Spørsmål og svar

HelseID er en tjeneste tilgjengelig i Helsenettet og på internett. Norsk helsenett drifter HelseID og tjenesten er forbeholdt virksomheter som er medlemmer av Helsenettet og deres ansatte. Tjenesten gir økt tillit til at informasjonssikkerheten ivaretas når virksomheter og ansatte i helsesektoren samhandler digitalt. HelseID bidrar på denne måten til at helseopplysninger kan deles på en sikker og enkel måte.

Helse ID tilbyr funksjonalitet for pålogging (autentisering av identitet for helsepersonell, systemer og virksomheter) og sikring av tjenestetilbyderes API-er (autorisering av teknisk tilgang). Denne funksjonaliteten kan brukes som en viktig del av tilgangsstyring og -kontroll hos de ulike virksomhetene i sektoren.

For en oversikt over hvordan virksomheter kan være tilknyttet HelseID, og ulike aktørroller som samhandler med HelseID, se "Hvem er de ulike aktørene?".

BankID er en identitetstilbyder som tilbyr en måte å autentisere en bruker på, og som utsteder sin egen eID (elektronisk ID). HelseID tilbyr ingen egen eID, men tilbyr autentisering av brukere via flere ulike identitetstilbydere. Slik kan helsepersonell (eventuelttjenestekonsumenter) selv velge om de vil benytte BankID, eller en annen identetitetstilbyder/eID som HelseID støtter.

Støtte for ulike identitetstilbydere, og ikke bare BankID for eksempel, er en viktig egenskap ved HelseID, da ulike e-helsetjenester og tjenestekonsumenter støtter eller foretrekker bruk av ulike eID-er.

ID-porten er en felles innloggingsløsning for mange offentlige tjenester på tvers av offentlig sektor. ID-porten brukes av alle innbyggere i Norge. HelseID er en felles innloggingsløsning for helsesektoren spesifikt, som brukes av virksomheter og ansatte i sektoren. Den underliggende teknologien i HelseID er ganske lik ID-porten, men det er noen viktige tilleggsmekanismer som gjør at HelseID egner seg bedre for helsesektoren:

• HelseID er tilgjengelig både på internett og direkte i Helsenettet, et lukket nett for helsesektoren. Det gjør integrasjon og kommunikasjon med andre tjenester og tjenestekonsumenter i Helsenettet enklere. ID-porten driftes kun på det åpne internettet, og det kreves brannmur-åpninger eller proxy-oppsett for å nå denne tjenesten fra Helsenettet.
• HelseID muliggjør engangspålogging (forutsetter tekniske integrasjoner) på tvers av e-helsetjenester og fagsystemer, og bidrar dermed til en mer effektiv arbeidshverdag for helsepersonell. Helsepersonell kan enklere få tilgang til nødvendig informasjon, selv om de jobber for flere tjenestekonsumenter. HelseID bidrar dermed til effektiv ressursbruk i sektoren.
• Med HelseID vil helsepersonell få tilgang til e-helsetjenester på tvers av sektoren uavhengig av hvilken identitetstilbyder (innloggingsmetode) de benytter. Med HelseID kan man i dag bruke enkelte, og i fremtiden flere, sektorinterne identitetstilbydere og som ikke er tilgjengelige via ID-porten.
• HelseID bidrar til bedre informasjonssikkerhet ved å berike autentiseringsinformasjonen som brukes i tilgangsstyring (les mer om dette i eget spørsmål og svar om hvordan HelseID gir styrket informasjonssikkerhet). Dette er ikke mulig via ID-porten.

HelseID gir tjenestetilbydere mulighet til å etablere individuelle begrensninger på hvem/hva som kan få tilgang til sin(e) tjeneste(r), for eksempel avhengig av helsepersonellets rolle, aktuell tjenestekonsument eller aktuelt system

Nei. HelseID kan ses på som en påloggingsløsning, men tjenesten introduserer ingen ny eID. Det er den enkelte tjenestekonsument sitt ansvar å sørge for at eget helsepersonell har tilgang på egnet eID. I stedet legger tjenesten til rette for gjenbruk av eID-er som allerede brukes i sektoren og som tilbys av anerkjente identitetstilbydere, slik som for eksempelBuyPass, Commfides og BankID. For tilgang til nasjonale e-helsetjenester kreves oftest eID på høyeste sikkerhetsnivå, som for tiden kun tilbys av nevnte kommersielle aktører.

HelseID løser flere sentrale utfordringer knyttet til digital samhandling og informasjonssikkerhet, men fritar ikke den enkelte virksomhet fra sitt selvstendige ansvar. Det er den enkelte virksomhet i sektoren som har endelig ansvar for å ivareta informasjonssikkerhet, basert på lover, forskrifter og Normen.

Nei. HelseID avgjør ikke spørsmål om tilgang til helseopplysninger eller tjenester, og avgjør heller ikke spørsmål om tjenstlig behov for tilgang til helseopplysninger. Det er tjenestetilbydere, for eksempel nasjonale e-helsetjenester, som setter krav til og utfører tilgangskontroll for tilgang til helseopplysninger. Det inkluderer å sette krav til nødvendig sikkerhetsnivå for autentisering/pålogging. Det er helsevirksomheten selv som har ansvaret for at det foreligger tjenstlig behov. HelseID bistår som mellomledd i prosessen med å autentisere brukere og beskytte underliggende e-helsetjenester.

Kan vi stole på at helsepersonell som ber om innsyn i helseopplysninger er den vedkommende gir seg ut for å være? Er vedkommende autorisert som helsepersonell (for eksempellege)? Har vedkommende tjenstlig behov for å behandle aktuelle helseopplysninger? Vet vi hvilken virksomhet forespørselen kommer fra?

Disse spørsmålene kan ingen enkeltaktører som forvalter og vurderer tilgang til helseopplysninger i den digitale samhandlingen mellom virksomheter, svare på alene. Informasjon må derfor utveksles mellom aktørene på en måte som gjør at mottakeren av informasjon kan stole på at den er ekte og presis.

HelseID bidrar til å belyse flere av spørsmålene nevnt over, og slik at aktørene som samhandler kan stole på informasjonen de mottar. Konkret gjør HelseID dette ved:

• standardisering og teknisk utveksling av autentiseringsinformasjon mellom aktørene
• reduksjon i antall kontaktflater og tillitsrelasjoner aktørene må forholde seg til ved digital samhandling
• å berike autentiseringsinformasjonen som brukes i tilgangsstyring (les mer om dette i eget spørsmål og svar om hvordan HelseID gir styrket informasjonssikkerhet).

HelseID bidrar til bedre informasjonssikkerhet i den digitale samhandlingen mellom virksomheter ved å standardisere og forenkle hva som skal til for å oppnå tilstrekkelig tillit mellom aktørene som ønsker å utveksle informasjon. (Se punktet over for mer om HelseIDs rolle i etablering av tillit i digital samhandling).

HelseID beriker autentiseringsinformasjon som brukes i tilgangsstyring. Som eneste aktør tilbyr HelseID en tjeneste som gjør oppslag i nasjonale helseregistre (HPR og PREG) på helsepersonell som forespør tilgang til en tjeneste, samt kobler sammen informasjon om helsepersonell med helsevirksomheten de jobber i. Oppslag i HPR (Helsepersonellregisteret) gjør at HelseID kan verifisere om en aktuell bruker er autorisert som helsepersonell. Oppslag i PREG gjør at HelseID kan tillegge brukerens navn til autentiseringsinformasjonen, som eller bare ville inneholdt fødselsnummer.

Til sist, bygger tjenesten på anerkjente sikkerhetskonsepter og åpne standarder, og har et dedikert og spesialisert forvaltningsmiljø i Norsk helsenett som gjør at tjenesten holdes relevant og sikker.

HelseID muliggjør* en enklere og bedre brukeropplevelse for helsepersonell i form av engangspålogging mellom systemer og gjenbruk av innloggingsdetaljer på tvers av systemer og virksomheter.

Dette bidrar til både bedre ressursutnyttelse og pasientsikkerhet, ved at helsepersonell kan bruke mer tid på pasientbehandling og mindre tid på innlogging til systemer. Dette bidrar til at Helsepersonell får tilgang til riktig informasjon til rett tid, som er et viktig helsepolitisk mål.

* Forutsetter tekniske integrasjoner, primært hos tjenestekonsumenter og i fagsystemer.

I utgangspunktet koster det ikke noe å bruke HelseID for helsepersonell. Merk imidlertid at det kan påløpe transaksjonskostnader fra identitetstilbyderen som benyttes, men dette vil avhenge av den kommersielle avtalen helsevirksomheten har inngått med sin identitetstilbyder.

Dersom helsepersonell bruker en "privat eID", dvs. en eID som vedkommende har fremskaffet selv, slik som f.eks. "BankID på mobil", kan det også påløpe transaksjonskostnader. Bruk av privat eID i jobbsammenheng bør avklares med arbeidsgiver, da dette praktiseres eller kan oppfattes ulikt blant ulike arbeidstakere. Eventuell bruk av privat eID og implikasjonene av det, er noe den enkelte tjenestekonsument og helsepersonell må avklare seg imellom. HelseID oppfordrer hverken til, eller fraråder slik bruk, men støtter dette teknisk.

HelseID gjør det enklere for tjenestekonsumenter å samhandle digitalt. Dette gir bedre tilgang til helseopplysninger, som igjen øker kvaliteten i helsetjenesten og pasientsikkerheten. Dette skjer blant annet ved at:

• HelseID bidrar til forbedret informasjonssikkerhet gjennom:
  • standardisering og forenkling av hva som skal til for å oppnå tilstrekkelig tillit mellom aktørene som ønsker å utveksle informasjon
  • å berike autentiseringsinformasjonen som brukes i tilgangsstyring (les mer om dette i eget spørsmål og svar om hvordan HelseID gir styrket informasjonssikkerhet)
• HelseID støtter flere identitetstilbydere og systemleverandører, noe som gir valgmuligheter og åpner for gjenbruk av eksisterende identitetsløsninger og systemer i en tjenestekonsument.
• Det forventes at HelseID etter hvert vil benyttes i alle nasjonale e-helseløsninger og at sektoren gradvis tar tjenesten mer og mer i bruk. Derfor kan det etter hvert ventes at bruk av HelseID blir en forutsetning for tilgang til sentrale helseopplysninger.
• HelseID bidrar til bedre ressursutnyttelse i helsevirksomheten, ved at helsepersonell bruker mindre tid på innlogging til systemer, og mer tid på pasientbehandling.

Bruk av HelseID for tjenestekonsumenter inngår for tiden i medlemsavgiften i Helsenettet. Det betyr at virksomheter må være medlem av Helsenettet eller være godkjent tredjepart i Helsenettet for å bruke HelseID. Mer om kostnaden for medlemskap i Helsenettet finner du her: Mer info om tilknytning og medlemskap.

Det vil imidlertid kunne påløpe indirekte kostnader for den enkelte tjenestekonsument når de tar i bruk HelseID. Typisk er kostnader forbundet med å tilgjengeliggjøre egnet eID på tilstrekkelig sikkerhetsnivå til eget helsepersonell, eventuelle tekniske integrasjoner som må gjøres (typisk via eksterne systemleverandører), samt eventuelle faste eller variable kostnader fra identitetstilbyderne som benyttes.

Dersom ID-porten (via HelseID) brukes i autentiseringsprosessen vil det kunne tilkomme et transaksjonsgebyr fra ID-porten dersom virksomhetens bruk (tilknyttet org.nr.) overstiger 200 000 transaksjoner i året. Mer om kostnader ved bruk av ID-porten på Kostnadsmodell for ID-porten | Samarbeidsportalen (digdir.no)

Ta kontakt med oss på dersom du har noen spørsmål knyttet til HelseID.

• Sjekk at du bruker en støttet nettleser, slik som Internett Explorer 11 eller nyere, Edge, Chrome, Safari eller Firefox. Flere detaljer spørsmålet under. Sjekk at tiden er stilt korrekt på din maskin
• Systemleverandører og tjenestetilbydere som opplever generelle problemer med innlogging via HelseID, kan kontakte oss på
• Tjenestekonsumenter som opplever innloggingsproblemer må ta kontakt med sin aktuelle systemleverandør
• Helsepersonell og andre sluttbrukere som opplever innloggingsproblemer må ta kontakt med sin lokale IT-organisasjon.

HelseID støtter Internett Explorer 11 og nyere (ikke i "kompatibilitetsvisning"), samt Edge, Chrome, Safari og Firefox. Det gjøres ikke testing mot andre nettlesere per i dag.

Støtten som beskrevet over gjelder i utgangspunktet både for vanlige nettlesere på en datamaskin (systemnettlesere) og for nettlesere integrert og kamuflert i fagsystemer (integrerte nettlesere). Bildet av hva som støttes og ikke er imidlertid noe mer komplisert for integrerte nettlesere. Derfor oppfordrer vi fangsystemleverandører om å ta kontakt med oss på for nærmere detaljer ved behov.

Merk også at de enkelte identitetstilbyderne kan ha egne kompatibilitetsgarantier. For eksempel er det kjent at Commfides for tiden ikke støtter bruk av Firefox.

Helsepersonell trenger ikke å foreta seg noe spesielt for å ta i bruk tjenesten, utover å ha tilgang på en elektronisk identitet (eID) utstedt av en identitetstilbyder som HelseID støtter. Slik eID kan være fremskaffet privat eller via arbeidsgiver.

For å få tilgang til nasjonale e-helsetjenester kreves typisk en eID som kan autentiseres på høyeste sikkerhetsnivå, som for tiden kun utstedes av BankID, BuyPass og Commfides. Dette kan for tjenestekonsumenter medføre behov for å inngå avtale med en identitetstilbyder om eID-tjenester. I tillegg må tjenestekonsumenter be sine systemleverandører om å integrere støtte for HelseID og aktuelle e-helsetjenester i fagsystemer.

For å ta i bruk HelseID, må helsevirksomheten typisk gå i dialog med egen systemleverandør av elektronisk pasientjournal (EPJ). HelseID jobber tett med systemleverandører for å sikre kompatibilitet med våre tjenester. Det er opp til den enkelte systemleverandør hvordan de ruller ut støtte for HelseID (og tilhørende e-helsetjenester som krever/støtter HelseID).

Les mer om hvordan komme i gang med HelseID.

Hvordan man integrerer ulike systemer med HelseID, avhenger av hva slags type integrasjon det er snakk om. For de aller fleste tjenestekonsumenter er behovet å bruke HelseID for pålogging til nasjonale eller andre virksomheters e-helsetjenester/helseopplysninger, slik som for eksempelkjernejournal. I den sammenhengen er det primært helsevirksomhetenes systemleverandører som trenger å forholde seg til hvordan man teknisk integrerer med HelseID. Tjenestekonsumenter må sørge for å engasjere sine systemleverandører i dette arbeidet.

Det er nødvendig at utviklingsteam som skal jobbe med HelseID-integrasjon har kunnskap om protokollene OpenID Connect og OAuth 2.0. Et godt sted å starte er å her nhn.no/helseid/veiledning

I tillegg finnes det mer inngående teknisk dokumentasjon om tjenesten på:

• https://www.nhn.no/helseid/teknisk-dokumentasjon/
• https://helseid.readthedocs.io/no/latest/index.html
• https://github.com/HelseID

Ta kontakt med oss på hvis du har spørsmål eller sevår kom-i-gang-side for hvordan å starte en integrasjonsprosess.

HelseID tilbyr per i dag bruk av Commfides, BuyPass og BankID. Disse tilbyr autentisering på høyeste sikkerhetsnivå, noe som er viktig for tilgang til helseopplysninger og nye e-helsetjenester. ID-porten og identitetstilbydere formidlet via denne tjenesten er også tilgjengelig i HelseID, inkludert nevnte BankID.

Det jobbes for tiden med å introdusere sektorinterne identitetstilbydere, slik som de regionale helseforetakenes egne identitetsløsninger. Helse Midt sin løsning er allerede i produksjon, og vi har dialog med Helse Sør-Øst om deres løsning. Merk at sektorinterne identitetsløsninger normalt ikke anses å være på høyeste sikkerhetsnivå, som ofte er påkrevd av tjenestetilbydere for tilgang til helseopplysninger.

Vi forventer en økning av sektorinterne identitetstilbydere i HelseID i fremtiden, da dette både er effektivt og ressursbesparende for den enkelte tjenestekonsument og sektoren som helhet. Foreløpig er det imidlertid enkelte tekniske og juridiske utfordringer som må løses (for eksempeltilpasning til eIDAS-regelverket), før dette vil kunne få stor utbredelse.

Det er per i dag enkelte aktører i helsesektoren som prøver ut bruk av egen identitet i HelseID. Vår kapasitet til oppfølging er for tiden begrenset, og vi anbefaler derfor i første omgang bruk av de identitetstilbyderne som allerede er kvalifisert for tjenesten.

Merk at HelseID ikke kan godkjenne eID-leverandører til et gitt sikkerhetsnivå. Det er i Norge er NKOM som har dette ansvaret og kompetansen. For eID-leverandører uten NKOM-godkjenning vil ikke HelseID kunne si noe om hvilket sikkerhets-/tillitsnivå en gitt eID-leverandør kan tilby, eller på hvilket tillitsnivå en autentisering har blitt gitt.

Dersom du lurer på om din organisasjon kan være en identitetstilbyder i HelseID, ta kontakt med HelseID på .

På sikt, ja. Det pågår for tiden utviklingsarbeid og pilottesting av integrasjon mellom HelseID og kjernejournal, og det er ventet at kjernejournal vil basere seg på denne typen integrasjon i fremtiden. Les mer om kjernejournal på https://www.nhn.no/kjernejournal/. Ta kontakt på dersom du har spørsmål knyttet til teknisk integrasjon med kjernejournal.

Ja. Sentral Forskrivningsmodul (SFM) krever bruk av HelseID. Les mer om SFM på https://ehelse.no/prosjekt/sentral-forskrivningsmodul. Ta kontakt på dersom du har spørsmål knyttet til integrasjon med SFM.

Nei, Forskrivningsmodulen (FM) krever ikke bruk av HelseID, men på sikt ønsker vi at oppslag mot kjernejournal fra FM benytter HelseID. Ta kontakt på dersom du har spørsmål knyttet til integrasjon med FM.