Normen gjelder for enhver virksomhet som gjennom avtale med Norsk Helsenett har forpliktet seg til å følge den. Leverandører vil være forpliktet til å følge Normen dersom de har tilknytning til helsenettet, eller ved andre typer avtaler som databehandleravtale, tjeneste/driftsavtale, avtale om fjernsupport mm. Leverandører skal tilrettelegge for at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle lovbestemte krav og kravene i Normen.
Hvilke av Normens krav som gjennom avtale gjelder for leverandører er avhengig av hva slags type leveranse det er snakk om, for eksempel:
- Databehandling, i form av for eksempel skytjenester eller driftstjenester
- Vedlikehold, for eksempel ved fysisk service eller fjernaksess
- Leveranse av løsninger og systemer
I de tilfellene hvor leverandøren ikke er forpliktet via avtale med Norsk Helsenett til å følge Normen, kan de allikevel pålegges å følge kravene via databehandleravtale eller annen avtale med virksomheten.
Tabellen nedenfor viser noen av Normens krav og mulig løsning for hvordan kravene kan ivaretas av leverandør for leveranse av digitale kommunikasjonsløsninger. Tabellen nedenfor inneholder eksempler på aktuelle krav og ikke alle kravene vil være relevante for alle leverandører.
For en fullstendig oversikt over alle systemkravene i Normen, bruk Vedlegg til Normens krav. For kommunikasjonsløsninger som brukes sammen med EPJ-system, se "Systemkrav i behandlingsrettet helseregister" i vedlegget for oversikt over samtlige systemkrav i Normen.
Eksempel på noen av kravene og mulige løsninger på kravet i praksis:
| Relevante krav (for leverandører) i Normen | Utdyping av krav og mulige løsninger |
4.1 Behandlingsgrunnlag | Dataansvarlig er ansvarlig for at samtykke fra pasienten/ brukeren er innhentet til å formidle helse- og personopplysninger elektronisk. Ved utvikling av nettportaler og applikasjoner for pasientkommunikasjon, bør leverandøren sørge for at det kan avgis samtykke elektronisk ved første gangs bruk av løsningen for pasientkommunikasjon. Samtykket bør skilles ut slik at den registrerte kan velge ut de de enkelte tjenestene som finnes i portalen/applikasjonen. For mer informasjon om samtykke, se Veileder for rettigheter ved behandling av helse- og personopplysninger. |
4.2.3 Innsyn 4.2.4 Retting og sletting | Leverandøren må legge til rette for tekniske og organisatoriske tiltak slik at den registrerte kan få innfridd sine rettigheter. Dette innebærer at krav til innebygget personvern må hensyntas ved utvikling av løsninger. Løsningen må inneholde funksjonalitet som sørger for at dataansvarlig kan utføre retting og sletting av helse- og personopplysninger, eller at det finnes funksjonalitet som gjør at den registrerte kan rette egne opplysninger. Dersom løsningen behandler opplysninger som faller inn under dokumentasjonsplikten til helsepersonell, må ikke disse kunne endres eller slettes av den registrerte. Se også Veileder for rettigheter ved behandling av helse- og personopplysninger. |
5.4.4 Logging | Minimumskravene til logging følger av Normens krav 5.4.4. Dersom det behandles helse- og personopplysninger for andre formål enn ytelse av helsehjelp, for eksempel administrasjon av helsehjelp, skal kravene til logging fastsettes på bakgrunn av en risikovurdering. |
5.7 Leverandørforhold og avtaler | Når leverandør utfører behandling av helse- og personopplysninger på vegne av dataansvarlig skal det inngås en databehandleravtale. Dersom leverandøren drifter løsninger for flere kunder skal den sørge for at det ikke opprettes registre som inneholder helse- og personopplysninger for flere kunder. Dette skal fremgå av databehandleravtalen. For leverandører av utstyr og/eller programvare som må ha adgang, til systemer som behandler helse- og personopplysninger, for vedlikehold, feilretting, oppdatering, ved hjelp av online tilkobling og/eller fysisk oppmøte skal det inngås en databehandleravtale. Det må sikres at det er inngått avtale som ivaretar taushetsplikten (enten ved inngåelse av databehandleravtale eller annen avtale). Drifter leverandør kun selve portalen/applikasjonen (grensesnittet mellom pasient/bruker og virksomhetens fagsystem) er det vesentlig å avtale at mellomlagringen må sikres og slettes i portalen etter at kommunikasjonen er gjennomført. Alternativt kan det benyttes PKI som sikrer kommunikasjonen mellom pasient/bruker og virksomhetens fagsystem. Mal for databehandleravtale med veileder finnes hos Direktoratet for e-helse. Utfylling av avtalen bør gjøres i samarbeid med dataansvarlig. Se også : |
5.8.1 Avvikshåndtering | Leverandøren må ha rutiner for å oppdage, håndtere og melde brudd på personopplysningssikkerheten til dataansvarlig. Detaljerte krav til håndtering og melding av avvik kan detaljeres i en databehandleravtale. |
