Når leverandør har utviklet kjernejournalintegrasjon, og ferdigstilt sin systemtest, avtales tid for akseptansetest hvor leverandør og Norsk helsenett deltar. Tester som utføres ved integrasjon med kjernejournal er følgende:

• Demomøte, akseptansetest del 1: Gjennomgang av diverse funksjonalitet, inkludert hvordan sluttbrukere får tilgang til kjernejournal i det kliniske fagsystemet.

• Integrasjonstester, akseptansetest del 2a: En mer grundig test av kjernejournal-integrasjonen i det kliniske fagsystemet inkludert test av hvordan det kliniske fagsystemet håndterer brudd i kommunikasjonen mot kjernejournal.

De fleste testene som gjennomføres ved kjernejournalintegrasjon er av teknisk karakter. Det er viktig at leverandør leser igjennom testene og har forståelse for disse i forkant av akseptansetesten. 

Demomøte (akseptansetest del 1)

Demomøte er en kombinasjon av demo av kjernejournalintegrasjonen og funksjonell test av integrasjonen.

Leverandør presenterer sin kjernejournalintegrasjon for Norsk helsenett. Dersom demo og funksjonell test viser at integrasjonen er utviklet i henhold til krav, avtales akseptansetest del 2, som er integrasjonstest og avbruddstest. Testcasene for demomøte skal brukes som mal for leverandørs gjennomgang, se Portalintegrasjon eller API-integrasjon.

Integrasjonstest (akseptansetest del 2)

Integrasjonstest gjennomføres for å sikre at kjernejournalintegrasjonen i det kliniske fagsystemet er implementert på en trygg måte, både med tanke på teknisk sikkerhet og pasientsikkerhet.

Det fokuseres på tilstrekkelig teknisk validering av kommunikasjonen mot kjernejournal, håndtering av pasienter (at data som presenteres fra kjernejournal tilhører den samme pasienten som er aktiv i det kliniske fagsystemet) og håndtering av brukersesjoner.

For testcaser se Portalintegrasjon eller API-integrasjon.

Sertifikater

Da korrekt bruk og håndtering av sertifikater er grunnmuren for sikkerhet mellom systemene testes ulike varianter av sertifikathåndtering. Det er viktig at ikke tredjeparter kan utgi seg for å være kjernejournal eller påvirke det kliniske fagsystemet til å kalle en falsk adresse. I integrasjonstest testes det at det kliniske fagsystemet er i stand til å oppdage om kjernejournal har et sertifikat som er revokert, utstedt til en annen tjeneste, eller utstedt av en ikke-tiltrodd utsteder.

I leverandørens forberedelser til integrasjonstest, og under utvikling/systemtest av integrasjonen mot kjernejournal, kan følgende testsider benyttes:

• Buypass tilbyr på sine nettsider mulighet for å teste mot utgått og revokert sertifikat: 

  • Utgått: https://expired.domain.ca22.ssl.buypass.no/  

  • Revokert: https://revoked.domain.ca22.ssl.buypass.no

• Alternativt kan testsidene fra badssl.com benyttes: 

  • Feil navn: https://wrong.host.badssl.com/

  • Selvsignert: https://self-signed.badssl.com/

  • Revokert: https://revoked.badssl.com/

Her kan man da altså legge inn disse adressene istedenfor kjernejournal sine adresser, og observere at det kliniske fagsystemet feiler korrekt på sertifikatvalideringen.

NB: Norsk helsenett erfarer at det er flere årsaker til at leverandører ikke ønsker å sjekke på revokert sertifikat. En årsak er at revokeringssjekk kan hindre andre applikasjoner i miljøet hos kunden i å fungere optimalt, andre er at sjekk av revokering fører til økt responstider. Det er derfor ikke et MÅ-krav å innføre sjekk, men dersom det ikke gjøres understrekes det at risikoen for dette må beskrives i virksomhetens RoS-analyse, og risikoen eies av den enkelte virksomhet, ikke av eier av kjernejournal.

Avbruddstest

Kjernejournalintegrasjonen i det kliniske fagsystemet ligger i bakgrunnen og snakker med kjernejournal til stadighet, uansett om sluttbrukeren har tenkt å benytte funksjonaliteten eller ikke. Derfor er det viktig at manglende kontakt med kjernejournal (pga. nettverksbrudd e.l.) ikke påvirker de øvrige funksjonene i det kliniske fagsystemet. I tillegg er det viktig at feil rapporteres til brukeren, og logges, på en fornuftig måte, så feilsøking blir så effektivt som mulig.

Testene skal bekrefte at sluttbruker kan jobbe uberørt i det kliniske fagsystemet selv om kjernejournal er utilgjengelig eller ikke svarer på forespørsler.