Arkitekturkrav för system som ansluter till E-hälsomyndighetens tjänster
Denna sida beskriver arkitekturkrav på systemleverantörers system som ansluter till E‑hälsomyndighetens tjänster. Målgrupp för denna sida är systemleverantör som utvecklar eller förvaltar IT-system som nyttjar E‑hälsomyndighetens tjänster. För aktörers drifttagande av system finns motsvarande dokument (ref 3). Systemleverantörer rekommenderas att även läsa detta dokument.
1. Referenser
Dokument | Ver | Beskrivning | |
|---|---|---|---|
| 1 | Övergripande krav kring it- och informationssäkerhet | Detta dokument innehåller generella krav på säkerhet som anslutande system och anslutande aktörer behöver leva upp till | |
| 2 | Säkerhetskrav på extern part för enskild individs direktåtkomst till E‑hälsomyndighetens register | Detta dokument är en utökning av de generella säkerhetskraven och berör anslutande tillämpningar som ska användas av privatpersoner (till exempel apoteksaktörers e-handelslösningar) | |
| 3 | Arkitekturkrav för aktör som ansluter system till E-hälsomyndighetens tjänster | Detta dokument omfattar arkitekturkrav på aktör som vill ansluta ett godkänt system till E‑hälsomyndighetens produktionsmiljö | |
| 4 | Kravuppfyllnad Arkitektur Systemleverantör | 8.0 | Detta dokument avser systemleverantörens deklaration av kravuppfyllnad av kraven på den här sidan. |
2. Omfattning
Ofta talar man om till exempel expedieringssystem och journalsystem som ett system men i verkligheten kan de omfattas av flera system, till exempel en integrationsmotor tillsammans med en e-receptmodul, journalserver och journalklient.
För att säkerställa att arkitekturen och säkerheten följer E‑hälsomyndighetens riktlinjer och krav är det viktigt att se helheten. Kraven omfattar därför inte enbart de system som har integration mot E‑hälsomyndigheten utan även de system som används av slutanvändaren (det som oftast kallas exempelvis expedieringssystemet, journalsystemet eller vårdinformationssystemet). Alltså ingår hela kedjan från slutanvändaren via eventuella integrationssystem till E‑hälsomyndigheten.
Därför är det viktigt att systemleverantören och aktören definierar vilka komponenter och system som ingår i en lösning, både till namn och också version. Det är även lämpligt att man väljer ett övergripande namn så att det finns något att referera till.
Kraven för systemleverantörer omfattar ett antal områden:
- Integration
- Komponentsamband
- Processimplementation
- Spårbarhet och loggning
- Avbrottshantering
- Distribution av mjukvara
3. Dokumentation
Systemleverantören ska tillhandahålla dokumentet Kravuppfyllnad Arkitektur Systemleverantör (ref 4) samt de bilagor som beskrivs i detta dokument.
4. Arkitektur- och säkerhetskrav
Säkerhetskraven i sin helhet finns specificerade i (ref 1) och (ref 2).
4.1. Integration
Syfte
- Säkerställa att anslutning till tjänstegränssnitt sker på korrekt sätt.
4.2. Komponentsamband
Med komponentsamband menas de ingående komponenter som systemet är uppbyggt av. Komponentsambandskartan ska visa hur systemets olika komponenter integrerar samt vilka komponenter som integrerats mot E‑hälsomyndigheten.
Syfte
- Hitta eventuella svagheter i systemsambanden som kan äventyra obruten produktion.
- Ge E‑hälsomyndigheten kunskap om hur systemen är uppbyggda och hur de kommunicerar med varandra. Detta kommer att underlätta vid felsökning.
- Kartlägga var känsliga personuppgifter finns lagrade, framför allt information om personuppgifter kopplade till förskrivna läkemedel.
- Komponentuppdelningen syftar också till att ge en uppdelning av systemet/systemen så att förändringar som systemleverantören gör enklare kan kategoriseras. Detta underlättar E‑hälsomyndighetens bedömning av förändringarnas påverkan på myndigheten och vilka godkännandeaktiviteter som behöver genomföras innan ett förnyat godkännande kan utfärdas för det förändrade systemet.
- En förteckning över komponenterna som ingår i systemet samt versionsnummer för dessa komponenter.
Krav 4.2.1
Det ska finnas en komponentsambandskarta som beskriver det system och komponenter som ingår i den produkt som systemleverantören levererar. Vidare ska det tydligt visa vilka komponenter som integreras med E‑hälsomyndigheten. Den ska även visa var känsliga personuppgifter, i synnerhet tillsammans med läkemedelsuppgifter, lagras.
Exempel på en komponentsambandskarta för apoteksaktör ges nedan.
KRAV
4.3. Processimplementation
Syfte
- Upptäcka felaktiga anropskedjor.
- Upptäcka onödiga anrop. Detta för att kunna optimera och minska antalet anrop som görs mot E‑hälsomyndigheten.
- Ge E‑hälsomyndigheten kunskap om hur systemen är uppbyggda och hur de kommunicerar med varandra. Detta kommer att underlätta vid felsökning.
Krav 4.3.1
Det ska finnas sekvensdiagram som visar anropsflödet mot E‑hälsomyndighetens tjänsteplattform för normalfallen. Detta krävs för att kunna bedöma om anrop görs i onödan som kan påverka E‑hälsomyndighetens tjänsteplattform.
Exempel på ett sekvensdiagram för orderberedning:
KRAV
4.4. Spårbarhet och loggning
Syfte
- Relevant information ska loggas, dels sådan information som ska loggas enligt gällande lagar och förordningar dels information som kan användas vid felsökning.
- Säkerställa att känslig logginformation inte går att manipulera.
4.5. Avbrottshantering
Syfte
- Säkerställa att systemet kan hantera avbrott i E‑hälsomyndighetens miljö. Det kan gälla till exempel avbrott i Nationella läkemedelslistan, HKDB eller FOTA.
4.6. Distribution av mjukvara
Syfte
- Säkerställa att systemleverantörens system och aktören kan distribuera ny programvara, exempelvis akuträttningar, snabbt och effektivt.
Versionshistorik
Version | Datum | Kommentar |
|---|---|---|
| 1.0 | 2021-11-27 | Ny handbok vård- och apotekstjänster |
| 1.1 | 2021-12-07 | Dokument "Kravuppfyllnad Arkitektur Systemleverantör" tillagt |