Veileder for åpne API i helse- og omsorgsektoren
For å legge til rette for datadeling i helse- og omsorgssektoren har Direktoratet for e-helse laget "Veileder for åpne API i helse- og omsorgstjenesten".
Hvordan kan åpne API bidra til bedre helse?
Økt fokus på datadeling
Den norske helse- og omsorgstjenesten er fragmentert og kompleks. Pasientene behandles i ulike institusjoner og behandlingen dokumenteres i mange ulike fagsystemer. Pasienter og helsepersonell er derfor helt avhengige av at virksomhetene og systemene samhandler og deler helseopplysninger for å yte god helsehjelp. Deling av informasjon om diagnose, medikamenter og behandlingsforløp er grunnleggende for pasientsikkerheten og effektiv behandling.
Virksomheter og helsepersonell som yter helsehjelp skal innenfor rammene av taushetsplikten samhandle og dele relevant og nødvendig helseinformasjon med annet helsepersonell med tjenstlig behov uavhengig av hvor de jobber. Samhandling kan i dag skje på mange ulike måter, for eksempel gjennom telefon, møter, brev, faks og elektronisk meldingsutveksling. Meldingsutveksling fungerer i dag godt i planlagte pasientforløp der det er få aktører som samarbeider. Men meldingsutvekslingen dekker ikke dagens behov for samhandling godt nok. Det er behov for å legge til rette for samhandling via datadeling. Datadelingen er en samhandlingsform som er basert på deling av og samarbeid om strukturerte data som helseaktører og leverandører av e-helseløsninger kan benytte for å dekke helsepersonell sine samhandlingsbehov.
Nasjonal e-helsestrategi1 er helse- og omsorgssektorens felles strategi for IKT og digitalisering. Strategien angir målene for IKT og digitalisering i sektoren og hvordan disse bidrar til å realisere overordnede helse- og omsorgspolitiske mål. En økt satsning på datadeling er et område som er omtalt i "Plan for utvikling av felles grunnmur for digitale tjenester i helse- og omsorgstjenesten"2 . For å få nå de helsepolitiske målene som er angitt i nasjonal e-helsestrategi og plan for felles grunnmur så må det gjennomføres tiltak på flere nivåer, og åpne API er et av mange virkemidler.
Hva er åpne API?
Sentralt i samhandling med datadeling er bruk av API. Begrepet API betegner et grensesnitt i en programvare hvor spesifikke deler av denne kan aktiveres (kjøres) fra en annen programvare gjennom kall til grensesnittet. I dette dokumentet er API brukt i en kontekst hvor en virksomhet tilgjengeliggjør et grensesnitt i en programvare som andre kan aktivere. Dagens praksis er å tilby API ved hjelp av webteknologi som benytter protokollen http. Vi definerer begrepet åpne API som følger:
Åpne API i helse og omsorgssektoren er gjenbrukbare, sikre, godt dokumenterte og tilgjengelige programmeringsgrensesnitt som kan benyttes av alle relevante aktører uten diskriminerende og konkurransevridende vilkår.
Åpne API må ikke forveksles med åpne data3 hvor data er åpent tilgjengelig for alle. Åpne API i helse- og omsorgssektoren vil muliggjøre sikker tilgang til sensitiv informasjon for aktører som har tjenstlig behov for tilgang til relevant informasjon. Selv om API er åpent, krever både utlevering og innhenting av taushetsbelagte opplysninger selvstendig hjemmelsgrunnlag.
Åpne API betyr ikke at selve grensesnittet er åpent for tilgang, men at spesifikasjonene for grensesnittet er tilgjengelige for flere – dvs. at de er åpne i betydningen ikke hemmelige eller diskriminerende. Personvern og informasjonssikkerhet er fortsatt gjeldende for systemer som har åpne API, og det er viktig at den som har dataansvaret har mekanismer på plass som sørger for at sensitive opplysninger ikke kommer på avveie.
Det er krevende å etablere datadeling som en standardisert samhandlingsform i i helsesektoren. Denne veilederen er bare én brikke i en større helhet for å få til dette. På sikt bør det etableres en felles strategi for datadeling som må inkludere mange tiltak på forskjellige lag og hos forskjellige aktører. Åpne API og økt fokus på datadeling tar heller ikke vekk behovet for økt investering i fagsystemer og andre datadelingstiltak, men bør ses på som en forutsetning for at slike investeringer blir fremtidsrettede og fleksible for fremtidig endring og innovasjon. Fleksibiliteten som gis fra satsning på åpne API kan også gjøre investeringer i fagsystemer mer lønnsomme ettersom man åpner for økt gjenbruk av fagsystemer.
EU har definert et rammeverk for samhandling som definerer juridisk, organisatorisk, semantiske og tekniske samhandlingsevne, "European Interoperability Framework". DIFI har oversatt dette rammeverket til norsk4 .
Denne veilederen adresserer først og fremst barrierer mot datadeling knyttet til organisatorisk samhandlingsevne. I tillegg beskriver veilederen juridiske rammebetingelser for behandling og deling av helseopplysninger. Norm for informasjonssikkerhet i helse- og omsorgssektoren5 har også mer utfyllende krav og veiledningsmateriale om informasjonssikkerhet og personvern som er relevant for åpne API.
Veilederen omhandler ikke standarder for API-er og datadeling. Bruk av internasjonale standarder for API er et viktig virkemiddel for å øke samhandling med datadeling. Det anbefales derfor til å benytte standarder ved utvikling av nye API der det er mulig. Direktoratet for e-helse har utarbeidet andre anbefalinger og veiledere som retter seg inn på disse områdene. Se www.ehelse.no for oversikt over publiserte dokumenter.
Hvorfor åpne API?
Erfaringer viser at det er betydelige barrierer mot datadeling i helsesektoren i dag. Leverandører av e-helseløsninger beskytter sine interesser gjennom konfidensialitetsavtaler eller andre begrensende vilkår og har lisensmodeller som ikke er tilpasset nye samhandlingsformer. Internasjonalt innfører flere land tiltak for å tilrettelegge for mer åpenhet. I USA er det for eksempel innført lover for åpning av helseinformasjonsystemer og forbud mot "information blocking"6 . England har i mange år hatt retningslinjer for åpne API innen helse7 . Betalingstjenestedirektivet8 er et eksempel på et europeisk tiltak i en annen sektor som også har sett utfordringer med lukkede systemer.
En annen barriere er at mange virksomheter og leverandører av e-helseløsninger er usikre på hvordan de skal håndtere sikkerhet og personvern når de deler på tvers og er derfor restriktive på å gi tilgang.
Hensikten med å oppfordre til bruk av åpne API i norsk helse- og omsorgssektor er å skape en kultur blant helsetilbydere og systemleverandører hvor man tilrettelegger for mer åpenhet mellom disse aktørene. Det bør være et mål at åpne API er gratis å bruke for de konsumerende virksomhetene, men i en generell veiledning er det vanskelig å gi konkrete råd om hvilke API og hvilke data som må være gratis. Det er for eksempel naturlig at innbyggere får gratis tilgang til sine data, men det kan være bruksområder der det er naturlig at aktører betaler for data og ressurser som ligger bak API. De dataansvarlige har en plikt å dele helseopplysninger med samarbeidende personell i andre virksomheter. Tilgjengeliggjøring av helseopplysninger ved bruk av datadeling medfører mindre bruk av telefoner og fax, og frigjør dermed verdifull tid for helsepersonell.
Åpne API er et viktig virkemiddel for å oppnå gevinster som økt innovasjon, økt innbyggermedvirkning og økt samhandling mellom helsepersonell. Åpne API vil bidra til økt datadeling, som igjen vil bidra til at helsepersonell vil bruke mindre tid på å hente ut pasientinformasjon fra ulike kilder og gi høyere kvalitet på helsetjenestene. Helsesektoren har mye å spare ved å gjenbruke mer pasientinformasjon i arbeidsprosessene.
Formålet med veilederen
Som et av flere tiltak for å senke barrierer mot datadeling har Direktoratet for e-helse etablert "Veileder for åpne API" (dette dokumentet) som gir føringer og anbefalinger for hva som definerer API som åpent. Dette bidrar til at sektoren kan gjøre sine API åpne for andre, sette krav om åpne API ved bestillinger til sine leverandører og at leverandører kan markedsføre sine produkter med åpne API. Ved at det blir stilt krav om åpne API ved innkjøp av systemer vil noen av barrierene mot datadeling bli redusert.
Etterlevelse av denne veilederen vil føre til forretningsmessig åpenhet rundt datadeling og lettere dialog rundt datadeling mellom de ulike aktørene i helse- og omsorgstjenesten. Målet er å tilrettelegge for en kultur hvor det skal lønne seg å satse på åpenhet, og hvor lukkede systemer blir valgt bort.
Målet med veilederen er å definere åpne API gjennom et sett med felles krav. I tillegg skal den sikre kunnskap om relevante regelverkskrav for datadeling som del av rammebetingelsene for å tilby åpne API.
Veileder for åpne API i helse- og omsorgssektoren skal:
- Forebygge delingsmotstand og redusere barrierer mot datadeling
- Legge til rette for forutsigbare, transparente og ikke-diskriminerende vilkår
- Legge til rette for lett tilgjengelig og gratis tilgang til API dokumentasjon
- Gi en oversikt over de mest grunnleggende rammebetingelsene for deling av personopplysninger
Aktuel for
Hovedmålgrupper for veilederen:
- Dataansvarlige og nasjonale aktører som har systemer som det er aktuelt å tilgjengeliggjøre helseopplysninger med bruk av datadeling
- Databehandlere, systemleverandører og utviklere som drifter, forvalter, utvikler og/eller selger API-baserte løsninger.
- Dataansvarlig, databehandlere og systemleverandører som drifter, forvalter, utvikler klienter som konsument av helseopplysninger ved bruk av datadeling
Figur 2 viser en forenklet skisse over komponenter og roller som kan inngå i bruk av API og som bli berørt av veilederen for åpne API. Det er den dataansvarlige som er ansvarlig for at tilgjengeliggjøring av sine API er basert på åpne API, men det kan være konsumentene som vil få den største gevinsten av åpne API. Konsumentene kan være andre virksomheter, innbyggere eller den dataansvarlige selv.
Ved etablering av nye e-helseløsninger som inkluderer åpne API, må den dataansvarlige velge databehandlere og/eller produktleverandører som følger kravene og retningslinjene for åpne API. Det at alle dataansvarlige stiller samme krav til åpne API vil medføre at leverandørmarkedet må følge etter og som en konsekvens danne en kultur for mer åpenhet rundt datadeling. Dette vil hjelpe til å sikre at forretningsmessige barrierer forsvinner.
Bruksområder
Denne veilederen er skrevet generisk slik at kravene skal gjelde uavhengig av bruksområde. Eksempler på bruksområder for åpne API kan være:
- Deling av helseopplysninger mellom helseaktører. Her vil aktørene ofte både tilby og konsumere API-er.
- Deling av helseopplysninger fra en helseaktør til innbygger.
- Utvikling av innovative apper for innbyggere.
- Utvikling av innovative løsninger på en plattform:
- Tilgjengeliggjøring av informasjon fra ett system til et annet innad i en virksomhet.
Aktører som benytter veilederen kan velge å sette bør-krav i veilederen som skal-krav i en konkret anskaffelse eller i et utviklingsprosjekt. En viktig faktor for utvikling av digitale tjenester er å sørge for å tilby all vesentlig informasjon via åpne API-er, slik at all relevant pasientinformasjon enkelt kan deles til eksisterende og nye konsumenter. Ved behov vil Direktoratet for e-helse komplettere denne veilederen med mer spesifikke veiledere for de ulike bruksområdene.
Veilederen gir føringer og anbefalinger om hva som definerer et API som åpent. Dette gjør det enklere for sektoren å gjøre sine API åpne for andre, sette krav om åpne API ved bestillinger til leverandører og gjør det lettere for leverandører å markedsføre produktene sine med åpne API.
Oppsummering av innspillsrunde om dokumentet
Direktoratet for e-helse har utarbeidet veilederen i samarbeid med sektoren.
I høsten 2019/våren 2020 ble det gjennomført en åpen innspillsrunde der alle med interesse for fagfeltet ble invitert til å gi innspill. Innspillsrunden ble avsluttet 2. mars 2020.
Utkastet til innspillsrunden: Veileder for åpne API i helse- og omsorgssektoren (HITR 1229 utkast 2020)
Innspill og vurderinger er samlet i Oppsummering av innspill til Veileder for åpne API i helse- og omsorgsektoren (PDF)