Anslutning av en applikation till Datalagret för egna uppgifter

Anslutning av en applikation till Datalagret för egna uppgifter

Applikationer med backendtjänster som fungerar i en betrodd miljö kan anslutas till Datalagret för egna uppgifter. Backendtjänsterna hanterar datatrafiken med datalagret. Applikationer utan backendtjänster, som användaren själv installerar, stöds inte för tillfället.

Innan en applikation kan samtestas ska applikationsleverantören bekanta sig med det nationella datainnehållet för Datalagret för egna uppgifter och testa applikationen i den sandbox-miljö som Kanta-tjänsterna tillhandahåller. 

Om applikationen kräver sådana resurser eller profiler som ännu inte finns i det nationella datainnehållet ska de behövliga tilläggen och ändringarna godkännas i enlighet med utvecklingsprocessen för datainnehåll.

Bilden nedan visar de olika faserna vid anslutning till datalagret av hälsoapplikationer som är avsedda för medborgare.

De olika faserna när en applikationsleverantör ansluter sin applikation till Datalagret för egna uppgifter

De olika faserna när en applikationsleverantör ansluter sin applikation till Datalagret för egna uppgifter

1. Studier av FHIR-standarden och det nationella datainnehållet

Applikationsleverantören ska studera HL7 FHIR-standarden, OAuth 2.0 auktorisationsprotokolletPHR authorization guide och det nationella datainnehållet

2. Utveckling och egen testning i Sandbox-miljöer

Om en applikation behöver nytt datainnehåll som inte finns i det nationella datainnehållet, ska applikationsleverantören lägga fram ett förslag om utvidgning av datainnehållet för utvecklingsteamet HL7 Finland Personal Health SIG för granskning i enlighet med utvecklingsprocessen för datainnehåll.

Det rekommenderas starkt att applikationsleverantören självständigt testar sin applikation i de Sandbox-miljöer som Kanta-tjänsterna tillhandahåller. 

3. Certifiering

Certifiering Certifiering av hälsoapplikationer

Hälsoapplikationen ska uppfylla kraven i kunduppgiftslagen (klass A). Därför måste hälsoapplikationer som använder Datalagret för egna uppgifter klara certifieringsprocessen i enlighet med kunduppgiftslagen. Certifieringen av hälsoapplikationer omfattar samtestning som samordnas av Kanta-tjänsterna, utvärdering av informationssäkerheten som utförs av ett bedömningsorgan som godkänts av Traficom och registrering av applikationen i Valviras register.

Certifiering av professionella applikationer

En applikation som riktar sig till yrkesutbildade personer inom social- och hälsovården ska uppfylla kraven (klass A) enligt klientuppgiftslagen. Av denna orsak ska professionella applikationer som utnyttjar Datalagret för egna uppgifter klara certifieringsprocessen i enlighet med kunduppgiftslagen.

Formuleringen av kraven på yrkesmässig användning och professionella applikationer framskrider i och med den nya kunduppgiftslagen. I kunduppgiftslagen har en övergångsperiod fastställts fram till 1.1.2024, då det senast ska finnas beredskap inom Kanta-tjänsterna att lämna ut uppgifter om välbefinnande ur Datalagret för egna uppgifter till tjänstetillhandahållare inom social- och hälsovården.

Samtesting

Med samtestning för Datalagret för egna uppgifter avses verifiering av den interna testningen av applikationen och säkerställande av funktionen mot Kanta-tjänsternas kundtestmiljöer. 

Vid samtestning testar applikationsleverantören själv alla de funktioner och datainnehåll som applikationen använder i Datalagret för egna uppgifter och som krävs i bilagan till THL:s föreskrift. Obligatoriska testfall är bl.a. auktorisering, funktionaliteter enligt resurstyp och resursprofil, iakttagande av det nationella datainnehållet och visning av uppgifterna på Mina Kanta-sidor.

Samtestningen är avsedd för testning i slutfasen av utvecklingsarbetet.

Leverantören gör anmälan till samtestning av Datalagret för egna uppgifter genom att till Kanta-tjänsterna skicka blanketten Ansökan till kundtesttjänsten för Datalagret för egna uppgifter (xlsx) och blanketten Hyvinvointisovellusten olennaiset vaatimukset (väsentliga krav på hälsoapplikationer, docx) (finskspråkig bilaga 1 till Föreskrift 6/2021) som finns på THL:s webbsida Föreskrifter. Blanketterna skickas via e-post till kanta@kanta.fi.

Serverbaserade applikationer behöver ett testservercertifikat från Myndigheten för digitalisering och befolkningsdata (f.d. BRC) för samtestningen.

  • Applikationer som riktar sig till medborgarna ansöker om servercertifikat för välbefinnandeapplikationer.  Man kan ansöka om certifikat först när applikationen har godkänts till samtestning och när FPA har gett applikationsleverantören organisationens OID-kod. Närmare instruktioner för ansökan om certifikat finns i en separat anvisning.
  • Vid testning av professionella applikationer ska BRC-servercertifikatet vara ett servercertifikat för social- och hälsovården, som ska gälla för den tjänstetillhandahållare inom social- och hälsovården som deltar i testningen. Man kan använda ett befintligt certifikat eller skaffa ett nytt.

Applikationsleverantören ansvarar för att tillräckligt omfattande övrig testning i anslutning till applikationen utförs på en kvalitativt god nivå. Parter och ansvar vid samtestning.

Bedömning av informationssäkerheten 

Hälsoapplikationerna ska genomgå den bedömning av informationssäkerheten som utförs av ett bedömningsorgan för informationssäkerhet som Traficom godkänt. Mer information om bedömning av informationssäkerheten.

4. Ibruktagande för produktion

Hälsoapplikation som riktar sig till medborgarna

Innan användning för produktion påbörjas: 

Medborgaren tar i bruk applikationen genom att ge den applikationen åtkomst till Datalagret för egna uppgifter och uppgifterna där samt godkänna informationen om användningen av Datalagret för egna uppgifter (pdf).

Professionell applikation 

Vid professionella applikationer tar tjänstetillhandahållaren inom social- och hälsovården i bruk tjänsten Datalagret för egna uppgifter via en teknisk anslutningspunkt med en professionell applikation som godkänts för Datalagret för egna uppgifter.

Innan användning för produktion påbörjas:  

  • Efter certifieringen skickar applikationsleverantören kompletterande uppgifter om den applikation som ska publiceras till Kanta-tjänsterna via e-post (i fortsättningen via Kanta Extranätet).
  • Den 1:a användarorganisation som börjar använda applikationen för produktion = Tjänstetillhandahållaren inom social- och hälsovården
    • ser till att ett servercertifikat för produktion (servercertifikat för social- och hälsovården) har skaffats från BRC för anslutningspunkten
    • meddelar Kanta-tjänsterna att organisationen tar i bruk tjänsten Datalagret för egna uppgifter med applikationen xxx via den tekniska anslutningspunkten yyy. 
  • Tjänstetillhandahållaren inom social- och hälsovården samt anslutningspunkten registreras tekniskt i tjänsten Datalagret för egna uppgifter av FPA.
  • Applikationsleverantören och tjänstetillhandahållaren inom social- och hälsovården säkerställer tillsammans att produktionen fungerar och därefter kan användningen för produktion påbörjas.

När det gäller professionella tillämpningar preciseras anvisningarna i och med verkställigheten av den nya kunduppgiftslagen. 

I den första fasen av tjänsten Datalagret för egna uppgifter kan hälsoapplikationerna ännu inte utnyttja kunduppgifterna (Patientdataarkivet, Klientdataarkivet för socialvården och Receptet). I kunduppgiftslagen fastställs övergångsperioder för utlämnande av kunduppgifter från Kanta-tjänsterna till hälsoapplikationer. Det bör vara möjligt att lämna ut receptuppgifter 1.12.2022, att lämna ut patientuppgifter 1.12.2023 och att lämna ut klientuppgifter inom socialvården från Kanta-tjänsterna till hälsoapplikationer 1.5.2025. Anvisningarna för kunderna uppdateras på webbplatsen kanta.fi när arbetet framskrider.

Gränssnitts- och datainnehållsspecifikationerna samt stödmaterial för dem som utvecklar applikationer publiceras på webbplatsen kanta.fi på engelska.

Applikationsleverantörerna får stöd genom den öppna kommunikationskanalen Finnish PHR chat, där man kan ställa frågor och ge kommentarer om sådant som berör applikationerna i fråga. Diskussionerna förs på engelska. FPA följer diskussionerna och svarar på frågor varje vecka. Dessutom är det möjligt att begära ytterligare information per e-post på adressen kantakehitys(at)kanta.fi. 

5. Förändringar i hälsoapplikationer

Förändringar i hälsoapplikationer som integrerats i Datalagret för egna uppgifter ska anmälas till Kanta-tjänsterna med ett ändringsmeddelande (blanketten på finska). Ändringsmeddelanden skickas via e-post till kanta@kanta.fi.

Sidan har uppdaterats 22.04.2022