Наказ НСЗУ від 06.02.2019 р. № 28

НАЦІОНАЛЬНА СЛУЖБА ЗДОРОВ’Я УКРАЇНИ
НАКАЗ
від 06.02.2019 р. № 28
Про затвердження технічних вимог до електронної медичної інформаційної системи для її підключення до центральної бази даних електронної системи охорони здоров’я та тестової програми для встановлення відповідності до таких вимог

На виконання пункту 52 та 54 Порядку функціонування електронної системи охорони здоров’я, затвердженого постановою Кабінету Міністрів України від 25 квітня 2018 р. № 411,

НАКАЗУЮ:

1. Затвердити технічні вимоги до електронної медичної інформаційної системи для її підключення до центральної бази даних електронної системи охорони здоров’я, що додаються.

2. Затвердити тестову програму для встановлення відповідності електронної медичної інформаційної системи технічним вимогам, що додається.

3. Департаменту інформаційних технологій довести цей наказ до відома адміністратора центральної бази даних та операторів електронних медичних інформаційних систем.

4. Контроль за виконання цього наказу залишаю за собою.

Голова О. Петренко

ЗАТВЕРДЖЕНО

наказ Національної служби здоров’я України

від 06.02.2019 р. № 28

ТЕХНІЧНІ ВИМОГИ
до електронної медичної інформаційної системи для її підключення до центральної бази даних електронної системи охорони здоров’я

1. Загальні вимоги до електронної медичної інформаційної системи (далі — МІС)

1.1. МІС забезпечує можливість обміну даними з центральною базою даних (далі — ЦБД) електронної системи охорони здоров’я (далі — система) через відкритий прикладний програмний інтерфейс (далі — АРІ).

1.2. МІС забезпечує можливість внесення інформації до ЦБД системи через свій інтерфейс українською мовою. У випадках, коли використання літер українського алфавіту призводить до спотворення інформації, можуть використовуватися латинські літери та спеціальні символи, зокрема для запису адрес в інтернеті та адрес електронної пошти.

1.3. МІС забезпечує внесення до ЦБД системи даних, зокрема у вигляді електронних, в тому числі оцифрованих, документів (файлів), та доступ до них через свій інтерфейс із застосуванням засобів електронної ідентифікації (електронного цифрового підпису та інших).

1.4. МІС надає доступ до системи через свій інтерфейс після введення логіну та паролю користувача.

1.5. На стороні МІС заборонено використовувати проміжні інтерфейси авторизації користувачів, крім веб-сторінки авторизації, яка надходить з домену auth.ehealth-ukraine.org.

2. Загальні вимоги до безпеки

2.1. МІС має забезпечувати захист даних, зокрема забезпечувати цілісність, доступність, конфіденційність та розмежування доступу до даних, внесених до ЦБД системи.

2.2. МІС має використовувати тільки безпечні протоколи передачі даних між МІС та ЦБД та між МІС та користувачем МІС, такі як SSL, TLS.

2.3. МІС має відповідати вимогам Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та інших нормативно- правових актів, що регулюють питання захисту інформації в інформаційно- телекомунікаційних системах.

2.4. МІС має забезпечувати використання стандартів криптографічного захисту даних та захищені канали передачі даних під час обміну даними між МІС та кінцевим користувачем.

2.5. МІС має забезпечувати надання відповідних рекомендацій користувачам щодо безпеки даних (організаційно-технічні рішення).

3. Функціональні вимоги до модулів МІС

3.1. Модуль «Робоче місце лікаря».

3.1.1. Обсяг функціональних вимог:

• успішно створена декларація про вибір лікаря, що надає первинну медичну допомогу (ПМД);
• всі поля про пацієнта заповнені у відповідності зі специфікацією АРІ системи.

3.1.2. Передумова відповідності функціональним вимогам: в системі успішно зареєстровані надавач медичних послуг (далі — НМП), користувач системи з відповідними правами та пацієнт.

3.1.3. Вимоги до укладання декларації:

• пошук пацієнта у реєстрі пацієнтів;
• успішно створена декларація про вибір лікаря, що надає ПМД, з використанням методу онлайн-верифікації. Всі поля про пацієнта заповнені у відповідності зі специфікацією АРІ системи;
• успішно створена декларація про вибір лікаря, що надає ПМД, з використанням методу офлайн-верифікації. Оцифровані документи у форматі JPEG, які вимагаються системою, успішно завантажені. Всі поля про пацієнта заповнені у відповідності зі специфікацією АРІ системи;
• успішно створена декларація про вибір лікаря, що надає ПМД, для пацієнта, у якого є опікун;
• успішно створена декларація про вибір лікаря, що надає ПМД, для пацієнта віком менше 14 років, у якого є відповідальна особа;
• повторне створення декларації для пацієнта, який вже має активну декларацію, створену з використанням методу онлайн-верифікації;
• всі згоди, які дає пацієнт, та всі прапорці (checkbox), які пацієнт встановлює на етапі створення декларації, коректно відображаються в інтерфейсі МІС. Користувач може отримувати всю інформацію про такі згоди та прапорці, включаючи згоду на обробку персональних даних;
• при заповненні полей з адресами використовується список вулиць для відповідних населених пунктів, які надає Система через відповідний пошуковий АРІ;

3.2. Модуль «Адміністративний модуль надавача медичних послуг»

3.2.1. Обсяг функціональних вимог:

• Реєстрація нового надавача медичних послуг (далі — НМП) у ЦБД системи.
• Реєстрація відбувається із застосуванням чинного електронного цифрового підпису (далі — ЕЦП).
• Авторизація і аутентифікація користувача в системі, реєстрація користувачів, які повинні мати доступ до роботи з ЦБД системи та можливість реєстрації підрозділів НМП в системі за допомогою МІС.
• Можливість перегляду та оновлення введеної раніше інформації щодо НМП, підрозділів, підрядників та співробітників НМП.
• Подання заяви про укладення договору з НСЗУ, підписання та перегляд електронних договорів з НСЗУ про медичне обслуговування населення.

3.2.2. Передумова відповідності функціональним вимогам: відсутня.

3.2.3. Загальні вимоги:

• МІС повинна надавати функціональну можливість підпису даних, що вносяться до ЦБД користувачами, якщо це передбачено специфікацією АРІ системи, за допомогою ЕЦП користувача, який отримано в будь-якому акредитованому центрі сертифікації ключів (АЦСК);
• ЕЦП повинен бути успішно перевірений системою автоматично. Успішною перевіркою вважається повна відповідність даних підписанта, що містяться в ЕЦП, даним що містяться в ЦБД;
• у випадку, якщо процес підписання ЕЦП здійснюється за межами МІС, остання має контролювати, що дані в підписаному об’єкті відповідають даним, введеним користувачем МІС;
• параметр redirect_uri при реєстрації НМП має містити відповідний URL, де доменом буде тільки такий домен, де МІС здатен опрацювати запити на отримання даних аутентифікації;
• МІС повинна правильно відобразити текст і прапорець (checkbox) для елементу Consent (погодження з правилами), а також повинна продемонструвати, або надати можливість перевірки, що елемент погодження з правилами відображається вірно, і що користувач може надати згоду з відповідними правилами після ознайомлення з ними.

3.2.4. Вимоги до реєстрації НМП, реєстрації та авторизації керівників НМП:

• успішна реєстрація НМП та користувачів;
• новостворений запис в ЦБД системи відповідає даним про реєстрацію НМП в ЄДР та даним, наданих користувачем МІС;
• дані про реєстрацію користувачів, в тому числі, керівника НМП та адміністративного керівника, мають збігатися з даними, наданими користувачем МІС;
• дані щодо адреси НМП введено у відповідності з наданими словниками пошуку адрес і міст (сервіс Uadresses);
• у разі неуспішної реєстрації НМП у ЦБД системи, МІС повинна інформувати користувача МІС про невідповідність введених даних або інші помилки, що могли виникнути при реєстрації;
• МІС має надавати можливість верифікації НМП, за допомогою відповідних операцій в системі (Verify Legal Entity);
• МІС правильно працює з refresh і access token згідно специфікації OAuth2, і контролює дані про дату валідності токена (expiry date);
• для аутентифікації користувача в ЦБД системи, МІС направляє користувача МІС на відповідну сторінку в домені auth.ehealth-ukraine.org;
• для проходження процедури аутентифікації користувача в ЦБД системи, МІС передає правильне значення redirect_uri, яке містить тільки адреси тих доменів, де МІС може обробляти запити отримання токенів аутентифікації від ЦБД системи;
• у запиті на гарантування обсягу аутентифікації (scopes) МІС передає правильний список прав, які необхідні користувачу для подальшої роботи із ЦБД системи;
• успішна реєстрація кожного з можливих типів користувачів;
• МІС надає можливості введення всіх даних про посаду, рівні освіти, кваліфікації, спеціальності та наукові ступені користувачів згідно зі специфікацією АРІ системи;

3.2.5. Вимоги до управління підрозділами НМП:

• успішна реєстрація підрозділів НМП;
• новостворений запис в ЦБД системи відповідає даним про реєстрацію підрозділу НМП, наданих користувачем МІС;
• користувач при реєстрації підрозділу НМП може передати (введені або обрані) GPS-координати підрозділу;
• дані щодо адрес підрозділу НМП введено у відповідності з наданими словниками пошуку адрес і міст (сервіс Uadresses);
• користувач системи, з відповідними правами доступу може отримати список зареєстрованих підрозділів даного НМП;
• користувач системи, з відповідними правами доступу може оновити інформацію щодо раніше зареєстрованого підрозділу НМП;

3.2.6. Вимоги до управління співробітниками НМП:

• успішна реєстрація співробітників НМП;
• дані про співробітників, створених в МІС, в повній мірі відповідають даним, що надійшли в ЦБД системи;
• МІС надає можливості введення всіх даних про посаду, рівні освіти, кваліфікації, спеціальності та наукові ступені користувачів згідно зі специфікацією АРІ системи;
• можливість оновлення персональних і професійних даних існуючих користувачів;
• керівник НМП може бачити статуси запитів на створення користувачів в системі (прийнятий або не прийнятий);
• адміністративний користувач може змінювати статус користувачів на «звільнений» (dismissed) з діалогом підтвердження дії або скасування.

3.2.7. Вимоги до договору між НМП та НСЗУ.

• успішне внесення та передача необхідних даних для формування заяви про укладення договору у відповідності із АРІ системи;
• успішне підписання договору з боку НМП;
• можливість оновлення даних договору, у тому числі внесення змін до даних щодо лікарів, підрозділів та підрядників НМП;
• можливість введення даних за договором надається лише користувачу з типом «Керівник НМП»;
• користувач системи з відповідними правами має бачити актуальні статуси заявок на договір та договорів, та отримувати оперативне сповіщення про зміни таких статусів;
• користувач Системи з відповідними правами перед підписанням договору повинен побачити текст договору та повідомлення: «Накладаючи свій електронний підпис/електронний цифровий підпис я розумію, про настання певних прав та обов’язків, зрозумів текст договору».

3.3. Модуль «Адміністративний модуль аптечного закладу»

3.3.1. Обсяг функціональних вимог: Реєстрація суб’єкта господарювання аптечного закладу (далі — АЗ) у ЦБД системи. Реєстрація відбувається із застосуванням чинного надалі — ЕЦП. Авторизація і аутентифікація користувача в системі, реєстрація користувачів, які повинні мати доступ до роботи з системою та можливість реєстрації підрозділів та співробітників АЗ в системі за допомогою МІС. Можливість перегляду та оновлення введеної раніше інформації щодо АЗ, підрозділів та співробітників АЗ. Подання заяви про укладення договору про реімбурсацію, підписання та перегляд електронних договорів з НСЗУ про реімбурсацію.

3.3.2. Передумова відповідності функціональним вимогам: відсутня.

3.3.3. Загальні вимоги.

• МІС повинна надавати функціональну можливість підпису даних, що вносяться до ЦБД користувачами, якщо це передбачено специфікацією АРІ системи, за допомогою ЕЦП користувача, який отримано в будь-якому акредитованому центрі сертифікації ключів (АЦСК);
• ЕЦП повинен бути успішно перевірений системою автоматично. Успішною перевіркою вважається повна відповідність даних підписанта, що містяться в ЕЦП, даним що містяться в ЦБД;
• у випадку, якщо процес підписання ЕЦП здійснюється за межами МІС, МІС має контролювати, що дані в підписаному об’єкті відповідають введеним даним користувачем;
• параметр redirect_uri при реєстрації АЗ має містити відповідний URL, де доменом буде тільки такий домен, де МІС здатен опрацювати запити на отримання даних аутентифікації;
• МІС повинна правильно відобразити текст і прапорець (checkbox) для елементу Consent (погодження з правилами), а також повинна продемонструвати, або надати можливість перевірки, що елемент погодження з правилами відображається вірно, і що користувач може надати згоду з відповідними правилами після ознайомлення з ними.

3.3.4. Вимоги до реєстрації АЗ, реєстрації та авторизації користувачів:

• успішна реєстрація АЗ та користувачів;
• новостворений запис в Системі відповідає даним про реєстрацію АЗ в ЄДР та даним, що були надані користувачем МІС;
• дані про реєстрацію користувачів, в тому числі, керівника АЗ та адміністративного керівника, мають збігатися з даними, наданими МІС;
• дані щодо адреси АЗ введено у відповідності з наданими словниками пошуку адрес і міст (сервіс Uadresses);
• у разі неуспішної реєстрації АЗ у Системі, МІС повинна інформувати користувача про невідповідність введених даних або інші помилки, що могли виникнути при реєстрації;
• МІС має надавати можливість верифікації АЗ, за допомогою відповідних операцій в системі (Verify Legal Entity);
• МІС має правильно працювати з refresh і access token згідно специфікації OAuth2, і контролювати дані про дату валідності токена (expiry date);
• для аутентифікації користувача в ЦБД системи, МІС направляє користувача МІС на відповідну сторінку в домені auth.ehealth-ukraine.org;
• для проходження процедури аутентифікації користувача в ЦБД системи, МІС передає правильне значення redirect_uri, яке має містити тільки адреси тих доменів, де МІС може обробляти запити отримання токенів аутентифікації від системи;
• у запиті на гарантування обсягу аутентифікації (scopes) МІС має передавати правильний список прав, які необхідні користувачу для подальшої роботи з ЦБД системи;
• успішна реєстрація кожного з можливих типів користувачів;
• МІС надає можливості введення всіх даних про посаду, рівні освіти, кваліфікації, спеціальності та наукові ступені користувачів згідно зі специфікацією АРІ Системи;
• при реєстрації АЗ МІС повинна надавати користувачам можливість автоматичного завантаження даних про АЗ з Реєстру місць провадження діяльності з оптової та роздрібної торгівлі ЛЗ Державної служби України з лікарських засобів та контролю за наркотиками portal.dls.gov.ua/PublicSite/TradeLicense/TradeLicenseList.aspx (далі — Реєстр ДЛС), вносити іншу інформацію згідно Реєстру ДЛС, або попереджати користувача про необхідність внесення в ЦБД системи інформації щодо АЗ згідно з даними Реєстру ДЛС.

3.3.5. Вимоги до управління підрозділами АЗ:

• успішна реєстрація підрозділів АЗ;
• новостворений запис в ЦБД відповідає даним про реєстрацію підрозділу АЗ, наданих користувачем МІС;
• при реєстрації підрозділів АЗ, МІС повинна надавати користувачам можливість автоматичного завантаження даних про підрозділи АЗ Реєстру ДЛС, вносити іншу інформацію згідно з даними Реєстру ДЛС, або попереджати користувача про необхідність внесення в ЦБД системи назви підрозділу та іншої інформації згідно з даними Реєстру ДЛС;
• користувач при реєстрації підрозділу АЗ повинен передати (введені або обрані) GPS-координати підрозділу;
• дані щодо адрес підрозділу АЗ введено у відповідності з наданими словниками пошуку адрес і міст (сервіс Uadresses);
• користувач системи, з відповідними правами доступу може отримати список зареєстрованих підрозділів даного АЗ;
• користувач системи, з відповідними правами доступу може оновити інформацію щодо раніше зареєстрованого підрозділу;

3.3.6. Вимоги до управління співробітниками АЗ:

• успішна реєстрація співробітників АЗ;
• дані, про співробітників створених в МІС в повній мірі відповідають даним, що надійшли в Систему;
• МІС надає можливості введення всіх даних про посаду, рівні освіти, кваліфікації, спеціальності та наукові ступені користувачів згідно зі специфікацією АРІ Системи;
• користувач системи з відповідними правами може оновити персональні, професійні та інші дані зареєстрованих співробітників;
• користувач системи з відповідними правами може бачити статуси запитів на створення співробітників в системі (прийнятий або не прийнятий);
• користувач системи з відповідними правами може змінювати статус користувачів на «звільнений» (dismissed) з діалогом підтвердження дії або скасування.

3.3.7. Вимоги до договорів з НСЗУ:

• у відповідності до АРІ Системи успішне введення необхідних даних для формування заяви про укладення договору та можливість вибору з раніше зареєстрованих в Системі підрозділів АЗ, які необхідно включити до участі у програмі реімбурсації;
• успішне підписання договору з боку АЗ;
• можливість оновлення даних договору, у тому числі оновлення переліку підрозділів АЗ, які беруть участь у програмі реімбурсації;
• можливість введення та оновлення даних по договору надається лише користувачам з типом «Керівник АЗ»;
• користувач Системи з відповідними правами має бачити актуальні статуси заяви про укладення договору та договорів, отримувати оперативне сповіщення про зміни таких статусів;
• користувач Системи з відповідними правами перед підписанням договору повинен побачити текст договору та повідомлення: «Накладаючи свій електроннний підпис/електронний цифровий підпис я розумію, про настання певних прав та обов’язків, зрозумів текст договору».

Директор Департаменту інформаційних технологій О.Рябець

ЗАТВЕРДЖЕНО

наказ Національної служби здоров’я України

ТЕСТОВА ПРОГРАМА
встановлення відповідності електронних медичних інформаційних систем технічним вимогам

1. Загальні положення

1.1. Тестова програма встановлює порядок та процедуру тестування електронних медичних інформаційних систем (далі — МІС) на відповідність технічним вимогам, дотримання яких є необхідним для підключення МІС до центральної бази даних (далі — ЦБД) електронної системи охорони здоров’я (далі — система).

1.2. Тестуванню підлягають МІС, розроблені відповідно до специфікацій, визначених Державним підприємством «Електронне здоров’я» (далі — адміністратор), заявка на тестування яких подана адміністратору оператором МІС відповідно до законодавства.

1.3. Тестуванню підлягає весь функціонал передбачений технічними вимогами в рамках кожного модуля, включеного до заявки на тестування.

2. Порядок тестування

2.1. Тестування МІС здійснюється шляхом визначення відповідності МІС технічним вимогам в частині функціональних вимог до модулів МІС.

2.2. Тестування МІС здійснюється на тестових середовищах системи.

2.3. Тестування МІС здійснюється в порядку надходження до адміністратора заявок на тестування.

3. Процедура тестування

3.1. Оператор МІС здійснює аудіовідеозапис процесу виконання робочих операцій, що передбачені технічними вимогами в межах функціоналу модулів МІС, включених до заявки на тестування. Вказані робочі операції виконуються оператором МІС на ДЕМО середовищі системи. Файл з аудіо відеозаписом скріплений ЕЦП оператор МІС додає до заявки на тестування разом з іншими документами, передбаченими законодавством.

3.2. Адміністратор розглядає подану заявку і додані до неї документи та приймає рішення про початок тестування, або інформує оператора МІС про необхідність усунення недоліків у заявці та (або) доданих до неї документах.

3.3. В разі прийняття рішення про початок тестування, уповноважені особи адміністратора здійснюють аналіз наданих документів, в тому числі аудіовідеозапису, з метою встановлення відповідності МІС технічним вимогам, зокрема відповідності модулів МІС функціональним вимогам.

3.4. У разі якщо додані до заявки документи, в тому числі аудіовідеозапис, містять недоліки, через які неможливо провести аналіз, або якщо на основі проведеного аналізу неможливо однозначно встановити відповідність або невідповідність МІС технічним вимогам, зокрема відповідності модулів МІС функціональним вимогам, адміністратор інформує оператора МІС про необхідність усунення таких недоліків та пропонує повторно подати заявку на тестування.

3.5. На основі успішно проведеного аналізу адміністратор готує та надає оператору МІС висновок відповідно до законодавства.

Директор Департаменту інформаційних технологій О.Рябець

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!