Godkännande av anslutande system

En förutsättning för att ett system ska få anslutas till och börja anropa E‑hälsomyndighetens produktionsmiljö är att systemet är godkänt av E‑hälsomyndigheten. Här kan du läsa om varför ett godkännande behövs och hur det går till. 


1. Varför godkännandet behövs

E‑hälsomyndigheten genomför med stöd i myndighetens instruktion kontroller av elektroniska system för direktåtkomst till uppgifter hos myndigheten ("anslutande system"). Ett exempel på en sådan kontroll är att ett system måste godkännas innan det ansluts till myndighetens produktionsmiljö. I godkännandeprocessen granskas systemets hantering av de potentiella risker som den kommande anslutningen kan medföra. Dessa risker handlar främst om hur systemet kan komma att påverka:

  • Informationsflödet mellan vårdens och apotekens aktörer via E‑hälsomyndighetens register, eller på den infrastruktur som hanterar informationsflödet
  • E‑hälsomyndighetens personuppgiftsansvar för de personuppgifter som hanteras i myndighetens register
  • De produkter som paketerar tjänsterna som förmedlar myndighetens registerinformation till och från systemen. Dessa produkter klassas som nationella medicinska informationssystem, och E‑hälsomyndigheten behöver i egenskap av ansvarig tillverkare säkerställa att de ingående tjänsterna nyttjas i enlighet med den avsedda användningen och de krav som ställs på anslutande system.

Systemleverantören hanterar riskerna genom att utveckla systemet i enlighet med de krav som E‑hälsomyndigheten ställer på anslutande system. I godkännandeprocessen genomförs riskminimerande godkännandeaktiviteter, där E‑hälsomyndigheten på olika sätt kontrollerar att kraven efterlevs. Ett utfärdat godkännande innebär att E‑hälsomyndigheten bedömer att riskerna har blivit hanterade, och att en anslutning till produktionsmiljön därmed kan tillåtas. Godkännandet innebär inte att systemet i sin helhet är certifierat eller kvalitetssäkrat av E‑hälsomyndigheten.

Ett godkännande krävs alltid inför den första anslutningen av ett system som nyttjar E‑hälsomyndighetens tjänster. Därefter krävs ett förnyat godkännande inför varje anslutning av en förändrad version av systemet, om de förändringar som görs har en betydelse för eller påverkan på E‑hälsomyndigheten. En sådan förändring kan ske på systemleverantörens eget initiativ, men kan också föranledas av att E‑hälsomyndigheten förändrar sina tjänster på ett sätt som kräver att systemet anpassas. Att E‑hälsomyndigheten gör förändringar i tjänsterna kan till exempel bero på ändrade lagkrav eller behov av förbättringar och vidareutveckling i tjänsterna.

Det är den systemleverantör som utvecklar ett anslutande system som utgör E‑hälsomyndighetens ärendepart (kund) i godkännandeprocessen. Myndighetens roll i godkännandeprocessen är att leda kunden framåt i processen, tydliggöra de krav som ställs samt följa upp och verifiera utfallet av de riskminimerande godkännandeaktiviteterna.

Godkännandet är en del av en större helhet. Innan ett godkännande påbörjas har ofta kunden och E‑hälsomyndigheten kontakt för att diskutera kundens planer och hur det som planeras berör myndigheten. Godkännandeprocessen startar och pågår därefter parallellt med att systemet utvecklas. När systemet är godkänt tar anslutningsprocessen vid.

Figur 1. Kunds utveckling i förhållande till interaktion och processer med E‑hälsomyndigheten.  

2. Vad godkännandet omfattar

Ett godkännande omfattar och hanterar de krav som E‑hälsomyndigheten ställer, och fokuserar på de delar av det anslutande systemet som berörs av dessa krav. Exempel på vad som följs upp:  

  • Att integrationen med myndighetens tjänster är korrekt, det vill säga att tjänsterna anropas på ett korrekt sätt, i rätt sammanhang och endast för tillåtna ändamål. 
  • Säkerhetsaspekter såsom hur inloggning och behörighetsstyrning fungerar.
  • Att informationen i myndighetens register hanteras på ett sätt som inte står i strid med myndighetens personuppgiftsansvar.
  • Hur information från registren presenteras för användaren.

Systemleverantören, det anslutande systemet och de som använder systemet omfattas även av andra krav utöver de krav som ställs av E‑hälsomyndigheten. Sådana krav omfattas inte av E‑hälsomyndighetens godkännande.

3. Hur ett godkännande går till

Figur 2. Godkännandeprocessens ingående steg och tidsmässiga förhållande till systemleverantörens utvecklingsprojekt. Beroende på vad godkännandeärendet avser tar stegen olika lång tid. 

3.1. Beställning av godkännande inkommer

För att starta ett godkännandeärende skickar ni blanketten Beställning av godkännande till registrator@ehalsomyndigheten.se.

  • Kontakta kundansvarig om ni är osäkra på om en förändring som ska göras i ett redan anslutet system föranleder ett behov av förnyat godkännande.
  • Om ni har ett system som inte är anslutet sedan tidigare, skicka en förfrågan om att bli kontaktad av en kundansvarig till registrator@ehalsomyndigheten.se innan blanketten skickas in.

När E‑hälsomyndigheten mottagit beställningen registreras ett godkännandeärende, och ni blir kontaktade av en godkännandeansvarig för en dialog om nästa steg i processen.

3.2. Uppstartsaktiviteter genomförs

I processens första skede genomförs uppstartsaktiviteter som syftar till att:

  • Säkerställa att ni förstår vad godkännandeprocessen kommer innebära, samt att vi förstår vad ert ärende avser. Vid behov genomförs ett möte, och ni kan behöva förse oss med kompletterande information för att tydliggöra vad för slags system eller systemförändringar ni planerar för.
  • Granska om det finns tekniska och juridiska förutsättningar för det som ärendet avser, om detta inte är givet på förhand. Även här kan ni behöva förse oss med kompletterande information.

När det är tydligt för oss vad ert ärende avser avgör vi vilka godkännandeaktiviteter som ska genomföras under ärendets gång. Vilka aktiviteter som blir aktuella i ett enskilt ärende avgörs utifrån en riskanalys av de nyheter och förändringar som ska införas i systemet. När det har avgjorts vilka godkännandeaktiviteter som ska ingå kan vi också göra en uppskattning av den tidsåtgång som genomförandet av de riskminimerande godkännandeaktiviteterna kommer innebära på vår sida, vilket gör att vi kan meddela er en uppskattning om ärendets avgift. 

3.3. Riskminimerande godkännandeaktiviteter genomförs

I nästa steg i processen genomförs godkännandeaktiviteterna i enlighet med en tidplan som vi kommer överens om. Det är ni som genomför aktiviteterna, och vi som granskar och verifierar utfallet. När samtliga ingående aktiviteter är genomförda med godkänt resultat kan ett godkännande utfärdas för systemversionen. 

I de flesta godkännanden ingår en eller flera aktiviteter så kallade dokumentationsbaserade aktiviteter, som bygger på att ni förser oss med information. Det kan till exempel handla om att ni:

  • Redogör för hur ni har planerat och genomfört tester av systemet.
  • Beskriver systemets arkitektur.
  • Intygar att (och i vissa fall beskriver hur) de krav som ställs på anslutande system uppfylls.
  • Förser oss med skisser eller bilder på systemets användargränssnitt från en testmiljö.

I större godkännanden genomförs ofta även godkännandetester, där systemets integration med E‑hälsomyndighetens tjänster kontrolleras. De testfall som ligger till grund för godkännandetesterna:

  • Tas fram av oss och utförs av er.
  • Utförs alltid utöver de tester som det åligger er själva att planera och genomföra.
  • Utförs när ni har utvecklat och testat färdigt på er sida.

Aktiviteten Beställarens deklaration ingår i samtliga ärenden, och genomförs som en sista aktivitet innan godkännandeintyget kan utfärdas. Här får ni bland annat intyga att systemet kommer kunna användas på ett korrekt och säkert sätt.

Tidsspannet för genomförandet av godkännandeaktiviteter i ett ärende varierar stort, och avgörs framförallt av ärendets omfattning samt av takten i ert utvecklingsprojekt. Som framgår i figur 2 genomförs de sista godkännandeaktiviteterna när ni anser att systemet är färdigutvecklat och kvalitetssäkrat, men vilka aktiviteter detta handlar om och hur mycket tid de kräver beror helt på vad ärendet avser.

3.4. Intyg om godkännande utfärdas

När alla aktiviteter är genomförda med ett godkänt resultat och Beställarens deklaration inkommit blir systemversionen godkänd för anslutning till produktionsmiljön. E‑hälsomyndigheten utfärdar ett godkännandeintyg som visar detta.

4. Vad ett godkännande kostar

Den avgift som E‑hälsomyndigheten tar ut för ett godkännandeärende baseras på en självkostnadsmodell som ska täcka kostnaderna för myndighetens tidsåtgång i ärendet, från att en Beställning av godkännande inkommit till dess att ärendet avslutats. Genom att fylla i och skicka in blanketten Beställning av godkännande förbinder ni er att betala för dessa timmar. Detta oavsett om godkännandeprocessen genomförs i sin helhet, eller om ni väljer att avsluta ärendet innan ett godkännande blivit utfärdat. Fakturering sker när godkännandeärendet avslutats. För godkännanden som sträcker sig över en lång tid kommer även en delfakturering att ske årsvis. Fastställd timkostnad för 2024 är 1300 kronor per timme, exklusive moms.  

Efter att uppstartsaktiviteterna har genomförts meddelar E‑hälsomyndigheten ett uppskattat avgiftsintervall för ärendet. Faktorer som påverkar avgiftsintervallet och den slutliga avgiften är:

  • Vilka och hur många godkännandeaktiviteter som ska genomföras.
  • Kvaliteten på kundens leverans i aktiviteterna.
  • Förändringar i systemets funktionsinnehåll under ärendets gång.
  • Förändringar i kundens tidplan, om förändringen påverkar en överenskommen tidplan för en aktivitet. 

5. Att beakta inför och under ett godkännande

  • Ni behöver ha tillgång till egen utvecklarkompetens och verksamhetskompetens för att utveckla ett anslutande system.

  • Innan en Beställning av godkännande skickas in ska ni ha utrett de juridiska förutsättningarna för er tänkta användning av E‑hälsomyndighetens tjänster. Vid behov gör E‑hälsomyndigheten en motsvarande utredning i det tidiga skedet av godkännandeärendet. I samband med det kan ni bli ombedda att inkomma med kompletterande information.

  • I godkännandeärenden av större omfattning ingår alltid en aktivitet där godkännandetester genomförs i det färdigutvecklade systemet. För detta behöver ni planera in en viss ledtid. Hur lång denna ledtid är beror på omfattningen av ert ärende samt utfallet av testerna.  

  • Ju högre kvalitet systemet har i förhållande till myndighetens krav, desto lättare går genomförandet av godkännandeaktiviteterna. Detta minskar tiden till utfärdat godkännande och möjligheten till anslutning.
  • Som ny kund behöver ni beställa en brandväggsöppning för att få åtkomst till E‑hälsomyndighetens externa testmiljö. Blankett för beställning av brandväggsöppning hittar ni här.

  • Myndighetens språk är svenska. Handboken tillhandahålls på svenska och kommunikationen mellan kund och E‑hälsomyndigheten under ett godkännandeärende sker på svenska. Undantaget är Simplifier som tillhandahålls på engelska. Simplifier är den tekniska dokumentationen av Nationella Läkemedelslistans tjänstegränssnitt (API:er) vilka baseras på den internationella e‑hälsostandarden HL7 FHIR.

  • Under ett pågående godkännandeärende ska det hos er finnas en utsedd kontaktperson gentemot E‑hälsomyndigheten. På E‑hälsomyndighetens sida utgör godkännandeansvarig er kontaktperson i ärendet. 

6. Blanketter i godkännandet 

6.1. Beställning av godkännande

Beställning av godkännande används av den systemleverantör som vill starta ett godkännandeärende hos E‑hälsomyndigheten. Blanketten skickas med e-post till registrator@ehalsomyndigheten.se. Läs mer om detta under avsnitt 3.1. 

6.2. Beställarens Deklaration

Beställarens deklaration utgör ett intygande från systemleverantören inför den kommande anslutningen av systemet, och förekommer som en godkännandeaktivitet i samtliga godkännandeärenden. Blanketten skrivs under som ett sista steg innan godkännandet kan utfärdas och skickas med e-post till godkännandeansvarig handläggare hos E‑hälsomyndigheten. 


7.  Upphävande av Godkännandeintyg 

Upphävande av godkännandeintyg kan ske om E-hälsomyndigheten finner att:

- anslutande system väsentligen brister i kravuppfyllnad, 

- anslutande system riskerar informationsflödet mellan vårdens och apotekens aktörer,

- det finns en risk att anslutande system äventyrar patienters kliniska tillstånd eller säkerhet, 

 - anslutningen till E-hälsomyndigheten riskerar att påverka E-hälsomyndighetens produkters säkerhet eller prestanda på ett negativt sätt,

-personuppgifter hanteras på ett sätt som innebär att E‑hälsomyndigheten inte kan uppfylla sitt personuppgiftsansvar, eller 

- tillämplig lagstiftning i övrigt inte kan efterföljas. 





Versionshistorik

Version Datum Kommentar
1.0 2021-11-27 Ny handbok vård- och apotekstjänster
1.1 2022-03-14 Avsnitt angående kostnad av godkännande uppdaterat för 2022 (avgiften är oförändrad mellan 2021 och 2022, därav har endast årtalet ändrats)
1.2 2022-03-30
  • Informationen i avsnitten Varför godkännandet behövs och Vad ett godkännande kostar har förtydligats
  • Ett antal redaktionella förändringar 
1.3 2022-11-23 Lagt till kapitel 7 
1.4 2023-01-05 Uppdaterat information om kostnad för godkännande 2023
1.5 2024-01-19 Avsnitt angående kostnad av godkännande uppdaterat för 2024 (avgiften är oförändrad mellan 2023 och 2024, därav har endast årtalet ändrats)
1.6 2024-03-25 Uppdaterat information om att fakturering av ett pågående godkännande sker årsvis.