Dokumenter i TrinnVis

TrinnVis inneholder en mengde skreddersydde maldokumenter, som du kan utforske her. Som TrinnVis-bruker trenger du ikke å forholde deg til alle sammen, fordi systemet filtrerer og tilpasser dokumentene til din virksomhet.

Prøv TrinnVis gratis

Elektronisk meldingsutveksling

Kravene til sikkerhet ved utveksling av pasientrelatert elektronisk informasjon er basert på Norm for informasjonssikkerhet i helsesektoren. Meldingene sendes gjennom Norsk Helsenett. Det å etterleve kravene i Normen er en forutsetning for å tilknyttes helsenettet.

Norm for informasjonssikkerhet i helse og omsorgstjenesten (Normen)

Retningslinjer

Elektronisk medisinsk meldingskommunikasjon

Medisinske meldinger med helse- og personopplysninger (epikriser, labsvar, rtg m.m) skal IKKE sendes med vanlig e-post.

Vi følger gjeldende nasjonale standarder for meldingskommunikasjon. Dette sikrer at vi kan kommunisere med mange samarbeidspartnere innen helsevesenet selv om de har andre journalsystemer enn oss. Videre ivaretar disse standarder krav til sikker kommunikasjon, slik at uautorisert innsyn i oversendt informasjon forhindres.
bXML-rammeverket er en internasjonal standard for meldingsutveksling som beskriver hvordan sikkerhetstiltak som kryptering og signering av meldinger kan ivaretas.

Sikker adressering er viktig ved kommunikasjon over åpne nett slik at man er sikker på at informasjon blir sendt til riktig mottaker. Vi benytter adresseregisteret (HER) i Norsk Helsenett da det bidrar til slik sikker identifisering.

Meldingene sendes via helsenettet som er utviklet for sikker elektronisk kommunikasjon i helsevesenet. Dette nettet er i utgangspunktet også åpent, slik at kommunikasjon av sensitive opplysninger må sikres.

Vi benytter applikasjonskvittering for å få bekreftet at meldinger er kommer korrekt frem og vil med dette systemet få varsel hvis en melding har sviktet. For noen meldinger benyttes i en overgangfase papirutskrift som backup til risikovurdering har vist at applikasjonskvittering fungerer for gjeldende melding og partner.

Elektronisk signatur (PKI)

Hva er PKI?

PKI er en forkortelse for Public Key Infrastructure. Det er en elektronisk legitimasjon og signatur som sikkert identifiserer både person og virksomhet. I helsesektoren sikrer PKI elektronisk forsendelse og samhandling (datakommunikasjon) mellom virksomheter, som legekontor og sykehus, og for å signere enkelte meldinger, som sykmelding og etter hvert eResept. PKI kan også benyttes for pålogging (autentisering) til interne og eksterne tjenester.

PKI-smartkortet er den enkeltes personlige signatur og identitetsbevis, og må behandles deretter.

  • Smartkortet må betraktes som et identitetsbevis og oppbevares på en sikker måte
  • Lån aldri bort smartkortet ditt
  • Beskytt din personlige PIN-kode. Gi den aldri til andre og skriv den ikke ned så den kan leses av andre
  • Hvis kortet mistes eller blir stjålet, må dette straks meldes til PKI-leverandørens sperretjeneste

Det er i Høringsversjon av Strategi for e-ID og e-signatur i offentlig sektor beskrevet 4 sikkerhetsnivå for autentisering og uavviselighet (signering). For alle løsninger med behov for autentisering til eller signering av helseopplysninger (ev. andre personopplysninger) på tvers av virksomheter må nivå 4 benyttes. Vi bruker derfor det strengeste Sikkerhetsnivå 4 (Virksomhet og Person Høyt): Det betyr to sikkerhetsfaktorer – hvorav én dynamisk. Hos oss smartkort + passord. Det er strenge krav til utleveringsprosedyrer. Løsningen er registrert hos Post- og teletilsynet og tilfredsstiller krav gitt i Kravspesifikasjon for PKI i offentlig sektor.

Hvorfor bruker vi PKI og elektronisk signatur?

Helsesektoren bruker PKI med en høy grad av sikkerhet på enkelte elektroniske meldinger, bl.a. hvor risikoen for forfalskninger er stor, som sykmelding og eResept.

  • PKI sikrer at en elektronisk melding ikke kan endres, og at mottaker kan være sikker på hvem avsender er. Elektroniske meldinger vil ellers være lette å kopiere og forfalske.
  • PKI sikrer at ingen kan lage falske elektroniske meldinger som gir seg ut for å komme fra en gitt lege eller helsepersonell (som falske elektroniske resepter)
  • Beskyttelse mot innsyn: Ved bruk av PKI vil man kunne overføre meldinger kryptert uten på forhånd å avtale hvilke nøkler man skal bruke.
  • Forenklet administrasjon: Man slipper å etablere og oppdatere krypteringsnøkler for alle parter man kommuniserer mot

Bruk av PKI på virksomhetsnivå foregår i stor grad uten at vi merker det, og sørger for sikker utveksling av informasjonen. Vårt sertifikat er installert på hovedserver i kommunikasjonsløsningen. Det er nødvendig for alle medisinske meldinger. Bruk av PKI bidrar til at vi slipper å avtale krypteringsnøkler med dem vi kommuniserer med og sikrer at informasjonen ikke kommer til feil mottaker (så sant vi har adressert til riktig partner).

PKI på personlig nivå er hver leges elektroniske signatur på sykmeldinger, resepter og evt andre dokumenter. Dette vil gradvis overta for håndsignatur på papirdokumenter.

Håndtering av pasientinformasjon for pasientansvarlig i fravær

[Beskriv hvordan elektroniske meldinger med pasientinformasjon skal håndteres når en pasientansvarlig er fraværende over flere dager]

Kommunikasjonspartnere for elektroniske meldinger

Elektronisk meldingskommunikasjon må piloteres (utprøves) for hver kommunikasjonspartner og meldingstype før parallelle papirmeldinger kan avvikles. Du bør lage en liste over hvilke kommunikasjonspartnere som er klarert for ren elektronisk kommunikasjon og hvilke som er under pilotering.

Ved pilotering (utprøving) sender vi alltid papirutskrift i tillegg til elektronisk melding. Når evalueringen etter pilotering viser god sikkerhet, kan vi slutte med papirmeldinger for den aktuelle partneren og meldingstypen.

Klarerte kommunikasjonspartnere og meldingstyper:

  • [Her lister du opp hvilke partnere og meldingstyper som er klarert for ren elektronisk kommunikasjon]

Piloterte kommunikasjonspartnere og meldingstyper:

  • [Her lister du opp hvilke partnere og meldingstyper som er under utprøving for elektronisk kommunikasjon, og som derfor skal ha papirkopi i tillegg]

Avtaler

Avtale med laboratorium om elektronisk kommunikasjon

Lov om helsepersonell m.v. (helsepersonelloven)

(§ 21. Hovedregel om taushetsplikt, § 25. Opplysninger til samarbeidende personell)

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)

(§ 16 – Informasjonssikkerhet)

Lov om behandling av personopplysninger (personopplysningsloven)

(§ 13 – Informasjonssikkerhet)

Forskrift om behandling av personopplysninger (personopplysningsforskriften)

(kap. 2 – Informasjonssikkerhet)

Avtale mellom [virksomhetens navn, organisasjonsnummer], i det følgende kalt Legehuset, og [laboratoriets navn, organisasjonsnummer], i det følgende kalt Laboratoriet, om elektronisk kommunikasjon

1) Laboratoriet leverer klinisk kjemiske laboratorietjenester til Legehuset. Blod, urin, avføring, sekreter, puss, vevsprøver o.l sendes fra Legehuset til laboratoriet for analysering. Laboratoriet sender analysesvar med medisinske vurderinger og kommentarer tilbake til Legehuset. Fra Legehuset til laboratoriet følger det med kortfattede relevante medisinske opplysninger som gjør laboratorielegen i stand til å vurdere analyseresultatet. Pasientens navn, adresse og personnummer følger med sendingene begge veier.

2) Legehuset og laboratoriet utveksler elektroniske meldinger som inneholder helse- og personopplysninger. For tilfredstillende informasjonssikkerhet rundt meldingsformidlingen, avtales følgende ansvarsfordeling (disse punktene inneholder også mål partene er enige om å oppfylle i fremtiden, jfr. ELIN-prosjektet. Punkter som partene teknologisk og praktisk er i stand til å oppfylle i dag, merkes med et kryss)

Avsender er ansvarlig for:

  • Egen tilkoblingssikring som hindrer utilsiktet utlevering og inntrenging.
  • Tjenesten skal ikke kunne formidle program som inneholder virus e. l.
  • Sikker overføringskryptering ende-til-ende.
  • Rett adressering, melding kun avleveres til adressaten.
  • Meldingen eller eposten skal være signert på en slik måte at virksomheten ikke kan benekte å ha sendt denne.
  • Avviksrapportering ifm feilsending.
  • Melding avleveres i avtalt format.

Mottaker er ansvarlig for:

  • Egen tilkoblingssikring som hindrer utilsiktet utlevering og inntrenging.
  • Ivareta overføringskryptering ende-til-ende.
  • Mottaket skal loggføres slik at mottaker ikke kan benekte å ha mottatt meldingen eller eposten.
  • Avviksrapportering ifm feilsending, dvs mottak av melding eller epost som ikke er adressert til virksomheten.
  • Melding eller epost mottas i avtalt format.

3) Konfigurasjonskart over hvordan den elektroniske meldingsformidlingen foregår, er vedlagt. Dataene er kryptert og sendes via Norsk Helsenett AS.

4) [enten:] Laboratoriet har ikke fysisk adgang til Legehusets dataanlegg og kan heller ikke logge seg inn på Legehusets server online.
[eller:] Laboratoriet har også en begrenset databehandlerrolle i forhold til Legehusets dataanlegg, dette er beskrevet i en egen avtale.

5) Samvirkende avviksrutine: Hvis laboratoriet oppdager feilsituasjoner skal det alltid umiddelbart melde fra til Legehuset ved kvalitetsansvarlig. Hvis Legehuset oppdager avvik skal det meldes til laboratoriet, hvis endring i laboratoriets produkt er nødvendig for å unngå lignende feil i fremtiden.

6) Laboratoriet sine ansatte har samme taushetsplikt som helsepersonell for de helseopplysningene de får tilgang til gjennom sitt arbeid (§ 25, jmf § 21 i helsepersonelloven).

7) Laboratoriet skal tilfredsstille krav til informasjonssikkerhet i helseregisterloven § 16, personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Se vedlegg.

8) Legekontoret skal til enhver tid kunne kreve dokumentasjon fra eller revisjon hos Laboratoriet, for å sikre at det overholder alle relevante krav til sikkerhet i personopplysningsforskriften kap 2. Laboratoriet bærer kostnader for revisjon.

9) Følgende lover og forskrifter er vedlagt og lest

  • Lov om helsepersonell §21 og §25
  • Personopplysningslovens § 13
  • Personopplysningsforskriften kap 2

Se vedlegg. Partene er også enige om å oppfylle «Norm for informasjonssikkerhet i helsesektoren».

10) Konsekvenser av avtalebrudd
[Her kan det være aktuelt å utforme et eget vedlegg som definerer økonomisk dekning av skade en part påføres, dagbøter for uteblitt leveranse etc.]
[sted og dato]
[leverandørens navn og signatur]
[virksomhetens navn og signatur]

Avtale med Norsk helsenett

[Skriv hvor avtalen oppbevares, lim inn avtaleteksten eller last den opp som vedlegg.]

TrinnVis er et komplett, webbasert styringssystem som integrerer både administrasjonssystem, kvalitetssystem, internkontrollsystem og HMS-system i én løsning.

TrinnVis er spesiallaget for norske helsevirksomheter, og egner seg for deg som er lege, fysioterapeut, tannlege, psykolog, kiropraktor eller driver en annen type praksis innenfor helsetjenesten. Systemet passer også godt for helsehus og andre tverrfaglige virksomheter.

TrinnVis ble først laget for legekontor og gruppepraksiser, og brukes i dag av en tredjedel av norske allmennleger. Så ble systemet tilpasset til fysioterapiinstitutter, før det endelig ble utvidet til å omfatte alle slags praksiser, klinikker, institutter, laboratorier og andre virksomheter innenfor helse- og omsorgstjenesten.

TrinnVis inneholder en mengde forslag og eksempler i form av maler for retningslinjer, funksjoner, avtaler og andre dokumentmaler, og dekker de fleste sider ved drift av en norsk helsevirksomhet.

Som aktiv TrinnVis-bruker er du godt rustet dersom du får tilsyn fra Helsetilsynet, Arbeidstilsynet eller Det lokale eltilsyn.

Vi bruker informasjonskapsler (cookies) på trinnvis.no for å forbedre brukeropplevelsen, for eksempel slik at du kan slippe å se denne meldingen neste gang du besøker oss.