HSA-policy. Version

Transkript

1 HSA-policy Version

2 Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA Introduktion Översikt Terminologi Övergripande mål och principer Målgrupp och tillämplighet Allmänna förutsättningar Ansvarsförhållanden Förpliktelser för ansluten organisation Förpliktelser för brukarorganisation Informationsinnehåll i HSA Hantering av andra organisationers information Revision Styrning av HSA Övergripande styrning och ansvarsförhållanden Godkännandeprocess vid anslutning till HSA Informationssäkerhetskrav Allmänt Krav på riktighet Krav på tillgänglighet Krav på spårbarhet Krav på sekretess Kontinuitetsplanering Säkerhetskopiering Fysisk säkerhet Styrning av åtkomst Refererade dokument Förkortningar Sid 2/16

3 Revisionshistorik Version Datum Status Fastställd av Carelink VD Godkänd av HSA Förvaltningsgrupp. Versionen uppdaterades med förtydliganden kring: - Revisionskrav - Krav på ansvarsförhållanden mellan samarbetande organisationer - Godkännandeprocess vid anslutning Versionen ändrades till 3.3 för att överensstämma med nästkommande mallversioner för HPT och HBB Godkänd av HSA Förvaltningsgrupp. Omstrukturering av kapitel, dokumentöversikt och definitioner. Ansvarsförpliktelser och lokalt ansvar har skrivits om och HSAansvarig, HPTA och HPTB används som nya begrepp. Följande förändringar av krav har genomförts: - Förtydligade krav kring hantering av skyddade personuppgifter och personer utan svenskt personnummer - Mer specificerade krav kring kontroll av personuppgifter, anställningsförhållande, specialitet och legitimation - Specificerat krav att intern revision ska ske minst en gång per år - Förtydligande kring kontinuitetsplanering för anslutna organisationer och brukarorganisationer - Bilaga 2 till HPTA har tagits bort, istället hänvisas till aktuell schemaspecifikation Kontaktuppgifter Denna policy förvaltas av Inera AB. Frågor, synpunkter och förslag rörande policyn skickas till: Organisation: Inera AB Adress: Box: Postnummer: Ort: Stockholm E-post: hsa@inera.se Hemsida: /infrastrukturtjanster/hsa Sid 3/16

4 Övergripande dokumentstruktur för HSA Styrning och användning av HSA regleras i ett antal dokument. Bilden nedan visar den övergripande dokumentstrukturen för HSA och de inbördes relationerna mellan dokumenten. Den övergripande dokumentstrukturen består av: HSA-policy[1] (detta dokument), ett styrande dokument för HSA på övergripande nivå. RIV Informationsspecifikation HSA Struktur och innehåll [2], beskriver informationsinnehållet i HSA. Till detta dokument finns följande bilagor: - HSA-schema, organisationsträdet (inklusive excelark) - HSA-schema, tjänsteträdet (inklusive excelark) - Värdemängdsbilagor, som beskriver tillåtna värden för vissa attribut HSA-policytillämpning för ansluten organisation (HPTA) [3], skrivs av varje organisation ansluten till HSA och beskriver hur den enskilda organisationen uppfyller kraven i HSApolicyn. Det finns även en särskild variant av HPTA som är framtagen för de organisationer som endast använder HSA Admin för att uppdatera information i HSA manuellt. Sid 4/16

5 HSA-policytillämpning för brukarorganisation (HPTB) [4], skrivs av organisationer som använder information från HSA såsom brukare och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA-policyn. Riktlinjer för HSA:s testmiljöer [5], Utifrån definierade riktlinjer beskriver organisationer hur de tänker använda de båda testmiljöerna i en användningsbeskrivning. Mall för utformning av beskrivningen finns i riktlinjerna. Sid 5/16

6 1. Introduktion 1.1. Översikt Detta dokument utgör en nationell policy för HSA. Policyn reglerar etablering, drift och förvaltning av system innehållande enheter, funktioner, personal och tjänster huvudsakligen inom vård och omsorg enligt HSA-modellen. Efterlevnad av denna policy är en förutsättning för att delta i HSA. Policyn förvaltas och fastställs av HSA Förvaltningsgrupp. Anslutna organisationer bekräftar efterlevnad av denna policy genom anslutningsavtal och upprättande av en HSA-policytillämpning för ansluten organisation (HPTA), som godkänns av HSA Förvaltningsgrupp. Brukare av HSA bekräftar efterlevnad av denna policy genom anslutningsavtal för brukarorganisationer och upprättande av en HSA-policytillämpning för brukarorganisation (HPTB), som godkänns av HSA Förvaltningsgrupp Terminologi Definitioner av begrepp som används i denna policy finns i särskilt dokument [6]. Tvingande krav för anslutna organisationer och brukarorganisationer anges i denna policy med verben och fraserna ska, ska ej, får och får ej i fet stil. De delar som är rekommendationer anges med verben och fraserna bör, kan och bör ej i fet stil Övergripande mål och principer HSA ska vara förstahandsvalet för nationella tillämpningar när det gäller information om organisation, personal och funktioner. Se vidare kapitel 4.2 angående struktur på informationen. Syftet med HSA är att stödja samverkan mellan olika aktörer med avseende på: elektronisk nationell verksamhetskatalog med målgrupperna: - offentlig vård i landstingens regi - kommunal verksamhet, främst inom vård och omsorg - privat vård och omsorg - övriga intressenter efter prövning, främst avsett för aktörer inom vård- och omsorgssektorn underlag för utfärdande av elektroniska certifikat lagring av certifikat vårdsökning för professionen och allmänheten möjlighet att bekräfta tillhörighet och arbetsuppgifter för personal, organisation och/eller funktion som underlag för säkerhetslösningar Sid 6/16

7 Utveckling av HSA sker genom samverkan med andra nationella projekt inom vård och omsorg Målgrupp och tillämplighet Målgrupper för denna policy, utöver HSA Förvaltningsgrupp, är anslutna organisationers informationsägare och HSA-ansvariga samt brukarorganisationers systemägare och ansvariga personer. Dessa målgrupper definieras i särskilt dokument [6]. Policyn är tillämpbar för etablering, drift och förvaltning av HSA samt för användning av information från HSA. Sid 7/16

8 2. Allmänna förutsättningar Med ansluten organisation avses organisation inom HSA som både tillgängliggör information från den egna organisationen och nyttjar information ifrån andra anslutna organisationer. Med brukarorganisation avses organisation eller tjänst som nyttjar information från HSA utan att egen information tillgängliggörs i HSA Ansvarsförhållanden För varje ansluten organisation ska det finnas en informationsägare och en huvudansvarig för kopplingen till HSA, kallad HSA-ansvarig. Informationssäkerhetsansvaret mellan informationsägaren och HSA-ansvarig ska vara reglerat. För varje brukarorganisation ska det finnas en utsedd kontaktperson som ansvarar för brukarorganisationens användning av information ifrån HSA och kontakter gentemot HSA. För alla system som nyttjar information ifrån HSA ska det finnas en utsedd systemägare Förpliktelser för ansluten organisation Allmänt Ansluten organisation ska arbeta enligt denna policy och garantera att organisationen till fullo uppfyller samtliga krav i denna policy Förpliktelser för informationsägare i ansluten organisation Informationsägaren ska ansvara för att organisationens uppgifter i HSA är aktuella och korrekta så att andra anslutna organisationer kan förlita sig på dessa uppgifters riktighet. Informationsägaren ska tillse att behandling av personuppgifter i HSA följer personuppgiftslagen (PuL) Förpliktelser för HSA-ansvarig i ansluten organisation Den HSA-ansvarige ska tillse att: en organisation för administration av information i HSA upprättas, bemannas och dokumenteras organisationen har en tillgänglig och bemannad funktion som meddelar och tar emot drift- och störningsinformation från HSA:s driftorganisation regelbunden intern revision sker rörande efterlevnad av HSA-policyn det finns en kontinuitetsplan (avbrotts- och katastrofplan) det finns ett dokumenterat regelverk för hur administratörer utses och för hur behörigheter tilldelas Sid 8/16

9 HSA Anslutningsavtal, HSA Anslutningsavtal, HSA-policy Lars version Johansson Om information i HSA uppdateras av ett internt system ska HSA-ansvarig ansvara för: användning och säkerhet i det interna systemet vid utveckling, anskaffning, drift och förvaltning driftgodkännande av anslutning till HSA HSA-policytillämpning för ansluten organisation (HPTA) Ansluten organisation ska ta fram ett särskilt dokument, HSA-policytillämpning för ansluten organisation (HPTA), som beskriver hur denna policy tillämpas. Framtagen HPTA ska godkännas av HSA Förvaltningsgrupp. HPTA ska utformas enligt anvisningarna i dokumentet Mall för HSA-policytillämpning för ansluten organisation [3]. All användning av HSA ska dokumenteras i HPTA. I det fall flera organisationer ingår i den anslutna organisationen omfattar godkänd HPTA även dessa organisationer. Samarbetsavtal ska finnas mellan organisationer som nyttjar samma anslutningsavtal och HPTA om organisationerna ligger utanför ansluten organisation i HSA. HPTA ska innehålla hänvisning till åberopade samarbetsavtal. Godkänd HPTA och eventuella samarbetsavtal ska arkiveras av ansluten organisation. Samarbetsavtal ska visas upp på uppmaning av HSA Förvaltning. Namn på organisation som har godkänd HPTA kommer att publiceras på Ineras hemsida. Om något förhållande i denna beskrivning förändras ska ny policytillämpning inlämnas skyndsamt. Den nya versionen ska baseras på aktuell mallversion. HSA Förvaltningsgrupp kan begära att organisationen skickar in en uppdaterad HPTA om den senaste versionen överstiger tre år Förpliktelser för brukarorganisation Allmänt Ansluten brukarorganisation ska arbeta enligt denna policy och garantera att samtliga krav avseende brukarorganisationer efterlevs. Om informationen lagras i brukarorganisationens egen applikation får ej informationen från HSA ändras. Brukarorganisationen ansvarar för att informationen hålls uppdaterad och aktuell Förpliktelser för systemägare inom brukarorganisationen Systemägare för system inom brukarorganisationen som använder information ifrån HSA ska tillse att: informationshanteringen sker i enlighet med HSA-policyn och godkänd HPTB behandling av personuppgifter följer personuppgiftslagen (PuL) kontinuitetsplanering (avbrotts- och katastrofplanering) finns i händelse av att HSA ej är tillgänglig ett dokumenterat regelverk finns för hur användare ges tillgång till information som härstammar från HSA och för hur behörigheter tilldelas Sid 9/16

10 Förpliktelser för kontaktperson inom brukarorganisation Kontaktperson i brukarorganisationen ska tillse att användningen av HSA-information sker i enlighet med HSA-policyn och godkänd HPTB. Kontaktperson ansvarar för löpande kontakter med HSA Förvaltningsgrupp och andra intressenter inom HSA HSA-policytillämpning för brukarorganisation (HPTB) Brukarorganisationen ska ta fram ett särskilt dokument, HSA-policytillämpning för brukarorganisation (HPTB), som beskriver hur denna policy tillämpas. Framtagen HPTB ska godkännas av HSA Förvaltningsgrupp. HPTB ska utformas enligt anvisningarna i dokumentet Mall för HSA-policytillämpning för brukarorganisation [4]. HPTB ska innehålla en redogörelse för vilken information som används och hur denna nyttjas. Godkänd HPTB och eventuella samarbetsavtal ska arkiveras av brukarorganisationen. Namn på tjänst och organisation som har godkänd HPTB kommer att publiceras på Ineras hemsida. Om något förhållande i denna beskrivning förändras ska ny policytillämpning inlämnas skyndsamt. Den nya versionen ska baseras på aktuell mallversion. HSA Förvaltningsgrupp kan begära att organisationen skickar in en uppdaterad HPTB om den senaste versionen överstiger tre år Informationsinnehåll i HSA Informationsinnehållet i HSA ska följa den specifikation som anges i aktuell RIV Informationsspecifikation HSA Struktur och innehåll [2] med tillhörande bilagor som specificerar innehåll i HSA. Gällande HSA-schema finns publicerad på Ineras hemsida. Vid uppgradering av HSA-schemat bör ansluten organisation utan dröjsmål anpassa sina system så att gällande schema följs. Förändringar ska vara införda senast tre månader efter uppgradering av HSAschemat Hantering av andra organisationers information Ansluten organisation får ej tillgängliggöra HSA-information från andra anslutna organisationer utanför den egna organisationen, t.ex. genom publicering på Internet eller annan spridning av information till tredje part, såvida inte särskild överenskommelse finns med den organisation vars uppgifter man vill publicera. Brukarorganisationer får ej tillgängliggöra HSA-information på annat sätt än vad som beskrivs i godkänd HPTB. Information från HSA får ej användas för massutskick i marknadsföringssyfte Revision Revision ska genomföras löpande, minst en gång per år, för att kontrollera efterlevnad av krav i denna policy. Vid revision ska policytillämpningens aktualitet och överensstämmelse med policyn Sid 10/16

11 kontrolleras. Revisionen ska också kontrollera att interna rutiner uppfyller krav i denna policy. Genomförda revisioner ska dokumenteras. Revisionsrapporter ska vid förfrågan delges HSA Förvaltningsgrupp. Allvarliga brister som påträffas lokalt som riskerar att påverka andra anslutna organisationer eller nyttjare av information från HSA ska omedelbart rapporteras till HSA Förvaltning. HSA Förvaltning, eller av HSA Förvaltning utsedd tredje part, ska ha rätt att genomföra revision av ansluten organisation eller brukarorganisation för att kontrollera efterlevnad av denna policy. Eventuella brister och avvikelser som påträffas vid en revision ska åtgärdas skyndsamt. Om HSA Förvaltningsgrupp bedömer det nödvändigt att genomföra förnyad revision sker denna på bekostnad av ansluten organisation eller brukarorganisation. Sid 11/16

12 3. Styrning av HSA 3.1. Övergripande styrning och ansvarsförhållanden Systemägare för HSA är VD för Inera AB. Systemägaren ansvarar för att utse lämpliga stödfunktioner för central förvaltning av HSA, inklusive förvaltningsansvarig. Programstyrgruppen för infrastruktur ansvarar för att utse förvaltningsgrupp och ordförande. Programstyrgruppen godkänner och fastställer förvaltningsplan inklusive budget. Förvaltningsgruppen svarar för att, i samråd med av systemägare utsedd förvaltningsansvarig och inom ramen för godkänd förvaltningsplan, främja utveckling och användning av HSA genom förslag angående t.ex. förändringar och tillägg i policy, schema och regelverk, nya anslutningar etc. Löpande förvaltningsfrågor handläggs av förvaltningsansvarig som, efter delegering från systemägare och i samråd med förvaltningsgruppen, kan fatta beslut i HSA-frågor Godkännandeprocess vid anslutning till HSA Godkännandeprocessen för anslutande organisationer och brukarorganisationer innehåller följande steg: 1. Anslutande organisation tar fram HPTA och brukarorganisation tar fram HPTB och lämnar in denna till HSA Förvaltningsgrupp. 2. Granskare utses i HSA Förvaltningsgrupp som går igenom inlämnat underlag. 3. Efter en initial granskning kan ett interimistiskt godkännande ges under högst sex månader. 4. Resultatet av granskningen redovisas i HSA Förvaltningsgrupp som tar ställning till om underlaget kan godkännas eller behöver justeras/kompletteras. 5. När HPTA/HPTB är godkänd undertecknas anslutningsavtal. Förändringar i ansluten organisations HPTA eller brukarorganisations HPTB ska godkännas av HSA Förvaltningsgrupp. Sid 12/16

13 4. Informationssäkerhetskrav 4.1. Allmänt För att bibehålla tilliten mellan de organisationer och tjänster som använder HSA är det viktigt att det interna informationssäkerhetsarbetet sker på ett strukturerat sätt så att en likvärdig nivå kan upprätthållas mellan organisationerna. Detaljerad vägledning kring kraven i detta kapitel ges bland annat av Myndigheten för Samhällsberedskap (MSB) i dess rekommendationer BITS [7] samt i den internationella standarden ISO/IEC [8] Krav på riktighet Strukturen i HSA kan se olika ut beroende på olika organisationers indelning i ekonomiska, organisatoriska och ansvarsmässiga enheter. Rekommendationen är att organisationens struktur i HSA utgår från enheter med egen budget, egen personal och en formellt ansvarig chef. Informationsinnehållet i HSA ska vara korrekt och aktuellt, dvs. spegla nuläget i organisationen när det gäller personal, organisation och funktioner. Organisationens regelverk kring uppdatering av information i HSA ska beskrivas i HPTA. Beskrivningen ska omfatta villkor för när uppdateringar sker samt hur uppdateringar genomförs. Vid registrering och uppdatering av information i HSA ska informationens riktighet verifieras mot ursprungskällan Personuppgifter Personuppgifter ska vid registrering samt regelbundet, minst en gång i månaden, verifieras mot Skatteverkets register med hjälp av personnummer eller samordningsnummer. HPTA ska innehålla en beskrivning av hur personuppgifter verifieras. Uppgifter om legitimation och specialitet ska hämtas från Socialstyrelsens register. Personer i HSA ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör i HSA. Verifiering av att anställnings- eller uppdragsförhållandet kvarstår ska göras vid registrering samt minst en gång per kvartal. I det fall svenskt personnummer eller samordningsnummer saknas ska verifiering av personuppgifter ske med hjälp av uppvisad EU-legitimation eller pass. En kopia av identitetshandlingen ska arkiveras hos organisationen. Identitetshandlingens nummer och giltighetstid ska registreras i HSA tillsammans med personens födelsedatum. Personobjektet i HSA får ej ha längre giltighetstid än identitetshandlingen Organisationsuppgifter Vid skapande av organisationsuppgifter ska dessa verifieras mot SCB:s och/eller Bolagsverkets register genom användning av organisationsnummer. HPTA ska innehålla en beskrivning av hur organisationsuppgifter verifieras. Sid 13/16

14 Ansluten organisation ansvarar för riktigheten i de uppgifter som publiceras om andra organisationer under den egna organisationsstrukturen i HSA HSA-id Alla objekt i HSA ska identifieras med HSA-id. HSA-id ska vara unikt och uppbyggt enligt gällande syntax. För ansluten organisation som skapar egna HSA-id:n ska kopplingen mellan HSA-id och individ arkiveras om informationen tas bort från HSA. Periodicitet, arkiveringstid och procedurer för arkivering ska dokumenteras i HPTA. Vid byte av personidentitet får ej HSA-id ändras Krav på tillgänglighet Målsättningen är att HSA är tillgängligt dygnet runt under årets alla dagar Krav på spårbarhet Förändringar i HSA ska loggas av ansluten organisation. Loggning ska ske på ett sådant sätt att all förändring av informationsinnehåll i HSA kan spåras. Loggfiler ska innehålla information om vilken förändring som gjorts, om användaren/systemet som gjorde förändringen och tidpunkten för förändringen. Loggningen ska ske på ett sådant sätt att ansvarig administratör kan identifieras. Loggfiler ska sparas i minst 3 år och kunna uppvisas vid revision. HPTA ska innehålla en beskrivning av hur loggning sker Krav på sekretess Information om person-id och foto på person ska endast kunna registreras och visas för behöriga administratörer. Skyddade personuppgifter ska vara dolda i HSA och endast hanteras av ett fåtal utsedda administratörer. Personer med skyddade personuppgifter ska informeras om hur personuppgifterna hanteras och ska kunna välja om uppgifterna ska göras synliga. Organisationens rutiner för hantering av skyddade personuppgifter ska beskrivas i HPTA. Av beskrivningen ska det framgå hur personuppgifter döljs i samband med att en person får skyddade personuppgifter och hur uppgifterna synliggörs när personen inte längre har skyddade personuppgifter. All kommunikation mot HSA och anslutna system ska vara krypterad Kontinuitetsplanering Ansluten organisation/brukarorganisation ansvarar för egen kontinuitetsplanering i händelse av störningar i HSA. Organisationens kontinuitetsplan för HSA bör dokumenteras av ansluten organisation och brukarorganisation. Sid 14/16

15 4.7. Säkerhetskopiering Säkerhetskopiering av information i HSA ska ske regelbundet, minst en gång per dygn om förändring av informationsinnehåll gjorts. Periodicitet och procedurer för säkerhetskopiering, inklusive verifiering av innehåll i säkerhetskopia, ska dokumenteras i HPTA. Säkerhetskopior ska förvaras avskilt från HSA-anslutet system. För vägledning kring säkerhetskopiering se [7] och [8] Fysisk säkerhet Tillträde till utrymme med system som uppdaterar HSA ska vara begränsat till personal med särskild behörighet. Detaljerad beskrivning av behörighetsregler och procedurer för tillträde ska dokumenteras. För vägledning kring fysisk säkerhet se [7] och [8] Styrning av åtkomst Åtkomst av information i HSA ska föregås av autentisering direkt av individ eller indirekt via annat system. För vägledning kring styrning av åtkomst se [7] och [8] Styrning av åtkomst för HSA-administratörer Detaljerad beskrivning av procedurer för behörighetshantering för administratörer ska dokumenteras och redovisas i HPTA. Administratörer ska identifiera sig med stark autentisering. Metod för stark autentisering bör vara SITHS-certifikat. Om annan metod används ska denna beskrivas i HPTA Styrning av åtkomst för brukarorganisation Brukarorganisationen ansvarar för att följa gällande riktlinjer för behörighetstilldelning vid användning av HSA. Tilldelad behörighet får ej delas vidare till annan part. Sid 15/16

16 Refererade dokument [1] HSA-policy version 3.4 [2] RIV Informationsspecifikation HSA Struktur och Innehåll [3] Mall för HSA-policytillämpning för ansluten organisation, HPTA-mall [4] Mall för HSA-policytillämpning för brukarorganisation, HPTB-mall [5] Riktlinjer för HSA testmiljöer [6] HSA Begrepp och definitioner [7] Basnivå för informationssäkerhet, BITS. (MSB) KBM 2006:1 utgåva 3 [8] Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005) Förkortningar BITS HPTA HPTB MSB PuL Basnivå för informationssäkerhet HSA-policytillämpning för ansluten organisation HSA-policytillämpning för brukarorganisation Myndigheten för samhällsberedskap Personuppgiftslagen Sid 16/16