Når helsepersonell yter helsehjelp, trenger de tilgang til relevante helseopplysninger – på en brukervennlig og sikker måte. Men helseopplysninger er dessverre ikke alltid tilgjengelig i klinikers arbeidsflate når de trengs.
Tillitsrammeverket er et sett av regler, rutiner, standarder og løsninger som underbygger personvern, informasjonssikkerhet og samhandlingsevne på en måte som er skalerbar og økonomisk bærekraftig med hensyn til akseptabel risiko.
Som tiltrodd tredjepart kan Norsk helsenett tilby infrastruktur og støtte, slik at leverandører kan levere brukervennlige sluttbrukerløsninger, og helsevirksomheter kan fokusere sine ressurser på kjernevirksomheten.
Hvorfor trenger vi et tillitsrammeverk?
Helseopplysninger er ikke alltid tilgjengelig i klinikers arbeidsflate når de trengs.
En ny arbeidsflyt for sektoren, Digital datadeling, lar helsepersonell søke opp helseopplysninger som de har behov for fra egen arbeidsflate når de yter helsehjelp.
En automatisk teknisk prosess vurderer og beslutter helsepersonellets forespørsel for tilgang, og gjør helseopplysningene tilgjengelig – det hele uten menneskelig involvering.
For å sikre at beslutningene tatt av den automatiske tekniske prosessen er pålitelige, må virksomhetene stille tydelige krav til hverandre:
- Innhentende virksomhet krever at helseopplysningene som deles kommer fra en helsevirksomhet som den har tiltro til
- Begge parter i delingen krever at helsepersonellet har et gyldig rettslig grunnlag for tilgang
- Begge parter krever at tilgang kun gis til den autoriserte helsepersonell.
- Og begge parter krever mulighet for oppfølging og etterkontroll
I tillegg er det viktig at pasienten har oversikt over hvilke opplysninger som deles om seg.
For å dele opplysninger mer hensiktsmessig, må vi gjøre reglene enklere å forstå. Da blir det lettere for alle å ta ansvar ved deling av data i automatiserte prosesser, og raskere å etablere nye samarbeid som krever deling av data.
Vi må forenkle bruken av tiltakene i tillitsrammeverket, slik at data kan deles på en enhetlig måte, uavhengig av tjeneste. Dette selv om det er de samme opplysningene som deles, og de skal brukes til samme formål – å gi oss innbyggere helsehjelp.
Tillitsrammeverket er en forutsetning for å nå målet om at helsepersonell skal ha tilgang til relevant informasjon til rett tid, i riktig kontekst.
Hvilke regler, rutiner, standarder og løsninger finnes i tillitsrammeverket?
Tillitsrammeverket er et sett av regler, rutiner, standarder og løsninger som underbygger personvern, informasjonssikkerhet og samhandlingsevne på en måte som er skalerbar og økonomisk bærekraftig med hensyn til akseptabel risiko.
- Regler er for eksempel at helsevirksomheter må være medlem av Helsenettet og forholde seg til Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.
- Rutiner er for eksempel at Norsk helsenett verifiserer at medlemmer av Helsenettet er gyldige helsevirksomheter og at Norsk helsenett kan koble en virksomhet fra økosystemet dersom en informasjonssikkerhetshendelse oppstår.
- Standarder er for eksempel eIDAS for sikkerhetsnivå for helsepersonellets eID. OAuth for autorisasjon, OpenIdConnect for autentisering og Volven for å beskrive helsepersonellets attest for tilgang.
- Løsninger er for eksempel HelseID Selvbetjening, NHN identitetsføderasjon som er en del av HelseID, Norsk helsenetts autorisasjonsserver som også er en del av HelseID, Helsepersonellregisteret, Fastlegeregisteret, IDPorten, Altinn, Persontjenesten, og den kommende løsningen for personvern og tilgangsstyring, også kalt PTS