Om faktaarket
Dette faktaarket omhandler sikkerhetsfunksjoner ved etablering av meldingsformidling.
Faktaarket gjelder alle tekniske løsninger som benyttes til meldingsformidling. For mindre virksomheter bør leverandørene og Norsk Helsenett sørge for en tilfredsstillende sikkerhetsarkitektur
Faktaarket har en teoretisk tilnærming, og inneholder et eksempel som viser meldingsflyt ved bruk av ebXML-rammeverket for overføring.
IKT-ansvarlig skal etablere en tilfredsstillende sikkerhets- og samhandlingsarkitektur.
Dette faktaarket er spesielt relevant for
Målgruppen for faktaarket er:
- Virksomhetens ledelse
- Sikkerhetsleder
- IKT-ansvarlig
- Databehandler
- Leverandør
Krav i Normen
Faktaarket gjelder følgende kapittel i Normen
Relevante lov og forskriftsbestemmelser, standarder og andre rammeverk
Følgende lov- og forskriftsbestemmelser er spesielt relevante for faktaarket:
- Personvernforordningen Artikkel 24 Den behandlingsansvarliges ansvar
- Personvernforordningen Artikkel 32 Sikkerhet ved behandlingen
- Veileder for tilknytning til helsenettet
- Forskrift for IKT-standarder i helse- og omsorgssektoren
- Referansekatalogen for e-helse
- Krav til elektronisk meldingsutveksling
- Referansekatalogen for e-helse
Sikkerhets- og samhandlingsarkitektur ved meldingsformidling
Elektroniske meldinger24
For å utveksle elektroniske meldinger trengs en kommunikasjonsløsning som kan pakke, adressere, sende og motta meldinger, og som støtter operasjoner som kryptering og signering av meldinger.
NHN Adresseregister
Adresseregisteret er helse- og omsorgssektorens verktøy for å sikre korrekt adressering av elektroniske meldinger, og inneholder alle kommunikasjonsparter i helsenettet.
Adresseregisteret skal sikre informasjon som gjør at en kommunikasjonspart entydig kan identifiseres som rette mottaker, og deretter hente ut nødvendig informasjon til å sende mottakeren en formattert og kryptert elektronisk melding.
Kravet om oppdatert adresseinformasjon er forskriftsfestet i Forskrift om IKT-standarder i helse- og omsorgstjenesten § 4. "Alle virksomheter som er tilknyttet helsenettet ved avtale med Norsk Helsenett SF, skal sørge for å ha oppdatert informasjon om virksomhetens elektroniske adresser og annen relevant kontaktinformasjon i adresseregisteret i helsenettet."
Meldingsflyt på virksomhetsnivå
ebXML(Electronic Business using eXtensible Markup Language) er en meldingsstandard som skal sørge for at meldinger utformes likt i de ulike systemene. PKI (Publick Key Infrastructure) er løsningen som benyttes for å påse at meldingsutvekslingen er tilstrekkelig autentisert.
Bruken av ebXML meldinger illustreres nedenfor. I eksemplet vises meldingsflyten mellom to aktører. Denne meldingen benytter kun signatur og kryptering på virksomhetsnivå, samt ebXML-rammeverket for overføring.
- Data til meldingen trekkes ut av lokalt fagsystem hos Aktør A, i eksemplet elektronisk pasientjournal (EPJ), og overføres til lokal meldingstjener. Mottakers adresse og informasjon om sertifikater hentes fra Adresseregisteret
- Meldingen krypteres, signeres og sendes til Aktør B
- Aktør Bs meldingstjener sender transportkvittering tilbake
- Meldingen overføres fra Aktør Bs meldingstjener og inn i journalsystemet. Hvis kvittering ikke er mottatt innen en gitt tidsramme sendes meldingen på nytt
- Elektronisk pasientjournal (EPJ) hos Aktør B sender applikasjonskvittering til meldingstjeneren
- Applikasjonskvittering sendes til Aktør A
- Applikasjonskvitteringen hentes inn i elektronisk pasientjournal (EPJ) hos Aktør A
Krav til meldingsformidling
Øvrige krav til meldingsformidling er beskrevet i veileder til Normen om "Krav til elektronisk meldingsutveksling" og i "Forskrift for IKT-standarder i helse- og omsorgssektoren "