Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Transkript

1

2 Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS 28 januari 2015 Henrika Littorin henrika.littorin@inera.se

3 Tjänsterna i sitt sammanhang HSA SITHS 3

4 SITHS-kort Uppfyller kraven på stark autentisering (2008:14) Vi kan säkrare veta vem som faktiskt loggat in Ersätter olika användar-id och olika lösenord i olika tjänster

5 Nationell behörighetsmodell för hälsooch sjukvården Patientdatalagen (PDL) Personliga, anställnings- och uppdragsrelaterade egenskaper registreras i HSA och gäller oavsett i vilken e- tjänst informationen presenteras minskar behovet av användaradministration i respektive e-tjänst och ökar säkerheten i att veta vem som har ett aktuellt uppdrag 5

6 Några grundprinciper Anslutning till HSA och SITHS är frivillig (men är i realiteten nödvändig för de som vill nyttja nationella e-tjänster) Varje ansluten organisation äger och ansvarar för sin egen HSA-information liksom för sina utgivna SITHS-kort och certifikat Ansluten organisation, och ansluten tjänst, förbinder sig att följa HSA-policyn resp. RA-policyn HSA Förvaltningsgrupp resp. SITHS Policy Authority representerar alla anslutna och beslutar HSA- resp. RA-policy samt godkänner anslutning av organisationer och tjänster 6

7 Nuläge HSA och SITHS C:a objekt i katalogen, varav c:a personer C:a SITHS-kort utfärdade Anslutna organisationer Samtliga landsting Samtliga kommuner Ett tusental (?) privata aktörer (varav ett 20-tal direktanslutna) Information i HSA läses av drygt 20 nationella tjänster och ett stort antal lokala tjänster, vilka i sin tur har miljontals användare 3,5 miljoner sökningar görs mot katalogen varje dag Ett stort antal tjänster är anpassade för inloggning med SITHS-kort

8

9 Om detta ska kunna funka krävs rejäl ordning och reda Om SITHS-kort ges ut till fel personer eller om behörighetsgrundande egenskaper inte underhålls finns stor risk för att fel person ges åtkomst till känslig patientinformation.

10 Styrande dokument Bilden beskriver HSA, men motsvarande finns även för SITHS

11 Revisioner uppföljning av efterlevnad till HSA- och RA-policy 11

12 Revision av HSA och SITHS Genomfördes första gången 2010 Ett antal organisationer väljs ut varje år Revisionen genomförs via enkät, telefonintervju och på-platsen-revision Identifierade brister sammanställs i Protokoll till respektive organisation En sammanställd rapport till förvaltningsgrupperna En avidentifierad rapport som publiceras på webben Reviderade organisationer sammanställer åtgärdsplan Åtgärdsplanen följs upp varje kvartal tills alla brister är åtgärdade 12

13 Revision Tidplan 13

14 Områden Revision 2014 A. HSA B. Kontrollkörningar och stickprov HSA C. SITHS D. SITHS Stickprovskontroll E. Intern revision 14

15 Totalt antal brister (104 st.) Fördelning per allvarlighetsgrad Hög (allvarlig) Mellan Låg 47 Åtgärdad 15

16 Exempel identifierade allvarliga brister Rutinbeskrivningar saknades Kontroll av personers anställnings-/uppdragsförhållande sker inte enligt krav Uppgifter för personer som är registrerade i HSA avviker från uppgifter i HOSP-registret Ej godkänd anslutningsdokumentation Otillåten id-handling (EU-pass) har använts i identifieringsprocessen Fel persons id-handling registreras i SITHS Admin vid distansutgivning av reservkort Ingen intern revision har gjorts alt. inget dokument har laddats upp i enkäten som påvisar genomförd intern revision, därmed kan inte styrkas att det gjorts senaste 12 månaderna 16

17 Reflektioner från årets revision En organisation hade inga brister! Det är färre antal brister i år Vi får svar på våra frågor i större utsträckning Brister åtgärdas i snabbare takt än tidigare Anslutna organisationer och tjänster förstår vikten av revision och dess syfte 17

18 Vad har vi lärt av fem års revisioner? Få vill bryta mot regelverket Brister beror ofta på tidsbrist, slarv, okunskap eller felaktig funktionalitet i gränssnitt Revisionerna är ett sätt att hitta fel som organisationen inte själva känner till och att ge ansvariga en anledning att lyfta betydelsen av tjänsterna inom sin organisation Revisionen tas generellt emot positivt av utsatta organisationer Som man frågar får man svar Fråga inte Har ni tillräckliga rutiner för, Efterlevs era rutiner för utan begär istället att få ta del av dokumentation (rutinbeskrivningar, protokoll från internrevisioner etc.) 18

19 Vad har vi lärt forts. Revisioner är ett sätt att lära Frågor som tvingar organisationer att själva göra kvalitetskontroller (ladda upp en jämförelse mellan aktiva SITHS-kort och aktiva personposter i HSA, gör så här) hjälper även informationskvaliteten på lång sikt Sprid information om revisionerna Avidentifierade rapporter på webben, nyhetsbrev, nätverksträffar Man kan lära av andras misstag Ge inte upp! 2014 stängde vi revisionerna 2011 och 2012 då alla brister var åtgärdade 19

20 Revisioner som verktyg för kontroll av efterlevnad till regelverk Utan revisioner är det risk att policy och självdeklaration blir en hyllvärmare Revisioner kan sällan bli mer än stickprov, men de drar ofta med sig en översyn av andra delar också Information och kommunikation kring regelverket och varför det behöver följas är viktigt Prova även andra metoder Krav på uppdatering av anslutningsdokumentation med ny granskningsrunda efter uppdaterad policy Policy-quiz med pris till alla med alla rätt 20

21 Mer information resp. Under Regelverk och Revision återfinns beskrivning samt avidentifierade rapporter Frågor för stunden? 21