...
Krav til verktøy og leverandør | Prioritet | Akseptansekriterie | Kommentar |
Leverandør har signert leverandørvilkår for Norsk helsenett | MÅ HA | Avtale som leverandør inngått. | Sikrer blant annet at følgende forhold er ivaretatt: leverandøren har forpliktet seg til å etterleve kravene i Norm for informasjonssikkerhet. Leverandøren har dokumentert at tjenesten blir levert og produsert i et miljø som lever opp til sektorens krav Norsk Helsenett har gjennom avtale rett til å gjennomføre revisjon hos leverandøren for å sikre at tjenestene oppfyller sektorens krav |
Leverandør har støtte for somløs flyt fra Helsenorge til verktøy. | MÅ HA | Innbygger blir automatisk logget inn i verktøy ved overgang fra Helsenorge | løses ved å bruke Helsenorge som OpenID Connect tilbyder, slik at innbygger får single sign on fra helsenorge til verktøy. |
Verktøyet må vise pålogget bruker, representasjonsforhold og pasient ved representasjon | MÅ HA | Både pålogget bruker og pasient vises ved representasjon, samt representasjonsforholdet. | Ved representasjon kan en annen person enn pasient starte verktøyet, for eksempel foreldre til barn. Her er forelder logget på og barnet er pasienten. Ved bruk av helsenorge som identitesttilbyder er både innlogget persons og pasients fødselsnummer tilgjengelig, i tillegg til type representasjon. |
Leverandøren plikter å informere Norsk helsenett ved kjente sikkerhetshendelser i verktøyet slik at Helsenorge kan treffe tiltak for dette | MÅ HA | Rutiner etablert for å varsle om sikkerhetshendelser | |
Leverandøren skal stille et testsystem tilgjengelig med en testbruker, slik at Helsenorge kan verifisere ende til ende funksjonalitet | MÅ HA | Testsystem tilgjengelig for Helsenorge testavdeling, så lenge løsningen er i bruk integrert med Helsenorge. | Dette er på grunn av behov for regresjonstest. |
Leverandøren har levert overordnet løsningsbeskrivelse for verktøyet | MÅ HA | Løsningsbeskrivelse som dekker arkitekturskisse med komponenter i løsningen og kortfattet beskrivelse av hvordan funksjonelle og ikke- funksjonelle krav er dekket. |
|
Leverandøren har levert overordnet plan for innføring, opplæring og support | MÅ HA | Kortfattet dokument som dekker- Plan for pilotutprøving og innføring hos navngitte brukervirksomheter- plan for opplæring og kundestøtte - Plan for videre bredding av løsningen |
|
Leverandøren har levert en dokumentert Risiko og Sårbarhetsanalyse | MÅ HA | Risiko og sårbarhetsanalyse etter krav i Normen |
|
Responstid på uthopp til verktøyet skal være på under 3 sekunder i 99% av transaksjoner. | MÅ HA | Responstid på åpning av verktøy for innlogget innbygger, inkludert single sign on | Responstid på visning av oppstartsside i videoløsning inkludert innlogging |
Løsningen skal være i overensstemmelse med gjeldende lover, forskrifter og retningslinjer | MÅ HA | Egenerklæring fra leverandør |
|
Løsninger skal utformes universelt iht. retningslinjer og minimum krav i forskrift om Universell Utforming (UU) | MÅ HA | Egenerklæring fra leverandør | |
Løsninger skal kvalitetssikres gjennom brukertest og/eller andre metoder både i utviklingsfasen og løpende etter behov | MÅ HA | Egenerklæring fra leverandør |
|
Løsninger skal sikres og ha sikkerhetsmekanismer i henhold til god praksis. Sikkerhet i løsningen skal være beskrevet i system- og driftsdokumentasjon | MÅ HA | Egenerklæring fra leverandør | Som god praksis regnes OWASP ASVS eller tilsvarende. Normen gir føringer for dokumentasjon av sikkerhet i løsninger |
Løsninger skal etableres i tråd med prinsippene for innebygd personvern | MÅ HA | Egenerklæring fra leverandør |
|
Personopplysninger skal behandles iht. GDPR og løsningens behandling av personopplysninger og sensitive personopplysninger skal være dokumentert | MÅ HA | Egenerklæring fra leverandør | De 7 grunnleggende personvernprinsippene: Lovlig, rettferdig og gjennomsiktig, Formålsbegrensning, Dataminimering, Riktighet, Lagringsbegrensning, Integritet og fortrolighet, Ansvarlighet |
Tilgjengelighet for løsningen skal være på minst 99% innenfor oppetid til brukergruppen som benytter løsningen | MÅ HA | Leverandøren kan vise dokumentert oppetid |
|
...