Godkjenning av deg som leverandør

Med Styringssystem eller internkontroll menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer/ kontrollerer og korrigerer etterlevelse av relevant regelverk, krav og avtaler.

Den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter. Det er et krav at dokumentasjon om dette til enhver tid skal være oppdatert og lett tilgjengelig for alle ansatte. Det må også etableres rutiner for å sikre at styrende dokumenter til enhver tid er oppdaterte i tråd med krav i gjeldende lovverk, beslutninger, organisatoriske løsninger, rutiner og andre relevante styringsdokumenter. Informasjonssikkerhet og personvern bør inngå som en del av den totale interkontrollen i virksomheten.

En måte å jobbe med internkontroll er å dele det inn i tre deler:

1. Styrende del

Den styrende delen inneholder ledelsens krav til personvern og informasjonssikkerhet og beskriver de overordnede føringene som gjelder i virksomheten. Videre beskrives sikkerhetsorganisasjonen med hvilke roller som er ansvarlig for oppgavene på ulike nivåer. Som utgangspunkt for arbeidet med personvern og informasjonssikkerhet utarbeides og vedlikeholdes det en oversikt med hvilke behandlinger av helse- og personopplysninger virksomheten utfører.

2. Gjennomførende del

Den gjennomførende delen inneholder alle detaljerte regler og krav for personvern og informasjonssikkerhet som skal følges i virksomheten og skal dekke kravene i den styrende del. Reglene og kravene gjelder både ledelsen, den enkelte ansatte og medarbeider og ansvarlige for informasjonsteknologi.

3. Kontrollerende del

Den kontrollerende delen inneholder kontrollmekanismene som skal benyttes for å kontrollere at kravene blir oppnådd og at rutinene følges.

Beskrivelse av styringssystemets innhold finner du i veileder om internkontroll i informasjonssikkerhet og personvern

Malverk og sertifiseringer

Det finnes en rekke ulike malverk og standarder for styringssystem. En mye brukt standard er som et eksempel ISO 27001. Dette er en omfattende standard som også tilbyr sertifisering. Hvis virksomheten benytter en anerkjent standard og er sertifisert i henhold til dette vil sertifikat for oppnådd sertifisering kunne holde som dokumentasjon på styringssystemet.

Normen har utarbeidet noen veiledere som inneholder et malverk for styringssystem basert på Normens krav. Det er fult mulig for en leverandør å ta utgangspunkt i en slik mal for selv å tilpasse denne til egen virksomhet. Husk imidlertid at det er like viktig at styringssystemet er implementert i virksomheten som at man kan fremvise god dokumentasjon.

• Veileder for små helsevirksomheter
• Veileder om internkontroll i informasjonssikkerhet og personvern
• ISO 27001 Standard

Kravet er teknisk dokumentasjon som sier noe om virksomhetens tekniske sikkerhetstiltak.

Dokumentasjonen skal inneholde nødvendig informasjon som kun berører Helsenettet, målgruppen og krav til sikkerhet som beskrevet i Norm for informasjonssikkerhet og personvern i helse og omsorgssektoren.

Stikkord vil for eksempel være: trafikkflyt, sikkerhetsbarrierer, applikasjoner, internett, Helsenettet, klienter, det tekniske miljøet som skal integrere mot Helsenettet

Det er viktig for Norsk helsenett å sikre at virksomheten som kobles til Helsenettet ikke utgjør noen trussel for de som allerede er der.

Her kan du laste ned vår mal, som du kan fylle ut og sende inn sammen med de andre kravene.

Som en del av godkjenning skal det gjennomføres og dokumenteres en risikovurdering av tjenesten(e) som skal tilbys i Helsenettet.

Risikovurderingen skal omhandle tjenesten og det tekniske miljøet som tjenesten kjøres fra. Det er viktig at tilkoblingen til Helsenettet er en del av denne vurderingen.

I risikovurderingen skal leverandøren se på sikkerhetstruende hendelser, hvordan disse kan påvirke tjenesten og hvilke tiltak som er etablert for å redusere dem.

En trussel vurderes ut i fra sannsynligheten for at den inntreffer og konsekvensen av hendelsen. Risikoen skal deretter reduseres til et akseptabelt nivå gjennom å etablere tiltak. Risikoen er definert som sannsynlighet x konsekvens.

I styringssystemet skal det finnes prosedyrer som sier noe om hvilke nivå på en risiko som aksepteres og ikke, dette kalles i Normen "nivå for akseptabel risiko". Truslene skal vurderes for hvert av de tre områdene konfidensialitet, integritet og tilgjengelighet. Beskrivelse av hvordan nivå for akseptabel risiko fastsettes finnes i veileder om risikostyring i informasjonssikkerhet og personvern

Det er viktig at man i risikovurderingen dokumenterer godt, og at eventuelle tiltak føres opp med en ansvarlig og en frist.

Leverandøren kan benytte sitt eget malverk for risikovurdering, men mangler dette anbefaler vi å se veileder om risikostyring i informasjonssikkerhet og personvern.

Ved å bli en godkjent tredjepartsleverandør i Helsenettet

• Kan leverandøren effektivt levere sine tjenester til alle sine kunder i Helsenettet gjennom én Helsenettforbindelse.
• Er det enkelt å utvide tjenesteleveransene til stadig nye kunder som etterspør tjenesten
• Vil leverandøren fremstå som en egnet tjenesteleverandør ovenfor kundene, som vet at Norsk helsenett har gjort en sikkerhetsmessig vurdering av leverandøren.
• Får leverandøren lenke til eget nettsted på våre nettsider​.

Tredjepartsleverandører er organisasjoner som tilbyr sine tjenester gjennom Helsenettet, blant andre:

• drifts- og systemleverandører
• offentlige registre og databaser
• regionale og lokale IT-organisasjoner

Forholdet mellom en tredjepartsleverandør og Norsk helsenett reguleres gjennom signering av vilkår (*bruksvilkår) Leverandørvilkår - Norsk helsenett (nhn.no)

Selve godkjenningen av deg som leverandør er kostnadsfri.

Ønsker du en dedikert Helsenettforbindelse levert fra oss, betales etablerings- og månedskostnadene. Her er det behov, kunder/leverandør og tjenestene som avgjør prisen.

Norsk helsenett har tre standard måter å koble tredjepartsleverandører til Helsenettet på:

1. Direkte tilknytning til Helsenettet
2. IPVPN dedikert linje levert
3. Skytilknytning til Helsenettet ( Azure/AWS)

Her er det behov, kunder/leverandør og tjenestene som avgjør. Teknisk ansvarlig vil i samråd med tredjepartsleverandøren finne frem til beste løsning. Dette vil være er en del av godkjenningsprosessen.

Mange små og mellomstore helsevirksomheter velger ASP-leverandør*. I de fleste tilfeller leverer leverandøren både journalsystem, Helsenettforbindelse og drifter den tekniske løsningen. Sikkerheten blir i mange tilfeller bedre ivaretatt på denne måten, gjennom leverandørens kunnskap og kompetanse.

*ASP = Application Service Provider

Norsk helsenett legger til rette for to måter av ASP-leveranser:

1. Kunder som har Norsk helsenett sin standard tilknytning

Kunden har Helsenettforbindelse levert av Norsk helsenett eller eier linjen selv. Via Helsenettet når kunden tjenestene sine som står hos ASP leverandøren. De fleste kundene som har denne løsningen får levert tjenester av Norsk helsenett, som hjemmekontor, internett, e-post, bankterminal, EDI-postkasse og tilgang til adresseregisteret for å nevne noen.

2. Kunder som har tilknytning til Helsenettet via en ASP-leverandør

ASP-leverandøren leverer Helsenettforbindelsen til kunden. Norsk helsenett har godkjent hvordan dette settes opp hos hver enkelt ASP leverandør. Det ligger noen forutsettinger til grunn for denne tilknytningen:

• ASP-leverandører av Helsenettforbindelse skal være godkjent som tredjepartsleverandør av Norsk helsenett.
• Forbindelsen blir fysisk levert til ASP-leverandører, og kunden kan gjennom denne konsumere tjenester i Helsenettet.
• ASP-leverandøren har ansvar for Helsenettforbindelsen, og at det til enhver tid er nok kapasitet for trafikken som skal gå der.
• Andre tjenester som Norsk helsenett har inkludert i sin standard Helsenettforbindelse, skal tilrettelegges av leverandøren. Det forventes at kunden kan nå de tjenestene de har behov for i Helsenettet, på en sikker måte.
• Helsenettforbindelsen driftes av Norsk helsenett.
• Kunder som velger ASP-løsning skal signere kundeavtale, medlemsavtale og databehandleravtale med Norsk helsenett.
• Kunder som velger ASP-løsning skal betale medlemsavgift til Norsk helsenett.

Her er en liste over de fleste tjenester i Helsenettet (ikke uttømmende), som medlemmene skal nå dersom de har behov. Noen kan nås gjennom API som EPJ-leverandørene kan tilpasse, andre er direkte i nettleser.

• Sysvak nett for å registrere vaksiner, for de som ikke har den funksjonaliteten i EPJ
• Klinikermeldingfor etterregistrering av smittesaker til FHI MSIS database/smittevernregister
• Melding om dødsfall og dødsårsak. Fra 1. Januar 2022 er det lovpålagt å melde dødsfall og dødsårsak elektronisk. Alle leger MÅ ha tilgang til denne portalen.
• Kjernejournal(integrasjon/API) For å lese/redigere pasienters kjernejournal
• Fristbrudd for å melde om fristbrudd for et behandlingssted
• Pasientreiser https://pastrans-sorost.mq.nhn.no/administrasjon_new (forskjellig url pr. Landsdel) for å bestille pasientreiser
• MRS/FALK
• Qreg
• Ereg
• Helsedata.no (Analyseportalen) Informasjonskanal for landets forskere
• Meldingsvalidator
• Filoverføringstjenesten
• Persontjenesten
• Tjenesteportalen (Har en tilgjengelig begrenset versjon på internett)
  • Vårt helsetilbud (kun for leger i HPR) for å redigere hva som vises om legekontoret på helsenorge.no
  • Blåreseptvedtak (kun for apotektekniker/farmasøyt/provisorfarmasøyt i HPR). Må nås for å se vedtak for pasienter. Integrert via EPJ til apotekene.
  • Verktøyformidleren behandler kan sende skjema.
  • Blåreseptsøknad (kun for leger i HPR. Finnes en forenklet internettversjon). For å sende søknad om blåresept for pasienter.
• Grunndataplattformen
  • Brukerkonto -må ha tilgang til web-løsningen for å lage en personlig konto til bruk av alle tjenestene under i web-løsningen.
  • HelseID
  • Adresseregisteret - har eget API
    • Legge til nye medarbeidere i virksomheten
    • Endre informasjon om virksomheten som vises til andre helseaktører
    • Elektronisk kommunikasjon (E-resept, basis meldinger, PLO meldinger, Iplos/kpr)
  • Fastlegelister. Manuell nedlastning dersom abonnement feiler. Ikke alle støtter abonnement for vikarer. Må da laste ned manuelt.
  • Bedriftsregisteret. Oppdatering av informasjon på Helsenorge for de som ikke er lege i HPR.
  • Fastlegeregisteret - har eget API. Oppslag av pasientens fastlege
  • RESH (for det meste for avtalespesialister/sykehus) Utføre endringer i RESH.
  • HTK (for det meste for avtalespesialister/sykehus). Melde inn ventetider til velg behandlingssted på Helsenorge.
  • HPR-register (benyttes for det meste gjennom API. Finnes også en forenklet internettversjon).
  • LSR (Legestillingsregisteret danner grunnlaget for monitorering, analyse og framskrivning av utviklingen i legemarkedet).
• Hjemmekontor (målmaskinen, PCen som skal nås)
• Fjernhjelp (målmaskinen, PCen som skal nås)

​En tredjepartstjeneste bestilles direkte fra den aktuelle tredjepart, som selv er ansvarlig for sine tjenester. Norsk helsenett har ikke ytterligere ansvar for dette utover forhold som reguleres gjennom avtalen mellom Norsk helsenett og den aktuelle tredjepart.​

Ved å benytte tjenester fra en godkjent tredjepartsleverandør i Helsenettet kan du være trygg på at følgende forhold er ivaretatt:

• Leverandøren har forpliktet seg til å etterleve kravene i Norm for informasjonssikkerhet.
• Leverandøren har dokumentert at tjenesten blir levert og produsert i et miljø som lever opp til sektorens krav.
• Norsk helsenett har gjennom avtale rett til å gjennomføre revisjon hos leverandøren for å sikre at tjenestene oppfyller sektorens krav.

Bruk av fjernsupport er definert som databehandling, og omfattes av de samme reglene som Normen bygger på. Det er derfor påkrevet at også de som skal tilby fjernsupport gjennomgår den samme godkjenningsprosessen som for øvrige leverandører.

Fjernhjelpsløsningentil Norsk helsenett er gratis både for den som mottar og den som gir fjernhjelp. Den krever ingen dedikert Helsenettforbindelse.