Rapport förstudie HSA 1.0, Secure States ledningssystem är certifierat enligt ISO 27001, ISO 9001, ISO 14001 och OHSAS 18001. Det innebär att vi bedriver vår verksamhet i enlighet med internationell standard för informationssäkerhet, kvalitet, miljö och hälsa och sjukvård.
Innehållsförteckning SLUTSATSER OCH REKOMMENDATIONER... 3 1 UTGÅNGSPUNKTER OCH TILLVÄGAGÅNGSSÄTT... 4 1.1 1.2 1.3 1.4 2 BAKGRUND... 4 SYFTE OCH MÅL... 4 AVGRÄNSNINGAR... 4 TILLVÄGAGÅNGSSÄTT... 4 HSA-KATALOGERNA I ÖSTERGÖTLANDS LÄN... 6 2.1 2.2 2.3 2.4 2.5 2.6 ANSVARSFÖRDELNING OCH FÖRVALTNING AV HSA... 6 ADMINISTRATION OCH RUTINER... 7 STRUKTUR I HSA... 8 GRÄNSSNITT OCH SYSTEMINTEGRATIONER... 9 ANVÄNDNINGSOMRÅDEN... 10 INFORMATIONSSÄKERHET... 10 Sid 2 (11)
Slutsatser och rekommendationer Förstudien visar att det finns en stor skillnad mellan kommunernas och regionens användning och hantering av HSA. De flesta kommuner använder endast HSA för att lägga upp ett fåtal personer som behöver SITHS-kort och medarbetaruppdrag för ett begränsat antal nationella tjänster, medan regionen använder HSA som informationskälla till nästan alla interna system. Endast tre av kommunerna har en fullständig anslutning till HSA. Övriga hanterar HSA manuellt via administrationsgränssnitten HSA Admin och HSA-portalen. Organisationsstrukturen i HSA är för de flesta kommuner problematisk att hantera. Den speglar inte verkligheten och överensstämmer sällan med interna vårdsystem, vilket är en förutsättning för att kunna ansluta sig som producent till Nationella Patientöversikten (NPÖ). Kommunerna känner en osäkerhet kring hur denna diskrepans ska hanteras och internt är det oklara rutiner för hur man pekar ut vårdenheter och verksamhetschefer på ett korrekt sätt. Regionen är sedan en tid tillbaka redan producent i NPÖ och har en automatisk synkronisering av organisationsstrukturen i HSA och sitt interna journalsystem Cosmic. Resurs- och kompetensmässigt är det svårt för HSA-ansvariga i kommunerna att hantera HSA-frågor på egen hand. Det upplevs som en sårbar förvaltning med nyckelpersonsberoende och där man är osäker på hur ärenden som avviker från normalbilden ska hanteras. Lokalt upplever man även att det som svårt att få ledningens stöd och förståelse kring vikten av HSA. Informationssäkerheten och nivån på kvalitetssäkring varierar i organisationerna. Intervjuerna tyder på att det finns förbättringspotential när det gäller systematiskt informationssäkerhetsarbete generellt. Behovet har särskilt uppmärksammats i några organisationer där det förekommit incidenter den senaste tiden. Förstudien rekommenderar att genomför följande övergripande förbättringar: Ta fram utbildnings- och informationsmaterial och genomför utbildningar/informationsspridning för länets beslutsfattare och ledningsfunktioner i syfte att öka kunskapen om HSA och tydliggöra ansvar, krav och beroenden. Sådan kunskapsspridning kan då även innefatta informationssäkerhetsfrågor. Etablera ett gemensamt forum för HSA-ansvariga i länet i syfte att utbyta erfarenheter och kompetens exempelvis kring nyttan av HSA, rutiner och hantering av privata vårdgivare Genomför aktiviteter för att stödja organisationerna med anslutning som producenter till NPÖ, t.ex. för att förbereda HSA och interna journalsystem för informationsutbytet. Sid 3 (11)
1 Utgångspunkter och tillvägagångssätt 1.1 Bakgrund I samband med förstudien 2016 om Östergötlands kommuners anslutning som producenter till den Nationella Patientöversikten uppmärksammandes ett behov av valideringsarbete i respektive organisations HSA-katalog. Bland annat identifierades behov av effektivare förvaltning och arbetssätt i de olika organisationerna samt kvalitetssäkring av information. Även projektet Regional Identitetsfederation såg behov av att se över struktur i HSA-katalogen för organisationerna och säkra kompetens hos medarbetare som arbetar med HSA. För att säkra den framtida samverkan mellan kommuner och regionen, både regionalt och nationellt, beslutade under hösten 2016 att genomföra en förstudie av HSAhanteringen i länets kommuner och regionen. Detta för att se över nuläget och identifiera förbättringsåtgärder. 1.2 Syfte och mål Syftet med förstudien är att kontrollera status för arbetet med HSA-katalogerna i länet samt att identifiera möjligheter till förbättringar vad gäller struktur, kvalitet, effektivitet samt administration och förvaltning för att säkra effektiv framtida samverkan. Förstudien ska ta fram en nulägesbeskrivning av HSA-katalogerna, organisation, systemintegrationer och rutiner för administration av medarbetare. Utifrån nulägesbeskrivningen ska rekommendationer kring förbättringar och utvecklingsområden presenteras. Målet är att administration och förvaltning av HSA hos huvudmännen i länet ska effektiviseras och att informationen i HSA kvalitetssäkras inför kommunernas anslutning som producenter till Nationell Patientöversikt. 1.3 Avgränsningar Förstudien fokuserar enbart på hantering av HSA för respektive organisation. 1.4 Tillvägagångssätt Förstudien har genomförts genom intervjuer med samtliga HSA-anslutna kommuner i länet samt med Region Östergötland. Utöver detta har även granskning skett av organisationernas HSApolicytillämpningar. Besöken i organisationerna skedde under december månad, därefter har analys Sid 4 (11)
gjorts av resultatet och förstudien har sammanställts i denna rapport samt i åtgärdsplaner för respektive huvudman. Bilden nedan presenterar arbetets upplägg. Följande frågeområden har varit fokus för förstudien: Ansvarsfördelning och förvaltning av HSA Administration och rutiner Struktur i HSA Gränssnitt och systemintegrationer Användningsområden Informationssäkerhet Sid 5 (11)
2 HSA-katalogerna i Östergötlands län I detta avsnitt presenteras förstudiens iakttagelser och bedömningar när det gäller hantering av HSA i kommunerna och regionen i Östergötlands län. 2.1 Ansvarsfördelning och förvaltning av HSA Huvudansvaret för hantering av HSA ligger hos HSA-ansvariga i varje ansluten organisation. Dessa kan vara personer från IT-avdelningen, personalavdelningen, omsorgs- eller socialförvaltningen eller liknande. Några av de HSA-ansvariga har även andra tidskrävande arbetsuppgifter parallellt med HSA-ansvaret, t.ex. som Medicinskt ansvarig sjuksköterska (MAS) eller huvudansvarig för SITHSkortshanteringen i organisationen (RA). I de flesta organisationer finns även andra utpekade administratörer som ska stötta HSA-ansvarig med den dagliga hanteringen av HSA-katalogen. Trots detta upplever många HSA-ansvariga att de inte får tillräckligt med stöd i den dagliga hanteringen, och i två av de granskade organisationerna ansvarar HSA-ansvarig helt ensam för all administration. Den låga bemanningen gör det också problematiskt att täcka upp för varandra vid semestrar, ledigheter och sjukdomar. Några HSAansvariga beskriver att de känner en stress inför semesterplanering och vissa uppger att de t.o.m. har varit tvungna att avbryta sin semester för att rycka in och hantera viktiga HSA-ärenden. HSAansvariga anger att orsaken till den låga bemanningen är att HSA hittills endast använts i liten skala i den egna organisationen och att det är svårt att få ledningen att förstå vikten av HSA. Generellt är kunskapen bra hos HSA-ansvariga beträffande de ärenden som de vanligtvis hanterar, t.ex. registrering av medarbetare inför utgivning av SITHS-kort och tilldelning av medarbetaruppdrag för åtkomst till NPÖ och Pascal. HSA-ansvariga har även bra kunskap kring regelverk och policy som styr HSA. Däremot uppger en del att de känner en osäkerhet inför hur de ska hantera specialfall som sällan dyker upp i dagliga hanteringen t.ex. upplägg av personer med skyddade personuppgifter. De upplever även att kunskapsnivån är låg kring vad som krävs för att bli producent i NPÖ, hur strukturen i HSA ska se ut samt hur omstrukturering av organisationen sker i HSA. I många organisationer saknas formella beslut om vilka vårdenheter som organisationerna består av, vilket har lett till att de allra flesta organisationer inte har en välförankrad och korrekt vårdgivarorganisation angiven i HSA-katalogen. Flera HSA-ansvariga uppger även att den egna organisationens struktur i HSA inte avspeglar verkligheten och heller inte stämmer överens med organisationsstrukturen i de interna vårdsystemen. Sid 6 (11)
Några HSA-ansvariga nämner att det fanns ett forum för HSA-frågor i länet som lades ner för några år sedan. Det upplevdes som en bra samverkansmöjlighet där man kunde utbyta erfarenhet kring HSA med andra i samma situation och de önskar att ett liknande samarbetsforum återskapas. Några organisationer agerar ombud för ett antal privata vårdgivare inom ramen för sin anslutning till HSA. Hanteringen av de privata vårdgivarna varierar, men de flesta anser att det är svårt att hantera tredjepartsanslutna organisationers uppgifter. Det saknas ibland avtal mellan organisationerna och de privata vårdgivarna kring HSA och en HSA-ansvarig beskriver att det är mycket svårt att få information från de privata vårdgivarna. Region Östergötland hanterar många fler privata vårdgivare än kommunerna och i regionen är det organisationer med vårdavtal som erbjuds hjälp, ca 25 bolag i dagsläget. Det finns ett nyckelpersonsberoende av de HSA-ansvariga i många organisationer och det är svårt för dessa personer att få lokalt stöd med kunskap, vägledning och administration av HSA. Det beror till stor del på att ledningen inte har tillräcklig kunskap kring vikten av HSA och dess koppling till andra nationella system och regelverk. Som konsekvens av detta har många organisationer i dagsläget svårt att hålla informationen i HSA uppdaterad när det gäller t.ex. organisationsstruktur kopplat till interna beslut och interna vårdsystem. När det gäller ombudens hantering av tredjepartsanslutna privata vårdgivare behöver det säkerställas att det finns påskrivna samarbetsavtal och överenskommelser kring kvalitetssäkring av information. 2.2 Administration och rutiner De flesta organisationer i Östergötlands län har en förenklad anslutning till HSA och administrerar enbart sin information manuellt genom administrationsgränssnittet HSA Admin. Kvalitetskontroller av personalens namnuppgifter, legitimerade yrkesgrupper och specialistutbildningar genomförs regelbundet mot Skatteverkets befolkningsregister och Socialstyrelsens HOSP-register via HSAportalen. Vid intervjuerna framkom det dock att vissa kontroller inte görs enligt regelverket i några organisationer. Administrativa rutiner finns dokumenterade i de flesta organisationerna, men inte alla. Några av organisationerna uppger att det saknas dokumenterade rutiner för hantering av specialfall, t.ex. personer med skyddade personuppgifter och personer utan svenskt personnummer/samordningsnummer. Sid 7 (11)
Flera HSA-ansvariga upplever att administrationen av personposter och befintliga medarbetaruppdrag är enkel. Däremot är de osäkra på hur nya medarbetaruppdrag skapas, vad som krävs för att ta bort befintliga medarbetaruppdrag samt hur organisationsstrukturen ska registreras och underhållas. Några organisationer tycker även att det är omständligt att hantera förflyttningar av personposter i HSA. Vid begäran om registrering av nya personposter i HSA-katalogen använder flertalet av organisationerna någon form av beställningsformulär. Många använder pappersblanketter som skrivs ut och skickas till HSA-förvaltningen, både vid begäran om registrering och borttag av personposter i HSA-katalogen. HSA-ansvariga nämner att de skulle föredra att dessa blanketter ersattes av elektroniska blanketter för att effektivisera administrationsarbetet. Rutiner för den dagliga HSA-administrationen finns dokumenterade i de flesta organisationer och HSA-ansvariga känner sig säkra på hur dessa moment ska utföras. Däremot behöver rutiner för ärenden som avviker från normalbilden tas fram i flera organisationer och det behöver säkerställas att kvalitetskontroller sker enligt regelverk. Utöver kvalitetssäkring finns möjlighet till effektivisering när det gäller digitalisering av de pappersblanketter som används idag. 2.3 Struktur i HSA I Region Östergötland är organisationsstrukturen i HSA källan till strukturen i andra interna system i organisationen. Cosmic synkroniserar med automatik mot den interna katalogen vilket gör att organisationsstrukturen i HSA och i Cosmic ser likadan ut och uppdateras samtidigt då organisationsförändringar sker. För många av kommunerna finns det däremot en differens mellan organisationsstrukturen i HSA och de interna vårdsystemen. Några anger att strukturen i HSA inte speglar verkligheten utan att enheter endast lagts upp för att gruppera personal som behöver SITHS-kort. Även några av de kommuner som har en fullständig anslutning till HSA, med synkronisering av information, beskriver att de endast hanterar förändringar av personposter, aldrig eller sällan förändringar av organisationsenheter. Detta beror på att man inte lyckats hantera automatisk uppdatering av organisationsenheter. Nästan alla organisationer uppger att det är svårt att få information från ledningen kring vilka enheter som är vårdenheter och vem som är verksamhetschef för respektive vårdenhet. Flertalet vårdenheter i HSA saknar eller har felaktigt utpekade verksamhetschefer. Det förekommer även att Sid 8 (11)
vårdenheter och kopplade enheter är felaktiga. Som nämnts tidigare i denna rapport saknas även skriftliga beslutsunderlag för den organisation som ska registreras, ofta beroende på att det saknas tydliga rutiner för vem som ska peka ut verksamhetschefer och vårdenheter. För att kunna ansluta sig som producent i NPÖ krävs det att organisationsstrukturen i HSA, med angivelse av vårdenheter och vårdgivare, överensstämmer med den organisationsstruktur som finns i vårdsystemen. Detta är en förutsättning för att behörighetsstyrning och hantering av patientspärrar ska fungera. I de flesta granskade organisationer saknas denna överrensstämmelse i dagsläget och det finns även en stor osäkerhet kring hur man rättar till detta. 2.4 Gränssnitt och systemintegrationer Tre kommuner och regionen har en fullständig anslutning till HSA med kopplingar mot interna personalsystem, AD och andra interna system. Övriga kommuner har en förenklad anslutning där administratörerna uppdaterar sin HSA-information manuellt genom administrationsgränssnittet HSA Admin och HSA-portalen. Region Östergötland har den absolut största användningen av HSA med hela sin organisation registrerad och totalt ca 500 administratörer. Organisationen uppger att man försöker göra så lite som möjligt manuellt i HSA. Personer hämtas automatisk från personalsystem eller från universitetet och medarbetaruppdrag hanteras av administratörer för lokala grupper via ett egenutvecklat gränssnitt (CDA). De kommuner som synkroniserar information synkroniserar främst personposter, organisationen hanteras mestadels manuellt eller inte alls. En kommun nämner att slagning görs mot Skatteverket för att kontrollera personaluppgifter och information uppdateras i HSA enligt regelverk, men inte i personalsystemet som utgör källan till att lägga upp informationen i HSA. De organisationer som har en fullständig anslutning till HSA har möjlighet att hantera större informationsmängder i HSA med automatiska synkroniseringar. Det gör det möjligt att uppdatera information med tätare intervall och HSA (eller motsvarande internkatalog) kan växa till att utgöra en viktig intern masterkälla för kvalitetssäkrad organisationsinformation som kan nyttjas av andra interna system likt hur den används i Region Östergötland. Sid 9 (11)
De organisationer som i dagsläget har en förenklad anslutning, med manuell hantering, har svårt att utöka sin användning av HSA till hela organisationen och får därmed inte samma nytta av HSA som intern informationskälla. 2.5 Användningsområden Den vanligaste anledningen till att kommunerna använder HSA är för att utfärda SITHS-kort och medarbetaruppdrag till en begränsad personalskara som har behov av åtkomst till NPÖ och Pascal. I vissa organisationer nämns även andra system som används såsom Meddix, Senior alert, Palliativregistret och Svevac. I en del organisationer används SITHS-korten även som id-handling för personal och för inpassering, något som flera organisationer nämner att de skulle vilja utveckla mer. Region Östergötland använder HSA till det mesta. Förutom att HSA används till de nationella tjänsterna NPÖ och Pascal används det även till flertalet andra vårdtjänster och interna system. Man lägger upp hela organisationen i HSA med alla anställda, studenter, och personer som utför uppdrag för regionen. Man skapar aldrig separata AD-konton utan allt är integrerat med katalogen. De flesta organisationerna ser nyttan med HSA och SITHS och skulle vilja att man utökade SITHSkortsanvändningen i den egna organisationen, t.ex. för inloggning i fler system och för fler personalkategorier. Det finns lite olika planer för respektive kommun inom detta område, men många hoppas på bredare användning framöver. Som exempel nämns att man gärna skulle vilja ersätta den RSA-dosa som behövs för inloggning i vissa av regionens system med SITHS-kort eftersom personalen som använder RSA-dosan i dagsläget har många olika inloggningsmetoder i olika system att hålla reda på. Det finns möjlighet att utöka användningen och nyttan med HSA i organisationerna. Kommunerna använder mest HSA som en källa för personal som ska få SITHS-kort och behörigheter till nationella tjänster. Regionen har kommit långt och där tillför HSA och den interna katalogen en kvalitetssäkring av information och intern synkronisering som möjliggör effektiv hantering av interna och nationella system. 2.6 Informationssäkerhet Organisationerna i Östergötlands län anser att säkerhetsmedvetandet är generellt bra bland HSAadministratörerna, men det uppges vara brister ute i verksamheten. Några nämner att de den senaste tiden blivit alltmer utsatta för incidenter i organisationen som gett konsekvenser, t.ex. Sid 10 (11)
berättar en kommun att de drabbats av ransomware1 och phishing,2 där ett stort antal anställda har lämnat ut användarnamn och lösenord till interna system. Det är en oklar och ojämn nivå på informationssäkerhetsarbetet i de olika organisationerna, men generellt anser man att det finns behov av att öka medvetenhet kring området. I många organisationer saknas grundläggande delar för ett systematiskt informationssäkerhetsarbete, t.ex. informationsklassningar och riskanalyser. De flesta organisationer saknar ett ledningssystem för informationssäkerhet som är känt i verksamheten och det är oklart om grundläggande delar för ett strukturerat arbetssätt finns. Däremot så har de flesta av de anslutna organisationerna följt HSA:s och SITHS krav på internrevision varje år. Några beskriver att det inte finns något bra sammanhållet arbete kring informationssäkerhet i organisationen och att dokumentationen är spretig. Några organisationer har påbörjat ett arbete med att förbättra säkerhetsmedvetandet genom att ta fram utbildningar inom informations- och ITsäkerhet som personalen ska genomföra. Säkerhetsmedvetandet i organisationerna är, utifrån intervjuerna, skiftande och bedömningen är att medvetenheten kring informationssäkerhet behöver ökas generellt. När det gäller systematiskt informationssäkerhetsarbete och grundläggande delar för att styra informationssäkerheten i de olika organisationerna är bedömningen att nivån är ojämn, både inom och mellan organisationerna. God informationssäkerhet är ett grundkrav för HSA och organisationerna bedöms behöva lägga ytterligare insatser för att styra och följa upp informationssäkerheten genom t.ex. informationsklassningar och riskanalyser. 1 Ransomware är en typ av skadlig programvara. Namnet kommer av engelskans ransom, som betyder lösensumma. Programmet krypterar information och hindrar användaren från att använda datorn på ett normalt sätt om inte användaren betalar en lösensumma, eller gör något annat som programmet kräver. 2 Phishing är en form av social manipulation, ofta via e-post, som är en olaglig metod att lura användare att genomföra utbetalningar eller delge användarnamn, lösenord eller annan känslig information. Sid 11 (11)