Krav til verktøy
Denne siden beskriver minimumskrav («MÅ HA») til verktøy som er tilgjengelig fra Helsenorge.
Kravene gjelder både:
behandlerverktøy
nasjonale helseverktøy
Der det finnes spesifikke krav for én av verktøykategoriene, er dette eksplisitt angitt i tabellene under.
«MÅ HA» betyr at kravet må være oppfylt og dokumentert før verktøyet kan tas i bruk sammen med Helsenorge.
Norsk Helsenett har rett til å foreta revisjon og verifikasjon av at leverandøren overholder kravene.
Utvalgte krav fra leverandørvilkår og lovkrav
Krav til leverandør | Prioritet | Akseptansekriterie | Kommentar |
Leverandør har signert leverandørvilkår for Norsk helsenett | MÅ HA | Avtale som leverandør inngått. For behandlerverktøy: https://www.nhn.no/for-leverandorer/leverandorvilkar For Nasjonale helseverktøy: https://www.nhn.no/tjenester/helsenorge/bruksvilkar/Bruksvilkår_leverandører.pdf | Leverandør kan kun benytte integrasjonen mot tjenesten i Helsenettet for tjenester som utføres på vegne av medlemmet. |
Leverandøren skal stille et testsystem tilgjengelig med en testbruker, slik at Helsenorge kan verifisere ende til ende funksjonalitet | MÅ HA | Testsystem tilgjengelig for Helsenorge, så lenge løsningen er i bruk integrert med Helsenorge. | For mulighet til verifisering og regresjonstest. |
Leverandøren har en overordnet løsningsbeskrivelse for verktøyet | MÅ HA | Løsningsbeskrivelse som dekker arkitekturskisse med komponenter i løsningen og kortfattet beskrivelse av hvordan funksjonelle og ikke- funksjonelle krav er dekket. |
|
Leverandøren har en overordnet plan for innføring, opplæring og support | MÅ HA | Kortfattet dokument som dekker- Plan for pilotutprøving og innføring hos navngitte brukervirksomheter- plan for opplæring og kundestøtte - Plan for videre bredding av løsningen |
|
Leverandøren har gjennomført en dokumentert Risiko og Sårbarhetsanalyse | MÅ HA | Gjennomført og dokumentert risiko- og sårbarhetsanalyse (ROS) iht. Normen. Identifiserte tiltak er vurdert og plan for håndtering av vesentlige risikoer er etablert. |
|
Løsningen skal være i overensstemmelse med gjeldende lover, forskrifter og retningslinjer | MÅ HA |
|
|
Løsninger skal utformes iht. retningslinjer og minimum krav i forskrift om Universell Utforming (UU) | MÅ HA |
| |
Løsninger skal kvalitetssikres gjennom brukertest og/eller andre metoder både i utviklingsfasen og løpende etter behov | MÅ HA |
|
|
Løsninger skal sikres og ha sikkerhetsmekanismer i henhold til god praksis. Sikkerhet i løsningen skal være beskrevet i system- og driftsdokumentasjon | MÅ HA |
| Som god praksis regnes OWASP ASVS eller tilsvarende. Normen gir føringer for dokumentasjon av sikkerhet i løsninger |
Løsninger skal etableres i tråd med prinsippene for innebygd personvern | MÅ HA |
|
|
Personopplysninger skal behandles iht. GDPR og løsningens behandling av personopplysninger og sensitive personopplysninger skal være dokumentert | MÅ HA |
| De 7 grunnleggende personvernprinsippene: Lovlig, rettferdig og gjennomsiktig, Formålsbegrensning, Dataminimering, Riktighet, Lagringsbegrensning, Integritet og fortrolighet, Ansvarlighet |
Generelle krav fra Helsenorge
Krav til leverandør | Prioritet | Akseptansekriterie | Kommentar |
Verktøyet kan beskrives med navn, formål og målgruppe. | MÅ HA | Navn, formål og målgruppe er tydelig beskrevet. |
|
Verktøyet har god brukskvalitet på stor og liten brukerflate, responsivt design. | MÅ HA | Løsningen fungerer på relevante enheter (mobil, nettbrett, PC). Kritiske brukeroppgaver kan utføres både på liten og stor skjerm uten redusert funksjonalitet. |
|
Verktøyet inneholder ikke reklame for varer eller tjenester, eller tar betalt for bruk fra innbygger/pasient. | MÅ HA |
|
|
Det er avklart hvordan innbyggeren skal få veiledning og støtte i bruken av verktøyet. | MÅ HA |
|
|
Verktøyet samspiller med Helsenorge iht. Prinsipper for innbyggertjenester. | MÅ HA |
|
|
Verktøyet har støtte for sømløs flyt fra Helsenorge til verktøy. | MÅ HA | Innbygger blir automatisk logget inn i verktøy ved overgang fra Helsenorge | Løses ved å ta i bruk https://helsenorge.atlassian.net/wiki/spaces/HELSENORGE/pages/3255500802 For nasjonale helseverktøy uten innlogging eller brukerprofil er dette kravet ikke relevant. |
Verktøyet må håndtere representasjon med mindre det aldri skal benyttes av andre enn pasienten selv. | MÅ HA | Verktøyet håndterer representasjon eller beskriver hvorfor dette ikke er relevant. | Beskrivelse og håndtering av representasjon https://helsenorge.atlassian.net/wiki/spaces/HELSENORGE/pages/2520481794 |
Responstid på uthopp til verktøyet skal være på under 3 sekunder i 99% av transaksjoner. | MÅ HA | Responstid på åpning av verktøy for innlogget innbygger, inkludert innlogging. |
|
Tilgjengelighet for løsningen skal være på minst 99% innenfor oppetid til brukergruppen som benytter løsningen. | MÅ HA |
|
|
Vurdering av behov for CE merking er tilgjengelig for Norsk Helsenett. | MÅ HA | Gyldig CE-sertifisering for relevant risikoklasse er gjort tilgjengelig for Norsk Helsenett før verktøyet tas i bruk via Helsenorge. |
|
Dersom verktøyet er vurdert å kreve CE merking er denne gjort tilgjengelig for Norsk helsenett. | MÅ HA | Gyldig CE-sertifisering for relevant risikoklasse er gjort tilgjengelig for Norsk Helsenett før verktøyet tas i bruk via Helsenorge. | Helsenorge kan ikke ta risiko ved å tilgjengeliggjøre verktøy som krever CE merking uten å ha denne dokumentert. |
Spesifikke krav for nasjonale helseverktøy
Krav | Prioritet | Akseptansekriterie | Kommentar |
Verktøyet er et helseverktøy som inngår som en del av det offentlige helsetilbudet på nasjonalt nivå. Innbygger kan finne og bruke verktøyet på egenhånd | MÅ HA |
|
|
Verktøyet er anskaffet for nasjonal bruk i tråd med regelverk for anskaffelser | MÅ HA |
|
|
Bestilling og godkjenning for et nasjonalt helseverktøy må komme fra en offentlig helseaktør på nasjonalt nivå. | MÅ HA | Helseaktører som kan godkjenne er
|
|