Uppdatering av HSA-policyn. HSA Nätverksmöte

Transkript

1 Uppdatering av HSA-policyn HSA Nätverksmöte

2 Vad är HSA-policy? Framtagen av HSA-anslutna organisationer och tjänster för HSA-anslutna organisationer och tjänster Det gemensamma regelverket som alla anslutna organisationer och tjänster förbinder sig att följa Förvaltas av HSA Förvaltningsgrupp, representanter för informationsägarna med Inera som utförare Reglerar i korthet Vem som äger och ansvarar för HSA-informationen Hur anslutna organisationer ska hålla sin information uppdaterad Hur anslutna organisationer och tjänster får handskas med andras information Syftar till att vi som anslutna organisationer och tjänster ska kunna lita på att den information som vi tillgängliggör inte missbrukas att den information vi får del av från andra är korrekt

3 Kort sagt Det är ni som bestämmer!

4 Varför uppdatering? HSA-policyn uppdaterades senast i februari 2013 Flera önskemål om utökningar och ändringar har inkommit till förvaltning och förvaltningsgrupp Det kommer signaler från flera håll om att kraven är för hårda Kunskapen om att det är de anslutna organisationerna själva som äger och beslutar om policyn verkar saknas på många håll

5 Hur ska det gå till? Dagens nätverksmöte utgör startskottet På ett diskussionstorg har deltagarna möjlighet att komma med synpunkter och kreativa ändringsförslag vid sex stationer Deltagare på webben kan skicka in ändringsförslag via chatt eller mail Se detaljerade instruktioner på kommande sidor Förslag till ändringar tas emot fram till och med den 30/6 via Nationell Kundservice OBS! Ange i ärenderaden Förslag till uppdaterad HSA-policy Förslagen behandlas, omsätts till förslag på ny version, skickas på remiss till nätverket och fastställs sedan av HSA Förvaltningsgrupp den 18/ ALLA anslutna organisationer och tjänster ska skicka in HPTA/HPTB i ny mallversion För detaljerad tidplan, se nästa blad

6 Tidplan för HSA-policy 3.7/4.0 Tid Aktivitet Diskussionstorg vid HSA Nätverksmöte Möjlighet att skicka in ytterligare ändringsförslag via Nationell Kundservice Förslag inarbetas i ny version av HSA-policyn HSA Förvaltningsgrupp fastställer remissversion Remiss av ny HSA-policy i HSA Nätverk Ny HSA-policy fastställs av HSA Förvaltningsgrupp HSA-policy och HPT-mallar publiceras, anslutna organisationer och tjänster påbörjar ifyllnad Ny HSA-policy börjar gälla Sista dag för inskick av ny HPTA/HPTB Sista HPTA:n/HPTB:n godkänd av HSA Förvaltningsgrupp

7 Kan man ifrågasätta allt? Visst kan man det! Försök dock tänka även ur andra medlemmars perspektiv Som vårdgivare eller annan juridisk person har man en skyldighet att följa gällande lagstiftning Krav på underhåll av personuppgifter och behörighetsgrundande information krävs ur detta perspektiv Hur irriterad blir du själv när du försöker ringa till någon och det står fel telefonnummer? Att det finns ett tydligt regelverk kan vara till hjälp för den som vill göra ett bra jobb men har svårt att få gehör för frågorna hos sina chefer Tjänster som känner att de inte kan lita på informationen i HSA skapar istället sina egna databaser gissa vem som får uppdatera alla dem? Insatser som ska göras centralt ifrån måste bemannas och finansieras på något sätt

8 Diskussionstorg hur funkar det? Runt om i lokalen har vi skapat sex stationer där olika delar av policyn behandlas Vid varje station sitter blädderblock med nuvarande skrivningar i policyn samt de ändringsförslag som redan inkommit Vid varje station finns post-it, pennor och klistermärken Vid varje station finns en stationsvärd som kan hjälpa till med både praktiska och innehållsmässiga frågor Mötesdeltagarna cirkulerar bland de olika stationerna, diskuterar med varandra och med stationsvärden, skriver förslag och tycker till om befintlig text och nya förslag med hjälp av klistermärkena Försök fördela er så att det blir ungefär lika många vid varje station Tänk på att hinna med alla stationer under en timme Förslag kan även skickas in via nätverksmötets chatt eller på hsasupport@inera.se (endast denna dag) Stationsvärdarna sammanfattar inkomna synpunkter efter fikat

9 Så här kan det se ut

10 Våra stationer (detaljer på kommande sidor) 1. Roller och ansvar stationsvärd Ulla Kihlås informationsägare i förhållande till Inera, förvaltningsgruppens mandat, HSAansvarigs roll m.m. 2. Ansvar för tredjepartsanslutna - stationsvärd Henrika Littorin krav på samarbetsavtal, support m.m. 3. Hantering av andras information stationsvärd Ulrika Nilsson krav på brukarorganisationer och krav på andra anslutna organisationer 4. Extern och intern revision stationsvärd Katrine Streng varför revision, behövs även riskanalys m.m. 5. Kvalitetskrav på innehållet stationsvärd Johan Zenk uppdatering mot HOSP och befolkningsregister, krav på LIS/Informationssäkerhetspolicy m.m. 6. Synpunkter på andra delar av policyn stationsvärd Leonard Jansson övriga styrande dokument, generell utformning av policy och mallar m.m.

11 1. Roller och ansvar Behandlar följande avsnitt i HSA-policyn 2.1 Ansvarsförhållanden Förpliktelser för ansluten organisation - Allmänt Förpliktelser för HSA-ansvarig i direktansluten organisation HSA-policytillämpning för ansluten organisation (HPTA) 3 Styrning av HSA Sedan tidigare inkomna ändringsförslag Från Riskanalys 2015: Utbildning ska vara obligatorisk för HSA-ansvariga Från HSA Förvaltningsgrupp: I policyn ska även framgå (utöver att utbildning ska vara obligatorisk för HSA-ansvarig) att HSA-ansvarig har skyldighet att hålla sig à jour om vad som händer inom området genom t.ex. att prenumerera på nyhetsbrev och delta vid nätverksmöten

12 2. Ansvar för tredjepartanslutna Behandlar följande avsnitt i HSA-policyn Särskilda förpliktelser för HSA-ombud Sedan tidigare inkomna ändringsförslag Inga direkta förslag men mycket synpunkter på att vi endast tar emot ärenden från HSA-ansvariga i direktanslutna organisationer Har också identifierats många brister vid revisionerna i samband med att vi kontrollerat samarbetsavtal för tredjepartanslutna organisationer

13 3. Hantering av andras information Behandlar följande avsnitt i HSA-policyn 2.3 Förpliktelser för brukarorganisation 2.5 Hantering av andra organisationers information Sedan tidigare inkomna ändringsförslag Från riskanalys 2016: Ställ krav på regelbunden säkerhetsscanning hos anslutna tjänster som hanterar personuppgifter från HSA Från Henrika: Krav på att tjänster som slutar använda HSAinformation raderar ev. lagrad HSA-data i sin applikation (så att inte inaktuell information sprids efter att avtal sagts upp).

14 4. Extern och intern revision Behandlar följande avsnitt i HSA-policyn 2.6 Revision Sedan tidigare inkomna ändringsförslag Från HSA Förvaltningsgrupp: allvarliga brister som identifieras i revision ska åtgärdas inom 6 månader

15 5. Kvalitetskrav på innehållet Behandlar följande avsnitt i HSA-policyn 2.4 Informationsinnehåll i HSA 4.1 Informationssäkerhetskrav - Allmänt 4.2 Krav på riktighet Personuppgifter Organisationsuppgifter Vårdgivare och vårdenheter HSA-id Särskilt tillstånd kring fingerad data i monitoreringsoch verifieringssyfte 4.5 Krav på sekretess (hantering av skyddade personuppgifter)

16 5. Kvalitetskrav på innehållet forts. Sedan tidigare inkomna ändringsförslag Från 1177.se: Tillägg: Information i beskrivningar och fritextfält får inte vara stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra. Från Riskanalys 2015: Krav på att lokala rutiner ska vara dokumenterade Från Enköpings kommun: Ställ krav på LIS/Informationssäkerhetspolicy hos anslutna organisationer samt följ upp detta krav aktivt Från Landstinget Blekinges informationssäkerhetsstrateg: gällande avsnitt HSA-id och sista meningen som lyder Vid byte av personidentitet får ej HSA-id ändras. Här borde man ha ett förtydligande att det inte gäller identitetsbyte beviljat av polis då dessa får på inget sätt kopplas samman.

17 6. Synpunkter på andra delar av policyn Behandlar följande avsnitt i HSA-policyn Övriga styrande dokument (schema, värdemängder, riktlinjer för tester och testdata m.m.) 1. Introduktion 4.3 Krav på tillgänglighet 4.4 Krav på spårbarhet 4.6 Kontinuitetsplanering 4.7 Säkerhetskopiering 4.8 Fysisk säkerhet 4.9 Styrning av åtkomst Generell utformning av policy o mallar Sedan tidigare inkomna ändringsförslag Från Riskanalys 2015: Inled med en Executive summary Från Henrika: I HPTA- och HPTB-mallar, byt ut Skriv här mot tydliga instruktioner om vad texten ska innehålla.

18 Dina synpunkter är viktiga! Det du inte kommer på idag kan du skicka in via fram till och med den 30/ Ange i ärenderaden Förslag till uppdaterad HSA-policy.