Krav til elektronisk meldingsutveksling
Oversikt over sentrale krav ved elektronisk meldingsutveksling over Helsenettet
Formål og bruksområde
Dokumentet gir en oversikt over sentrale krav og forutsetninger som stilles til aktører som vil samhandle ved bruk av elektronisk meldingsutveksling over Helsenettet. De omfatter organisatoriske og tekniske forhold virksomheter må ivareta for å drive sikker elektronisk meldingsutveksling.
Målsetningen til kravene er å sikre at meldinger kommer frem til riktig mottaker, til riktig tid og med korrekt innhold. Og at virksomheten er kjent med sitt databehandleransvar når de tar i bruk elektronisk meldingsutveksling for helse- og personopplysninger mot andre virksomheter.
Gjelder for
Alle virksomheter som sender og mottar elektroniske meldinger
Krav
Kravene listet opp under (1-17) må følges for at den elektronisk meldingsutveksling skal være forsvarlig.
1: Kundeavtale
Virksomheten skal ha inngått kundeavtale med Norsk Helsenett SF for elektronisk kommunikasjon av helse- og personopplysninger over Helsenettet, og virksomheten skal sikre at meldinger sendes via Helsenettet.
Virksomheten skal oppfylle denne avtalens krav og kravene i Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten (Normen).
2: Kommunikasjons-løsning
Virksomheten skal ha etablert en kommunikasjonsløsning / meldingstjener som er underlagt virksomhetens dataansvar.
Om dataansvar
Helsevirksomheten har dataansvaret for helse- og personopplysningene som behandles i kommunikasjonsløsningen.
Leverandøren av tjenesten vil være databehandler, med mindre helsevirksomheten drifter løsningen selv. Dersom det benyttes en databehandler skal det inngås en databehandleravtale.
Pliktene for databehandler fremkommer av personvernforordningen artikkel 28 og Normen kap. 2.4.
Mal for databehandleravtale finnes på ehelse.no.
3: Meldingsvalidator
Meldingsstandarder som tas i bruk av den enkelte virksomhet skal være testet og godkjent gjennom den nasjonale test- og godkjenningsordningen som Norsk helsenett forvalter, Meldingsvalidator – test og godkjenning.
Dette kravet gjelder for alle meldingsstandarder hjemlet i forskrift om IKT-standarder i helse- og omsorgstjenesten.
Test og godkjenning gjøres per IKT-system som skal benytte standardene.
4: Test av meldingstrafikk
Virksomheter skal sørge for at det gjennomføres testing som sikrer at meldingstrafikken fungerer som forventet.
Dette er spesielt viktig ved:
- Oppstart av ny kommunikasjonspart
- Oppgradering av EPJ-system
- Oppgradering av kommunikasjonsmodul
- Endringer i virksomhetssertifikat
5: Standarder
Virksomheter i helse- og omsorgstjenesten skal ved sending og mottak av meldinger benytte standarder som er oppført i Referansekatalogen for e-helse.
6: Mottak av meldinger
Virksomheten skal sikre at elektroniske meldinger som mottas, behandles rett i henhold til forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (lovdata.no)
7: Overvåke meldingstrafikk
Virksomheten skal ha rutiner for å overvåke meldingstrafikken, for å sikre at alle mottatte meldinger blir fulgt opp.
8: Feilsøking
Virksomheten skal ha tilstrekkelig kompetanse på feilsøking tilgjengelig. Og gjøre samhandlingsparter kjent med hvem som kan kontaktes i forbindelse med feilsøking.
9: Håndtere avvik
Virksomheten skal ha rutiner for å håndtere avvik knyttet til sending og mottak av meldinger.
Dette inkluderer at avsender følger opp negative og manglende kvitteringer.
10: Kompetanse
Virksomheten skal sikre at alle som driver med elektronisk meldingsutveksling, har tilstrekkelig kunnskap til å bruke systemene, ivareta personvern, informasjonssikkerhet og hindre spredning av ondsinnet kode.
Se Normen kap 2.3 (databehandlers ansvar), 5.1 (medarbeidere, kompetanse og holdningsskapende arbeid)
11: Risikovurdering
Virksomheten skal gjennomføre risikovurdering i forbindelse med elektronisk meldingsutveksling, både før oppstart og ved endringer som har betydning for informasjonssikkerheten.
Om risikovurderinger
Formålet med risikovurderingen er å identifisere, analysere og evaluere risiko.
Virksomheten skal fastsette nivå for akseptabel risiko basert på Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål, se Normens krav 3.2. Virksomhetene skal videre vurdere sannsynlighet for og konsekvens av sikkerhetsbrudd, samt basere sikkerhetsarbeidet på resultater fra slike vurderinger, målt opp mot nivå for akseptabel risiko. Arbeidet med risikovurderinger må være forholdsmessig og skal tilpasses virksomhetens størrelse, fagfelt, typisk hastegrad for meldingene mv.
Normens faktaark 07 beskriver hvordan en risikovurdering kan gjennomføres og inkluderer en mal som kan benyttes. For de virksomheter som har et etablert system for risikovurdering, bør det sikres at elektronisk meldingsutveksling innlemmes i dette. Databehandlingsansvarlig må dokumentere at virksomheten har satt i gang tilstrekkelige tiltak og at behandling av helse- og personopplysninger utføres innen et nivå for akseptabel risiko.
12: Virksomhetssertifikat
Virksomheten skal anskaffe og installere virksomhetssertifikat for virksomheten.
Kravet følger av Kravspesifikasjon for PKI i offentlig sektor (regjeringen.no).
13: Personlig kvalifiserte sertifikater
Helsepersonell skal benytte personlige kvalifiserte sertifikater når det er krav om dette i den enkelte meldingsstandard.
14: Gyldig sertifikat og informasjon i Adresseregisteret
Virksomheten skal ha prosedyrer for å fornye sertifikatene og oppdatere informasjonen i Adresseregisteret.
Kravet om oppdatert informasjon i Adresseregisteret følger av §4 i Forskrift om IKT-standarder i helse- og omsorgstjenesten.
15: Adressering
De elektroniske adressene til avsender og mottaker skal overføres i henhold til Standard for tjenestebasert adressering, HIS 1153 del 1, 2 og 3
16: Visning i fagsystem
Virksomheten har ansvar for at innholdet i nasjonale meldingsstandarder vises på en oversiktlig måte i aktuelle fagsystem. Dette kan ivaretas ved at EPJ-systemet presenterer meldinger ved bruk av gjeldende nasjonale visningsfiler, se Sarepta teknisk arkiv.
17: Kvitteringer
Virksomheten har ansvar for at alle fagsystemer som sender og mottar elektroniske meldinger håndterer kvitteringsmeldinger i samsvar med publiserte standarder og retningslinjer.