Revisionsfrågor HSA och SITHS 2017

Relevanta dokument
Revisionsfrågor HSA och SITHS 2016

Frågorna 7, 8 samt 9 gäller bara om du agerar HSA-ombud, dvs svarat c, d eller e på fråga 5. Är du inte ombud så går du direkt vidare till fråga 10.

Revisionsfrågor HSA och SITHS 2015

Revisionsfrågor HSA och SITHS 2014

HSA Kunskapstest för HSA-ansvariga

Revisionsrapport SITHS och HSA Version 1.0

Regler vid verksamhetsövergång och ägarbyte

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

Revisionsrapport HSA Version

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

HSA-policytillämpning för producent via HSA Admin

Rutin för administrering av KOMKAT och SITHS kort

Manual Beställning av certifikat (HCC) till reservkort

Checklista. För åtkomst till Svevac

Manual - Inloggning. Svevac

HSA-policytillämpning för konsument av publik enhetsinformation

Manual - Inloggning. Svevac

HSA Begrepp och definitioner

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

HSA Anslutningsavtal. HSA-policy

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

Uppdatering av HSA-policyn. Resultat från diskussionstorg

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Ver Bilaga 1 tillhörande HPTA

HSA Begrepp och definitioner

Instruktion för Behörighetsbeställningen

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Användarmanual. Webcert frågor och svar

Jämför med rutinen Övertagande av SITHS-kort som bör användas om personen redan har uppdrag hos utförare i Uppsala kommun

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Administration av landstingsstatistik. Statistiktjänsten

Tillitsramverk. Identifieringstjänst SITHS

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Revisionsrapport SITHS och HSA Version

Användarmanual. Webcert fråga-svar

HSA-policytillämpning för producent

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 1.0

Rutiner för hantering av externa personer i HSA

Hantering av borttagna personobjekt med giltiga HCC. Beskrivning av totallösningen

Användarmanual. Webcert fråga-svar

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 2.0

Administration av landstingsstatistik. Statistiktjänsten

Tjänster med åtkomst till personer med skyddade personuppgifter från HSA. Version 1.2.2,

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Rutin för utgivning av funktionscertifikat

Manual Användaradministration

Rutiner för SITHS kort

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Manual - Inloggning. Svevac

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

Manual Användaradministration

Skälen för Socialstyrelsens ställningstagande

Logghantering för hälso- och sjukvårdsjournaler

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Termer och begrepp. Identifieringstjänst SITHS

Avtal avseende förvaltning av gemensamma infrastrukturtjänster för ehälsa HSA/SITHS

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Administrera användare i Senior alert

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Ändringsförslag HSA-policy 3.7/4.0

HSA-policy. Version

Användarmanual. Webcert fråga-svar

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

SITHS i Easy. Handledning i hanteringen av Självdeklarationen. SITHS i Easy SITHS Förvaltning Senast ändrad Sid 1/9

Termer och begrepp. Identifieringstjänst SITHS

Välkommen som Sambi-kund!

SITHS Rutin för RA i SITHS Admin

HSA Arkivering av stängda vårdgivare och vårdenheter. Scenariobeskrivning, version 2.0,

Rapport förstudie HSA

Privera 2.0 PRIVERA FÖR VÅRDGIVARE

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Systemadministration. Webcert Fråga/Svar

Förtydliganden om begrepp för Pascal. Förtydliganden kring begrepp som används för att få åtkomst till Pascal

HSA-policytillämpning för producent

SITHS Thomas Näsberg Inera

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Yttrande över betänkandet Bättre behörighetskontroll (SOU 2012:42)

Förstudie om organisationslegitimering

Samtliga bolag i Skandinavisk Hälsovård Group är auktoriserade bemanningsföretag och är kvalitets- och miljöcertifierade enligt FR2000.

Region Skåne Loggning NPÖ

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Manual för Användarhanteraren. ett verktyg för att administrera enheter och personal som registrerar i kvalitetsregister

Användarmanual. Webcert Fråga/Svar

Tillitsramverk för E-identitet för offentlig sektor

Svevac - Beskrivning och tjänstespecifika villkor

HSA-policytillämpning för ansluten

Handbok för lokal administratör

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

ehälsomyndighetens nya säkerhetskrav

Användarmanual. Webcert för privatläkare

Transkript:

Revisionsfrågor HSA och SITHS 2017 Revision HSA och SITHS 2017 Fyll i svar på nedanstående revisionsfrågor. När du har besvarat alla frågorna klickar du på knappen "Klar" längst ner på sista sidan. Om du inte hinner besvara alla frågor vid ett och samma tillfälle kan du stänga ner fönstret och fortsätta vid ett senare tillfälle. Observera dock att du måste klicka vidare till nästa sida för att spara redan registrerad information. Kom ihåg att klicka på "Klar" när du är färdig med att besvara enkäten. Vi behöver ditt svar senast 2017-05-19. 1. Ange o rganisatio nsnamn: * 2. Ange kontaktuppgifter för den person som har varit huvudansvarig för att besvara revisionsfrågorna (namn, e-post och telefo nnummer): * 3. Ange roll för den person som har haft huvudansvaret för att besvara revisionsfrågorna: * SITHS-ansvarig (RA) SITHS Säkerhetsansvarig HSA-ansvarig Annan roll, vilken: 4. Ange namn och roll för samtliga (övriga) personer som har medverkat vid besvarandet av revisionsfrågorna:

5. Vår organisation har följande typ av HSA-anslutning: * Direktansluten med egen HPT Producent för HSA Admin (förenklad) utan tredjepartsanslutna Direktansluten med egen HPT Producent för HSA Admin (förenklad) med tredjepartsanslutna (HSA-ombud) Direktansluten med egen HPT Producent (fullständig) utan tredjepartsanslutna Direktansluten med egen HPT Producent (fullständig) med tredjepartsanslutna (HSA-ombud) Tredjepartsansluten via HSA-ombud, ange vilket: 6. Vår organisation har följande typ av SIT HS-anslutning: * Direktansluten med egen RAPS utan tredjepartsanslutna Direktansluten med egen RAPS med tredjepartsanslutna (SITHS-ombud) Tredjepartsansluten via SITHS-ombud, ange vilket: 7. Enligt HSA-policyn avsnitt 2.2.4 ska samarbetsavtal som omfattar hanteringen i HSA finnas mellan HSA-ombud och deras tredjepartsansluna o rganisatio ner. Enligt SITHS regelverk ska tredjepartsavtal som omfattar hanteringen av SITHS finnas mellan SITHS-ombud och deras tredjepartsansluna organisationer. I Bilaga 1 som ni hittar på Projektplatsen Revision SITHS HSA framgår vilka andra organisationer som er organisation har registrerat/ansvarar för i HSA, samt vilka andra organisationer som er organisation har utfärdat SITHS-kort och certifikat till. Ladda upp ETT dokument med samtliga tredjepartsavtal för dessa organisationer. Avtalen ska vara underskrivna samt att namn och organisationsnumret för den tredjepartsanslutna organisationen ska framgå. Notera att landstings- och kommunägda bolag samt dotterbolag kan undantas från kravet på tredjepartsavtal för HSA, se beslutsformuleringarna nedan. Ange under kommentarer vilka organisationer som har undantagits med hänvisning till beslutsformuleringarna. Eventuell kommentar: Gällande beslut: Ur HSA anslutningsperspektiv betraktas ett kommunalt (=landstings- eller kommunägt) bolag (=vilken organisationsform som helst) som en del av den kommunala verksamheten förutsatt att det är majoritetsägt av kommunen/landstinget. Det innebär att kommunen/landstinget kan hantera bolaget som en del av sitt HSA-träd oavsett om det ägnar sig åt vård och omsorg eller ej. Bolaget betraktas då inte som tredjepartsansluten och inget samarbetsavtal krävs. Endast om bolaget är verksamt inom vård och omsorg kan det tredjepartsanslutas av något HSA-ombud. Tilläggsbeslut: För ett bolag som är ägt till mer än 50 % av flera kommuner/landsting tillsammans kan ägarna komma överens om att en av dem hanterar bolaget i sitt HSA-träd oavsett om bolaget ägnar sig åt vård och omsorg eller ej. En sådan överenskommelse ska dokumenteras och kunna uppvisas för HSA Förvaltning. Bolaget betraktas då inte som tredjepartsansluten och inget samarbetsavtal krävs. Att ur HSA anslutningsperspektiv betraktas ett dotterbolag som ägs av en (tredjepart)ansluten privatägd koncern som en del av moderbolagets verksamhet och omfattas därmed av samma anslutningsavtal förutsatt att det är ett aktiebolag, är majoritetsägt av moderbolaget samt är registrerat som vårdgivare hos IVO. Bolaget betraktas då inte som tredjepartsanslutet och inget separat samarbetsavtal krävs. HSA Nedan följer frågor om HSA.

8. Enligt HSA-policyn, avsnitt 4.2.1, ska uppgifter om legitimation, specialistkompetens och förskrivningsrätt hämtas från Socialstyrelsens register över legitimerad hälso - och sjukvårdspersonal (HOSP) samt regelbundet, minst en gång i månaden, verifieras mot samma källa. Kontrollera personinformationen i er HSA-katalog mot Socialstyrelsens HOSP-register (t.ex. via HSA-portalen). Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: * * 9. Enligt HSA-policyn, avsnitt 4.2.3, får organisationer inte markeras som vårdgivare i HSA om de inte finns registrerade i Vårdgivarregistret hos Inspektionen för vård och omsorg (IVO). Kontrollera att samtliga vårdgivare som ni har registrerat i HSA finns i vårdgivarregistret hos Inspektionen för vård och omsorg (IVO). Gör så här: 1. Ta fram lista över era registrerade Vårdgivare ur HSA: a. Om ni har fullständig anslutning till HSA, ta själv fram motsvarande lista ur HSA via LDAP-browser eller motsvarande i. Använd sökfiltret (objectclass=hsahealthcareprovider) ii. Attribut i söksvaret ska vara: Namn (o respektive ou), HSA-id (hsaidentity), organisationsnummer (orgno) iii. Exportera sökresultatet till Excel b. Om ni har förenklad anslutning till HSA (HPTA för HSA Admin), be HSA-ansvarig i organisationen beställa motsvarande lista via Ineras kundservice nationellkundservice@inera.se i. Ange "Lista över vårdgivare revision 2017" som namn på ärendet och skriv i texten att ärendet enligt överenskommelse ska läggas över till HSA Förvaltning. 2. Gå till http://registerplattform.ivo.se och sök i fältet Fritextsökning efter alla Vårdgivare som finns i listan som ni fick fram i punkt 1. 3. Ta en skärmbild på varje eftersökt vårdgivare. Skärmbilden ska visa: Organisationsnumret i fältet Fritextsökning Att sökningen har gjorts i Vårdgivarregistret Alla typer av organisation Alla IVO regioner Antalet träffar i sökresultatet

Se bildexemplet: 4. Sammanställ alla skärmbilder i ETT dokument. I dokumentet ska det framgå datum då ni genomförde kontrollen. Observera att det kan ta lång tid för IVO att hantera en registeransökan vilket kan leda till att ni inte får något resultat trots att ni redan anmält vårdgivare. Då räcker det med att ni tar en skärmbild på ansökningsbekräftelsen. Ladda upp dokumentet med era skärmbilder här nere: Notera också i kommentarsfältet nedan en sammanställning av ert resultat, som struktureras på följande sätt: Vi har X vårdgivare registrerade i HSA. Av dessa är Y vårdgivare registrerade i IVO:s vårdgivarregister. Följande vårdgivare saknas i IVO:s vårdgivarregister: [Namn] [organisationsnummer] [Namn] [organisationsnummer] [Namn] [organisationsnummer] Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: * *

10. Patientdatalagen säger bland annat att det ska vara möjligt att spärra vårdinformation på vårdenhet. För att detta ska fungera krävs att varje vårdgivare på förhand har definierat sina vårdenheter. Flera nationella tjänster, t.ex. Pascal och NPÖ, använder HSA som källa för vilka vårdenheter en vårdgivare har. Detta sammantaget innebär att de vårdenheter som vårdgivaren på förhand har definierat måste registreras i HSA, och att registreringen av vårdenheter i HSA ska ske utifrån skriftligt underlag baserat på vårdgivarens beslut. Beslutet ska vara fattat av chef med övergripande ansvar för vårdgivaren. Ladda upp det beslutsunderlag som ni har baserat er registrering av vårdenheter i HSA på. * Om det inte framgår av underlaget, ange vem som har fattat beslutet Om inte underlaget finns tillgängligt, ladda istället upp ett beslut från ansvarig chef för vårdgivaren som godkänner nuvarande registrering med namngivna vårdenheter Ko mmentarer: 11. Enligt HSA-policyn, avsnitt 2.4, ska informationsinnehållet i HSA följa gällande Informationsspecifikation för Katalogtjänst HSA med tillhörande bilagor. Kontrollera er efterlevnad till HSA-schemat genom att utföra värdemängdskontrollen i HSA-portalen. Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: * 12. För att patientdatalagens intentioner rätt information på rätt plats i rätt tid ska förverkligas, krävs bland annat en korrekt registrerad vårdgivarorganisation i HSA. Kontrollera er vårdgivarorganisation genom att utföra kontrollen av vårdenheter i HSA-portalen. Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: *

13. För att patientdatalagens intentioner rätt information på rätt plats i rätt tid ska förverkligas, krävs bland annat korrekt registrerad behörighetsgrundande information i HSA, och att behörighetsgrundande information tas bort i samband med att personers anställning/uppdrag upphör. Kontrollera om ni har borttagna personer med kvarvarande rättigheter i HSA genom att utföra kontrollen Länkfel borttagna personer i HSAportalen. Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: * 14. För att patientdatalagens intentioner rätt information på rätt plats i rätt tid ska förverkligas, krävs bland annat korrekt registrerad behörighetsgrundande information i HSA, och att behörighetsgrundande information tas bort i samband med att personers anställning/uppdrag upphör. Beskriv hur ni kontinuerligt verifierar att organisationens medarbetaruppdrag innehåller rätt medlemmar. * 15. För att patientdatalagens intentioner rätt information på rätt plats i rätt tid ska förverkligas, krävs bland annat korrekt registrerad behörighetsgrundande information i HSA, och att behörighetsgrundande information tas bort i samband med att personers anställning/uppdrag upphör. Beskriv hur ni kontinuerligt verifierar att rätt person har rätt individuell egenskap för it-tjänster (hsasystemrole). *

Kontrollkörningar och stickprovskontroller 16. HSA-administratörer har behörigheter att påverka behörighetsgrundande information och därmed ge andra personer åtkomst till patientdata. HSA-administratörer har också själva åtkomst till känslig information om sina medarbetare, t.ex. personnummer och uppgifter om vem som har skyddade personuppgifter. Därmed är det viktigt att HSA-ansvarig vid varje givet tillfälle har kontroll över att det endast är rätt personer som har administratörsbehörighet i HSA. I Bilaga 2. Kontroll av samtliga HSA-administratörers rättigheter har samtliga HSA-administratörer för organisationen och deras rättigheter listats. Observera att om organisationen har en egen lokal katalog behöver motsvarande lista tas fram även för denna. Gå igenom listan/listorna, och notera vilka administratörsbehörigheter som ska finnas kvar och vilka som ska tas bort. Vi rekommenderar även starkt att ni samtidigt justerar behörigheterna i HSA (och i den lokala katalogen) utefter resultatet av denna genomgång. Beskriv resultatet av genomgången här. Bilagan återfinns i er organisations mapp på Projektplatsen Revision SITHS HSA. Kommentera resultatet: * SITHS Nedan följer frågor om SITHS. 17. Vår RAPS, inklusive bilagor, innehåller korrekta och uppdaterade uppgifter om hantering och användning av SIT HS för vår organisation och i förekommande fall även för tredjepartsanslutna organisationer. * Stämmer helt Stämmer delvis Stämmer inte Om ni svarade "Stämmer delvis" eller "Stämmer inte" på fråga 17, förtydliga här vad som inte stämmer och varför:

18. Kontrollera om det finns personer hos er som har giltiga SIT HS-certifikat men saknar en aktiv personpost i HSA. Om ni har en förenklad anslutning till HSA (HPT Producent för HSA Admin) gör så här för att få ut rapporten: 1. I SITHS Admin Statistik och loggar, välj fliken "Administration" 2. Välj rapport "Giltiga kort för borttagna personer" 3. Välj er organisation och gör en sökning 4. Välj Spara till fil och döp filen till Fråga 18 [Organisationens namn] 5. Ladda upp resultatfilen nedan Om ni har en fullständig anslutning till HSA (HPT Producent) gör så här för att få ut rapporten: 1. I SITHS Admin statistik och loggar, välj fliken "Kort" 2. Välj rapporten Giltiga kort. Sätt både fr.o.m.-datum och t.o.m.-datum till dagens datum. 3. Ta själv fram motsvarande lista ur HSA via LDAP-browser eller motsvarande a. Använd sökfiltret (objectclass=hsapersonextension) och ange hsaidentity som attribut i sökresultatet b. Exportera sökresultatet till Excel c. Ta sedan bort alla eventuella personer som finns i Limbo eller motsvarande "container" för inaktiva poster, vilka ofta kan filtreras ut genom att cn är personnummer istället för namn. 4. Lägg ihop innehållet i de båda filerna i ett dokument och jämför HSA-id från SITHS resp. HSA 5. Markera särskilt de personer som finns i filen från SITHS men som inte finns i filen från HSA 6. Spara filen som Fråga 18 [Organisationens namn] 7. Ladda upp resultatfilen nedan Ladda upp resultatet här och ange datum då kontrollen genomfördes samt er kommentar kring resultatet: * * Stickprovskontroll Stickprov av er organisations utgivna kort har utförts i syfte att kontrollera efterlevnad av regelverket. Bilaga 3-8 återfinns i er organisations mapp på Projektplatsen Revision SITHS och HSA. 19. Bilaga 3. Funktio nscertifikat Vänligen kontrollera de certifikat som redovisas i Bilaga 3 och skanna in intern beställningsblankett och kvittens för efterfrågade certifikat i ETT samlat dokument. Ladda upp ETT dokument som innehåller samtliga efterfrågade kvittenser och kommentera resultatet här:

20. Bilaga 4. Kvittenser för reservkort Vänligen kontrollera de kortnummer som redovisas i Bilaga 4 och skanna in samtliga efterfrågade kvittenser för dessa kortnummer i ETT samlat dokument. Ladda upp ETT dokument som innehåller samtliga efterfrågade kvittenser och kommentera resultatet här: 21. Bilaga 5. Återanvändning av reservkort De kortnummer som redovisas i Bilaga 5 är reservkort som återanvänds till olika personer. Kommentera resultatet här: 22. Bilaga 6. Elektro nisk kvittens Bilaga 6 visar på handläggare som systematiskt låter kortmottagare kvittera kort manuellt istället för elektroniskt trots att denna möjlighet finns. Kommentera resultatet här: 23. Bilaga 7. Kontroll av kort med status Skickat Vänligen kontrollera de kortnummer som redovisas i Bilaga 7 och skanna in samtliga efterfrågade kort för dessa kortnummer i ETT samlat dokument. Ladda upp ETT dokument som innehåller samtliga efterfrågade kort och kommentera resultatet här:

24. Bilaga 8. Kontroll av kort utgivna till personer under 18 år. Bilaga 8 visar kort som är utgivna till personer under 18 år. För de kort som utfärdats till personer under 18, beskriv hur organisationen har intygat identiteten på denna person: Intern revision Nedan följer frågor om intern revision. 25. Ladda upp dokumentationen från er senaste genomförda internrevision gällande HSA. Eventuell kommentar: 26. Ladda upp dokumentationen från er senaste genomförda internrevision gällande SIT HS. Eventuell kommentar: Du har nu slutfört enkäten. Dina svar kommer nu att analyseras och resultatet kommer att skickas till din organisation i oktober 2017. Du kan nu stänga fönstret.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss