Datadeling er deling av strukturerte data mellom virksomheter i sanntid.
Et datadelingsgrensesnitt er et grensesnitt/API (Application Programming Interface) [3 - ok?] som tilgjengeliggjør en virksomhet sine data, for eksempel helseopplysninger, for andre virksomheter, over åpne nett ved bruk av webteknologi.
Krav til konfidensialitet og integritet må sikres ved bruk av et datadelingsgrensesnitt over åpne nett. Figuren under viser en skjematisk, forenklet skisse av bruk av datadelingsgrensesnitt.
Tilbyende virksomhet er dataansvarlig for informasjonen som tilgjengeliggjør helse og personopplysninger til innbyggere, eller brukere med tjenstlig behov, gjennom et datadelingsgrensesnitt.
Anvendende virksomhet har en klient som brukes for å aksessere et datadelingsgrensesnitt med sensitiv informasjon hos en annen virksomhet. Anvendende virksomhet kan være en annen dataansvarlig, en databehandler som har en databehandleravtale med tilbyende virksomhet eller en innbygger som får tilgang til egne helseopplysninger.
En eller flere mellomtjenere kan stå mellom klienter og selve datadelingsgrensesnittet. En mellomtjener kan tilby utvidet funksjonalitet slik som transformering av innhold, bytte av teknisk protokoll osv. En av mellomtjenerne bør ha funksjonalitet for å godkjenne trafikk fra klienter man stoler på. Alle godkjenninger og avvisninger skal logges. En mellomtjener skal unngå mellomlagring og logging av sensitiv informasjon. Der data må mellomlagres skal det ikke lagres lengre enn nødvendig. For eksempelet ved trafikkinspeksjon vil det si at data skal slettes i det inspeksjonen er gjennomført. Kun autorisert driftspersonell skal ha tilgang til mellomtjenere.
En virksomhetsgrense rammer inn virksomhetens ansvar og kontrollområde. Innenfor sin virksomhetsgrense kan virksomheten inngå avtale med leverandører som da blir databehandlere, for eksempel ved drift av mellomtjener. Krav til konfidensialitet og integritet ved overføring av helseopplysninger over åpne nett gjelder fra virksomhetsgrense til virksomhetsgrense.
Krav til sikring av kommunikasjonskanal er beskrevet i punkt 3. Hver virksomhet må innenfor sin virksomhetsgrense følge krav til konfidensialitet og integritet ved sin egen behandling av helseopplysninger. Sikkerhets- og samhandlingsarkitektur ved intern samhandling (faktaark 20b) omhandler dette temaet.
Prinsippene gjelder også for andre anvendelser av API-er, for eksempel i en nettløsning der det benyttes nettlesere som klienter, eller bruk av datadeling innad i en virksomhet som benytter åpne nett mellom klient og tjener.
