Gå til hovedinnhold
Filoverføringstjenesten

Forutsetninger

Informasjon om forutsetninger for bruk av filoverføringstjenesten – en sikker tjeneste for tidsbegrenset deling av sensitive data mellom ulike aktører i og utenfor helsesektoren.

Hvem kan benytte tjenesten

Kun organisasjoner som har tilknytningsavtale med NHN vil kunne administrere organisasjonens brukere i løsningen.

Kriterier som må være oppfylt for at en virksomhet kan ta i bruk tjenesten:

  • Godkjent Risiko og sårbarhetsanalyse (RoS)
  • Gjennomført DPIA (selvdeklarering)
  • Må ha/etablere databehandleravtale med NHN
  • Være på helsenett
  • Virksomheten har rutiner for innholdskryptering i henhold til Normen (selvdeklarering)
  • Virksomhetens brukere har fått opplæring i innholdskryptering for bruk av denne tjenesten i henhold til virksomhetens rutiner (selvdeklarering)

RoS

Norsk Helsenett har utarbeidet en RoS av Filoverføringstjenesten for den begrensede utprøvingen. Rammebetingelsene for denne RoS inkluderer punkt 2-5 over. Brukerorganisasjoner må gjennomføre en egen RoS av tjenesten og kan velge å bruke NHNs RoS som utgangspunkt. Virksomheten må godkjenne sin RoS for å ta i bruk tjenesten. Ta kontakt med NHN for konkrete vurderinger av risiko og tiltak.

DPIA

Virksomheter må gjennomføre en vurdering av personvernkonsekvenser (DPIA) for anvendelse av tjenesten. Direktoratet for e-helse har utarbeidet et grunnlag for virksomhetenes vurdering av DPIA som kan brukes som et utgangspunkt.

Databehandleravtale

Alle aktører som skal benytte seg av tjenesten for å dele sensitiv data må inngå en databehandleravtale med Norsk Helsenett SF. Organisasjonen som eier dataene vil være dataansvarlig og Norsk Helsenett SF vil være databehandler.

Være på helsenett

Løsningen vil i begrenset utprøving kun være tilgjengelig fra helsenett. Virksomheter må være tilknyttet helsenett for å kunne ta i bruk tjenesten.

Innholdskryptering

Brukerne av tjenesten er selv ansvarlig for å ivareta ende-til-ende sikkerhet for overføring av filer som inneholder sensitive personopplysninger (særlige kategorier av personopplysninger). Av den grunn stilles det krav til at virksomhetene, som skal ta i bruk tjenesten, har etablert rutiner for innholdskryptering. Filer med sensitive personopplysninger skal krypteres med minimum AES 128-bit eller anbefalt AES 256-bit. I tillegg må virksomhetenes brukere ha fått nødvendig opplæring i bruk av tjenesten, med utgangspunkt i virksomhetens rutiner og sikkerhetsinstruks.

Ta kontakt med NHNs kundesenter (kundesenter@nhn.no, 24 20 00 00) for spørsmål om RoS, DPIA og databehandleravtale.

Ta kontakt med NHNs kundesenter på e-post kundesenter@nhn.no eller på telefon 24 20 00 00 hvis det er noe du lurer på.