Kritisk informasjon er sikret med HelseID og krever at leverandører har støtte for HelseID. Leverandører må ha fått godkjent sin integrasjon med HelseID før oppkobling mot KI-APIet. Utvikling av integrasjon mot kritisk informasjon kan imidlertid starte parallelt med at leverandør jobber med integrasjon mot HelseID.
 
Under finner dere en liste over noen funksjonelle avklaringer, som det er verdt å merke seg før dere setter i gang utviklingen:
 
1. Samtykkekrav i KI-API

Kjernejournalforskriftens § 7 og pasientjounallovens §13 regulerer samtykkekravet I kjernejournal. Dette innebærer at det kliniske fagsystemet må oppgi grunnlag for oppslag i eller henting av data fra KI-APIet. Dersom samtykke grunnlag i henhold til “hit-access-basis” i utviklerdokumentasjonen mangler, vil ikke data utleveres fra KI-APIet. 
 
2. Forhøyet samtykke må sendes inn dersom kritisk informasjon er sperret av innbygger

Dersom innbygger har sperret for tjenesten Kritisk informasjon så betyr det at helsepersonell må spesifikt be om samtykke til å se pasientens kritiske informasjon. Dette gjelder uavhengig om helsepersonell er unntatt fra samtykke ihht. kjernejournalforskriften. Helsepersonell må i slike tilfeller be om et "forhøyet samtykke" (FORHOYET_AKUTT eller FORHOET_SAMTYKKE). Les mer om det her. Hvis det ikke finnes en sperre og forhøyet samtykke sendes inn, så vil det ikke gis tilgang til tjenesten. Merk at sperret informasjon ikke skal overstyres med mindre man har grunnlag for det. Dette ansvaret hviler på det enkelte helsepersonellet og virksomheten.
For en bedre brukeropplevelse kan fagsystemet sjekke om det finnes en sperring før man henter helsedata via status-endepunktet til kritisk informasjon. Dette er en maskin-til-maskin tjeneste som kan brukes før man henter helsedata. Tekst fra status-endepunktet: 


 “Note that we prefer that clients requests the status-endpoint first for each session in order to determine whether the patient has set
  restriction or reservation. This will improve the user experience as extra consent must be given for access in that case. See the hit-access-
  basis header for how to set consent».
 
3. Differensier på informasjon fra den nasjonale kjernejournalen og lokal informasjon i eget fagsystem

Når informasjon lastes ned fra KI-API, skal helsepersonell vite at det det gjøres oppslag i den nasjonale kjernejournalen. Erfaring tilsier at helsepersonell ikke er klar over at informasjon lokalt i eget fagsystem også hentes fra en nasjonal tjeneste.
Det er også viktig at helsepersonell vet hvilken informasjon som oppdateres inn i kjernejournal ved synkronisering av data. Dette vil bidra til at helsepersonell forstår hva som lagres lokalt og hva som i tillegg lagres sentralt. 
 
4. Meldeplikt for innmelding av kritisk informasjon

I kjernejournalforskriftens §5 er det nå foreslått meldeplikt for innmelding av kritisk informasjon når den tekniske løsningen er klar for automatisk innmelding1. Det medfører at konsumenter av KI-API plikter å oppdatere informasjon i KI-APIet. Fagsystemet må til enhver tid sørge for at informasjon synkroniseres med den nasjonale kjernejournalen. Dette gjelder også hvis kommunikasjonen mellom KI og fagsystemet blir brutt eller av en annen årsak feiler. Da må et nytt forsøk på synkronisering gjøres.
 
5. Sørg for at du vet hva som står i Kritisk informasjon før du skriver til tjenesten

For at datakvaliteten i Kritisk informasjon ikke skal forringes er det pliktig å hente oppdatert informasjon i kritisk info., før man legger inn, endrer eller sletter informasjon. Det er viktig å jobbe med oppdatert data for å unngå duplisering og for å forbedre kvaliteten på kritisk informasjon. Bruk alltid statusendendepunkt-tjenesten for Kritisk info. for å se om informasjon som ligger lokalt er oppdatert i KI. Data regnes som oppdatert hvis nylig hentet timestamp fra statusendepunkt-tjenesten tilsier at lokale data allerede samsvarer med data i kritisk informasjon.
Ved forsøk på å oppdatere en gammel versjon av KI vil bruker få en feilmelding. Det er ikke mulig å oppdatere annet enn den nyeste versjonen av kritisk informasjon. 
 [1] Høring om Pasientens prøvesvar i kjernejournal.
 
6. Hvem kan få tilgang til kritisk informasjon?
 
§ 9 i kjernejournalforskriften presiserer blant annet at tilgang til den nasjonale skal skje gjennom autorisasjons- og autentiseringsløsningen i egen virksomhet. Hver virksomhet skal etablere nødvendige organisatoriske og tekniske tiltak for tildeling, administrasjon og kontroll av autorisasjoner for tilgang til helseopplysninger i nasjonal kjernejournal. Helsepersonell med tjenstlig behov skal få tilgang til relevant og nødvendig informasjon for pasientbehandlingen, kan gis tilgang til Kritisk informasjon. Hvem som har tjenstlig behov vurderes av det enkelte helsepersonellet. For å unngå feilmeldinger er det nødvendig med gode rutiner for autorisasjon, autentisering og tilgangsstyring i det kliniske fagsystemet.
Ved oppslag i Kritisk informasjon må det sendes inn HPR-nummer og helsepersonellkategori i hht. Volven 9060 (også kalt autorisasjon). Autorisasjonen må også være aktiv. Dersom HPR-nummer eller autorisasjon mangler, eller dersom sistnevnte ikke er aktivt, vil det ikke gis tilgang til tjenesten. Ved situasjoner der et HPR-nummer har flere enn en autorisasjon skal autoriasjonen som er relevant for helsehjelpen som ytes i behandlingssituasjonen sendes inn. Forsøk på å sende inn flere enn en autorisasjon vil ikke være mulig.
Helsepersonell med feil og/eller manglende oppføring av nasjonalt identifikasjonsnummer (NIN) i Folkeregisteret og/eller Helsepersonellregisteret (HPR), vil ikke få tilgang til nasjonale tjenester som krever gyldig HPR-nummer med NIN. For mer informasjon, les her.
 
7. Slette eller avkrefte kritisk informasjon?

Sletting av kritisk informasjon skal fortrinnsvis settes dersom data er ført opp på feil person. I de fleste andre tilfeller skal avkreftet (entered-in-error) settes. Erfaring tilsier at disse to brukes om hverandre.