3.2. Vedlegg 2 – Tiltakskatalog

Tiltakskoder

  1. S* = Styring/ledelse og internkontroll (Styring)
  2. IF* = Informasjonsforvaltning og datakvalitet (Informasjonsforvaltning)
  3. AI* = Arkitektur og integrasjon (Arkitektur/Integrasjon)
  4. BO* = Brukervennlighet og kliniske arbeidsflater (Brukeropplevelse)
  5. TE* = Test, endringsstyring og utrulling (Test/Endring)
  6. DR* = Drift, robusthet, logging og overvåking (Drift)
  7. AA* = Leverandør og avtaler (Anskaffelser/Avtaler)
  8. OP* = Opplæring og kultur (Opplæring)
  9. AH* = Avvik, hendelser og skadebegrensning (avvik/hendelser)

Type: Hvert tiltak er markert som F (forebyggende) og/eller S (skadebegrensende).

Styring og internkontroll (S*)

Virksomhetens øverste ledelse har ansvar for å etablere et ledelsessystem som sikrer informasjonssikkerhet, kvalitet og pasientsikkerhet, med nødvendige ressurser og økonomiske rammer. Dette innebærer oversikt over regelverk, etablering av betryggende internkontroll og oppfølging av både egne systemer og samarbeidspartnere. Informasjonssikkerhetsarbeidet bør samordnes med IKT-, kvalitets- og pasientsikkerhetsfunksjoner for å sikre helhetlig styring og tydelig ansvarsfordeling. Virksomheten må også ha oversikt over interne og eksterne interessenter og sikre riktig kompetanse på tvers av fagområder for trygg innføring og bruk av ny teknologi.

  • (S‑01) Integrert styringssystem for informasjonssikkerhet og kvalitet (F)
    • Etabler og forankre policy, mål, risikokriterier og roller. Koordiner med pasientsikkerhet og kvalitet.
  • (S‑02) Risiko- og tiltaksplan med ledelsesforankring (F, S)
    • Krav om oppfølging i ledelsens gjennomgang; prioriter tiltak med pasientrisiko først.
  • (S-03) Samhandlingsansvar og avtaler mellom nivåer (F)
    • Formaliser ansvar i omsorgsoverganger; inkluder varslings- og oppdateringsplikt.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Informasjonsforvaltning og datakvalitet (IF*)

Informasjonsforvaltning handler om å ha en strategisk og helhetlig tilnærming til hvordan informasjon beskrives, brukes og forvaltes på tvers av prosesser og systemer. Det krever oversikt over hvilken informasjon som finnes, hvordan den brukes, og hvem som har ansvar for å forvalte den. Kvaliteten på data er avgjørende for sikker og effektiv helsehjelp; feil eller mangelfulle data øker risikoen for feil behandling, mens presise data støtter gode beslutninger og pasientsikkerhet. God informasjonsforvaltning er dermed en forutsetning for vellykket digitalisering og for å utnytte informasjon som en sentral ressurs i helse- og omsorgstjenesten.

  • (IF‑01) Autoritativ datakilde per domene (F)
    • Definer «hvor oppdateres hva» (f.eks. legemidler, kritisk info) og dokumenter i informasjonsmodell.
  • (IF‑02) Datakvalitetsregler og konsistenskontroller (F, S)
    • Automatiske regler for feltkompletthet, gyldighet, tidsstempler og konfliktflagg.
  • (IF‑03) Oversikt over dataflyt, kopipunkter og metadata (F)
    • Kartlegg kopier, replika, eksport/import og e‑meldingsløp; synliggjør «hvor samme data vises».
  • (IF‑04) Standarder, kodeverk og terminologi i primærbruk (F)
    • Krav om bruk av relevante e‑helsestandarder/kodeverk og styrt bruk av fritekst.
  • (IF‑05) Mapset‑styring ved konvertering mellom kodeverk (F, S)
    • Bruk formålsbestemte koplingstabeller; dokumenter begrensninger og informasjonstap.
  • (IF‑05) Integrasjonsstrategi og prioriteringsmodell for datadeling (F)
    • Etabler styrte prinsipper for hvilke systemer som skal integreres, i hvilken rekkefølge og på hvilke datadomener, basert på klinisk risiko og virksomhetsbehov.
  • (IF‑06) Integrasjonsstrategi og prioriteringsmodell for datadeling (F)
    • Fastsett prinsipper og prioritering for hvilke systemer og datadomener som skal integreres, og i hvilken rekkefølge. Prioriter kritisk informasjon og kliniske behov, og angi hvilke standarder som skal benyttes. Målet er å sikre styrt og risikobasert utvikling av integrasjoner og redusere manuell datahåndtering.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Arkitektur og integrasjon (AI*)

I en virksomhetsarkitektur ses IT-arkitekturen som en del av virksomhetens helhetlige struktur. Arkitekturen deles ofte inn i domener som forretnings-, data-, applikasjons- og teknologiarkitektur, der de tre siste utgjør IT-arkitekturen. Denne danner grunnlaget for hvordan systemer og løsninger skal henge sammen og støtte virksomhetens behov. Det anbefales å planlegge informasjonsflyt ut fra virksomhetens prosesser – ikke fra de tekniske systemene – slik at digitale løsninger blir gode støttesystemer. En helhetlig informasjonsstrategi bør beskrive hvilke systemer virksomheten har, hvordan de samvirker og hvilke formål de ivaretar. Kravet til datakvalitet og dataintegritet må ses i sammenheng med Normens bestemmelser om sikker IT-drift, konfigurasjonskontroll og endringsstyring, ettersom utilsiktede endringer kan oppstå gjennom feil i programvare, integrasjoner eller konverteringer.

  • (AI‑01) Sanntids- eller nær‑sanntidsintegrasjon (F)
    • Hendelsesdrevne grensesnitt (API/HL7/FHIR) fremfor manuelle kopier.
  • (AI‑02) Les‑kun visning av kildedata i sekundærsystemer (F)
    • Hindre manuelle oppdateringer i kopierbare felt.
  • (AI‑03) Endringsvarsler og abonnementsmekanismer (ACK/NACK, feillogikk) (F,S)
    • Sikrer at meldinger faktisk leveres og at feil oppdages og håndteres. Systemet bekrefter mottak.
  • (AI‑04) Enhetlig adresseregister- og visningsfil‑forvaltning (F)
    • Sikre korrekt ruting og konsistent visning ved e‑meldinger.
  • (AI‑05) Fall‑back og «read‑through cache» med tydelig alder på data (S)
    • Ved nedetid vis alder og kilde; tving revalidering når kilden er tilbake.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Brukervennlighet og kliniske arbeidsflater (BO*)

Brukervennlige digitale løsninger er avgjørende for å styrke kvaliteten i pasientbehandlingen og effektivisere ressursbruken. Tidlig og aktiv involvering av helsepersonell i utvikling, anskaffelse og innføring bidrar til løsninger som støtter arbeidsprosessene og oppleves som funksjonelle og intuitive. Systemene bør være fleksible og kunne tilpasses ulike roller, men uten å gå på bekostning av helhet og sammenheng i informasjonsflyten. Brukervennlige løsninger skal understøtte pasientforløp og dokumentasjonsprosesser, bidra til riktig rekkefølge i arbeidsflyten og gjøre det enklere for helsepersonell å sikre komplett og korrekt informasjon i pasientjournalen.

  • (BO‑01) Kildemerking og «sist oppdatert» i GUI (F)
    • Vis autoritativ kilde, timestamp og opprinnelse for felt/objekt.
  • (BO‑02) Kontekstsynkronisering på tvers av vinduer/skjermer (F)
    • Reduser feilregistrering på feil pasient.
  • (BO‑03) Klinisk kontekstbevaring ved deling (F)
    • Sikre at målekontekst, reaksjonstype og alvorlighetsgrad følger data.

Veiledningsmateriell

Test, endringsstyring og utrulling (TE*)

Testing av IT-systemer og digitale løsninger er et sentralt tiltak for å sikre informasjonsintegritet og forhindre feil. Testaktiviteter bør omfatte systemer, integrasjoner, API-er og informasjonsflyt – både ved utvikling, innføring og oppgradering av løsninger. Tidlig testing, gjerne med klikkbare prototyper, gir helsepersonell mulighet til å gi relevante tilbakemeldinger og bidrar til bedre systemtilpasning. Det bør legges til rette for felles testmiljøer på tvers av leverandører for å sikre helhetlig informasjonsflyt og effektiv feilretting. I produksjonsmiljøer må det være gode rutiner for versjonsstyring, mulighet for å rulle tilbake endringer og kontroll over utgivelser for å beskytte informasjonens integritet. Kritiske funksjoner bør evalueres eksternt før produksjonssetting for å avdekke og rette alvorlige feil i forkant av drift.

  • (TE‑01) Ende‑til‑ende‑testing av verdikjeder (F)
    • Inkluder integrasjoner, meldingsløp og visningsfiler på tvers av aktører.
  • (TE‑02) «Release management» med rollback (F, S)
    • Planlagte releaseløp, feature‑toggles, og reverserbarhet.
  • (TE‑03) Ekstern vurdering av kritiske funksjoner (F)
    • Sertifisering/sikkerhetstest før produksjon.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Drift, robusthet, logging og overvåking (DR*)

Drift, robusthet, logging og overvåking handler om å sikre stabil og pålitelig funksjon av virksomhetens digitale løsninger. Gjennom systematisk drift og kontinuerlig overvåking kan feil oppdages tidlig, og hendelser håndteres effektivt. God logging er viktig for sporbarhet, læring og forbedring, og for å ivareta krav til sikkerhet, integritet og kvalitet i helse- og omsorgstjenesten.|

  • (DR‑01) Overvåking av integrasjonsfeil og datadrift (S)
    • Varsling til systemeier og klinisk kontakt ved feilede transaksjoner.
  • (DR‑02) Konfliktoppdagelse og automatisk resolusjon (S)
    • «Last writer wins» er ikke tilstrekkelig; bruk regelfestet konfliktbehandling.
  • (DR‑03) Journalføring av dataendringer (audit trail) (F, S)
    • Audit trail for meldingshåndtering innebærer at systemet loggfører alle steg i meldingsutvekslingen, inkludert avsender, mottaker, tidspunkt, status og eventuelle feil eller endringer. Dette gjør det mulig å spore og undersøke meldingsfeil, sikre etterprøvbarhet, støtte avvikshåndtering og bidra til pasientsikkerhet gjennom riktig og dokumentert overføring av meldinger.

Leverandør og avtaler (AA*)

Effektiv leverandøroppfølging og god avtaleforvaltning er avgjørende for god informasjonssikkerhet. Når informasjon deles mellom virksomheter og omsorgsnivåer, må roller, ansvar og forventninger formaliseres gjennom tydelige avtaler. Proaktiv dialog med leverandørmarkedet bidrar til innovasjon og reduserer risiko for feil i datakvalitet eller brudd på dataintegritet. For å oppnå gode resultater må virksomheten ha tilstrekkelig bestillerkompetanse og sørge for kontrakter som stiller krav til testing, akseptanse, vedlikehold og håndtering av feil og endringer. Brukerbehov må ivaretas i kravspesifikasjoner og evaluering, og SLA-avtaler (Service Level Agreement)  skal sikre stabil drift og rask respons ved avvik. Leverandører som samarbeider med virksomheter tilknyttet Norsk Helsenett kan med fordel benytte NHNs tjenester for sikker og standardisert samhandling.

  • (AA‑01) Krav til standarder, API og interoperabilitet i kontrakt (F)
    • Referer til Referansekatalog/Normens krav; krav til sanntidsoppdatering.
  • (AA‑02) SLA (Service Level Agreement) for datakvalitet, synkronisering og varslingsplikt (F, S)
    • En SLA beskriver hvilket tjenestenivå en leverandør eller et system skal levere og for datakvalitet handler det om å definere krav til hvor gode og pålitelige dataene skal være. Mål for leveransefeil, tidsfrister for retting, informasjonsplikt ved avvik.
  • (AA‑03) Felles testmiljø og produksjonssetting for samhandling (F)
    • Pålagt deltakelse i felles testregime ved endringer.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Opplæring og kultur (OP*)

Kompetanse og opplæring er grunnleggende for å ivareta informasjonssikkerhet, personvern og pasientsikkerhet. I henhold til Normen (kapittel 5.1.2) skal alle som har tilgang til informasjonssystemer ha nødvendig kompetanse til å bruke dem på en trygg og korrekt måte. Virksomheten må derfor sørge for systematisk opplæring i nye arbeidsformer og digitale løsninger, med tydelige læringsmål som understøtter sikker og effektiv bruk. Opplæring bør også bidra til økt teknologiforståelse, erfaringsdeling og forbedringsarbeid, samt bevissthet om at alle i informasjonsflyten har ansvar for å bidra til datakvalitet og  korrigering av informasjon.

  • (OP‑01) Opplæring i autoritativ kilde og riktig oppslag (F)
    • Kliniske bruksscenarioer og beslutningsstøtte.
  • (OP‑02) Datakvalitetsansvar i stillingsbeskrivelser (F)
    • Tydeliggjør eieransvar og kontrollpunkter i klinikken.
  • (OP‑03) Opplæring i informasjonsdeling (F)
    • Ansatte skal få tilstrekkelig opplæring i når og hvordan opplysninger kan deles og innhentes på en trygg, relevant og lovlig måte, slik at personvernet ivaretas og regelverket følges

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Avvik, hendelser og skadebegrensning (AH*) 

Systematisk håndtering av avvik og uønskede hendelser er avgjørende for å sikre læring, forbedring og etterlevelse av krav til informasjonssikkerhet og pasientsikkerhet. I henhold til Normen (kapittel 5.8) skal brudd på personopplysningssikkerheten meldes til Datatilsynet innen 72 timer, og feil i informasjonssystemer varsles til Statens helsetilsyn. Virksomheten må ha en etablert sikkerhetskultur med lav terskel for rapportering og tydelige rutiner for hvordan avvik meldes, behandles og følges opp. Det bør gis tilbakemelding til innmelder og deles erfaringer og oppdaterte rutiner på tvers av enheter der det er relevant.
Medarbeidere må vite hva som regnes som et avvik og hvordan det skal rapporteres, også i samhandling mellom omsorgsnivåer. Risiko knyttet til bruk av skyggesystemer og uoffisielle løsninger bør identifiseres og håndteres, samtidig som virksomheten har forståelse for at slike løsninger ofte oppstår for å dekke reelle behov. Det viktigste er å ha oversikt og kontroll over informasjonen som genereres, og å sikre at den er konsistent med øvrige systemer.

  • (AH‑01) Lavterskel avviksmelding med tilbakemeldingssløyfe (S)
    • Enkelt å melde; synlig lukking og læring på tvers.
  • (AH‑02) Klinisk «sikker modus» ved datatvil (S)
    • Prosedyre for verifikasjon, dobbeltkontroll og midlertidige manuelle tiltak.
  • (AH‑03) Retningslinje for korrigering og tilbakeføring til kilde (S)
    • Når kopier er feil: korriger i autoritativ kilde og re‑distribuer; informer berørte.
  •  (AH‑04) Klinisk verifisering ved tvil «dobbelkontrollprosedyre» (S)
    • Etabler rutiner for verifikasjon av kritisk informasjon når det foreligger usikkerhet om datakvalitet. Inkluder krav om dobbelkontroll, involvering av relevant fagpersonell og dokumentasjon av kontrollen.

Veiledningsmateriell i Normen

Annet veiledningsmateriell

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. desember 2025