Ändringsförslag HSA-policy 3.7/4.0

Relevanta dokument
Uppdatering av HSA-policyn. Resultat från diskussionstorg

Uppdatering av HSA-policyn. HSA Nätverksmöte

HSA Anslutningsavtal. HSA-policy

HSA Kunskapstest för HSA-ansvariga

HSA-policy. Version

Revisionsfrågor HSA och SITHS 2016

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

Revisionsfrågor HSA och SITHS 2015

Frågorna 7, 8 samt 9 gäller bara om du agerar HSA-ombud, dvs svarat c, d eller e på fråga 5. Är du inte ombud så går du direkt vidare till fråga 10.

Revisionsfrågor HSA och SITHS 2017

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

HSA-policytillämpning för producent via HSA Admin

HSA-policytillämpning för konsument av publik enhetsinformation

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

HSA Policytillämpning

HSA Policytillämpning Sjukvårdsrådgivningen SVR AB. HSA Policytillämpning för Landstinget Gävleborg Version (dnr H900:LS 821/09)

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

HSA-policytillämpning för ansluten

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Revisionsfrågor HSA och SITHS 2014

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0,

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 2.0

HSA Begrepp och definitioner

HSA Policytillämpning för Landstinget Blekinge Version

Hantering av spärrar och annan information i samband med omorganisationer och verksamhetsrelaterade förändringar Underrubrik på titelsida

Välkommen som Sambi-kund!

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 1.0

Riktlinjer för tester och testdata i HSA. Version

Sjunet standardregelverk för informationssäkerhet

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Revisionsrapport HSA Version

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Vetenskapsrådets informationssäkerhetspolicy

Regler vid verksamhetsövergång och ägarbyte

HSA-policytillämpning för ansluten

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Checklista. För åtkomst till Svevac

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Skälen för Socialstyrelsens ställningstagande

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Revisionsrapport SITHS och HSA Version

Svevac - Beskrivning och tjänstespecifika villkor

Tjänster med åtkomst till personer med skyddade personuppgifter från HSA. Version 1.2.2,

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Checklista. Konsumentinförande via Agent, Nationell Patientöversikt (NPÖ)

HSA-policytillämpning för producent

Ver Bilaga 1 tillhörande HPTA

Manual - Inloggning. Svevac

Interimslösning SITHS delområde HSA-katalogen

Teknisk beskrivning PDL i HSA

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

RÅD Checklista för avtal rörande sammanhållen journalföring

Termer och begrepp. Identifieringstjänst SITHS

Administration av landstingsstatistik. Statistiktjänsten

Rutin vid kryptering av e post i Outlook

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Tjänsteavtal för ehälsotjänst

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Hantering av borttagna personobjekt med giltiga HCC. Beskrivning av totallösningen

Administration av landstingsstatistik. Statistiktjänsten

Termer och begrepp. Identifieringstjänst SITHS

Revisionsrapport SITHS och HSA Version 1.0

Rutin för administrering av KOMKAT och SITHS kort

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

HSA Begrepp och definitioner

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Handlingsplan för persondataskydd

IT-konsekvensanalys dataskyddsförordning

Integritetspolicy för Bernhold Ortodonti

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Yttrande över betänkandet Bättre behörighetskontroll (SOU 2012:42)

Utkast Ramverk för gallring av information i 1177 Vårdguidens e-tjänster

Manual - Inloggning. Svevac

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Regelverk för digital utomlänsfakturering

Nationell Patientöversikt. - Beskrivning och tjänstespecifika villkor

Snabbguide - Att komma iga ng med Tolkportalen

Rutin för loggning av HSL-journaler samt NPÖ

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Organisation för samordning av informationssäkerhet IT (0:1:0)

Samtliga bolag i Skandinavisk Hälsovård Group är auktoriserade bemanningsföretag och är kvalitets- och miljöcertifierade enligt FR2000.

Säkerhetspolicy rev. 0.1

BILAGA 3 Tillitsramverk

Allmänna riktlinjer för e-tjänsten Journalen

Program för uppföljning och insyn av verksamhet som bedrivs av privata utförare

BILAGA 3 Tillitsramverk Version: 2.1

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

1177 Vårdguiden e-tjänster. Beskrivning och tjänstespecifika villkor

BILAGA 3 Tillitsramverk Version: 2.02

Transkript:

Ändringsförslag HSA-policy 3.7/4.0 Version med s synpunkter. För jämförelse finns nuvarande HSA-policy på http://www.inera.se/documents/tjanster_projekt/katalogtjanst_hsa/anslutningsavtal_organisationer/hsa_anslutningsavtal_hsa_policy.p df Inkommet från 2015-09-01 Riskanalys 2015 1 Executive summary Infört 2016-08-30 Förvaltningsgrupp 1 Tillför nytt styrande dokument HSA Informationsklassning - Fastställt 30/8. Infört. en Diskussionstorg 1 Förtydligande av innebörden i ordet brukarorg. i samband med HSA eller förändra benämningen eftersom det är så likt begreppet brukare som används inom kommunerna. Vi byter begreppet ansluten organisation mot producent och brukarorganisation mot konsument genomgående. Diskussionstorg 1 Kontaktinformation till personal ska ej vara obligatoriskt En grön prick Är ej obligatoriskt i nuvarande version. Dock tillskrivet att det ska vara obligatoriskt för HSA-ansvariga och ytterligare behörig HSA-person. Diskussionstorg 1 Riktlinjer för tester: Ge exempel på text [i samband med beskrivning av dokumentet, reds. anm.] Omhändertas inom ramen för punkten Byt ut skriv här i HPT-mallarna. 1

från Diskussionstorg 1.2 Lägg till definitionslista. Henrikas kommentar: Definitioner finns i det refererade dokumentet HSA Begrepp och definitioner, vilket vi vill kunna uppdatera utan att justera. Infört som justerad rubrik för 1.2 Terminologi samt begrepp och definitioner 2016-06-08 Stockholms läns landsting via Kamran 1.3 Syftet med HSA behöver förtydligas - Avsnitt 1.3 Övergripande mål och principer ersatt med Syfte för HSA och HSA- Diskussionstorg 2.1 Möjligt att ange reserv, sårbart med en person HSA-ansvarig 21 gröna prickar Tillagt som ska-krav. Diskussionstorg 2.1 Ge fler möjligheter till kontakt med kundtjänst än HSAansvarig Diskussionstorg 2.1 Utifrån storleken på organisationen [pekar på förslaget med möjlighet att ange reserv, reds. anm.] Tillagt som bör-krav. samma krav ska gälla alla organisationer Diskussionstorg 2.2.1 Hela avsnittet i Tre gröna prickar Tolkar detta som att man anser det som viktigt att finns. Ingen ändring påkallad. 2

från Diskussionstorg 2.2.1 Inera bör tillhandahålla ett verktyg för uppfyllnad av krav från HSA-policy för att hjälpa organisationer med support av detta. D.v.s. hjälpa organisationer så att de uppfyller HSA på rätt sätt. Henrikas kommentar: införs kontrollkörningar för att verifiera t.ex. innehåll i värdemängdsattribut och vårdgivarorganisation. Men bör utredas om det är mer som skulle kunna hanteras via ett separat verktyg. (det finns en kravspecifikation sedan gammalt kring kontroll av värdemängdskontroll i HSA-portalen) 2015-09-01 Riskanalys 2015 2.2.2 Obligatorisk utbildning för HSA-ansvariga Karin Wallenskog, Stockholm Henrikas kommentar: Får inte formuleras som obligatoriskt enligt styrgruppen för Kundfokusprojektet, utan vi får istället formulera det som: En förutsättning för att inneha rollen som HSA-ansvarig är att man genomgått en grundutbildning för HSA. 2.2.2 Grundutbildning borde även finnas som webbutb i block t.ex. 15 min om med.arb.uppdrag så att samma utbildn. kan fås även av andra HSA- intresserade. HSA-ansvariga ska gå lärarledda utb. men kunna repetera i webbutb. Henrikas kommentar: Flera webbinarer finns redan, se http://www.inera.se/tjanster-- PROJEKT/HSA/Utbildning/Webbinarer/. Återkom gärna om Två gröna prickar Ingen påverkan på. Se kommentar. 21 gröna prickar Infört enligt Kundfokusprojektets förslag. Två gröna prickar Ingen påverkan på. Se kommentar. ni har tips om fler teman för webbinarer. Diskussionstorg 2.2.2 Hela avsnittet i HSA- En grön prick Tolkar detta som att man anser det som viktigt att HSAansvarig finns. Ingen ändring påkallad. 3

från Diskussionstorg 2.2.2 HSA-ansvarig bör/ska genomgå samtliga tre utbildningar för HSA Fyra gröna prickar utbildningsutbudet runt HSA kan variera över tid samt att behovet av utbildning kan variera mellan anslutna organisationer. Diskussionstorg 2.2.2 HSA-ansvarig ska kunna delegera delar av ansvaret Två gröna prickar administrationen runt delegerat ansvar blir alltför omfattande samt att nuvarande skrivningar i inte hindrar delegering av arbetsuppgifter. 2016-05-03 HSA Förvaltningsgrupp 2.2.2 I ska även framgå (utöver att utbildning ska vara obligatorisk för HSA-ansvarig) att HSA-ansvarig har skyldighet att hålla sig à jour om vad som händer inom området genom t.ex. att prenumerera på nyhetsbrev och delta vid nätverksmöten 13 gröna prickar Infört som krav på HSA-ansvarig. 4

från Svensk e-identitet 2.2.3 HPTA bör endast innehålla tillägg/avvikelser Två gröna prickar vi vill att våra anslutna organisationer ska vara medvetna om exakt vilka krav som ställs på dem och att de också ska ha fungerande rutiner för hur man ska uppfylla kraven. Svensk e-identitet 2.2.4 Kommuner och landsting/region ska INTE 3-partansluta privata vårdgivare Landstinget tillhandahåller systemutrustning m.m. till privata vårdgivare som landstinget har avtal med [vilket kräver att de privata vårdgivarna finns i den lokala katalogen, reds. anm.] Går ej att göra sig fri från kommuner och privata vårdgivare p.g.a. landstingsspecifika system [vilket kräver att de privata vårdgivarna finns i den lokala katalogen, reds. anm.] Henrikas kommentar: Tillagt i gemensam punkt i dokumentet Ändringsförslag HSA-policy 3.7 eller 4.0, då förslagen utgör motpoler/svar till varandra Många gröna och röda prickar för alla förslag det fortfarande finns ett stort beroende till lokala kataloger och att vi hoppas att tekniska lösningar som löser den situationen ska bidra till att fler landsting och kommuner väljer att hänvisa sina externa utförare till andra ombud eller egen anslutning. 5

från Diskussionstorg 2.2.4 Kommuner ska vara direktanslutna! Två röda prickar det saknas generellt stöd för detta och att utvecklingen snarare gått mot fler tredjepartanslutna kommuner. Diskussionstorg 2.3 Annat ord än brukarorganisation, t.ex. Tjänster som anv. info i HSA (för likt kommunernas begrepp brukare) 2016-04-26 Henrika 2.3 Krav på att tjänster som slutar använda HSA-information raderar ev. lagrad HSA-data i sin applikation (så att inte inaktuell information sprids efter att avtal sagts upp). Karin Wallenskog, Stockholm 2.3 Redogörelse: att en mall fylls i så att alla blir lika + publiceras på ex. inera.se Henrikas kommentar: Vad behövs utöver det som redan skrivs i HPTB? 2016-03-17 Riskanalys 2016 2.3 Ställ krav på regelbunden säkerhetsscanning hos anslutna tjänster som hanterar personuppgifter från HSA. Två gröna prickar Åtta gröna prickar Fem gröna prickar Tre gröna prickar Begreppet Konsument används istället. Tillagt som krav på systemägare i brukarorganisation. HPT Konsument (tidigare HPTB) fyller detta syfte och att anslutna tjänsters HPTB:er finns på Projektplatsen. Tillagt som krav på regelbundna säkerhetskontroller (t.ex. säkerhetsscanning och/eller penetrationstester) 6

från 2016-05-27 Ronny Nilsson 2.3 Vad tror ni om att införa skrivning om att ansluten Tjänst ska hantera personuppgifter i enlighet med EU s nya dataförordning när den trädet i kraft? Kanske t o m utreda och lista de specifika krav som det i praktiken innebär. Exempel på potentiella sådana krav skulle kunna vara: - att åtkomst till personuppgifter bara får ges efter tvåfaktorsautentisering - eller att personuppgifter om de lagras, måste lagras krypterade (och allt vad det innebär med nyckelhantering och att nycklar inte får lagras på samma server etc) Diskussionstorg 2.3 Ställ krav på utbildning/kunskap av brukarorg. gällande HSA, främst kontaktpersonen för tjänsten Diskussionstorg 2.4 Omformulera sista stycket i 2.4, d.v.s. stryk bör uppdateras. Behåll sista stycket. Region Kronoberg 2.4 SoS leverera ny fil varje dygn (HOSP) Henrikas kommentar: Är tyvärr inte möjligt utifrån den manuella handpåläggning som görs i dagens hantering. Ska dock bli momentant i samband med direktåtkomst till HOSP, vilket planeras till 2017 förutsatt att direktåtkomst tillåts även för privata vårdgivare. - det ännu inte är klarlagt vilka konsekvenser den nya dataskyddsförordninge n får. Utredning pågår lett av Ineras jurister. Sannolikt behöver HSA- uppdateras ytterligare en gång efter detta. En grön prick En grön prick det idag saknas utbildning anpassad för anslutna tjänster samt att anslutna tjänster redan idag informeras i samband med anslutningen. vi ändå vill att ändringar införs så snart som möjligt. Ingen påverkan på. Se kommentar. 7

från Svensk e-identitet 2.4 Ta bort/ändra krav. Utvecklare, städare, politiker och alla andra som finns Förtydligande från stationsvärd: Det handlade om att tydliggöra vilka som får ansluta sig till HSA. Idag fanns för många som inte borde vara där enligt nuvarande skrivningar ansåg man Region Kronoberg 2.4 Vårdgivare: VG ska vara godkänd att bedriva den typ av vård man söker tillstånd för, om inte läggs den inte upp i HSA Förtydligande från stationsvärd: I förlängningen tolkade jag det så även om vi aldrig diskuterade på den nivån. Utgångspunkten var en utökad synkning från IVOs register inkluderande vilka typer av vård man hade registrerat där. Men eftersom man verkar få registrera vilka typer man vill idag är det som jag uppfattade det en fråga mer för framtiden. det finns behov hos många organisationer att tillämpa samma lösningar för t.ex. inloggning och passage för alla medarbetare, vilket förutsätter att personerna finns i HSA. redan föreskriver att vårdgivare ska vara registrerade i IVO:s vårdgivarregister samt att vi inte registrerar typ av vård kopplat till vårdgivare. 8

från Diskussionstorg 2.5 Hela avsnittet i HSA- Sex gröna prickar Tolkar detta som att man tycker att det är bra att vi ställer krav på anslutna tjänster. Ingen ytterligare åtgärd. Diskussionstorg 2.6 Hela avsnittet i HSA- Elva gröna prickar 2016-02-17 HSA Förvaltningsgrupp 2.6 *Avsnitt 2.6 Revision (alla dokument) kanske bör lägga till att allvarliga brister som identifieras i revision ska åtgärdas inom 6 månader. på text (i fjärde stycket): "Eventuella brister och avvikelser som påträffas vid en revision åtgärdas skyndsamt, allvarliga brister ska åtgärdas inom 6 månader Svensk e-identitet 2.6 Alla som 3-partsansluter andra org bör revideras på lika villkor och sätt Henrikas kommentar: Tolkar detta som en protest mot att vi under två år reviderat alla kommersiella ombud men bara två landsting. Vilka organisationer som revideras är inte reglerat i utan beslutas av tjänsteansvariga år från år utifrån behov. 15 gröna prickar Infört. Tolkar detta som att man tycker att det är bra att vi ställer krav på internrevision samt genomför revisioner från centralt håll. Ingen ytterligare åtgärd. vilka organisationer som revideras inte är reglerat i. 9

från Två gröna prickar Diskussionstorg 2.6 Alternativ till central revision skulle kunna vara inom regionsamarbeten där kommuner/landsting reviderar varandra enligt mall från förvaltningsgrupp HSA regionsamarbeten kan vara ett bra alternativ vid intern revision men inte ersätta den centrala revisionen. Diskussionstorg 2.6 Tillägg till Policy: Exempel på hur, Checklista, Gör så här Sju gröna prickar Infört, se beskrivning 2016-06-22 Ulrika Nilsson 2.6 HSA- behöver förtydliga krav på hur en internrevision ska vara. I dagsläget har vi upptäckt (t.ex. i samband med revisionen) att vissa organisationer gör internrevisioner som inte är av god kvalitet. T.ex. kan en internrevision bestå av bara 3-4 meningar som beskriver att man kontrollerat att HPTA innehåller korrekta uppgifter och så kallar man dokumentet för internrevision. Föreslår att vi förtydligar kravet genom att hänvisa till lämpliga riktlinjer för internrevisionsarbete (se t.ex. Ekonomistyrningsverket och www.internrevisorerna.se) nedan. Infört exempel på hur en internrevision kan genomföras samt tydliggjort att överensstämmelse mot policy och aktualitet i HPT ska göras utöver andra aktiviteter. Diskussionstorg 2.6 Vad är en brist? Vad är en avvikelse? Infört. Ordet avvikelser borttaget. Diskussionstorg 2.6 Önskemål om hur många (%) av sina 3:epartsanslutna man skall göra internrevision på Infört som bör-krav på alla och ska-krav på var Svensk e-identitet 3 HPTA+ HPTB snabbare godkännandeprocess vid uppdatering Henrikas kommentar: Inte en policyfråga, men vi tar detta med oss och ser om vi kan utöka delegationen till tjänsteansvarig samt öka stödet med direktkontakt med berörd organisation. En grön prick tredje. Ingen påverkan på. Se kommentar. 10

från 2016-03-29 Christer Allskog / Ineras ramverk version 1.0, 2015-11-10 2016-03-30 Enköpings kommun (från behovsinventering vid upphandling) 3 Programstyrgruppen finns inte längre --> justering i allmänna beskrivning av styrningen Omgjort 2016-05-11 till: Ersättning av punkt 3, avsnitt 3: Förvaltningsgrupp och ordförande utses i enlighet med Ineras ramverk 4.1 Ställ krav på LIS/Informationssäkerhetspolicy hos anslutna organisationer samt följ upp detta krav aktivt. Svensk e-identitet 4.1, 2.2.4 Verkställ rek. om sammanhållen katalog för en org. Spegla info. Henrikas kommentar: Jämför krav på att kommuner och landsting inte ska tillåtas tredjepartansluta privata vårdgivare under avsnitt 2.2.4. Detta berör införande av tekniskt stöd och är inte en policyfråga. Diskussionstorg 4.2 om att informationsinnehållet i HSA ska vara korrekt och aktuellt 2016-05-31 Ronny Nilsson 4.2 Ställ krav på att mer kontinuerligt (automatiskt) kontrollera informationen i HSA. En grön prick Infört. Infört som krav på både producenter och konsumenter Ingen påverkan på. Se kommentar. En grön prick Tolkar detta som att man tycker att det är bra att vi ställer att informationen ska vara korrekt och aktuell. Ingen ytterligare åtgärd. - Infört som krav på månadsvis automatisk kontroll när så är möjligt. 11

från Rashin, Cybercom 4.2 För att säkerställa att HSA innehåller rätt samt uppdaterad data bör man aggregera data till HSA. D.v.s. HSA hämtar uppgifter från given källa. Detta minskar risken av att HSA innehåller felaktig data samt för HSA (Inera) mer kontroll över informationen. Detta sätt bidrar även till svårare säkerhetsattacker mot katalogen. 2011-10-12 1177 (?) 4.2 Förvaltningsgruppen beslutade att följande text ska läggas in i kommande version av HSA-: Information i beskrivningar och fritextfält får inte vara stötande eller kränkande. Den ska vara informativ och relevant utan värderingar och jämförelse med andra. Infört som krav på att hämta elektroniskt från annan kvalitetssäkrad grunddatakälla när så är möjligt. Infört. Diskussionstorg 4.2 Krav på att informationen uppdateras minst en gång per dygn. information endast ska uppdateras när ändring skett samt att redan innehåller krav på att informationen ska vara korrekt och aktuell 2015-09-01 Riskanalys 2015 4.2 Krav på att lokala rutiner ska vara dokumenterade Fyra gröna prickar Infört, med tillägg att de också ska vara kända i verksamheten samt ska delges HSA Förvaltning på begäran. 12

från Svensk e-identitet 4.2 Se till att info tas bort där det ej finns avtal/uppdrag. Både org + pers. Diskussionstorg 4.2 Ta bort rekommendation ang. struktur, budget, ansv chef m.m. Två gröna prickar redan innehåller krav på avtal med tredjepartanslutna organisationer samt att informationen ska vara korrekt och aktuell (vilket även innebär att personer ska tas bort när de inte längre har ett aktuellt uppdrag). många organisationer efterfrågar stöd kring vilken organisation som ska registreras samt att detta endast är en rekommendation. 13

från Diskussionstorg 4.2 Ta bort sista stycket om verifiering mot ursprungskällan Förtydligande från stationsvärd: Utgångspunkten var ungefär; liten kommun, några få personer i HSA - varför hålla på och verifiera varje månad/kvartal. Jättelätt att glömma och tillför inget. I det perspektivet förståeligt men väldigt svårt att skapa ett generellt regelverk runt. Vi diskuterade automatiserade kontroller som en möjlig väg. Diskussionstorg 4.2.1 Automatisera kontroll/rättning mot Skatteverket och HOSPregistret. Varför ha manuell hantering på en obligatorisk uppgift. Henrikas kommentar: Inte en policyfråga, men ändå viktig att besvara. Kontrollkörningarna mot HSA kan vara det enda sättet organisationen har att upptäcka t.ex. ändringar i namn och legitimationsuppgifter, vilket kan behöva fångas upp och hanteras enligt interna rutiner innan uppdatering sker i HSA. Sju gröna prickar nuvarande skrivning ger det tolkningsutrymme som behövs. Policyn reglerar inte HUR verifieringen ska gå till. För en liten kommun så kan verifieringen ske genom en manuell process, och att det är en godtagbar nivå relativt storleken. Ingen påverkan på. Se kommentar. 14

från 2016-09-27 HSA Förvaltningsgrupp 4.2.1 Ställ krav på att endast styrkta samordningsnummer ska användas som person-id i HSA Kommentar: En mindre utredning behöver göras av hur många icke-styrkta samordningsnummer som finns i HSA idag. Diskussionstorg 4.2.1 Förtydligande om krav på delegering skall finnas från chef/ledare/verksamhetschef så att man kan hantera krav på riktighet. T.ex. fastställande av identitet. Diskussionstorg 4.2.1 Kontrollerna är alldeles för ofta. Liten kommun kanske inte har gjort något i HSA. - Infört, men kan tas bort beroende på utredningsresultat (se kommentar) inte reglerar fastställande av identitet samt att delegering av ansvar för krav på riktighet sker i samband med tillsättande av HSAansvarig. kontrollerna är till för att verifiera att inte nödvändiga ändringar missats, inte för att ställa krav på uppdatering när sådan inte behövs. 15

från Diskussionstorg 4.2.1 Ur HSA-: Personuppgifter ska vid registrering samt regelbundet, minst en gång i månaden, verifieras med Skatteverkets register Diskussionstorg 4.2.2 Varför SCB eller Bolagsverket? IVO lämpligare. Henrikas kommentar: Flera organisationer registrerade i HSA är inte vårdgivare och kan inte verifieras mot IVO:s vårdgivarregister. SCB/Bolagsverket utgör också ursprungskälla för uppgifter om organisationsnummer och namn. En röd prick det generella kravet på aktuella och korrekta uppgifter även omfattar namnuppgifter. flera organisationer registrerade i HSA inte är vårdgivare och inte kan verifieras mot IVO:s vårdgivarregister. SCB/Bolagsverket utgör också ursprungskälla för uppgifter om organisationsnummer och namn. Diskussionstorg 4.2.3 Hela avsnittet i HSA- En grön prick Tolkar detta som att man tycker att det är bra att vi ställer krav på kontrollerad hantering av PDLorganisation. Ingen åtgärd. 16

från Diskussionstorg 4.2.3 Tillägg: Vid byte av vårdgivare ska HSA-id ändras En grön prick Infört som krav på arkivering och skapande av ny vårdenhet. 2016-02-17 NN via Ulrika 4.2.3 samt HPT-mall *Avsnitt 4.2.3 Vårdgivare och Vårdenheter (Policy/HPTA) Ändra från Socialstyrelsen till IVO:s Vårdgivarregister, alternativt skriva ut det Inspektionen för vård och omsorgs Vårdgivarregister. Här står det även bara att registrerade vårdgivare och vårdenheter som stängs ska lagras dolda, här bör vi komplettera med att de ska arkiveras - Infört. Diskussionstorg 4.2.4 Hur hantera person-id vid könsbyte? Se motivering nedan. Diskussionstorg 4.2.4, 4.5 Går det att hantera skyddad könsidentitet? Förtydligande från stationsvärd: Grundfrågan var egentligen skrivningen om att man inte får ändra HSA-id vid personidbyte kontra de regler som har uppstått om att man inte får koppla ihop personnummer från före och efter för patienter som bytt personnummer i samband med könsbyte. 2016-04-29 Lt Blekinges informationsäkerh etsstrateg Marvalärende nr 79857 4.2.4 Påpekande från Informationssäkerhetsstrateg gällande avsnitt 4.2.4 HSA-id och sista meningen som lyder Vid byte av personidentitet får ej HSA-id ändras Här borde man ha ett förtydligande att det inte gäller identitetsbyte beviljat av polis då dessa får på inget sätt kopplas samman. Fyra gröna prickar Infört som förtydligande att HSAid behålls om spårbarhet mellan tidigare och ny identitet finns i folkbokföringen. Infört som förtydligande att HSAid behålls om spårbarhet mellan tidigare och ny identitet finns i folkbokföringen. 17

från Svensk e-identitet 4.2.4 Spärra borttagna arkiverade personer från Limbo Förtydligande från stationsvärd: Väldigt osäker (och ändå vet jag att jag frågade speciellt om bland annat denna) men jag tror det handlade om att spärra certifikat på nedflyttade personer, dvs det som nu är löst. Ingen påverkan på. Se kommentar. Henrikas kommentar: Stöd för att personer med giltiga certifikat inte tas bort ur HSA infört i mellanreleasen den 8 juni 2016. Diskussionstorg 4.2.5 Hela avsnittet i HSA- Två gröna och två röda prickar Svårt att tolka dessa prickar (menar man att det är bra/dåligt att vi har riktlinjer kring fingerad data, eller att vi tillåter fingerad data? ). Men vi behöver ju hantera frågan, så jag tycker vi lämnar detta utan åtgärd. 2015-05-18 Diskussionstorg 4.4 Krav på spårbarhet En grön prick Tolkar detta som att man tycker att det är bra att vi ställer krav på spårbarhet. Ingen åtgärd. 18

från Diskussionstorg 4.5 Hela avsnittet i HSA- Fyra gröna prickar Diskussionstorg 4.5 Se över hanteringen av personer med skyddad identitet och administratörshanteringen Förtydligande från stationsvärd: Inga konkreta förslag. Mer ett uttryck för frustration över den egentligen ohållbara fråga som skyddade personer anställda i vården utgör. 2016-08-02 Henrika 4.5 Bör vi få in något om följsamhet till aktuell informationsklassning? Tolkar detta som att man tycker att det är bra att vi ställer krav på sekretess. Ingen åtgärd. nuvarande rekommendationer kring hantering av personer med skyddade personuppgifter följer gällande lagstiftning. - Infört som ska-krav vid hantering i lokal katalog. 2015-05-18 Diskussionstorg 4.6 Kontinuitetsplanering En grön prick Tolkar detta som att man tycker att det är bra att vi ställer krav på kontinutitetsplanering. Ingen åtgärd. 2016-09-06 Borås stad 4.7 Förtydliga vad som avses med skrivningen: "Om organisationen är ansluten till HSA kataloghotell kan man här kan hänvisa till anslutningsavtalet för kataloghotellet". Infört som förtydligande att kravet gäller de organisationer som uppdaterar HSA från lokal katalog. 19

från 2015-05-18 Diskussionstorg 4.8 Förtydligande av vad system är: servrar eller dator med HSA Admin på Henrikas kommentar: Återfinns på flera ställen i 2015-05-18 Diskussionstorg 4.8 Tjänsten är ofta virtuell. Logisk åtkomst kanske är viktigare att dokumentera än fysisk åtkomst 2016-08-02 Henrika Generellt Kan vi korta ner/ta bort skrivningar i? Finns det krav som kan tas bort? I denna bearbetning har vi egentligen bara identifierat tillägg, vilket gör ännu krångligare. En grön prick En grön prick Bytt ut internt system mot lokal katalog eller motsvarande logisk åtkomst regleras i avsnitt 4.9 Tagit bort: * HSA Förvaltningsgrupp kan begära att producenten skickar in en uppdaterad HPT om den senaste versionen är äldre än tre år. * Krav på utsedd informationsägare hos tredjepartansluten (istället förtydligat att informationsägarskap ska regleras i samarbetsavtalet) * Krav på att dokumentera procedurer för säkerhetskopiering i HPT. * Krav på att beskriva hur loggning sker i HPT. 20

från 2016-09-11 Henrika Generellt Ta bort rollen systemägare och lägg över ansvaret på kontaktpersonen (i enlighet med kraven på producenter och HSA-ansvariga). 2016-02-17 NN via Ulrika HPT-mall *Avsnitt 4.2.1 Intervall för slagning mot HOSP saknas i HPTA (jmfr policy där det står att det ska ske minst en gång per mån) 2016-02-17 NN via Ulrika HPT-mall Avsnitt 2.2.3, 2.3.4 i mallarna för HPTA/HPTB Arkiveringskrav av HPTA/HPTB saknas 2015-12-02 Henrika HPT-mall Byt ut "skriv här" mot instruktioner om vad som ska skrivas Magnus Öberg, Region Halland Magnus Öberg, Region Halland - Infört. - Ska införas. - Ska införas Sex gröna prickar Ska införas in HPT-mall Dela upp HPTA i en administrativ och en teknisk variant. teknik och administration i flera fall går i varandra och att det är viktigt att HSA-ansvarig har helhetsgreppet. HPT-mall Gör HPT-mallarna digitala, d.v.s. webbformulär det blir svårare att få ett helhetsgrepp och att det blir svårare att publicera t.ex. konsumenters HPT:er så att producenter kan se hur deras information används. 21

från Leonard Jansson, Secure State AB HPT-mall HPT-mall: Justera bilagenumreringen så att HPTA och HPTB överensstämmer 2016-05-31 Ronny Nilsson HPT-mall I bilaga 1 (HPTB) resp. bilaga 2 (HPTA), komplettera med obligatorisk kolumn för systemanvändare för bättre spårbarhet i samband med behörighetsgenomgångar 2016-06-10 Ulrika Nilsson System-id I och/eller HPTB-mallen behöver vi få in något kring beskrivning av användning och ansvarsfördelning kring användningen av hsasystemrole och ägarskap för system-id - Ska införas Ska införas en bilaga 1 (för administrationsorganisa tion och hantering av behörigheter) även i HPT Konsument. Infört som krav på konsument som använder behörighetsgrundande information från HSA ska beskriva behörighetsmodellen i HPT. Ska införas i den nya bilaga 1 till HPT Konsument. Då kan vi också få med beskrivning av behörighetsmodell i tjänsten och huruvida den har stämts av med jurist. Kan hämtas från mall för kravutredning vid tjänsteanslutning? 22

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss