HSA Policytilläpning för HSA-admin HSA Policytillämpning HSA-admin för Falu Kommun Version 1.2
Innehållsförteckning Kontaktuppgifter... 4 Övergripande dokumentstruktur för HSA... 5 Ifyllnadsinstruktioner... 6 1. Introduktion... 7 1.1. Översikt... 7 1.2. Identifiering... 7 1.3. Terminologi... 7 1.4. Övergripande mål och principer... 8 1.5. Målgrupp och tillämplighet Ej tilläplig för HPT HSA-admin.... 8 2. Allmänna förutsättningar... 9 2.1. Ansvarsförhållanden... 9 2.2. Förpliktelser... 9 2.3. Förpliktelser för brukarorganisation... 9 2.4. Informationsinnehåll i HSA... 10 2.5. Hantering av andra organisationers information... 10 2.6. Revision... 10 2.7. HSA Policytillämpning... 10 2.8. HSA Brukarbeskrivning... 10 3. Styrning av HSA... 11 3.1. Övergripande styrning och ansvarsförhållanden... 11 3.2. Godkännandeprocess... 11 4. Informationssäkerhetskrav... 12 4.1 Krav på riktighet... 12 4.2 Krav på tillgänglighet... 12 4.3 Krav på spårbarhet... 13 4.4 Krav på sekretess... 13 4.5 Kontinuitetsplanering... 13 4.6 Säkerhetskopiering... 13 4.7 Fysisk säkerhet... 13 4.8 Styrning av åtkomst... 14 Sid 2/19
Refererade dokument... 15 Definitioner... 16 Förkortningar... 19 Bilagor... 19 Sid 3/19
Revisionshistorik Version Datum Status 1.0 2010-11-09 Första versionen av HAS-admin HPT 1.1 2010-11-22 Andra versionen av HSAadmin HPT 1.2 Godkänd av Inera Kontaktuppgifter Denna HSA Policytillämpning förvaltas av: Falu kommun. Organisation: Falu Kommun Adress: Slaggatan 3 Postnummer: 791 83 Ort: Falun Telefon: 023-83 000 Fax: 023-83 001 E-post: info@falun.se Hemsida: www.falun.se Sid 4/19
Övergripande dokumentstruktur för HSA Styrning och användning av HSA regleras i ett antal dokument. Bilden nedan visar den övergripande dokumentstrukturen för HSA och de inbördes relationerna mellan dokumenten. Den övergripande dokumentstrukturen består av: HSA Policy [1], ett styrande dokument för HSA på övergripande nivå. RIV Informationsspecifikation HSA Struktur och Innehåll [2], beskriver informationsinnehållet i HSA. Till detta dokument finns följande bilagor: HSA Organisationsträd, objekt och attribut (inklusive excelark) HSA Tjänsteträd, objekt och attribut (inklusive excelark) Värdemängdsbilagor, som beskriver tillåtna värden för vissa attribut HSA Policytillämpning (HPT) [3], ] (detta dokument) skrivs av varje organisation ansluten till HSA och beskriver hur den enskilda organisationen uppfyller kraven i HSA Policy. Sid 5/19
HSA Brukarbeskrivning (HBB) [4], skrivs av organisationer som använder information från HSA såsom nyttjare/brukare och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA Policy. Ifyllnadsinstruktioner Detta dokument är utformat som ett speglingsdokument till HSA Policy med samma kapitelindelning och struktur. Dokumentet är utformat så att organisationen enkelt kan beskriva hur varje krav hanteras i den egna organisationen. Kursiv text ger instruktioner för hur dokumentet ska fyllas i. Normal text anger krav som måste uppfyllas. Normal text får inte tas bort eller ändras! Kryssrutor anger områden där någon form av val måste göras. [skriv här] anger avsnitt där information måste tillföras vid utformningen av HPT. Detta kan antingen anges direkt i dokumentet, i särskild bilaga till HPT eller som referens till namngivet dokument. [Org X] ersätts med organisationens namn i hela dokumentet. Sid 6/19
1. Introduktion 1.1. Översikt Denna policytillämpning beskriver hur organisationen Falu kommun uppfyller de krav som ställs i den nationella HSA Policyn [1]. Denna variant av HSA Policytillämpning är avsedd för organisationer som enbart avser att registrera och underhålla uppgifter i HSA via administrationsverktyget HSA-admin på det kataloghotell som tillhandahålls av Inera AB. Falu kommun förbinder sig att efterleva HSA Policy enligt denna tillämpningsbeskrivning och att använda administrationsverktyget på avsett vis. Om något förhållande i denna beskrivning eller användningen av administrationsverktyget förändras ska ny policytillämpning inlämnas skyndsamt. Policyn förvaltas och fastställs av HSA förvaltningsgrupp. Anslutna organisationer bekräftar efterlevnad av HSA Policy genom HSA-tjänsteavtal och upprättande av denna policytillämpning (HPT), som godkänns av HSA förvaltningsgrupp. 1.2. Identifiering Denna HPT bekräftar efterlevnad av nedanstående HSA Policy: Dokumentnamn Dokumentidentifierare HSA Policy version 3.3 {SE-Carelink-HSA Policy-3.3} HPT:n är framtagen med hjälp av nedanstående mall för HSA Policytillämpning: Dokumentnamn Mall för HSA Policytillämpning HSA-admin version 3.3.1 Denna HPT har följande namn och identifierare: Dokumentnamn HSA Policytillämpning HSA-admin för Falu kommun version 1.0 Dokumentidentifierare {SE-Carelink-HPT HSA-admin Mall- 3.3.1} Dokumentidentifierare {Falu Kommun-20002221-1.0} 1.3. Terminologi Definitioner av begrepp och förkortningar som används i detta dokument återfinns i avsnittet Definitioner. Sid 7/19
1.4. Övergripande mål och principer Övergripande mål och principer för HSA beskrivs i HSA Policy. 1.5. Målgrupp och tillämplighet Ej tilläplig för HPT HSA-admin. Sid 8/19
2. Allmänna förutsättningar 2.1. Ansvarsförhållanden HSA-ansvarig ska anges med namn på en person. Informationsägare för Falu kommuns information i HSA är IT-chefen. HSA-ansvarig för Falu kommuns information i HSA är Pia Joelson, omvårdnadschef Omvårdnadsförvaltningen. 2.2. Förpliktelser 2.2.1. Förpliktelser för ansluten organisation Här beskrivs organisationens åtagande att följa HSA Policy fullt ut och de förpliktelser som följer med anslutningen. Falu kommun förbinder sig att följa HSA Policy fullt ut och garanterar genom detta dokument att alla ska-krav i policyn är uppfyllda Inera AB och HSA förvaltningsgrupp bekräftar efterlevnad av policyn genom godkännande av detta dokument. Godkänd HPT finns publicerad på HSA:s hemsida. 2.2.2. Förpliktelser för informationsägare i ansluten organisation Informationsägaren ansvarar för att organisationens uppgifter i HSA är aktuella och korrekta så att andra anslutna organisationer kan förlita sig på dessa uppgifter. Informationsägaren ansvarar för att behandling av personuppgifter under Falu kommun följer personuppgiftslagen (PuL). 2.2.3. Förpliktelser för systemägare i ansluten organisation Ej tillämplig för HPT HSA-admin. 2.2.4. Förpliktelser för systemförvaltare Ej tillämplig för HPT HSA-admin. 2.3. Förpliktelser för brukarorganisation Ej tillämplig för HPT HSA-admin. Sid 9/19
2.4. Informationsinnehåll i HSA Falu kommuns informationsinnehåll i HSA följer den specifikation som anges i RIV Informationsspecifikation HSA Struktur och Innehåll [2]. 2.5. Hantering av andra organisationers information Falu kommun förbinder sig att inte tillgängliggöra HSA-information från andra anslutna organisationer utanför den egna organisationen, t ex genom publicering på Internet eller annan spridning av information till tredje part. Falu kommun förbinder sig att inte använda information från HSA för massutskick. 2.6. Revision Här beskrivs organisationens revisionsprocess. Falu kommun förbinder sig att genomföra revision minst en gång per år för att kontrollera efterlevnad av krav i gällande HSA Policy. Revisionen innehåller kontroller av denna HPT:s aktualitet och överensstämmelse med gällande HSA Policy. Revisionen kontrollerar också att interna rutiner uppfyller kraven i policyn. Genomförda revisioner dokumenteras och delges vid förfrågan HSA förvaltningsgrupp. Allvarliga brister som påträffas lokalt och riskerar att påverka andra anslutna organisationer eller nyttjare av information från HSA rapporteras omedelbart till HSA Förvaltning. Falu kommun accepterar att Inera AB, eller part utsedd av Inera, kan genomföra revision för att kontrollera efterlevnaden av HSA Policy [1]. Eventuella brister och avvikelser som påträffas vid en revision åtgärdas skyndsamt av Falu kommun. Om förnyad extern revision skulle behövas bekostas denna av Falu kommun. 2.7. HSA Policytillämpning Här redovisas hur HSA Policy tillämpas vad gäller användning av information i HSA och vilken verksamhet som omfattas av tillämpningen. Falu kommun förbinder sig att endast använda HSA via de godkända nationella tjänsterna. 2.8. HSA Brukarbeskrivning Ej tillämplig för HPT HSA-admin. Sid 10/19
3. Styrning av HSA 3.1. Övergripande styrning och ansvarsförhållanden Styrning av HSA på övergripande nivå sker enligt kapitel 3 i HSA Policy. Vid förändring av HSA Policy kommer denna HPT att revideras för att överensstämma med gällande policy. 3.2. Godkännandeprocess Godkännandeprocessen för anslutande organisationer och nyttjare av HSA innehåller följande steg: Anslutande organisation/nyttjare tar fram HPT och lämnar in denna till HSA förvaltningsgrupp. Förvaltningsgruppen utser granskare som går igenom inlämnat underlag. Resultatet av granskningen redovisas i förvaltningsgruppen som tar ställning till om underlaget kan godkännas eller behöver justeras/kompletteras. När HPT är godkänd undertecknas HSA-tjänsteavtal. Om förändringar sker i Falu kommuns godkända HPT inlämnas en ny version för godkännande i HSA förvaltningsgrupp. Sid 11/19
4. Informationssäkerhetskrav 4.1 Krav på riktighet Falu kommuns innehåll i HSA är korrekt och aktuellt, det vill säga speglar nuläget i organisationen vad gäller personal, enheter och funktioner. Detta säkerställs på följande sätt: Minst en gång i månaden görs en manuell kvalitetskontroll av Medicinskt ansvarig sjuksköterska (MAS) och enhetschef för legitimerad personal på Omvårdnadsförvaltningen för att kontrollera och skriftligen godkänna uppgifternas aktualitet i HSA gällande personal, anställningsförhållanden, organisation och funktioner. Detta dokument ska förvaras och kunna visas upp vid revision. HSA innehåller information om legitimerad yrkesgrupp, specialitet och förskrivarkod. Inera AB ansöker regelbundet om utdrag av denna information hos Socialstyrelsen. Falu kommun X tillåter att Inera AB gör denna beställning tillåter ej att Inera AB gör denna beställning. 4.1.1 Personuppgifter Vid skapande av personuppgifter verifieras dessa mot Skatteverkets register direkt i HSA-admin med hjälp av personnummer eller samordningsnummer. Befintliga personuppgifter verifieras mot Skatteverkets register med regelbundna intervall genom rutin på Inera AB. Avvikelselista sänds till HSA-ansvarig. Uppgifterna korrigeras omgående av Falu kommun. Kostnad för kontroll mot Skatteverket debiteras Falu kommun med självkostnadspris. 4.1.2 Organisationsuppgifter Vid skapande av organisationsuppgifter verifieras dessa mot SCB:s och/eller Bolagsverkets register genom användning av organisationsnummer. Detta hanteras genom [skriv här]. X Inga andra organisationer förutom Falu kommun kommer att administreras via HSA-admin. 4.2 Krav på tillgänglighet Ej tillämplig för HPT HSA-admin. Sid 12/19
4.3 Krav på spårbarhet 4.3.1 Loggning Ej tillämplig för HPT HSA-admin. 4.3.2 Arkivering Ej tillämplig för HPT HSA-admin. 4.4 Krav på sekretess Information om personnummer kan endast registreras och visas för behöriga administratörer. Skyddade personuppgifter får inte finnas synliga i HSA utan medgivande från den person uppgifterna berör. Falu kommun hanterar personer med skyddade personuppgifter på följande sätt: X Inhämtar skriftligt medgivande från personen med skyddade personuppgifter om de ska synas i HSA. Personer med skyddade personuppgifter synliggörs aldrig i HSA via HSA-admin. Nytillkomna skyddade personuppgifter kontrolleras med regelbunden intervall och döljs med automatik via av Inera AB:s framtagna rutin. 4.5 Kontinuitetsplanering Kontinuitetsplanering för användning av HSA, med avbrotts- och katastrofplan bör finnas. X Kontinuitetsplanering för [Org X] användning av HSA, med avbrotts- och katastrofplan, finns dokumenterad i [skriv här]. Referens till dokumentnamn finns även under kapitel Refererade dokument. Falu kommun har bedömt att användning av HSA inte är verksamhetskritiskt i organisationen och att det därför inte är relevant med en kontinuitetsplan. 4.6 Säkerhetskopiering Ej tillämplig för HPT HSA-admin. 4.7 Fysisk säkerhet Ej tillämplig för HPT HSA-admin. Sid 13/19
4.8 Styrning av åtkomst Om hänvisning görs till redan framtagen och etablerad behörighetstilldelningsrutin så glöm inte ange referens till dokumentnamn under kapitel Refererade dokument Behörighetstilldelning för åtkomst till HSA-admin beslutas av IT-chef och sker sedan på följande vis, Falu Kommuns HSA-admin Irene Malmberg och Nathalie Börjesson tilldelar vid behov lokal administratör åtkomst, stärkt med SITHS-kort. Falu kommun administratörer identifieras med stark autentisering. Sid 14/19
Refererade dokument [1] HSA Policy version 3.3 [2] RIV Informationsspecifikation HSA Struktur och Innehåll version 3.3 [3] Mall för HSA Policytillämpning, HPT-mall version 3.3 [4] Mall för HSA Brukarbeskrivning, HBB-mall version 3.3 [5] Basnivå för informationssäkerhet, BITS. KBM 2006:1 utgåva 3 [6] Terminologi för informationssäkerhet. SIS HB 550 utgåva 3 [Utrymme för egna refererade dokument] Sid 15/19
Definitioner Endast begrepp och termer som används i föreliggande dokument tas upp nedan. Begreppen är avstämda mot SIS HB Terminologi för informationssäkerhet [6]. administratör ansluten organisation anslutet system anslutningsavtal användare arkivering attribut autentisering behörighet behörighetstilldelning brukaravtal brukarorganisation certifikat driftgodkännande elektronisk signatur HSA Person som har rätt att registrera och uppdatera innehåll i HSA. Juridisk person som publicerar och nyttjar information i HSA och följer uppsatt regelverk för anslutning till HSA. System som är kopplat till HSA för informationsförsörjning. Avtal där anslutande organisation förbinder sig att följa de krav som anges i HSA Policy. Anslutningsavtal tecknas efter det att policyefterlevnad bekräftats genom upprättande av HSA Policytillämpning. Program eller fysisk person som utnyttjar informationstillgångar i HSA. Lagring av information i HSA som ej längre är giltig. Egenskaper hos ett objekt i en objektklass, t ex namn, telefonnummer och certifikat. Verifiering av uppgiven identitet eller av ett meddelandes riktighet. En användares tilldelade rättighet att använda information i HSA på ett specificerat sätt. Fastställande av åtkomsträttighet för en användare eller administratör att utnyttja en informationstillgång i HSA. Avtal där brukarorganisation förbinder sig att följa de krav som anges i HSA Policy. Brukaravtal tecknas efter det att policyefterlevnad bekräftats genom upprättande av HSA Brukarbeskrivning. Juridisk person som nyttjar men inte publicerar information i HSA och som följer uppsatt regelverk för anslutning till HSA. Intyg i elektronisk form som kopplar ihop signaturverifieringsdata med en undertecknare och bekräftar dennes identitet. Formellt beslut om att ett visst informationssystem kan godkännas för drift med användning av en beskriven uppsättning säkerhetsfunktioner (tekniska egenskaper som svarar för olika delar av säkerheten). Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autentisering. Används som övergripande namn på flera system som är sammanknutna till ett centralt system genom vilket man kan finna information om enheter, personal och funktioner inom svensk vård och omsorg. Sid 16/19
HSA-admin HSA förvaltningsgrupp HSA-ID Administrationsverktyg på kataloghotellet för att registrera och underhålla uppgifter i HSA. Åtkomligt både från Internet och Sjunet. Tillhandahålls av Inera AB Utsedda representanter från anslutna organisationer, medlemsorganisationer och Carelink med ansvar för att, i samråd med den av systemägaren utsedda förvaltaren, främja utveckling och användning av HSA genom förslag angående t ex förändringar och tillägg i policy och regelverk, nya anslutningar etc. Unik identifierare för personer, organisationer och funktioner i HSA. HSA Brukarbeskrivning Specifikation av hur en brukarorganisation tillämpar HSA Policy. HSA Policy HSA Policytillämpning informationssäkerhet informationsägare kontaktperson kontinuitetsplan kryptering Logg loggning revision riskanalys samarbetsavtal skyddade personuppgifter Styrande dokument för HSA på övergripande nivå. Specifikation av hur en ansluten organisation tillämpar HSA Policy. Säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Person ansvarig för informationsinnehållet i HSA med avseende på korrekthet och aktualitet. Person inom en brukarorganisation med formellt ansvar att säkerställa efterlevnad av HSA Policy samt att verka som kontaktperson gentemot HSA förvaltningsgrupp. Dokument som beskriver hur verksamheten ska bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod. Omvandling av klartext till kryptotext i syfte att förhindra obehörig åtkomst av konfidentiell information. Kontinuerligt insamlad information om de operationer som utförs i ett system. Förande av logg. Systematisk och oberoende undersökning som genomförs för att avgöra om aktiviteter och resultat överensstämmer med vad som planerats och att ställda krav är uppfyllda. Process som identifierar säkerhetsrisker, bestämmer deras betydelse och identifierar skyddsåtgärder. I detta sammanhang avtal som reglerar hur samarbetet ser ut mellan organisationer som nyttjar samma HSA Policytillämpning och anslutningsavtal till HSA. All slags information som direkt eller indirekt kan hänföras till en fysisk person, vilka på olika sätt är sekretessbelagda enligt Skatteverkets definition av skyddade personuppgifter. Sid 17/19
stark autentisering systemförvaltare Kryptografiskt förstärkt autentisering som sker med hjälp av certifikat och smarta kort. Särskilt utsedd tjänsteman med ansvar för anskaffning, förvaltning, drift, säkerhet och användning av ett system. systemägare säkerhetskopia säkerhetsprotokoll vård och omsorg åtkomst Chefen för myndighet/organisation eller av denne särskilt utsedd aktör med ansvar för anskaffning, ny/vidare/avveckling, förvaltning, drift, säkerhet och användning i övrigt av ett IT-system inom ramen för antagna mål och ekonomiska ramar. Kopia av informationsmängd, som skapats för att kunna utnyttjas vid förlust av hela eller delar av den ursprungliga informationsmängden. En uppsättning regler för hur säkerheten kontrolleras i kommunikationen mellan olika enheter och mellan människa och enhet. Enligt SoS definition: Åtgärder och insatser till enskilda personer gällande socialtjänst, stöd och service till funktionshindrade samt hälsooch sjukvård enligt gällande lag. I detta dokument används begreppet med följande definition: Samlingsnamn för de organisationer som direkt eller indirekt arbetar med vård och omsorg. Exempel är landstingsägda sjukhus, privatägda läkarhus, äldrevård i kommunal regi och kommunal omsorgsverksamhet. Sätt för användare att nå eller påverka information i ett system. [Här finns utrymme att ange ytterligare termer och begrepp] Sid 18/19
Förkortningar BITS HPT KBM Basnivå för informationssäkerhet HSA Policytillämpning Krisberedskapsmyndigheten PuL Personuppgiftslagen [Här anges ytterligare förkortningar i förekommande fall] Bilagor [Här anges eventuella bilagor i förekommande fall] Sid 19/19