Applikationer med backendtjänster som fungerar i en betrodd miljö kan anslutas till Datalagret för egna uppgifter. Backendtjänsterna hanterar datatrafiken med datalagret. Applikationer utan backendtjänster, som användaren själv installerar, stöds inte för tillfället.
Innan en applikation kan samtestas ska applikationsleverantören bekanta sig med det nationella datainnehållet för Datalagret för egna uppgifter och testa applikationen i den sandbox-miljö som Kanta-tjänsterna tillhandahåller.
Om applikationen kräver sådana resurser eller profiler som ännu inte finns i det nationella datainnehållet ska de behövliga tilläggen och ändringarna godkännas i enlighet med utvecklingsprocessen för datainnehåll.
Bilden nedan visar de olika faserna vid anslutning till datalagret av hälsoapplikationer som är avsedda för medborgare.
De olika faserna när en applikationsleverantör ansluter sin applikation till Datalagret för egna uppgifter
1. Studier av FHIR-standarden och det nationella datainnehållet
Applikationsleverantören ska studera HL7 FHIR-standarden, OAuth 2.0 auktorisationsprotokollet, PHR authorization guide och det nationella datainnehållet.
Applikationsleverantörerna får stöd genom den öppna kommunikationskanalen Finnish PHR chat, där man kan ställa frågor och ge kommentarer om sådant som berör applikationerna i fråga. Diskussionerna förs på engelska. FPA följer diskussionerna och svarar på frågor varje vecka. Dessutom är det möjligt att begära ytterligare information per e-post på adressen kanta@kanta.fi.
2. Utveckling och egen testning i Sandbox-miljöer
Om en applikation behöver nytt datainnehåll som inte finns i det nationella datainnehållet, ska applikationsleverantören lägga fram ett förslag om utvidgning av datainnehållet för utvecklingsteamet HL7 Finland Personal Health SIG för granskning i enlighet med utvecklingsprocessen för datainnehåll.
Det rekommenderas starkt att applikationsleverantören självständigt testar sin applikation i de Sandbox-miljöer som Kanta-tjänsterna tillhandahåller.
3. Certifiering
Certifiering Certifiering av hälsoapplikationer
Hälsoapplikationen ska uppfylla kraven i kunduppgiftslagen (klass A). Därför måste hälsoapplikationer som använder Datalagret för egna uppgifter klara certifieringsprocessen i enlighet med kunduppgiftslagen. Certifieringen av hälsoapplikationer omfattar samtestning som samordnas av Kanta-tjänsterna, utvärdering av informationssäkerheten som utförs av ett bedömningsorgan som godkänts av Traficom och registrering av applikationen i Valviras register.
Certifiering av professionella applikationer
En applikation som riktar sig till yrkesutbildade personer inom social- och hälsovården ska uppfylla kraven (klass A) enligt klientuppgiftslagen. Av denna orsak ska professionella applikationer som utnyttjar Datalagret för egna uppgifter klara certifieringsprocessen i enlighet med kunduppgiftslagen.
Formuleringen av kraven på yrkesmässig användning och professionella applikationer framskrider i och med den nya kunduppgiftslagen. I kunduppgiftslagen har en övergångsperiod fastställts fram till 1.1.2026, då det senast ska finnas beredskap inom Kanta-tjänsterna att lämna ut uppgifter om välbefinnande ur Datalagret för egna uppgifter till tjänstetillhandahållare inom social- och hälsovården.
Samtesting
Med samtestning för Datalagret för egna uppgifter avses verifiering av den interna testningen av applikationen och säkerställande av funktionen mot Kanta-tjänsternas kundtestmiljöer.
Vid samtestning testar applikationsleverantören själv alla de funktioner och datainnehåll som applikationen använder i Datalagret för egna uppgifter och som krävs i bilagan till THL:s föreskrift. Obligatoriska testfall är bl.a. auktorisering, funktionaliteter enligt resurstyp och resursprofil, iakttagande av det nationella datainnehållet och visning av uppgifterna i MittKanta.
Samtestningen är avsedd för testning i slutfasen av utvecklingsarbetet.
Leverantören gör anmälan till samtestning av Datalagret för egna uppgifter genom att till Kanta-tjänsterna skicka blanketten Ansökan till kundtesttjänsten för Datalagret för egna uppgifter (xlsx) och blanketten Hyvinvointisovellusten olennaiset vaatimukset (väsentliga krav på hälsoapplikationer, docx) (finskspråkig bilaga 1 till Föreskrift 6/2021) som finns på THL:s webbsida Föreskrifter. Blanketterna skickas via e-post till kanta@kanta.fi.
Serverbaserade applikationer behöver ett testservercertifikat från Myndigheten för digitalisering och befolkningsdata (f.d. BRC) för samtestningen.
- Applikationer som riktar sig till medborgarna ansöker om servercertifikat för välbefinnandeapplikationer. Man kan ansöka om certifikat först när applikationen har godkänts till samtestning och när FPA har gett applikationsleverantören organisationens OID-kod. Närmare instruktioner för ansökan om certifikat finns i en separat anvisning.
- Vid testning av professionella applikationer ska BRC-servercertifikatet vara ett servercertifikat för social- och hälsovården, som ska gälla för den tjänstetillhandahållare inom social- och hälsovården som deltar i testningen. Man kan använda ett befintligt certifikat eller skaffa ett nytt.
Applikationsleverantören ansvarar för att tillräckligt omfattande övrig testning i anslutning till applikationen utförs på en kvalitativt god nivå. Parter och ansvar vid samtestning.
Bedömning av informationssäkerheten
Hälsoapplikationerna ska genomgå den bedömning av informationssäkerheten som utförs av ett bedömningsorgan för informationssäkerhet som Traficom godkänt. Mer information om bedömning av informationssäkerheten.
4. Ibruktagande för produktion
Hälsoapplikation som riktar sig till medborgarna
Innan användning för produktion påbörjas:
- Applikationsleverantören anmäler sin hälsoapplikation till Valviras register över informationssystem. Mer information finns på Valviras webbplats.
- Applikationsleverantören godkänner leveransvillkoren (pdf) och tjänstebeskrivningen för Datalagret för egna uppgifter (pdf) samt skickar kompletterande uppgifter om den applikation som ska publiceras till Kanta-tjänsterna via e-post.
- Om applikationen är serverbaserad skaffar applikationsleverantören MDB:s servicecertifikat (dvv.fi) (servicecertifikat för hälsoapplikationer).
- Applikationen registreras tekniskt i Kanta-tjänsterna i Datalagret för egna uppgifter
- Applikationen läggs till på applikationslistan på Kanta.fi 2 veckor efter den tekniska registreringen.
- En förutsättning för teknisk registrering är att hälsoapplikationen har publicerats i Valviras register.
- Applikationsleverantören säkerställer att produktionen fungerar och därefter kan användningen för produktion påbörjas.
Medborgaren tar i bruk applikationen genom att ge den applikationen åtkomst till Datalagret för egna uppgifter och uppgifterna där samt godkänna informationen om användningen av Datalagret för egna uppgifter (pdf).
Professionell applikation
Vid professionella applikationer tar tjänstetillhandahållaren inom social- och hälsovården i bruk tjänsten Datalagret för egna uppgifter via en teknisk anslutningspunkt med en professionell applikation som godkänts för Datalagret för egna uppgifter.
Innan användning för produktion påbörjas:
- Efter certifieringen skickar applikationsleverantören kompletterande uppgifter om den applikation som ska publiceras till Kanta-tjänsterna via e-post (i fortsättningen via Kanta Extranätet).
- Den 1:a användarorganisation som börjar använda applikationen för produktion = Tjänstetillhandahållaren inom social- och hälsovården
- ser till att ett servercertifikat för produktion (servercertifikat för social- och hälsovården) har skaffats från BRC för anslutningspunkten
- meddelar Kanta-tjänsterna att organisationen tar i bruk tjänsten Datalagret för egna uppgifter med applikationen xxx via den tekniska anslutningspunkten yyy.
- Tjänstetillhandahållaren inom social- och hälsovården samt anslutningspunkten registreras tekniskt i tjänsten Datalagret för egna uppgifter av FPA.
- Applikationsleverantören och tjänstetillhandahållaren inom social- och hälsovården säkerställer tillsammans att produktionen fungerar och därefter kan användningen för produktion påbörjas.
När det gäller professionella tillämpningar preciseras anvisningarna i och med verkställigheten av den nya kunduppgiftslagen.
I den första fasen av tjänsten Datalagret för egna uppgifter kan hälsoapplikationerna ännu inte utnyttja kunduppgifterna (Patientdataarkivet, Klientdataarkivet för socialvården och Receptet). I kunduppgiftslagen fastställs övergångsperioder för utlämnande av kunduppgifter från Kanta-tjänsterna till hälsoapplikationer.
Gränssnitts- och datainnehållsspecifikationerna samt stödmaterial för dem som utvecklar applikationer publiceras på webbplatsen kanta.fi.
5. Förändringar i hälsoapplikationer
Förändringar i hälsoapplikationer som integrerats i Datalagret för egna uppgifter ska anmälas till Kanta-tjänsterna med ett ändringsmeddelande (blanketten på finska). Ändringsmeddelanden skickas via e-post till kanta@kanta.fi.