Råd

Auktorisering

För auktorisering utnyttjar plattformen för Datalagret för egna uppgifter auktorisationsprotokollet OAuth 2.0.

Guiden PHR authorization (pdf) beskriver de auktoriseringsprofiler och -mallar som använts på plattformen. I guiden finns hänvisningar till relevanta OAuth 2.0-specifikationer. 

HL7 FHIR

Datalagret för egna uppgifter och dess datainnehåll baserar sig på HL7 FHIR-standarden. I dokumentet Implementation guide beskrivs hur HL7 FHIR-standarden används i Datalagret för egna uppgifter. Guiden har tagits fram för specificerare och utvecklare, som behöver information om de FHIR-resurser, -element och -tillägg som det är möjligt att utnyttja i Datalagret för egna uppgifter.

Plattformen för Datalagret för egna uppgifter stöder endast JSON-format, vilket betyder att alla resurser ska lagras på plattformen i JSON-format.

Hänvisning till en profil som ingår i det nationella datainnehållet för Datalagret för egna uppgifter och överensstämmelse med profilen är obligatoriskt. Servern validerar innehållet i den resurs som lagras mot den profil som man hänvisar till, och förkastar resursen om innehållet inte stämmer överens med profilen.

Man hänvisar till profilen genom att lägga till profilens URL i metadatan för resursen:

{
    "resourceType": "Patient",
    …
    "meta": {
       "profile": [
          “http://phr.kanta.fi/StructureDefinition/fiphr-patient-stu3”
     ]
},
…
 

Utvecklingsteam PH SIG

Nytt datainnehåll i Datalagret för egna uppgifter presenteras och godkänns under stödprojektets (PH SIG) månatliga digitala möten. Också förslag till datainnehåll kan tas upp under mötena. Under mötena ges anvisningar för användning av FHIR-standarden och det nationella datainnehållet. Agendan och anvisningar för hur man ska anmäla sig till mötena publiceras på PH SIG-sidorna.

Användningsfall

Beskrivningar av de vanligaste användningsfallen med avseende på den tillämpning som ska integreras (beskrivningarna endast på finska).”

• Auktorisering
• Hämtning av access token
• Lagring av resurs
• Uppdatering av resurs
• Sökning på  / läsning om resurs

Lagar och författningar

De hälsoappar som integreras med Datalagret för egna uppgifter ska vara förenliga med gällande lagar, förordningar och författningar. Det är skäl att ta del av nedanstående material  då applikationer utvecklas.

Loggar

Det rekommenderas att man för logg över händelsehistoriken när det gäller serverbaserade hälsoappar. Känsliga uppgifter om hälsan eller välbefinnandet ska emellertid inte registreras i loggarna.

Gränssnitt

Kompetensdeklarationen (Capability Statement) för Datalagret för egna uppgifter kan läsas i profilregistret Simplifier. Den beskriver de interaktioner som stöds av REST och listar de tillgängliga sökparametrarna. Funktionerna i hälsoapparna ska ingå i Capability Statement för Datalagret för egna uppgifter.

Observera att resurser som inte tillhör någon enskild medborgare inte går att hämta i PHR:s produktionsmiljö och kundtestmiljö. Exempel på sådana resurser är

• profiler
• ValueSet
• CodeSystem
• Questionnaire
• CapabilityStatement.

De här resurserna kan dock hämtas från Simplifier, som erbjuder ett gränssnitt för ändamålet.

Giltigheten för Refresh token

I fråga om serverbaserade applikationer blir refresh token föråldrad efter ett år om integrationen inte har använts. Användaren ska då godkänna applikationen på nytt.

Applikationen ska kontrollera om användarens  access token gäller eller ej. Access token uppdateras vid behov, t.ex. då hälsouppgifter sparas.

Applikationen får inte utan användarens samtycke förlänga giltigheten för refresh token.

Ordlista

Ordlistan  innehåller korta beskrivningar av termer och begrepp som anknyter till Datalagret för egna uppgifter. Beskrivningarna är specifika för datalagret och hälsoappar.

Begrepp och termer som anknyter till Datalagret för egna uppgifter har definierats också i en Kanta-ordlista som Institutet för hälsa och välfärd har publicerat (tills vidare bara på finska).

Applikationens tillgänglighet

Det är önskvärt att de som utvecklar hälsoappar ägnar uppmärksamhet åt tillgängligheten, så att apparna kan användas också av dem som har fysiska eller kognitiva begränsningar. Principerna för planering av tillgänglighet har sammanställts bl.a. i World Wide Web Consortiums (W3C) publikation W3C Accessibility Standards Overview. 

Hur snabbt uppgifterna visas för slutanvändaren

Typen av uppgift som sparas i en hälsoapp och mätfrekvensen inverkar på hur ofta det lönar sig att överföra uppgifter till Datalagret för egna uppgifter så att användaren kan se informationen. Om det är fråga om enstaka mätningar som är oberoende av varandra och görs ett par gånger om dygnet eller mera sällan (t.ex. blodtrycksmätning) är det bäst att resultaten visas i datalagret så fort som möjligt.

Om det slutliga mätresultatet består av flera mätninger eller sammanställs under en längre tidsperiod (t.ex. antalet steg per dygn) överförs resultatet till datalagret först när det slutliga resultatet är klart.

Datasäkerhet

En analys av hot mot datasäkerheten måste göras som en del av utvecklingen av applikationen. De hot och risker gällande datasäkerhet som eventuellt uppdagas vid analysen måste kontrolleras. I detta syfte kan man tillämpa t.ex. de datasäkerhetskrav som gäller för system som hör till klass A.

Serverapplikationerna, serverinstallationerna och servermiljöerna måste skyddas och skyddsmetoderna dokumenteras.

Autentisering

När användaren godkänner att en applikation kopplas till Datalagret för egna uppgifter krävs stark autentisering. För detta hänvisas användaren till tjänsten Suomi.fi. Om användaren har autentiserats redan tidigare under samma session används engångsinloggning (SSO).
Inloggning på hälsoappar tillåts också utan stark autentisering.  Applikationen måste ändå försäkra sig om att användaren är den person som fått åtkomsträttigheter vid godkännandet.

I fråga om nativa applikationer krävs inte inloggning, men användaren måste informeras om hur uppgifterna skyddas.

Import av gamla uppgifter

Sådana uppgifter som har sparats i en hälsoapp innan appen integrerades med Datalagret för egna uppgifter kan importeras till datalagret. Gammalt material kan importeras genom en bakgrundskörning som sparar uppgifterna undan för undan.

Om det är fråga om stora informationsvolymer rekommenderas att man kontaktar FPA och kommer överens om hur man från fall till fall ska göra överföringen.