Aktørroller og begreper

Medlemsvirksomheter er virksomheter som er medlem av Helsenettet, og med det potensielle kunder av HelseID sine tjenester.

• Dette kan for eksempel være virksomheter som yter helsehjelp, virksomheter med ansvar for et helseregister, leverandører til nevnte virksomheter eller andre virksomheter i helse- og omsorgssektoren
• En medlemsvirksomhet kan representere flere andre virksomheter avtalemessig
  • Dersom f.eks. flere virksomheter er organisert sammen i et helseforetak e.l., og én av disse har inngått medlemskap på vegne av noen av de andre, menes med medlemsvirksomhet i denne sammenheng den virksomheten som faktisk har inngått medlemskapet, og ikke f.eks. overordnet foretak.
• Medlemsvirksomheter vil ha behov for å samhandle digitalt seg imellom for å kunne tilby og utføre helse- og omsorgstjenester med høyest mulig kvalitet. Ved digital samhandling gjennom HelseID vil medlemsvirksomhetene kunne inne ha ulike aktørroller. Disse aktørrollene er nærmere beskrevet under.

Når helsepersonell i en medlemsvirksomhet har behov for informasjon fra andre medlemsvirksomheter eller Norsk helsenett for å yte helse- og omsorgstjenester, vil virksomheten ha rollen som tjenestekonsument. Virksomheten mottar og konsumerer da informasjon fra en annen virksomhet

• Tjenestekonsumenter vil typisk være virksomheter som driver med pasientbehandling, slik som fastlegekontorer, sykehus, sykehjem, legevakt etc.
• Dersom en medlemsvirksomhet er organisert som flere virksomheter/foretak, vil tjenestekonsument som regel referere til den spesifikke virksomheten som konsumerer data, ikke medlemsvirksomheten som har inngått medlemskapet.
• Tjenestekonsument omtales også som Brukerorganisasjon i arbeidet med felles tillitsmodell for datadeling i helse- og omsorgssektoren.
• Tjenestekonsumenter selv er ansvarlig for blant annet lokal tilgangsstyring og autorisasjon av helsepersonell, egen etterlevelse av krav til informasjonssikkerhet, og oppfølging av egne systemleverandører

Når en medlemsvirksomhet gjør tilgjengelig informasjon for en annen medlemsvirksomhet, vil denne virksomheten ha rollen som tjenestetilbyder. Informasjonen som gjøres tilgjengelig kalles gjerne en informasjonstjeneste.

• Informasjonstjenestene tilbys normalt gjennom enten en nettportal som helsepersonell bruker direkte, eller den blir gjort tilgjengelig gjennom et tjenestegrensesnitt, et såkalt API. Typiske eksempler på dette er nasjonale e-helsetjenester som Kjernejournal og E-resept, men det er også mulig for virksomheter å tilby egne tjenester til andre.
• Tjenestetilbydere er selv dataansvarlig for eget informasjonsinnhold, som blant annet innebærer ansvar for tilgangsstyring og etterlevelse av krav til informasjonssikkerhet.

En identitetstilbyder er i denne sammenheng en virksomhet som er godkjent av NKOM til å utstede elektroniske identiteter for entydig identifikasjon av en fysisk person på et gitt sikkerhetsnivå, og som i tillegg er integrert med HelseID.

• Identitetstilbydere samhandler teknisk med HelseID i prosessen med å autentisere (verifisere) identiteten til helsepersonell når de logger på eller ønsker tilgang til ulike informasjonstjenester fra tjenestetilbydere
• Følgende identitetstilbydere i dag er støttet på høyeste sikkerhets-/tillitsnivå: BuyPass, Commfides og BankID. HelseID er integrert med ID-porten, slik at identitetstilbydere derfra også kan brukes gjennom HelseID.
• Det arbeides med å introdusere enkelte sektorinterne identitetstilbydere (slik som Helse Sør-Øst og Helse Midt), men HelseIDs kapasitet er her begrenset.
• HelseID har ikke myndighet eller kompetanse til å godkjenne eID-tilbydere til et gitt sikkerhets-/tillitsnivå; den kompetansen innehar NKOM og derfor må en identitetstilbyder selvdeklarere sin ordning for elektronisk identifikasjon hos NKOM.

Systemleverandører er tredjeparter som leverer IKT-tjenester til en medlemsvirksomhet som opptrer som tjenestetilbyder, tjenestekonsument eller identitetstilbyder.

• Det er typisk helseleverandørvirksomheter som vil opptre som systemleverandører i HelseID-økosystemet.
• Et typisk eksempel er leveranse av fagsystemer, slik som EPJ-systemer (elektronisk pasientjournal), til en helsevirksomhet.

Helsepersonell og andre ansatte (forkortet til 'helsepersonell') er individer i en medlemsvirksomhet som bruker HelseID for brukerautentisering og/eller for tilgang til informasjon fra andre tjenestetilbydere.

Merk at:

• "Helsepersonell" kan f.eks. være leger, sykepleiere og andre som tilbyr helsehjelp, mens "andre ansatte" f.eks. kan være administrativt- eller teknisk personell som støtter opp om driften i en helsevirksomhet.
• Felles for disse individene er at de kan representeres digitalt gjennom en elektronisk ID (eID) utstedt av en identitetstilbyder, og kan logge på tjenester via HelseID (brukerautentisering).

Dette er nasjonale fellesløsninger for e-helsetjenester driftet av Norsk helsenett SF, slik som for eksempel Adresseregisteret, Helsepersonellregisteret, Helsenettet og HelseID. Ulike nasjonale registre beriker informasjonen HelseID tilegner seg om aktuelt helsepersonell og andre ansatte, system eller virksomhet.

De IKT-verktøyene helsepersonell og andre ansatte normalt benytter i sin behandling av helseopplysninger, slik som EPJ (elektronisk pasientjournal). Fagsystemer interagerer med HelseID for autentisering av helsepersonell og andre ansatte, i noen tilfeller for lokal pålogging i fagsystemet og i andre tilfeller for pålogging mot tjenestetilbydere, og for autentisering av "seg selv" som system og del av en virksomhet.

Autentisering er en metode for å verifisere en påstått identitet, representert ved en elektronisk identitet. Ved autentisering fremføres bevisførselen gjennom en eller flere såkalte autentiseringsfaktorer, hvor de klassiske faktorene er noe man vet, noe man har og noe man er.

Nivået av verifikasjon kalles autentiseringsstyrke/sikkerhetsnivå/tillitsnivå og sier noe om styrken til bevisførselen ved en autentisering. Tidligere opererte man i Norge med fire sikkerhetsnivåer, 1-4, hvorav nivå 4 var det øverste nivået og typisk påkrevd ved tilgang til helseopplysninger og nasjonale e-helsetjenester. Nå er EU-forordningen eIDAS implementert i Norge, som vil si at man operer med tre sikkerhetsnivåer; lav-betydelig-høy.

I dokumentasjonsportalen finner du mer om henholdsvis autentisering og sikkerhetsnivåer

Autorisering gjøres for å verifisere hvilke tilganger en elektronisk identitet skal ha til informasjon i et system eller informasjonstjeneste.

Autorisering i denne konteksten er den "tekniske" autoriseringen for å avgjøre tilgang til informasjon, til forskjell fra administrativ eller helsefaglig autorisering som for mange helsefaglige yrker er nødvendig for å ha lov til å behandle pasienter.

Se vår dokumentasjonsportal for mer om henholdsvis autentisering og sikkerhetsnivåer.

En elektronisk identitet (eID) er en digital representasjon av en identitet. En elektronisk identitet er nødvendig for å bevise at du er den du er (den du utgir deg for å være) digitalt, gjennom autentisering.

Se punktet om autentisering over for mer informasjon relatert til eID.