Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents
Info

Kravene til integrerte verktøy er under utabeidelse og dette er et første utkast lagt ut for innspill og kvalitetssikring.

Kvalitetskrav

Krav til verktøy og leverandør

Prioritet

Akseptansekriterie

Kommentar

Leverandør har signert leverandørvilkår for Norsk helsenett

MÅ HA

Avtale som leverandør inngått.

Sikrer blant annet at følgende forhold er ivaretatt: leverandøren har forpliktet seg til å etterleve kravene i Norm for informasjonssikkerhet. Leverandøren har dokumentert at tjenesten blir levert og produsert i et miljø som lever opp til sektorens krav Norsk Helsenett har gjennom avtale rett til å gjennomføre revisjon hos leverandøren for å sikre at tjenestene oppfyller sektorens krav

Leverandør har støtte for somløs flyt fra Helsenorge til verktøy.

MÅ HA

Innbygger blir automatisk logget inn i verktøy ved overgang fra Helsenorge

løses ved å bruke Helsenorge som OpenID Connect tilbyder, slik at innbygger får single sign on fra helsenorge til verktøy.

Verktøyet må vise pålogget bruker, representasjonsforhold og pasient ved representasjon

MÅ HA

Både pålogget bruker og pasient vises ved representasjon, samt representasjonsforholdet.

Ved representasjon kan en annen person enn pasient starte verktøyet, for eksempel foreldre til barn. Her er forelder logget på og barnet er pasienten. Ved bruk av helsenorge som identitesttilbyder er både innlogget persons og pasients fødselsnummer tilgjengelig, i tillegg til type representasjon.

Leverandøren plikter å informere Norsk helsenett ved kjente sikkerhetshendelser i verktøyet slik at Helsenorge kan treffe tiltak for dette

MÅ HA

Rutiner etablert for å varsle om sikkerhetshendelser

Leverandøren skal stille et testsystem tilgjengelig med en testbruker, slik at Helsenorge kan verifisere ende til ende funksjonalitet

MÅ HA

Testsystem tilgjengelig for Helsenorge testavdeling, så lenge løsningen er i bruk integrert med Helsenorge.

Dette er på grunn av behov for regresjonstest.

Leverandøren har levert overordnet løsningsbeskrivelse for verktøyet

MÅ HA

Løsningsbeskrivelse som dekker arkitekturskisse med komponenter i løsningen og kortfattet beskrivelse av hvordan funksjonelle og ikke- funksjonelle krav er dekket.

 

Leverandøren har levert overordnet plan for innføring, opplæring og support

MÅ HA

Kortfattet dokument som dekker- Plan for pilotutprøving og innføring hos navngitte brukervirksomheter- plan for opplæring og kundestøtte - Plan for videre bredding av løsningen

 

Leverandøren har levert en dokumentert Risiko og Sårbarhetsanalyse

MÅ HA

Risiko og sårbarhetsanalyse etter krav i Normen

 

Responstid på uthopp til verktøyet skal være på under 3 sekunder i 99% av transaksjoner.

MÅ HA

Responstid på åpning av verktøy for innlogget innbygger, inkludert single sign on

Responstid på visning av oppstartsside i videoløsning inkludert innlogging

Løsningen skal være i overensstemmelse med gjeldende lover, forskrifter og retningslinjer

MÅ HA

Egenerklæring fra leverandør

 

Løsninger skal utformes universelt iht. retningslinjer og minimum krav i forskrift om Universell Utforming (UU)

MÅ HA

Egenerklæring fra leverandør

forskrift om universell utforming av IKT

Løsninger skal kvalitetssikres gjennom brukertest og/eller andre metoder både i utviklingsfasen og løpende etter behov

MÅ HA

Egenerklæring fra leverandør

 

Løsninger skal sikres og ha sikkerhetsmekanismer i henhold til god praksis. Sikkerhet i løsningen skal være beskrevet i system- og driftsdokumentasjon

MÅ HA

Egenerklæring fra leverandør

Som god praksis regnes OWASP ASVS eller tilsvarende. Normen gir føringer for dokumentasjon av sikkerhet i løsninger

Løsninger skal etableres i tråd med prinsippene for innebygd personvern

MÅ HA

Egenerklæring fra leverandør

 

Personopplysninger skal behandles iht. GDPR og løsningens behandling av personopplysninger og sensitive personopplysninger skal være dokumentert

MÅ HA

Egenerklæring fra leverandør

De 7 grunnleggende personvernprinsippene: Lovlig, rettferdig og gjennomsiktig, Formålsbegrensning, Dataminimering, Riktighet, Lagringsbegrensning, Integritet og fortrolighet, Ansvarlighet

Tilgjengelighet for løsningen skal være på minst 99% innenfor oppetid til brukergruppen som benytter løsningen

MÅ HA

Leverandøren kan vise dokumentert oppetid

 

...