 3<br />
3 Avgränsningar ................................................................................................................... 4<br />
4 Arbetssätt ........................................................................................................................... 4<br />
5 Redogörelse för observationer, bedömningar, slutsatser .............................................. 5<br />
5.1 Bakgrund och användning av <strong>Svevac</strong> idag ........................................................................ 5<br />
5.1.1 Tre databaser, två användningsområden ................................................................. 6<br />
5.1.2 <strong>Svevac</strong> i förhållande till nationella vaccinationsregistret ............................................ 7<br />
5.2 Systemets arkitektur, anpassningsbehov, åtgärder ........................................................... 8<br />
5.2.1 Arkitektur .................................................................................................................. 8<br />
5.2.2 Dataöverföringar via fil ............................................................................................ 10<br />
5.2.3 Integrationer via WS ............................................................................................... 10<br />
5.2.4 Behörighetsfunktioner............................................................................................. 14<br />
5.2.5 Databasen .............................................................................................................. 16<br />
5.2.6 <strong>Teknisk</strong> miljö och drift ............................................................................................. 17<br />
5.2.7 Löpande support och förvaltningsarbete ................................................................. 20<br />
5.2.8 Omfattning .............................................................................................................. 20<br />
5.2.9 Framtagande av dokumentation för etablering av kvalitetsledningssystem ............. 20<br />
5.2.10 WS tjänstekontrakt för överföring av vaccinationsdata till nationella<br />
Vaccinationsregistret ......................................................................................................... 21<br />
5.2.11 Legala aspekter .................................................................................................... 22<br />
6 Förslag till beslut och handlingsplan ............................................................................. 23<br />
6.1 Slutsats angående möjlighet till anpassning .................................................................... 23<br />
6.2 Handlingsplan ................................................................................................................. 23<br />
6.2.1 Huvudaktiviteter ...................................................................................................... 23<br />
6.2.2 Tidsuppskattning och underlag för kostnadsbudget för tekniska anpassningar ....... 25<br />
6.3 Beslutsnoteringar, bedömning av förslag ......................................................................... 26<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 3 (26)<br />
2013-02-05<br />
1 Bilagor<br />
Bilaga 1: Förteckning – brukare och integrationer<br />
Bilaga 2: <strong>Svevac</strong> Infrastruktur<br />
Notera att i utredningen nedan hänvisas i några fall till <strong>Svevac</strong>s dokumentation samt till lagtexter och<br />
dess förarbeten. Dessa utgör ej bilagor till denna rapport, utan förmodas vara kända av läsaren. De<br />
kan emellertid adderas som bilagor till denna rapport om behov finns.<br />
2 Bakgrund<br />
<strong>Utredning</strong>ens syfte och omfattning är att undersöka de tekniska förutsättningarna för CeHIS att ta<br />
över och tillhandahålla systemet <strong>Svevac</strong> (i det följande kallat Systemet) från SMI<br />
(Smittskyddsinstitutet), inom ramen för och anslutet till den nationella tjänsteplattformen som CeHIS<br />
tillhandahåller, och det tekniska regelverket kring denna inkl. Säkerhetstjänsterna.<br />
<strong>Svevac</strong> består av två huvuddelar, en vårddatabas och en analysdatabas, och vårddatabasen<br />
klassificeras som journalsystem och det ingår inte i SMI:s uppdrag att tillhandahålla sådana till<br />
vårdgivare.<br />
Det finns två identifierade problem med att SMI registerhåller <strong>Svevac</strong>. SMI är inte en vårdgivare och<br />
kan därmed inte med stöd av patientdatalagen behandla patientuppgifter för individuell vård och<br />
behandling, i detta fall vaccinering. Vidare kan inte vårdgivare lämna ut patientuppgifter p.g.a.<br />
sekretesshinder till SMI för att institutet ska kunna skapa en nationell kunskapskälla för<br />
vaccinationsprogram (motsvarande).<br />
Frågan har därför väckts om CeHIS kan och vill ta över systemet och ansvara för dess drift,<br />
förvaltning, vidareutveckling och tillhandahållande gentemot vårdgivare i såväl offentlig som privat<br />
regi, samt till SMI vad gäller analysdatabasen.<br />
<strong>Utredning</strong>en genomförs som en teknisk granskning av Systemet och bedömning av möjligheterna att<br />
anpassa och ansluta Systemet till den nationella tjänsteplattformen. Arbetet skall ske utifrån<br />
granskning av befintlig dokumentation av Systemet, dess källkoder samt möten/intervju(er) med<br />
systemförvaltare och tekniskt ansvariga för Systemet hos SMI och motsvarande för<br />
tjänsteplattformen hos CeHIS.<br />
<strong>Utredning</strong>ens består av:<br />
- Delrapport (levererad 29/1-2013 och diskuterad vid telefonmöte1/2-2013)<br />
o Första bedömning om Systemet låter sig anpassas till tjänsteplattformen och<br />
tillhandahållas av annan aktör (än SMI) till brukarna, sett ur grundläggande tekniskt<br />
perspektiv med fokus på struktur och bedömd kvalitet hos Systemets källkoder och<br />
databas.<br />
- <strong>Slutrapport</strong> (detta dokument)<br />
o Sammanfattande bedömning huruvida Systemet låter sig anslutas och anpassas till<br />
tjänsteplattformen (tjänstekontrakt, RIV-TA 2.1, Säkerhetstjänster 2.0)<br />
o Förteckning över åtgärder (huvudsakliga) som behövs för sådan anpassning/anslutning<br />
o Översiktlig projektplan och arbetsmetod för genomförande av dessa<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 4 (26)<br />
2013-02-05<br />
o Notering av huvudsakliga förutsättningar och risker för genomförande<br />
o Tidsuppskattning och kostnadsbudget för genomförande<br />
3 Avgränsningar<br />
<strong>Utredning</strong>en omfattar inte men det är noterat att under förutsättning att Systemet tas över av CeHIS<br />
och identifierade anpassningar genomförs och organisation för drift/förvaltning/support etableras i<br />
CeHIS regi, för så bör uppdraget följas av att definiera krav på dokumentation och kvalitetsledning av<br />
arbetet med Systemets drift, support, förvaltning och vidareutveckling för att möta de krav som ställs<br />
enligt medicintekniska direktivet vad gäller mjukvara i vården och vårdgivares s.k. egendeklaration<br />
såsom ägare av egenutvecklat systemet (SOSFS-2008:1 / LVFS 2003:11). Framtagandet av sådan<br />
nödvändig dokumentation och rutiner kan avropas separat.<br />
<strong>Utredning</strong>en studerar inte heller organisatoriska och processrelaterade frågor avseende drift,<br />
förvaltning och support av <strong>Svevac</strong>, annat än att ge den översikt av dataöverföringar som inom ramen<br />
för dagens drift/förvaltning av Systemet görs gentemot dess brukare (se bilaga 1) och den idag<br />
ungefärliga omfattningen av löpande support och förvaltningsarbete (se avsnitt 5).<br />
4 Arbetssätt<br />
Arbetet har skett utifrån granskning av befintlig dokumentation av Systemet, dess källkoder samt<br />
möten/intervju(er) med systemförvaltare och tekniskt ansvariga för Systemet hos SMI och<br />
motsvarande för tjänsteplattformen hos CeHIS.<br />
Aktiviteter<br />
Inledande möte Cehis/Mawell, följt av framtagande av uppdragsbeskrivning och etablering<br />
av kontaktytor hos SMI, NDA avseende utlämning av källkoder<br />
Genomgång av <strong>Svevac</strong> dokumentation, följande dokument/filer:<br />
o Complete Systems Documentation<br />
o Databasdiagram<br />
o Manual Administration 1206<br />
o Manual Version 3.12.09_6<br />
o <strong>Svevac</strong> WS documentation 2012-01-25<br />
o <strong>Svevac</strong>_teknisk 100324<br />
Kontakter etablerade med SMIs förvaltningsgrupp för <strong>Svevac</strong>; möte #1 16/1. Diskussion<br />
o Redogörelse för vilka som använder Systemet idag<br />
o Rutiner, ”kopplingar” och dataöverföringar in/ut till/från Systemet idag<br />
o Etablering av mall för sammanställning av användare, integrationer,<br />
dataöverföringar<br />
o Diskussion om hur Systemet, och dess två databaser, förhåller sig till nya nationella<br />
vaccinationsregistret sedan 1/1-2013 (framtaget av SMI)<br />
Övergripande granskning av <strong>Svevac</strong> källkoder, system- och databasstruktur<br />
Sammanställning av användare(organisationer, integrationer (system, tekniker i bruk),<br />
dataöverföringar (informationsinnehåll) (sammanställd i bilaga 1)<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 5 (26)<br />
2013-02-05<br />
Möte med juridisk expert (Manolis Nymark) för att få adekvat förståelse för den juridiska<br />
kontexten kring vaccinationsdata (Vaccinationsutredningen SOU 2010:39, prop.<br />
2011/12:123, samt lag SFS nr 2012:453; Lag om register över nationella<br />
vaccinationsprogram, trätt i kraft 1/1-2013); nationella vaccinationsregistret i förhållande till<br />
källsystem (journalsystem, av vilka <strong>Svevac</strong> är ett), kvalitetssystem och eventuella juridiska<br />
aspekter och nödvändiga konstruktioner kring <strong>Svevac</strong>s information (en journaldatadel, en<br />
analysdel inkl. ett ”HPV-register”).<br />
Första delrapport 29/1-2013 till Beställaren utifrån den initiala granskningen av källkoder och<br />
databas.<br />
Utförlig granskning av källkoder, databas och krav enligt RIV-TA 2.1 och Säkerhetstjänster<br />
2.0 för bedömning vilka delar av Systemet som behöver anpassas för att möta kraven enligt<br />
dessa.<br />
Sammanställning av utredningens observationer, slutsatser och rekommendationer;<br />
rapportskrivning slutrapport.<br />
Möte för presentation av utredningens resultat och beslutsförslag.<br />
5 Redogörelse för observationer, bedömningar,<br />
slutsatser<br />
5.1 Bakgrund och användning av <strong>Svevac</strong> idag<br />
Systemet <strong>Svevac</strong> började utvecklas inom ramen för ett EU-projekt redan år 2000, utifrån en idé som<br />
ursprungligen kom från USA; att samla information om vaccinationer i ett nationellt register.<br />
Engagerat i utvecklingsarbetet var personal vid SMI i Lund samt Hans Lundin, informatiker vid Lunds<br />
Universitet. Under åren har externa konsulter på uppdrag av SMI utvecklat systemet vidare. SMI har<br />
svarat för drift och förvaltningen av <strong>Svevac</strong> gentemot brukarorganisationerna (se bilaga 1).<br />
<strong>Svevac</strong> lanserades i oktober 2002. Användning av/anslutning till <strong>Svevac</strong> har varit frivillig och de som<br />
ville fick ansluta sig i egen takt. I takt med de mer omfattande vaccinationsinsatserna som gjorts på<br />
senare år (fågelinfluensan, svininfluensan) har antalet brukare vuxit. Bilaga 1 visar de<br />
brukarorganisationer som använder <strong>Svevac</strong> idag, drygt 3300 vaccinationsenheter med över 10600<br />
aktiva användare (sammantaget finns fler användare och vaccinationsenheter än så också inlagda i<br />
systemet).<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 6 (26)<br />
2013-02-05<br />
Brukare som ej har (lokala) datoriserade journalsystem för vaccinationer använder <strong>Svevac</strong>s<br />
webbapplikation för att föra vaccinationsjournal eller sänder pappersunderlag till SMI för scanning<br />
och inläsning till <strong>Svevac</strong>, medan de som har lokala journalsystem oftast valt att använda dessa för<br />
att slippa manuell dubbelregistrering, och i vissa fall (se bilaga 1) förs information mellan lokalt<br />
journalsystem över till <strong>Svevac</strong> via filer. Förutom de överföringar som beskrivs i bilaga 1, används<br />
också en rutin där vaccinationsenheter sänder pappersdokument till SMI, som scannar dessa och<br />
läser in informationen till <strong>Svevac</strong>s databas.<br />
5.1.1 Tre databaser, två användningsområden<br />
Idag kan <strong>Svevac</strong> beskrivas som ett system med tre delar (i <strong>Svevac</strong>s databas), med principiellt två<br />
användningsområden; som vaccinationsjournal respektive för analys och uppföljning:<br />
Vaccinationsjournal (”vårddatabas” i bilden ovan)<br />
Analys<br />
o Analysdatabas baserat på data i vaccinationsjournalen<br />
o HPV-register (visas ej i bilden ovan)<br />
5.1.1.1 Vaccinationsjournalen<br />
Vaccinationsjournalen kan SMI inte längre tillhandahålla till vårdgivarna (orsak anges till bakgrunden<br />
av denna utredning) utan har till CeHIS ställt frågan om de kan tänka sig överta ansvaret att<br />
tillhandahålla <strong>Svevac</strong> till dess brukare.<br />
5.1.1.2 Analysdatabasen<br />
Analysdatabasen används för närvarande inte på grund av tekniska svårigheter inom ramen för<br />
drift/förvaltning, men problemet behöver lösas och analysdatabasen önskas fortsätta användas av<br />
SMI. SMI noterar här att den data som finns i analysdatabasen har SMI inhämtat samtycke till att få<br />
del av.<br />
5.1.1.3 HPV-registret<br />
Det idag fristående HPV-registret matas med uppgifter från vaccinationsjournaldatat genom<br />
filinläsning (se även bilaga 1). Lite ”slarvigt” men ur legalt hänseende kan HPV-registret sägas vara<br />
en del av analysdatabasen (i förhållande till vårddatabasen i systemet).<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 7 (26)<br />
2013-02-05<br />
Frågan har ställts inom ramen för vilket lagrum som analysdatabasen och HPV-registret hanteras<br />
(berörs mer i slutrapporten). SMI noterar som nämnts ovan, att de data som finns i analysdatabasen<br />
har SMI inhämtat samtycke till att få del av. Detta gäller även för HPV-uppföljningen där det även<br />
finns en etikprövning gjord för de uppföljningar som planeras göras (av SMI).<br />
Det noteras av SMI att För flickor födda 1999 och senare ska dessa rapporteras direkt till nationella<br />
Vaccinationsregistret (se nedan), men HPV-vaccinationer givna till flickor födda -98 och tidigare samt<br />
män ska även fortsättningsvis rapporteras till <strong>Svevac</strong> och Vaccinera (Stockholms<br />
vaccinationsregister).<br />
SMI driver ett projekt för långtidsuppföljning av HPV-vaccinationer (20-30 års uppföljning) och är då i<br />
behov av data från analysdatabasen i <strong>Svevac</strong>. Framöver kommer Vaccinationsregistret successivt bli<br />
det register där man registrerar de flesta HPV-vaccinationerna.<br />
SMI använder ett program Flexi Capture för inskanning av HPV-formulär. Inskanningen sker till en<br />
Excel-fil som konverteras till en XML-fil som sedan importeras till <strong>Svevac</strong>. I samband med importen<br />
sker en validering av data som importeras, så vaccin och batchnummer är relevanta och att<br />
personnummer är giltiga. Vid inskanningen skapas också sökbara bildfiler av formulären för<br />
arkivering.<br />
5.1.2 <strong>Svevac</strong> i förhållande till nationella vaccinationsregistret<br />
Det sedan 1/1-2013 nationella vaccinationsregistret som tagits fram av SMI, används för<br />
framställning av statistik, för uppföljning, utvärdering, kvalitetssäkring av nationella<br />
vaccinationsprogram, samt för forskning och epidemiologiska undersökningar (lag 2012:453, 6 §).<br />
Det är viktigt att notera att vaccinationsregistret enligt förarbetet till lagen och proposition<br />
2011/12:123 (sid 72), inte skall ge en komplett vaccinationsförteckning för den enskilde eftersom<br />
detta inte är förenligt med regelverket för hälsodataregister som vaccinationsregistret lyder under.<br />
Istället skall behovet att se en samlad bild över individens vaccinationer (vilka är hälso-<br />
sjukvårdsinsatser och journalföras i enlighet med patientdatalagen (2008:355)) tillgodoses genom<br />
arbetet med sammanhållen journalföring.<br />
<strong>Svevac</strong> är sålunda ett av källsystemen, i egenskap av vaccinationsjournalsystem för <strong>Svevac</strong>s<br />
brukare, till det nationella Vaccinationsregistret. Överföring sker idag via filöverföring/-inläsning från<br />
<strong>Svevac</strong> till Vaccinationsregistret.<br />
En första version av nya Vaccinationsregistret driftssattes av SME den 1/1, 2013. Det finns fyra sätt<br />
att rapportera vaccinationer till detta register; antingen via ett webformulär, via pappersformulär för<br />
inskanning, via <strong>Svevac</strong> eller via XML-fil från journalsystem. Detta finns beskrivet på SMIs hemsida<br />
http://www.smi.se/hem/mest-efterfragat/nytt-vaccinationsregister-startar-2013.<br />
Till att börja med kommer journalleverantörerna erbjudas att kunna exportera XML-filer enligt<br />
fastställt XML-schema, se ovan länk. En web-services planeras att längre fram erbjudas.<br />
(Projektledare för detta är register är Katarina Skärlund på SMI.)<br />
Exporten från <strong>Svevac</strong> till Vaccinationsregistret kommer också ske via en XML-fil. SMI kommer<br />
driftsätta en version av <strong>Svevac</strong> inom kort som ska kunna hantera reservnummer och<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 8 (26)<br />
2013-02-05<br />
samordningsnummer för att kunna exportera dessa uppgifter, liksom uppgifter om namnet på juridisk<br />
vårdgivare.<br />
5.1.2.1 Överföring från <strong>Svevac</strong> via tjänsteplattformen till Vaccinationsregistret<br />
Diskussion om tät integration mellan källsystem (journalsystem) och vaccinationsregistret (via WS)<br />
är inledd. Med anledning av denna utredning har påpekats att det bör vara relevant att diskutera<br />
sådan integration utifrån möjligheterna och fördelarna som tjänsteplattformen ger. Kontakt är<br />
etablerad 28/1-13 mellan Cehis, denna utrednings utredare och SMI.<br />
5.1.2.2 Att visa individens samlade bild om vaccinationer<br />
Med anledning av det som sägs enligt ovan om behovet av att kunna ge en samlad bild av individens<br />
alla vaccinationer genom sammanhållen journalföring, så torde den frågan kunna adresseras genom<br />
en standardisering av hur vaccinationsdata kommuniceras via tjänsteplattformen enligt f.g. punkt, för<br />
att kunna visas dels för vårdgivaren (NPÖ), dels för individen (i MVK, och via utlämning till det<br />
personliga hälsokontot).<br />
5.2 Systemets arkitektur, anpassningsbehov, åtgärder<br />
5.2.1 Arkitektur<br />
<strong>Svevac</strong> har en skiktad arkitektur och består av följande:<br />
Webbapplikation: ASPX, HTML, Javascript, Ajax (Swevac Web)<br />
Verksamhetslogik: MS .Net Framework 2.0 (internal business layer)<br />
Databasåtkomstlogik: NHibernate (data access layer)<br />
Databas: MS SQL Server 2005<br />
Gränssnittstjänster (WS): Relativt primitiv struktur med >60 tjänster. Ger sämre prestanda.<br />
Används inte av <strong>Svevac</strong> Webb<br />
Webbapplikationen och Gränssnittstjänsterna anropar samma skikt av verksamhetslogikmetoder.<br />
Den tekniska strukturen presenteras utförligt i <strong>Svevac</strong>s dokumentation ”<strong>Svevac</strong>_teknisk_100324”)<br />
och upprepas inte mer här.<br />
Schematiskt är <strong>Svevac</strong>s delar följande i befintlig version:<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 9 (26)<br />
2013-02-05<br />
5.2.1.1 Bedömning<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Figur 1. Befintlig systemstruktur.<br />
Anslutna klientsystem använder endast ett fåtal av WS.<br />
Koden är tydlig, lätt att följa och koden är ren, utan duplicering av lika kod (annars ibland vanligt i<br />
äldre system som vidareutvecklats).<br />
WS-skiktet (gränssnittstjänster) exponerar all verksamhetslogik och nyttan av det kan ifrågasättas.<br />
Sannolikt beror det på ett standardförfarande vid utvecklingen av WS. Eftersom det förefaller vara så<br />
att integrerade journalsystem endast använder vissa WS-tjänster så bör det vara relativt rättframt att<br />
optimera WS-skiktet genom att konsolidera de många ”små” metoderna till mer generella<br />
sammansatta för att få färre anrop och därmed bättre prestanda vid användning av dem. Detta görs<br />
inom ramen för att WS-skiktet anpassas till kraven som ställs av tjänsteplattformen, RIV-TA 2.1 (se<br />
vidare nedan).<br />
Webbapplikationens grafiska form kan ses över då den är något ålderstigen. Lämpligen kan ett<br />
sådant arbetes relevans bedömas genom en enkel rundfrågning till brukarna av <strong>Svevac</strong> om vilka<br />
förändringar/förbättringar som önskas, och responsen bedömas och prioriteras inom ramen för<br />
förvaltning/vidareutveckling.<br />
5.2.1.2 Åtgärder<br />
Kod och berörda serverprogramvaror uppgraderas till senaste versionen av nämnda<br />
systemmiljöer/tekniska ramverk/språk.<br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 10 (26)<br />
2013-02-05<br />
En förändring av WS-tjänsternas sammansättning görs. Härigenom förändras systemets struktur.<br />
Se vidare 5.2.3 nedan.<br />
<strong>Svevac</strong> Webb anpassas så att behörighetsfunktionerna ersätts med bruk av Säkerhetstjänsterna. Se<br />
vidare 0 nedan.<br />
En enkel undersökning görs med <strong>Svevac</strong>s brukare i syfte att samla in eventuella synpunkter på och<br />
behov av (enklare) anpassningar av systemet när det ändå skall uppgraderas och anpassas (se<br />
nedan). Insamlade behov tas till planeringen av förvaltningsarbetet.<br />
5.2.2 Dataöverföringar via fil<br />
De befintliga rutinerna för dataöverföringar är väldokumenterade av SMI. De brukarorganisationer<br />
som idag är del i dataöverföringar från/till <strong>Svevac</strong> är (se Bilaga 1 för detaljer):<br />
5.2.2.1 Bedömning<br />
Västra Götalandsregionen: data om influensavaccinationer registrerade inom regionen, data<br />
om säsongsinfluensa från <strong>Svevac</strong><br />
Läkemedelsverket: biverkansrapporter från <strong>Svevac</strong><br />
Karolinska Institutet: statistik ur <strong>Svevac</strong>s HPV-register i analysdatabasen, annan statistik<br />
SMI: data om vaccinationer från <strong>Svevac</strong> som skall rapporteras till Vaccinationsregistret<br />
SLLs Vaccinera: data om HPV-vaccinationer från Vaccinera till <strong>Svevac</strong>s HPV-register<br />
Rutinerna och deras dokumentation bevaras, och anpassas om de berörs av de tekniska<br />
anpassningar som görs av systemet.<br />
5.2.2.2 Åtgärder<br />
Genomgång av rutinerna för dataöverföringar och anpassning av rutiner och dokumentation i de fall<br />
de påverkas av systemets anpassningar och uppgraderingar i övrigt.<br />
5.2.3 Integrationer via WS<br />
De integrationer som gjorts och idag används (se bilaga 1; för Cosmic, PMO, Asynja) är flera. Exakt<br />
hur respektive lokal installation (instans) är kopplad till <strong>Svevac</strong> är f n ej dokumenterat (av SMI). Vilka<br />
exakt av de WS-tjänster som <strong>Svevac</strong> erbjuder är f.n. inte dokumenterat (av SMI eller<br />
journalleverantörerna).<br />
Vidare exponerar <strong>Svevac</strong> ett stort antal (>60) WS-metoder. Dessa kan som nämnts ovan<br />
konsolideras till en mindre och mer effektivt (bättre prestanda genom färre anrop i följd)<br />
implementerad uppsättning WS-metoder.<br />
5.2.3.1 Bedömning<br />
De specifika WS-integrationer som används av nämnda journalsystem behöver ses över i detalj,<br />
genom kontakter med respektive sådan leverantör i samverkan med SMI, och anpassas till för<br />
tjänsteplattformen framtagna motsvarigheter inkl. bruk av Säkerhetstjänster 2.0, dvs för WSklienterna<br />
(journalsystemen) inkl. bruk av certifikat för anrop till tjänsteplattformens WS-tjänster får<br />
åtkomst till <strong>Svevac</strong>.<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 11 (26)<br />
2013-02-05<br />
De befintliga integrationer till källsystem som berörs av anpassning till tjänsteplattformen i och med<br />
att deras anrop till <strong>Svevac</strong>s WS måste modifieras är (se Bilaga 1 för detaljer):<br />
Asynja (Compugroup): ca 30 anslutna i Skolhälsovården och 200 i främst<br />
företagshälsovården.<br />
PMO (Compugroup): ca 50 kommuner använder PMO mot <strong>Svevac</strong> samt BVC i Jönköping<br />
län och ett antal hälsocenter i Gävleborgs läns landsting.<br />
Cosmic (Cambio): Landstinget Kronoberg<br />
5.2.3.1.1 Nuvarande WS-gränssnitt<br />
All funktionalitet som används i webbgränssnittet görs tillgängligt för externa system via WSgränssnittet.<br />
Det ger sammanlagt 69 olika webbtjänster. Dessa är indelade i 9 olika kategorier och<br />
erbjuder registrerings-, uppdaterings-, sök- och listningstjänster enligt nedanstående tabell:<br />
Kategori Registrering Uppdatering Listning Sökning<br />
Vaccination 3 2 13 4<br />
Ordination 4 - 1 2<br />
Person 2 1 - 3<br />
Organisation - - 1 2<br />
Bieffekt 2 1 2 2<br />
Hälsodeklaration 2 - 5 3<br />
Användare 1 1 - 1<br />
Vaccineringsschema 2 - - 4<br />
Projekt 1 1 3 -<br />
Skillnaden på en sökning- och en listningstjänst är att listningen anropas utan parametrar och alltid<br />
returnerar samma resultat medan sökningstjänsten tar emot en sökparameter och därför returnerar<br />
olika resultat beroende på vad man skickar in. Listningstjänsterna används främst för att fylla diverse<br />
listor med möjliga val i klientsystemens gränssnitt, medan sökningstjänsterna möjliggör visning av<br />
redan registrerad data.<br />
5.2.3.2 Åtgärder<br />
5.2.3.2.1 Reducering av antalet WS<br />
För att anpassa WS-gränssnittet till tjänsteplattformen är det onödigt och ineffektivt att ha så många<br />
olika tjänster som beskrivs ovan.<br />
Ett första steg är därför att undersöka vilka tjänster som används av klienterna (anslutna system) och<br />
identifiera de tjänster som inte behövs.<br />
Därefter föreslås följande tillvägagångssätt för att få ner antalet tjänster till en lätthanterlig och<br />
effektivare nivå:<br />
De 3 användartjänsterna tas bort helt då autentisering skall ske Säkerhetstjänsterna 2.0<br />
istället. Se 0 nedan.<br />
De 25 listningstjänsterna kan slås ihop till en generell tjänst som listar data; ”LIST(null)”<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 12 (26)<br />
2013-02-05<br />
Eftersom sökningstjänsterna är listningstjänster med en in-parameter, så kan även dessa<br />
slås ihop till en gemensam; ”LIST(villkor)”<br />
Uppdateringstjänsterna kan eventuellt tas bort och ersättas av registreringstjänsterna, som<br />
redan finns, då en uppdatering är en registrering med tillägget att man anger ett id på den<br />
post som man vill uppdatera; REGISTER_nnn (id,data). Om tjänsterna för registrering<br />
respektive uppdatering kan slås samman eller avgörs med hänsyn till komplexiteten i<br />
operationerna och att ha tydlighet i exempelvis felhantering i dessa och deras returvärden till<br />
anropande klient.<br />
Det finns en tjänst för ”enkel” registrering för vaccination-, ordination- och hälsodeklaration.<br />
Det möjliggör en förenklad registrering med ett mindre antal fält. Dessa tre kan slås ihop<br />
med den vanliga registreringstjänsten eftersom den ”enkla” registreringen innehåller en<br />
delmängd av det data som återfinns i den ordinarie tjänsten; Enligt f.g. punkt.<br />
Enligt ovanstående förslag behövs då uppskattningsvis 13 tjänster istället för 69. De nya tjänsterna<br />
måste följa RIV-TA 2.1 och givetvis skrivas om för att erbjuda en mer generell funktionalitet än den<br />
nuvarande lösningen.<br />
Schematiskt kan de nya WS tjänsterna för tjänsteplattformen beskrivas så här, inklusive hur<br />
anropssekvensen ser ut mellan <strong>Svevac</strong>s delar:<br />
Figur 2. Typisk anropssekvens för anpassade WS i <strong>Svevac</strong>, för anslutna journalsystem (klienter)<br />
5.2.3.2.2 Driftsättning av de nya WS i tjänsteplattformen<br />
När de nya tjänsterna är anpassade/utvecklade krävs följande i den centrala miljön:<br />
Tjänsterna måste registreras i tjänsteplattformen (TP) för test- och driftmiljö<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 13 (26)<br />
2013-02-05<br />
Hos anslutna klientsystem krävs följande anpassningar:<br />
Anpassningar för att fungera med de nya tjänstekontrakten för de anpassade tjänsterna<br />
Anpassningar för att använda Säkerhetstjänsterna 2.0 för autentisering<br />
Konfiguration av brandväggsöppningar mot TP<br />
Ansöka om SITHS-funktionscertifikat och registrera sig om tjänstekonsumenter hos TP<br />
De WS-tjänster som <strong>Svevac</strong> erbjuder idag men som ej används, avpubliceras.<br />
Med dessa anpassningar, där <strong>Svevac</strong> Webb lämnas oförändrat så när som vad gäller<br />
behörighetsfunktionerna (se vidare 0), blir systemets struktur enligt följande:<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Figur 3. Ny systemstruktur efter grundläggande anpassningar.<br />
Anslutna klientsystem når <strong>Svevac</strong> via tjänsteplattformen<br />
För resonemangets skull kan man tänka sig att ett vidareutvecklat <strong>Svevac</strong> Webb i framtiden<br />
anpassas till att helt använda WS-skiktet, och det senare därför utvidgas till att omfatta samtliga<br />
nödvändiga metodanrop till servern. Systemet skulle då kunna beskrivas så här:<br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 14 (26)<br />
2013-02-05<br />
5.2.4 Behörighetsfunktioner<br />
Figur 4. Tänkbar systemstruktur om <strong>Svevac</strong> Webb utvecklas vidare.<br />
<strong>Svevac</strong> har en enkel hantering av användare, lösenord och inloggning, samt viss grad av<br />
förberedelse för att stödja inloggning via HSAid. Endast de brukare som använder WS-tjänsterna<br />
(se bilaga 1) använder denna funktion med HSAid idag; ca 135 st. av alla registrerade användare av<br />
systemet. Ingen av dessa använder inloggning med hjälp av SITHS-kort.<br />
5.2.4.1 Bedömning<br />
<strong>Svevac</strong>s behörighetshantering behöver ersättas med användning av Säkerhetstjänsterna enligt<br />
tjänsteplattformen.<br />
Bruket av SITHS-kort bland <strong>Svevac</strong>s brukare bör i detta sammanhang undersökas då vissa<br />
(skolhälsovård, företagshälsovård osv, se bilaga 1) idag inte använder sådant.<br />
5.2.4.2 Åtgärder<br />
<strong>Svevac</strong>s webbapplikation behöver anpassas och dess funktioner för inloggning och<br />
behörighetskontroller ersättas av användning av Säkerhetstjänsterna. Inloggning, autentisering,<br />
fungerar då på följande vis:<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 15 (26)<br />
2013-02-05<br />
Figur 5. Anropssekvens vid autentisering med Säkerhetstjänsterna<br />
<strong>Svevac</strong> Webbs applikationslogik, som styr vilken information och/eller funktioner som användaren får<br />
komma åt, anpassas till att läsa ut sådan information baserat på innehållet i den erhållna SAMLbiljetten,<br />
d.v.s. baserat på användarens vårdgivartillhörighet och medarbetaruppdrag.<br />
Motsvarande inloggningsprocedur måste även följas i klientsystemen som är anslutna till <strong>Svevac</strong>s<br />
WS-gränssnitt.<br />
Vaccinationsenheterna måste registreras i HSA-katalogen. Därför bör en kontroll tidigt göras i vilken<br />
utsträckning brukarna av <strong>Svevac</strong> Webb finns med i HSA-katalogen och huruvida de har HSAid på<br />
någon form av eID-kort, d.v.s. någon form av ”SITHS-kort”. Om de inte redan är det, behöver arbetet<br />
förberedas för att de skall läggas upp i HSA-katalogen.<br />
Som ett alternativ till SITHS-kort, kan autentisering med hjälp av engångskod via SMS användas:<br />
Inloggning till Säkerhetstjänsterna med s.k. OTP (SMS-inloggning) för erhållande av en SAML-biljett<br />
kan idag ske med den ”Nationella IDPn”. (Observera att de som har valt att installera en lokal variant<br />
av Säkerhetstjänsternas autentiseringstjänst inte har denna funktionalitet. Exempelvis Region Skåne<br />
håller på med att implementera en lokal version. Där stöds därmed inte SMS-inloggning.)<br />
Även som användare av OTP-funktionen måste man vara registrerad i HSA-katalogen såsom en<br />
sådan användare och därmed få upp möjligheten till OTP-inloggning. Ett mobiltelefonnummer måste<br />
vara angivet för användaren i HSA, samt en systemroll som anger ”BIF;SMS” och att kontot är giltigt,<br />
d.v.s. ej låst för att man angivet fil kod för många gånger. Kostnader för bruket av engångskod via<br />
SMS (kostnad per användare och månad samt per SMS) debiteras Inera centralt, som därefter<br />
fördelar ut kostnaden på respektive vårdgivare.<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 16 (26)<br />
2013-02-05<br />
Det kan vara en god idé att undersöka möjligheten att inom ramen för HSA-katalogens<br />
användaradministration kunna ange roller, medarbetaruppdrag eller motsvarande för att helt ersätta<br />
administrationen av dylikt i <strong>Svevac</strong> genom <strong>Svevac</strong> Webb, för att styra användarens behörigheter i<br />
<strong>Svevac</strong> Webb.<br />
De relaterade WS-tjänster som <strong>Svevac</strong> erbjuder idag men som ej skall användas vidare,<br />
avpubliceras.<br />
5.2.5 Databasen<br />
Databasen visar tecken på ineffektivitet. Det har nämnts av SMI att vid viss användarbelastning<br />
”tyngs systemet ner” märkbart.<br />
Vid granskningen av databasen ser vi att den är genererad utifrån en objekt/relationsmodell (ORmappning)<br />
med den olyckliga följden att identifierare/nyckelattribut utgörs av GUIDs och därmed är<br />
indexstrukturer är utrymmeskrävande, med sämre åtkomstider som följd. Databasen blir därmed<br />
också stor.<br />
Många operationer som administratören utför i <strong>Svevac</strong> Webb är långsamma. Det gäller gränssnittets<br />
funktioner för statistikuttag samt hanteringen av enheter och användare. Det innebär listning av<br />
organisationsstrukturen, tillägg i organisationsstrukturen, tilldelning av användares roll på en enhet.<br />
I webbservice-skiktet är i regel samtliga listningsfunktioner långsamma. Webbservice<br />
konsumenterna (anslutna klientsystem; se Bilaga 1) har därför uppmanats att inte anropa dem oftare<br />
än var fjärde timme (…). Listningsfunktionerna returnerar giltiga vaccin, batchnummer m.m. Detta är<br />
en sidoeffekt av att ha använt NHibernate utan att ta hänsyn till prestanda. En långsam fråga beror<br />
därför ofta på väldigt många anrop mellan applikationsserver och databasserver, där tiden i<br />
databasservern kan (men behöver ej) vara ett delproblem.<br />
Annan anledning till att det går långsamt kan vara att bearbetning i en lagrad procedur tar tid.<br />
5.2.5.1 Bedömning<br />
Att omarbeta databasstrukturen är ett för omfattande arbete, men en prestandaanalys som går<br />
igenom SQL-åtkomstvägar(”anrop”), indexstrukturer och användning av dem, samt teknisk<br />
konfigurering av databasservern, inkl. uppgradering, för att optimera svarstider och åtkomst, behöver<br />
göras.<br />
5.2.5.2 Åtgärder<br />
Databasen ses över och optimeras genom åtgärder inom följande områden:<br />
Uppgradering till senaste version av MS SQL Server<br />
Översyn av databasserverkonfigurering (filsystem, minne m.m.)<br />
Översyn av fysisk databasstruktur (i/o, filer, loggfiler)<br />
Översyn av logisk databasstruktur (tabeller, attribut/datatyper, index, index-typer (btree,<br />
bitmap, hash), vyer, materialiserade vyer)<br />
Översyn av SQL-anrop från systemets databasåtkomstkod (styrning av optimering,<br />
exekveringsplaner)<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 17 (26)<br />
2013-02-05<br />
Påverkan av datakörningar (transaktionskontroll, låsning, datasammanställningar, körtider,<br />
temporära tabeller o.dyl.)<br />
Även optimering av bearbetningar som sker i lagrade procedurer i databasservern kan<br />
normalt göras.<br />
Andra optimeringsmöjligheter:<br />
Anropssekvenser mellan applikationsserver till databasserver ses över, och där så är möjligt<br />
optimeras i anropande programkod för att reducera antalet anrop mellan applikations- och<br />
databasserver.<br />
5.2.6 <strong>Teknisk</strong> miljö och drift<br />
<strong>Svevac</strong>s tekniska miljö beskrivs av följande bild (Bilaga 2: <strong>Svevac</strong> Infrastruktur).<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 18 (26)<br />
2013-02-05<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 19 (26)<br />
2013-02-05<br />
5.2.6.1 Hårdvara<br />
Databas Server<br />
OS: Microsoft Windows Server 2003 R2 Standard Edition x64.<br />
Modell: HP Proliant DL580 G5<br />
CPU: 4 X Intel Xeon X7460 2.66 Ghz (Six Cores / CPU)<br />
RAM: 32 GB<br />
HDD: 16 x 72 GB 15 K 2,5” SAS<br />
C:\ (System) 69 GB (2 X 72 GB RAID 1+0)<br />
D:\ (Data) 273 GB (8 x 72 GB RAID 1+0)<br />
L:\ (Logs) 205 GB (6 X 72 GB RAID 1+0)<br />
NIC 1: HP NC373i Multifunction Gigabit Server Adapter [Inaktiv]<br />
Webbservrar (5 st fysiska)<br />
OS: Microsoft Windows Server 2003 R2 Standard Edition x64. (Service Pack 2)<br />
SVWEB1<br />
4 Core Intel® Xenon® CPU 5130 @ 2.00GHz, 4 GB RAM, HD1 = 40GB + HD2 = 100GB<br />
SVWEB2<br />
4 Core Intel® Xenon® CPU 5130 @ 2.00GHz, 4 GB RAM, HD1 = 136GB<br />
SVWEB3<br />
4 Core Intel® Xenon® CPU 5130 @ 2.00GHz, 4 GB RAM, HD1 = 136GB<br />
SVWEB4<br />
8 Core Intel® Xenon® CPU L5520 @ 2.27GHz, 3.99 GB RAM, HD1 = 136GB<br />
SVWEB5<br />
8 Core Intel® Xenon® CPU L5520 @ 2.27GHz, 3.99 GB RAM, HD1 = 136GB<br />
Webbservrar (2 st virtuella)<br />
SVWEB6<br />
2 CPU Intel® Xenon® CPU X5355 @ 2.66GHz, 3.42 GB RAM, HD1 = 60GB<br />
SVWEB7<br />
2 CPU Intel® Xenon® CPU E5345 @ 2.33GHz, 3.42 GB RAM, HD1 = 60GB<br />
Stateserver (1 virtuell)<br />
Nätverk<br />
SVSTATE<br />
2 CPU Intel® Xenon® CPU E5345 @ 2.33GHz, 2.66 GHz 1.00 GB RAM, HD1 = 20GB<br />
Nätverkshastighet: 1Gbit/sek mellan servrarna<br />
Den virtuella miljön ligger på en relativt gammal miljö, spridd på fyra fysiska maskiner (6-7 år gamla).<br />
Nätverkshastighet: 100 Mbit från Internet<br />
Nätverkshastighet: < 100 Mbit från Sjunet<br />
Kommunikation i brandväggen på portarna 443 och 80<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 20 (26)<br />
2013-02-05<br />
5.2.6.2 Bedömning<br />
Huruvida befintlig teknisk miljö bör övertas behöver beslutas.<br />
Det är också meningsfullt att bedöma behovet av hårdvara utifrån effekter från de optimeringar som<br />
gjorts, och systemets struktur efter genomförda anpassningar<br />
5.2.6.3 Åtgärder<br />
Val av hårdvara och eventuellt övertagande av befintlig beslutas efter gjorda anpassningar och<br />
analys av nya prestanda.<br />
5.2.7 Löpande support och förvaltningsarbete<br />
I Bilaga 1 redogörs för de datakörningar med mera som ingår i det löpande förvaltningsarbetet. I<br />
rutinerna för datakörningar finns viss begränsad dokumentation som förklarar vad rutinerna<br />
åstadkommer.<br />
Typiska arbetsuppgifter inom ramen för teknisk support och förvaltning är framtagande av scripts,<br />
databaskörningar, filöverföringar, validering (förståelse av data krävs) samt korrigering av vissa<br />
programfel. Nödvändiga kunskaper är; goda kunskaper om SQL Server samt Microsoft Visual Studio<br />
med ASP.NET/C# för att i felsöka/rätta kod; ha god kännedom om IT-miljö för att snabbt kunna<br />
lokalisera orsak till problem som uppstår med information utifrån en användares perspektiv; att<br />
kunna avgöra om det är nätverksproblem, problem med server-konfigurationer, databasproblem,<br />
rättighetsproblem/åtkomstproblem eller problem i applikationen. I praktiken innebär det mesta av<br />
detta arbete att läsa och kunna tolka systemets loggar samt ha ingående kunskap om <strong>Svevac</strong> -<br />
databasen. Förutom det krävs god kunskap om test av webbservices.<br />
5.2.8 Omfattning<br />
Omfattningen av det löpande och till vissa delar regelbundna datakörningar, uttag och inläsning av<br />
data från/till databasen, motsvarar i genomsnitt 1 tjänst (1 FTE). Omfattningen av löpande<br />
användarsupport och systemadministration uppgår till knappt 1 tjänst. Sammanlagt 2 FTE.<br />
Det är rimligt att anta att med föreslagna anpassningar av systemet, och ersättning av funktionerna<br />
för användar- och behörighetsadministration med Säkerhetstjänsterna så övergår en del sådant till<br />
HSA-administrationen, och det systemspecifika support och förvaltningsarbetet därför kan bedömas<br />
till < 2 FTE.<br />
5.2.9 Framtagande av dokumentation för etablering av kvalitetsledningssystem<br />
För att möta kraven enligt medicintekniska direktivet på leverantören av system som omfattas av<br />
dessa regler (SOSFS-2008:1 / LVFS 2003:11), måste ett kvalitetsledningssystem som innehåller<br />
<strong>Svevac</strong>s teknisk dokumentation samt beskrivnings av utvecklings- och förvaltningsrutiner tas fram.<br />
Innehållet i ett sådant utgörs av följande:<br />
5.2.9.1 Dokumenterad struktur för kvalitetsledningsarbete; beskrivning av<br />
kvalitetsledning<br />
1. Dokumentation av Organisation (för utveckling, förvaltning, support)<br />
2. Identifiering och dokumentation av relevanta Processer<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 21 (26)<br />
2013-02-05<br />
3. Dokumentation av process för utveckling av processerna<br />
4. Dokumentation av Dokumenthantering (lagring, åtkomst, dokumentkontroll, granskning,<br />
versionshantering)<br />
5. Mallar för dokument<br />
5.2.9.2 <strong>Teknisk</strong> dokumentation; beskrivning av innehåll<br />
1. Register för teknisk dokumentation<br />
2. Introduktion<br />
o Verksamhet och förvaltning av system/tjänst<br />
o Avsedd användning<br />
o Klassificering<br />
o Märkning<br />
3. Väsentliga krav<br />
o Tolkningar och checklista för väsentliga krav (på systemet)<br />
o Uppfyllnad/bevisning av väsentliga krav<br />
4. Systemdokumentation<br />
o <strong>Teknisk</strong><br />
o Användarmanualer<br />
o Administrativa manualer<br />
5. Kravspecifikation<br />
o Säkerhetskrav<br />
o Prestandakrav<br />
o Funktionella krav<br />
6. Ändringshantering<br />
7. Riskhantering<br />
o Risker<br />
o Riskhanteringsplan<br />
8. Releasehantering<br />
o Checklista<br />
o Kommunikation<br />
En del av informationen i den tekniska dokumentationen som krävs, finns naturligtvis redan i form av<br />
(delar av) den systemdokumentation som finns för <strong>Svevac</strong>. En del måste skapas och hanteras enligt<br />
dokumenthanteringsrutinerna i kvalitetsledningssystemet.<br />
5.2.10 WS tjänstekontrakt för överföring av vaccinationsdata till nationella<br />
Vaccinationsregistret<br />
<strong>Svevac</strong>, som vaccinationsjournal, är lämnare av information till nationella vaccinationsregistret (enligt<br />
lag, SFS 2012:453). Detta kan idag ske genom filuttag och överföring med inläsning i nya<br />
Vaccinationsregistret som hanteras av SMI.<br />
Inom ramen för annat uppdrag (SMI) tas tjänstekontrakt enligt RIV-TA 2.1 fram för sådan integration.<br />
Bruket av framtaget tjänstekontrakt för dataöverföring till Vaccinationsregistret införs i <strong>Svevac</strong> så<br />
snart det är framtaget av SMI och godkänt för användning.<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 22 (26)<br />
2013-02-05<br />
5.2.11 Legala aspekter<br />
Vad gäller den juridiska kontexten kring <strong>Svevac</strong> och dess två huvuddelar gäller att:<br />
Vårddatadelen i <strong>Svevac</strong>, ”journalsystemet”, kan hanteras inom ramen för bestämmelserna<br />
om sammanhållen journalföring i PDL. Varje ansluten vårdgivare till en sådant sammanhållet<br />
system för journalföring är personuppgiftsansvarig för sin behandling av personuppgifter.<br />
Analysdatabasen inkl. dess separata HPV-register, regleras av lagen (2012:453) om register<br />
över nationella vaccinationsprogram som trädde i kraft den 1 januari 2013. Idag är därmed<br />
SMI personuppgiftsansvarig för registret.<br />
Cehis framtid roll blir (enligt förfrågan, grund till denna utredning) att ansvara för att beställa<br />
förvaltning (drift, underhåll, vidareutveckling) av <strong>Svevac</strong>s båda delar enligt föregående två<br />
punkter. Den som ansvarar för systemet måste i ett sådant fall att agera<br />
personuppgiftsbiträde åt både enskilda vårdgivare som ansluter sig till vårddatabasen för<br />
vaccineringar och Smittskyddsinstitutet beträffande analysdatabasen och dess separata<br />
HPV-register.<br />
För de data som tas emot och lagras i analysdatabasen inkl. dess HPV-register, har<br />
samtycke inhämtats av SMI från respektive vaccinationsenhet (vårdgivare) för att få ta del<br />
av.<br />
Kommentar: Vårdgivare har enligt lagen om register över nationella vaccinationsprogram en<br />
skyldighet att lämna vissa i lagen angivna uppgifter till det nationella Vaccinationsregistret<br />
(notera att det ej är <strong>Svevac</strong>). De har dock inte någon direktåtkomst till uppgifter i det<br />
nationella registret. Något samtycke från de registrerade/patienterna behöver SMI inte<br />
inhämta enligt lagen för att där registrera uppgifter. Vidare gäller enligt bestämmelserna för<br />
sammanhållen journalföring i åtanke, att en vårdgivare som vill ta del av t.ex.<br />
vaccinationsuppgifter hos en annan vårdgivare bl.a. måste ha ett samtycke från patienten,<br />
såvida det inte är fråga om en nödsituation då man kan forcera logiska spärrar i systemet.<br />
Vidare torde <strong>Svevac</strong>s HPV-register vara föremål för att ”lyftas in” i det nya vaccinationsregistret för<br />
nationella vaccinationsprogram där HPV-vaccination (papillomvirus) med den nya lagen hör hemma.<br />
SMI får inte längre ha en analysdatabas över vaccineringar i uppföljningssyfte (motsvarande) vid<br />
sidan om det nya registret om nationella vaccinationsprogram. SMI har inte lagstöd för det. SMI får<br />
enligt den nya lagen inte lämna ut individuppgifter till andra aktörer ur registret över nationella<br />
vaccinationsprogram utan det är ett "verktyg" för SMI själv och ingen annan. Statistik på aggregerad<br />
nivå kan ju givetvis få publiceras, liksom Socialstyrelsen gör med sina hälsodataregister.<br />
Sålunda behöver den juridiska kontexten för <strong>Svevac</strong>s analysdatabas inkl. dess HPV-register<br />
fastställas.<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 23 (26)<br />
2013-02-05<br />
6 Förslag till beslut och handlingsplan<br />
6.1 Slutsats angående möjlighet till anpassning<br />
<strong>Svevac</strong> är väl dokumenterat både vad gäller databas, de olika skikten webbapplikation,<br />
gränssnittstjänster (WS), verksamhetslogik, dataåtkomstlogik samt databas.<br />
Den tekniska strukturen är tillfredsställande sett till hur systemet utvecklats under många år. Rutiner<br />
för dataöverföringar och integrationer är relativt väl dokumenterade liksom innehållet i och<br />
omfattningen av löpande support-, driftstöd och förvaltningsarbete.<br />
Det finns områden som behöver åtgärdas och dessa förstås väl.<br />
Slutsatsen är att Systemet kan anpassas till de tekniska krav och funktioner som ställs av<br />
och tillhandahålls genom tjänsteplattformen och Säkerhetstjänsterna.<br />
Sett till det stora antalet brukare av <strong>Svevac</strong>, såväl antalet vaccinationsenheter (>3000) runt om i<br />
landet som antalet användare (>10000) bör ett fortsatt tillhandahållande av ett anpassat system, te<br />
sig som rimligt.<br />
Sammanfattningsvis består de nödvändiga anpassningarna av:<br />
Översyn och optimering av databasen<br />
Dataåtkomst: ingen anpassning<br />
Verksamhetslogik: ingen anpassning<br />
Konsolidering av gränssnittstjänsterna (WS) för integrationer och anpassning av dessa till<br />
tjänsteplattformen RIV-TA 2.1<br />
Webapplikationen: Behörighetsfunktionerna ersätts helt av Säkerhetstjänster 2.0s<br />
motsvarigheter.<br />
WS-klienter (anslutna journalsystem): Anpassas till de nya WS-tjänsterna i<br />
tjänsteplattformen, samt koppling till Säkerhetstjänster 2.0.<br />
Dessa åtgärder har redogjorts för i Avsnitt 5.2.<br />
6.2 Handlingsplan<br />
Nedan redogörs översiktligt för omfattningen av anpassningsarbete samt de övriga aktiviteter som<br />
behövs för att förbereda för drift och förvaltning samt för att möta de formella kraven på<br />
dokumentation och kvalitetsledning enligt 5.2.9.<br />
6.2.1 Huvudaktiviteter<br />
1. Gör första sondering bland befintliga brukare om förutsättningarna för att använda ett<br />
anpassat system och leverantörer av anslutna system att anpassa dessa; utvärdera<br />
återkopplingen som ges<br />
2. Fastställ vilken legal kontext som gäller för <strong>Svevac</strong>s analysdatabas inkl. dess HPV-register.<br />
3. Beslut om Cehis skall ta över ansvaret för <strong>Svevac</strong> från SMI, och beställa genomförande av<br />
anpassningsar och förbereda för drift/förvaltning<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 24 (26)<br />
2013-02-05<br />
4. Etablera projektorganisation för anpassningsarbetet<br />
5. Kontakta vaccinationsenheter med anslutna lokala system och förbered för anpassningar<br />
6. Kontakta leverantörer av berörda sådana system, och förbered för anpassningar<br />
7. Projekt för tekniska anpassningar; se nedan<br />
8. Förbered för framtagande av nödvändig dokumentation för kvalitetsledningssystem (se<br />
5.2.9)<br />
9. Förbered för organisation för drift, support och förvaltning; omfattningen är idag ca 1,5-2 FTE<br />
(tjänster) löpande och kan sannolikt minskas något (se 5.2.4)<br />
Aktiviteterna 1,2,5,6,9 sker i samverkan med olika parter och därför som löpande uppdrag, med<br />
planering i samverkan mellan Beställare och Leverantör. Arbetets omfattning för dessa är ringa.<br />
Det är lämpligt att inför beslut om övertagande av systemet ha utfört aktivitet 1 ovan, och<br />
bedömt utfallet för att se i vilken grad det påverkar bedömningen och genomförandet i övrigt.<br />
För aktiviteterna 4,7,8 visas nedan ett indikativt tidsestimat för ungefärlig budget. Estimatet är<br />
framtaget baserat på tidsestimat gjort av två oberoende erfarna arkitekter/utvecklare, plus<br />
schabloner för systemtest och projektledning.<br />
6.2.1.1 Projekt för tekniska anpassningar<br />
Omfattning<br />
Etablering av projektorganisation, detaljerad projektplan, riskanalys<br />
Projektledning under kalendertiden; 20 % tjänst.<br />
Framtagande av WS RIV-TA 2.1-tjänster enligt Figur 3; Informatik, tjänstebeskrivning,<br />
kontrakt, hantering godkännande-process samt implementation<br />
<strong>Svevac</strong> Webb: Implementation av autentisering via Säkerhetstjänster 2.0; förändringar och<br />
borttagning av befintlig användar-/roll-hantering<br />
Optimering databasstruktur; databasanrop<br />
Migrering (datakonvertering, omkodning) från lokala identiteter till HSA-id i systemets<br />
databas för att bevara åtkomst till befintliga data<br />
Etablering av dokumenthanteringsrutin och dokumentstruktur för kvalitetsledningssystem.<br />
(Notera att tiden för komplettering av den tekniska dokumentationen samt framtagande av<br />
beskrivning av arbets- och kontrollrutiner inte ingår. Sådant kan med fördel ske inom ramen<br />
för förvaltningen och behöver ske i samarbete mellan ansvarig systemägare och<br />
systemförvaltare.)<br />
Överlämning till drift och förvaltning<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 25 (26)<br />
2013-02-05<br />
6.2.2 Tidsuppskattning och underlag för kostnadsbudget för tekniska<br />
anpassningar<br />
6.2.2.1 Hårdvara, driftmiljö<br />
Ej estimerat. Val av hårdvara bör ske baserat på ny systemstruktur och effekt av<br />
optimeringsåtgärder.<br />
6.2.2.2 Projekt för anpassningar<br />
Estimatet är framtaget som medelvärde baserat på tidsestimat gjort av två oberoende erfarna<br />
arkitekter/utvecklare, plus schabloner för systemtest (+15% av tid för utveckling) och projektledning<br />
(+15% av tid för utveckling). Estimatet är baserat på att genomförandet utförs av personer mycket<br />
god kunskap om och vana att utveckla för tjänsteplattformen och Säkerhetstjänsterna.<br />
Ledtidför projektet har beroende till utfallet av 1,5,6 i 6.2.1 ovan, tid för dialog med brukare och<br />
leverantörer av anslutna (via WS) klientsystem och de anpassningar som behövs i de systemen.<br />
Tid/kostnad för klientsystemanpassningar ingår inte i estimatet nedan.<br />
Estimatet är att se som indikativt.<br />
Aktivitet Timmar<br />
Anpassningar <strong>Svevac</strong> Webb<br />
Koppla användargränssnittet till Säkerhetstjänster 2.0<br />
Anpassa användar/rollmodell i applikationen<br />
Avveckla namn/lösenord-inloggning<br />
Funktionstest<br />
Förändring av WS-lagret<br />
Detaljanalys<br />
Ny list- och sökfunktion<br />
Design av nya WS för TP<br />
Implementering av nya WS<br />
Anslutning av nya WS till TP<br />
Funktionstest<br />
Övrigt<br />
Uppgradering av servermiljöer<br />
Prestanda- och databasoptimering<br />
Migrering användar/roll data till ny HSA-baserad modell<br />
Systemtest<br />
Testfall<br />
Testledning<br />
Tester<br />
Uppdatering dokumentation 100<br />
Etablering dokumentstruktur för kvalitetsledning 50<br />
Projektledning 250<br />
Annat<br />
Mötestid, korrespondens, kontakt med 3:e partsleverantörer, restid i förekommande fall<br />
Aktiviteterna 1,2,5,6,9 utöver vad som kan rymmas inom projektledning<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps<br />
400<br />
800<br />
400<br />
200<br />
SUMMA 2250 timmar<br />
Tillkommer<br />
löpande
Rapport SVEVAC-TU-R-002<br />
<strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> Utgåva P1.0-1<br />
Marcus Claus Sida: 26 (26)<br />
2013-02-05<br />
6.3 Beslutsnoteringar, bedömning av förslag<br />
Förslag till beslut och handlingsplan godkänns:<br />
______________________ / _____________________<br />
(namn, roll) (datum)<br />
Med i följande modifieringar (anges om tillämpligt):<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
___________________________________________________________________________<br />
Filnamn:Rapport - <strong>Svevac</strong> <strong>Teknisk</strong> <strong>Utredning</strong> <strong>Slutrapport</strong><br />
Mall från Tieto PPS (ME006, 2.3.3) www.mawell.se/pps