Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

Krav til elektronisk meldingsutveksling

Oversikt over sentrale krav ved elektronisk meldingsutveksling over Helsenettet

Formål og bruksområde

Dokumentet gir en oversikt over sentrale krav og forutsetninger som stilles til aktører som vil samhandle ved bruk av elektronisk meldingsutveksling over Helsenettet. De omfatter organisatoriske og tekniske forhold virksomheter må ivareta for å drive sikker elektronisk meldingsutveksling.

Målsetningen til kravene er å sikre at meldinger kommer frem til riktig mottaker, til riktig tid og med korrekt innhold. Og at virksomheten er kjent med sitt databehandleransvar når de tar i bruk elektronisk meldingsutveksling for helse- og personopplysninger mot andre virksomheter.

Gjelder for

Alle virksomheter som sender og mottar elektroniske meldinger

Krav

Kravene listet opp under (1-17) må følges for at den elektronisk meldingsutveksling skal være forsvarlig.

1: Kundeavtale

Virksomheten skal ha inngått kundeavtale med Norsk Helsenett SF for elektronisk kommunikasjon av helse- og personopplysninger over Helsenettet, og virksomheten skal sikre at meldinger sendes via Helsenettet.

Virksomheten skal oppfylle denne avtalens krav og kravene i Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten (Normen).

2: Kommunikasjons-løsning

Virksomheten skal ha etablert en kommunikasjons­løsning / meldingstjener som er underlagt virksomhetens data­ansvar.

Om dataansvar

Helsevirksomheten har dataansvaret for helse- og personopplysningene som behandles i kommunikasjonsløsningen.

Leverandøren av tjenesten vil være databehandler, med mindre helsevirksomheten drifter løsningen selv. Dersom det benyttes en databehandler skal det inngås en databehandleravtale.

Pliktene for databehandler fremkommer av personvernforordningen artikkel 28 og Normen kap. 2.4.

Mal for databehandleravtale finnes på ehelse.no.

3: Meldingsvalidator

Meldingsstandarder som tas i bruk av den enkelte virksomhet skal være testet og godkjent gjennom den nasjonale test- og godkjenningsordningen som Norsk helsenett forvalter, Meldingsvalidator – test og godkjenning.

Dette kravet gjelder for alle meldingsstandarder hjemlet i forskrift om IKT-standarder i helse- og omsorgstjenesten.

Test og godkjenning gjøres per IKT-system som skal benytte standardene.

4: Test av meldingstrafikk

Virksomheter skal sørge for at det gjennomføres testing som sikrer at meldingstrafikken fungerer som forventet.

Dette er spesielt viktig ved:

  • Oppstart av ny kommunikasjonspart
  • Oppgradering av EPJ-system
  • Oppgradering av kommunikasjonsmodul
  • Endringer i virksomhetssertifikat

5: Standarder

Virksomheter i helse- og omsorgstjenesten skal ved sending og mottak av meldinger benytte standarder som er oppført i Referansekatalogen for e-helse.

6: Mottak av meldinger

Virksomheten skal sikre at elektroniske meldinger som mottas, behandles rett i henhold til forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten (lovdata.no)

7: Overvåke meldingstrafikk

Virksomheten skal ha rutiner for å overvåke meldingstrafikken, for å sikre at alle mottatte meldinger blir fulgt opp.

8: Feilsøking

Virksomheten skal ha tilstrekkelig kompetanse på feilsøking tilgjengelig. Og gjøre samhandlingsparter kjent med hvem som kan kontaktes i forbindelse med feilsøking.

9: Håndtere avvik

Virksomheten skal ha rutiner for å håndtere avvik knyttet til sending og mottak av meldinger.

Dette inkluderer at avsender følger opp negative og manglende kvitteringer.

10: Kompetanse

Virksomheten skal sikre at alle som driver med elektronisk meldingsutveksling, har tilstrekkelig kunnskap til å bruke systemene, ivareta personvern, informasjonssikkerhet og hindre spredning av ondsinnet kode.

Se Normen kap 2.3 (databehandlers ansvar), 5.1 (medarbeidere, kompetanse og holdningsskapende arbeid)

11: Risikovurdering

Virksomheten skal gjennomføre risikovurdering i forbindelse med elektronisk meldingsutveksling, både før oppstart og ved endringer som har betydning for informasjonssikkerheten.

Om risikovurderinger

Formålet med risikovurderingen er å identifisere, analysere og evaluere risiko.

Virksomheten skal fastsette nivå for akseptabel risiko basert på Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål, se Normens krav 3.2. Virksomhetene skal videre vurdere sannsynlighet for og konsekvens av sikkerhetsbrudd, samt basere sikkerhetsarbeidet på resultater fra slike vurderinger, målt opp mot nivå for akseptabel risiko. Arbeidet med risikovurderinger må være forholdsmessig og skal tilpasses virksomhetens størrelse, fagfelt, typisk hastegrad for meldingene mv.

Normens faktaark 07 beskriver hvordan en risikovurdering kan gjennomføres og inkluderer en mal som kan benyttes. For de virksomheter som har et etablert system for risikovurdering, bør det sikres at elektronisk meldingsutveksling innlemmes i dette. Databehandlingsansvarlig må dokumentere at virksomheten har satt i gang tilstrekkelige tiltak og at behandling av helse- og personopplysninger utføres innen et nivå for akseptabel risiko.

12: Virksomhetssertifikat

Virksomheten skal anskaffe og installere virksomhetssertifikat for virksomheten.

Kravet følger av Kravspesifikasjon for PKI i offentlig sektor (regjeringen.no).

13: Personlig kvalifiserte sertifikater

Helsepersonell skal benytte personlige kvalifiserte sertifikater når det er krav om dette i den enkelte meldingsstandard.

14: Gyldig sertifikat og informasjon i Adresseregisteret

Virksomheten skal ha prosedyrer for å fornye sertifikatene og oppdatere informasjonen i Adresseregisteret.

Kravet om oppdatert informasjon i Adresseregisteret følger av §4 i Forskrift om IKT-standarder i helse- og omsorgstjenesten.

15: Adressering

De elektroniske adressene til avsender og mottaker skal overføres i henhold til Standard for tjenestebasert adressering, HIS 1153 del 1, 2 og 3

16: Visning i fagsystem

Virksomheten har ansvar for at innholdet i nasjonale meldingsstandarder vises på en oversiktlig måte i aktuelle fagsystem. Dette kan ivaretas ved at EPJ-systemet presenterer meldinger ved bruk av gjeldende nasjonale visningsfiler, se Sarepta teknisk arkiv.

17: Kvitteringer

Virksomheten har ansvar for at alle fagsystemer som sender og mottar elektroniske meldinger håndterer kvitteringsmeldinger i samsvar med publiserte standarder og retningslinjer.

Kontakt

Har du spørsmål om dokumentet?
Meldingshjelp