Bruksvilkår for leverandører og andre som støtter helsevirksomheter i deres integra sjon mot nasjonale e-helsetjenester
Bruksvilkår for leverandører og andre som støtter helsevirksomheter i deres integra sjon mot nasjonale e-helsetjenester
Versjon 1.4 gjeldende fra 23.09.2023
Endringslogg
Versjon | Dato | Endring |
1.1 | 08.09.2021 | Lenker til referansedokumentasjon oppdatert |
1.2 | 20.01.2023 | Lenker til referansedokumentasjon oppdatert |
1.3 | 27.06.2023 | Endret for å tilpasse bruksvilkårene for verktøyleverandører |
1.4 | 13.09.2023 | Tittel på dokumentet er endret for også å omfatte andre relevante samarbeidspartnere Det er lagt inn en presisering av hva som menes med “leverandør” i kap. 1 Formuleringer om godkjenning er i pkt. 4.1 er endret Kap. 11 “Endring av bruksvilkårene” er endret |
1 Nasjonale e-helseløsninger
Norsk Helsenett forvalter de nasjonale e-helseløsningene (E-resept, Kjernejournal og Helsenorge). Disse bruksvilkårene regulerer vilkår for leverandører som på vegne av en eller flere helsevirk somheter integrerer seg mot en nasjonal e-helseløsning.
Med “leverandør” menes det i disse bruksvilkårene både kommersielle leverandører og andre virk somheter som støtter helsevirksomhetene med systemløsninger eller annen teknisk infrastruktur.
Bruksvilkårene gjelder for alle integrasjoner og tekniske grensesnitt mellom ekstern løsning og de nasjonale e-helseløsningene som er i produksjon. Med ekstern løsning menes sluttbrukersystemer, fagsystemer (f.eks. EPJ) og andre systemer, eksterne skjemautfyllere, selvstendige digitale verktøy og løsninger som integreres mot en nasjonal e-helseløsning. Bruksvilkårene omfatter ikke drift og forvaltning av de tekniske installasjonene av den eksterne
løsningen hos helsevirksomhetene.
2 Partsforhold - forholdet til bruksvilkår for nasjonale e-helseløsninger
Helsevirksomhetenes ansvar og oppgaver knyttet til nasjonale e-helseløsninger følger av bruksvilkår for de nasjonale e-helseløsningene. Helsevirksomheter som har engasjert leverandør til å utføre opp gaver knyttet til bruken av de nasjonale e-helseløsningene, er fullt ut ansvarlig for utførelsen av disse oppgavene på samme måte som om helsevirksomheten selv stod for utførelsen, se kapittel 9 i Helse norge - Generelle bruksvilkår, Kjernejournal - Generelle bruksvilkår og E-resept - generelle bruksvilkår som finnes på siden Bruksvilkår for nasjonale e-helseløsninger på xxx.xx.
Leverandører som aksepterer disse bruksvilkår er leverandør til en eller flere helsevirksomheter som bruker minst en av de nasjonale e-helseløsningene. Før leverandøren kan starte prosessen for å koble sin løsning mot en nasjonal e-helseløsning, skal bemyndiget representant for leverandøren akseptere disse vilkår.
Leverandøren kan kun integrere mot de nasjonale e-helseløsningene på vegne av offentlige helse virksomheter som har signert bruksvilkår for de nasjonale e-helseløsningene for den aktuelle tjenes ten. Leverandøren kan klargjøre integrasjonen, (se punkt 4.1 nedenfor), men ikke produksjonssette den før den offentlige helsevirksomheten har signert nødvendige avtaler med Norsk Helsenett SF for tjenesten. Bruksvilkår for nasjonale e-helseløsninger gjelder tilsvarende for leverandøren så langt de er relevante. Dette bør reguleres i avtalen mellom helsevirksomheten og leverandøren.
3 Krav til kundeforhold mellom helsevirksomhet og leverandør
Det er et krav at leverandøren har en gyldig avtale med helsevirksomheten før løsningen produksjonsettes for, eller på vegne av, helsevirksomheten. Dersom kundeforholdet opphører, skal leverandøren varsle om dette til kontaktpunktet angitt i punkt 5.1. Se også vilkår for oppsigelse, punkt 12. Leverandøren kan kun benytte integrasjonen mot de nasjonale e-helseløsningene for tjenester som utføres på vegne av virksomheter i den offentlige helse- og omsorgssektoren.
4 Virksomhetenes ansvar og oppgaver
Når helsevirksomheten benytter leverandører etter kapittel 9 i bruksvilkår for de nasjonale e-helse løsningene, vil avtalen mellom helsevirksomheten og leverandøren regulere hvilke oppgaver leverandøren skal utføre for helsevirksomheten, og hvilket ansvar leverandøren skal ha på vegne av helsevirksomheten, jf. punkt 3 ovenfor.
I dette kapitlet gjengis ansvar og oppgaver som påligger helsevirksomhetene etter bruksvilkår for de nasjonale e-helseløsningene, men som typisk vil ivaretas/utføres av helsevirksomhetens leverandør etter avtale, se også kapittel 7 i bruksvilkår for de nasjonale e-helseløsningene.
4.1 Integrasjon og oppkobling
Integrasjonskrav og etablerte standarder som er fastsatt av Norsk Helsenett SF skal følges. Leverandøren skal stille med nødvendig kompetanse i forbindelse med integrasjonen og test og ved likehold av integrasjonen.
Leverandør som integrerer en ekstern løsning med nasjonale e-helseløsninger, plikter å følge Norsk Helsenetts fastsatte prosesser for test og godkjenning.
Eksterne løsninger som er godkjent for integrasjon mot nasjonale e-helseløsninger, skal ha etablerte kvalitetsrutiner for alle endringer som kan påvirke verdikjedene. Leverandør er ansvarlig for å kvalitetssikre egen løsning. Dette omfatter en vurdering av nødvendige kvalitetssikringstiltak ut fra endringens omfang og i hvor stor grad endringen berører funksjonalitet og integrasjon mot nasjonal løsning. Ved behov skal det gjennomføres verdikjedetest i samarbeid med Norsk Helsenett.
Alle testmiljøer som knyttes opp mot testmiljøer for de nasjonale e-helseløsningene skal kun inneholde anonymiserte/syntetiske testdata. Norsk Helsenett aksepterer ikke integrasjon mot testmiljøer med kopi av produksjonsdata eller andre persondata som ikke er anonymiserte eller syntetiske.
4.2 Melding om hendelser og hendelseshåndtering
Leverandør er ansvarlig for å:
S melde feil eller hendelser i egen løsning som påvirker tilknytning til de nasjonale e-helseløsningene så raskt som mulig i henhold til gjeldende rutiner (hendelsesprosessen)
S ha et bemannet kontaktpunkt som kan kontaktes av NHN dersom feil
oppdages, og der feilen mistenkes å skyldes leverandørens system eller integrasjon.
Hendelser, herunder eventuell etablering av og krav til deltagelse i operativ stab, håndteres i henhold til punkt 6.5 i bruksvilkår for de nasjonale e-helseløsningene.
Se også informasjon om hvordan melde feil og hendelser, som kan finnes via lenke under “Tilknyttet informasjon” på siden for bruksvilkår på xxx.xx.
4.3 Forvaltning og oppdrageringer
Leverandør er ansvarlig for å forvalte og opprettholde kvaliteten i egen løsning over tid og gjennom dette sikre at den til enhver tid tilfredsstiller gjeldende krav og etablerte standarder som er fastsatt av Norsk Helsenett. Etter hvert som de nasjonale e-helseløsningene forvaltes og videreutvikles er Leverandør også ansvarlig for å oppgradere og ta i bruk nye versjoner av grensesnitt og integrasjons løsninger der dette er relevant for å kunne opprettholde funksjonaliteten og samvirket med den nasjonale e-helseløsningen før gamle versjoner avvikles. Norsk helsenett har til enhver tid publisert informasjon om hva som er gjeldende standarder og versjoner og hva som er planlagt faset ut.
Normalt skal nye versjoner tas i bruk senest ett år etter at den er tilgjengeliggjort.
4.4 For leverandører av selvstendige digitale verktøy
Den offentlige helseaktøren som ønsker tilgjengeliggjort et verktøy fra en leverandør via verktøyka talogen på Helsenorge har ansvaret for kvalitetssikringen av verktøyet innen:
S helsefaglig kvalitet og helsenytte
S brukskvalitet og universell utforming
S personvern og databehandling
S informasjonssikkerhet
S samhandling med andre løsninger i sektoren
Offentlig helsevirksomhet har ansvar for at verktøyet er anskaffet i henhold til reglene om offentlige anskaffelser og at de nødvendige avtaler er inngått.
Det er en forutsetning at leverandør innfrir kravene som nevnt ovenfor og ivaretar de til enhver tid gjeldende lover og bestemmelser innenfor disse områdene, for å være integrert mot den nasjonale e-helseløsningen.
5 Kontaktpunkter
5.1 For nasjonale e-helseløsninger
Kontaktpunkt i Norsk Helsenett HF for henvendelser angående tjenestene (teknisk brukerstøtte, endringsønsker m.v.):
S Telefon: 00 00 00 00
5.2 Hos leverandøren
Leverandøren har ansvar for å holde informasjon om kontaktpunkter i egen virksomhet oppdatert. Spesielt viktig er integrasjons- og sikkerhetsansvarlig, da dette er kontaktpunktet som vil kunne benyttes for håndtering av tekniske forhold, sikkerhetsmessige forhold og ved feilsituasjoner knyttet til leverandørens integrasjoner mot de nasjonale e-helseløsningene.
For eksterne løsninger med helsefaglig innhold (for eksempel selvstendige digitale verktøy) er det spesielt viktig at kontaktinformasjon for helsefaglig ansvarlig blir holdt oppdatert
6 Personopplysninger
Ansvaret for behandling av personopplysninger knyttet til de nasjonale e-helseløsningene fremgår av de generelle og spesielle bruksvilkårene helsevirksomheten signerer for tjenestene.
Alle som er integrert mot en av de nasjonale ehelseløsningne forplikter seg til å følge Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren).
Hvis leverandøren behandler personopplysninger på vegne av en eller flere helsevirksomheter, skal det inngås databehandleravtale mellom partene.
Når leverandøren som databehandler utfører oppgaver på vegne av helsevirksomheten som data- ansvarlig, skal leverandøren logge hvem de opptrer på vegne av.
7 Taushetsplikt
Forvaltningslovens taushetspliktbestemmelser kommer til anvendelse for partene og eventuelle underleverandører og tredjeparter. I tillegg har enhver som behandler helseopplysninger i behand
lingsrettet helseregister etter pasientjournalloven og/eller i helseregister etter helseregisterloven, taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helse opplysninger fra et behandlingsrettet helseregister eller helseregister, har samme taushetsplikt.
Partene skal ta nødvendige forholdsregler for å hindre at uvedkommende får innsyn i eller kan bli kjent med taushetsbelagt materiale eller informasjon.
Taushetsplikten gjelder også etter tjenestenes opphør. Ansatte eller andre som fratrer sin tjeneste hos en av partene eller deres underleverandører, skal pålegges å bevare taushet om forhold som er nevnt ovenfor, også etter fratredelsen.
8 Tilgang til opplysninger og revisjon
Norsk Helsenett skal på forespørsel få tilgang til dokumentasjon og logger som er relevante for integrasjonen mot de nasjonale e-helseløsningene.
Norsk Helsenett har rett til å foreta revisjon og verifikasjon av at leverandøren overholder bruks- vilkårene. Revisjonen skal ta utgangspunkt i tilsynsrapporter fra offentlige tilsynsmyndigheter og revisjon utført av organisasjonen selv eller ved hjelp av tredjepart, samt gjennomførte sertifiseringer. Revisjonen skal gjennomføres på en slik måte at den i minst mulig grad forstyrrer alminnelig drift og tjenesteleveranser.
Revisjonen skal være egnet til å bekrefte eller avkrefte overfor Norsk Helsenett og/eller helse- virksomheter som benytter tjenesten om bruksvilkårene overholdes. Dersom revisjonen avdekker at bruksvilkårene ikke overholdes, plikter leverandøren å endre tjenesten på en slik måte at vilkårene oppfylles. Leverandøren plikter i et slikt tilfelle å refundere Norsk Helsenetts kostnader til gjennom føring av revisjonen.
9 Pris
Leverandøren må selv dekke egne kostnader forbundet med integrasjon mot den nasjonale e-helse løsningen.
Pris for helsevirksomhetenes bruk av de nasjonale e-helseløsningene er regulert i bruksvilkår for den enkelte løsningen.
Helsevirksomhetens økonomiske forpliktelser overfor leverandøren følger av avtalen mellom helse virksomheten og leverandøren. Norsk Helsenett er ikke part i disse avtaler.
10 Mislighold
Misligholdssituasjoner er regulert i kapittel 12 i generelle bruksvilkår for de nasjonale e-helseløsnin gene.
11 Endring av bruksvilkårene
Norsk Helsenett skal ved endringer av disse bruksvilkår legge ut ny versjon på xxx.xx til informasjon.
12 Oppsigelse
Leverandøren kan si opp disse vilkårene med 3 måneders skriftlig varsel.
Dersom leverandøren sier opp bruksvilkårene, skal leverandøren redegjøre overfor Norsk Helsenett hvordan helsevirksomhetenes integrasjon mot den nasjonale e-helseløsningen blir ivaretatt.