HSA Anslutningsavtal. HSA-policy

Relevanta dokument
HSA-policy. Version

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

HSA-policytillämpning för konsument av publik enhetsinformation

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

HSA Kunskapstest för HSA-ansvariga

HSA-policytillämpning för ansluten

HSA Policytillämpning

HSA-policytillämpning för producent via HSA Admin

Kontaktuppgifter Revisionshistorik Sammanfattning Executive summary Övergripande dokumentstruktur för HSA Introduktion...

Tjänsteavtal för ehälsotjänst

HSA-policytillämpning för ansluten

HSA Policytillämpning Sjukvårdsrådgivningen SVR AB. HSA Policytillämpning för Landstinget Gävleborg Version (dnr H900:LS 821/09)

HSA Policytillämpning för Landstinget Blekinge Version

Vetenskapsrådets informationssäkerhetspolicy

Uppdatering av HSA-policyn. HSA Nätverksmöte

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

Teknisk beskrivning PDL i HSA

Riktlinjer för tester och testdata i HSA. Version

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

EBITS Energibranschens IT-säkerhetsforum

AVTAL MELLAN ORGANISATIONEN OCH LANDSTINGET I JÖNKÖPINGS LÄN

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

HSA Begrepp och definitioner

Informationssäkerhet - Instruktion för förvaltning

Revisionsfrågor HSA och SITHS 2016

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Informationssäkerhet i. Torsby kommun

HSA-policytillämpning för producent

IT-verksamheten, organisation och styrning

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

Beredningen för integritetsfrågor

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

HSA-policytillämpning för producent

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Regler för behandling av personuppgifter vid Högskolan Dalarna

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Personuppgiftsbiträdesavtal

Avtal mellan organisationerna:

Avtal om Kundens användning av Journal via nätet Bilaga 2 - Specifikation av Applikationen Journalen

Informationssäkerhetspolicy för Vetlanda kommun

Policy för informationssäkerhet

Revisionsfrågor HSA och SITHS 2015

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Systematiskt arbetsmiljöarbete

Anslutningsavtal avseende anslutning till nationell patientöversikt (NPÖ) version 1.1

Användning av sociala linköpings universitet

Policy Video- och distansmöte

Avtalsvillkor. 1 Inledning. 2 Definitioner. 3 Villkorens tillämpningsområde. 4 Kvalificeringsvillkor. Egendeklaration av registrerade produkter

BILAGA 3 Tillitsramverk Version 0.8

Rutin för registrering av personkontroller. Rutin för RA

Så ansluter ni till HSA och SITHS via redan ansluten organisation (landsting eller annan kommun)

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Revisionsfrågor HSA och SITHS 2014

Riktlinjer vid användning av e-post i

Sjunet standardregelverk för informationssäkerhet

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Frågorna 7, 8 samt 9 gäller bara om du agerar HSA-ombud, dvs svarat c, d eller e på fråga 5. Är du inte ombud så går du direkt vidare till fråga 10.

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Hantering av skyddade personuppgifter

Regler vid verksamhetsövergång och ägarbyte

Interimslösning SITHS delområde HSA-katalogen

RIKTLINJE AVSEENDE SKYDDADE PERSONUPPGIFTER

Systemförvaltningshandbok

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Diarienr. HUVUDKONTORET MiT-ENHETEN. IT-bilaga Hälsoval. Landstinget Dalarna. Version: 1.1 Versionsdatum:

Regional hantering av multicenterstudier a) Information

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

IT-bilaga Hälsoval 2016

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Arvika kommun. Granskning av kontroll och hantering av konstföremål. KPMG AB 16 februari 2010 Antal sidor:9

HSA Begrepp och definitioner

Storstockholms brandförsvar Dnr /2013

IT-policy Scenkonst Västernorrland AB

Bilaga 1. Allmänna villkor för IA-företagens informationssystem om arbetsmiljö. 1. Bakgrund

Riktlinje för mobil användning av IT - remissvar

Rikspolisstyrelsens författningssamling

Avropsförfrågan från ramavtal

Begreppsmodell < Version Sida: 1 (26) Verksamhetens krav. Begreppsmodell. Version 3.2

Checklista. För åtkomst till Svevac

Regelverk vid ansökan om godkännande av fristående förskola

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Företagsnamn:.. ( EDI-användaren ) Adress:... Organisationsnummer:

E-tjänst över näringsidkare

Information om personuppgiftslagens tillämpning i Riksbanken

Administration av landstingsstatistik. Statistiktjänsten

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0,

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Bilaga 3 Dnr Huvudprocesser för hantering av hemutrustningslån

RFI för nästa generations katalogtjänst. Som inte behöver baseras på en katalogprodukt

Informationssäkerhet för Sektor omsorg

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Transkript:

HSA Anslutningsavtal HSA-policy

Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi... 6 1.3. Övergripande mål och principer... 6 1.4. Målgrupp och tillämplighet... 7 2. Allmänna förutsättningar... 8 2.1. Ansvarsförhållanden... 8 2.2. Förpliktelser för ansluten organisation... 8 2.3. Förpliktelser för brukarorganisation... 10 2.4. Informationsinnehåll i HSA... 11 2.5. Hantering av andra organisationers information... 11 2.6. Revision... 11 3. Styrning av HSA... 13 3.1. Övergripande styrning och ansvarsförhållanden... 13 3.2. Godkännandeprocess vid anslutning till HSA... 13 4. Informationssäkerhetskrav... 14 4.1. Allmänt... 14 4.2. Krav på riktighet... 14 4.3. Krav på tillgänglighet... 15 4.4. Krav på spårbarhet... 15 4.5. Krav på sekretess... 16 4.6. Kontinuitetsplanering... 16 4.7. Säkerhetskopiering... 16 4.8. Fysisk säkerhet... 16 4.9. Styrning av åtkomst... 16 Refererade dokument... 18 Förkortningar... 18 Sid 2/18

Revisionshistorik Version Datum Status 3.6 2013-02-05 Godkänd av HSA Förvaltningsgrupp. Förändringar och förtydliganden kring förpliktelser för HSA-ombud, krav på historik och registrering av Vårdgivare, hänvisning till LDAP-policy, HSA-ansvariges roll, brukarorganisationer, begränsningar för belastning samt användning av HSA-information i betaltjänster. 3.6.1 2013-11-27 Uppdatering av e-postadress till Nationell kundservice 3.6.2 2014-10-21 Förtydligande om att arbetsgivaren ansvarar för att informera personer med skyddade personuppgifter om hur personuppgifterna hanteras. 3.6.3 2015-08-25 Uppdaterad information om riktlinjer för tester och testdata i HSA samt särskilt godkännande kring förekomst av fingerad data i produktionsmiljön. Uppdatering av informationssäkerhetsreferenser till MSB:s vägledning och ny utgåva av ISO/IEC 27002. Kontaktuppgifter Denna policy förvaltas av Inera AB. Frågor, synpunkter och förslag rörande policyn skickas till: Organisation: Inera AB Adress: Box: 177 03 Postnummer: 118 93 Ort: Stockholm E-post: nationellkundservice@inera.se Hemsida: Sid 3/18

HSA Anslutningsavtal, HSA-policy, bilaga 2, Tjänsteansvarig HSA 2015-08-25 Övergripande dokumentstruktur för HSA Styrning och användning av HSA regleras i ett antal dokument. Bilden nedan visar den övergripande dokumentstrukturen för HSA och de inbördes relationerna mellan dokumenten. Den övergripande dokumentstrukturen består av: HSA-policy [1] (detta dokument), ett styrande dokument för HSA på övergripande nivå. RIV Informationsspecifikation HSA Struktur och innehåll [2], beskriver informationsinnehållet i HSA. Till detta dokument finns följande bilagor: - HSA-schema, organisationsträdet (inklusive excelark) HSA-schema, tjänsteträdet (inklusive excelark) Värdemängdsbilagor, som beskriver tillåtna värden för vissa attribut HSA-policytillämpning för ansluten organisation (HPTA) [3], skrivs av varje organisation ansluten till HSA och beskriver hur den enskilda organisationen uppfyller kraven i HSApolicyn. Det finns även en särskild variant av HPTA som är framtagen för de organisationer som endast använder HSA Admin för att uppdatera information i HSA manuellt. HSA-policytillämpning för brukarorganisation (HPTB) [4], skrivs av organisationer som använder information från HSA såsom brukare och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA-policyn. Inera AB Box 177 03 Sid 4/18

Anslutningsavtal [5], tecknas mellan Inera AB och organisationer som är anslutna till eller nyttjar uppgifter från HSA och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA-policyn. Riktlinjer för tester och testdata i HSA [6], beskriver hur tester och testdata hanteras samt vilka regler som gäller för registrering och hantering av fingerade uppgifter. LDAP-policy [7] beskriver hur kommunikation via LDAP ska ske mot HSA. Sid 5/18

1. Introduktion 1.1. Översikt Detta dokument utgör en nationell policy för HSA. Policyn reglerar etablering, drift och förvaltning av system innehållande enheter, funktioner, personal och tjänster huvudsakligen inom vård och omsorg enligt HSA-modellen. Efterlevnad av denna policy är en förutsättning för att delta i HSA. Policyn förvaltas och fastställs av HSA Förvaltningsgrupp. Direktanslutna organisationer bekräftar efterlevnad av denna policy genom anslutningsavtal och upprättande av en HSA-policytillämpning för ansluten organisation (HPTA), som godkänns av HSA Förvaltningsgrupp. Brukarorganisation bekräftar efterlevnad av denna policy genom anslutningsavtal för brukarorganisationer och upprättande av en HSA-policytillämpning för brukarorganisation (HPTB), som godkänns av HSA Förvaltningsgrupp. 1.2. Terminologi Definitioner av begrepp som används i denna policy finns i särskilt dokument [8]. Tvingande krav för anslutna organisationer och brukarorganisationer anges i denna policy med verben och fraserna ska, ska ej, får och får ej i fet stil. De delar som är rekommendationer anges med verben och fraserna bör, kan och bör ej i fet stil. 1.3. Övergripande mål och principer HSA ska vara förstahandsvalet för nationella tillämpningar när det gäller information om organisation, personal och funktioner. Se vidare kapitel 4.2 angående struktur på informationen. Syftet med HSA är att stödja samverkan mellan olika aktörer med avseende på: elektronisk nationell verksamhetskatalog med målgrupperna: - landstings- och kommunal verksamhet, främst inom vård och omsorg - privat vård och omsorg - övriga intressenter efter prövning, främst avsett för aktörer inom vård- och omsorgssektorn underlag för utfärdande av elektroniska certifikat lagring av certifikat vårdsökning för professionen och allmänheten modeller för behörighetshantering tillhandahållande av tillhörighet, arbetsuppgifter och andra egenskaper för personal, organisation och/eller funktion för användning i säkerhetslösningar. Utveckling av HSA sker genom samverkan med andra nationella projekt inom vård och omsorg. Sid 6/18

1.4. Målgrupp och tillämplighet Målgrupper för denna policy, utöver HSA Förvaltningsgrupp, är anslutna organisationers informationsägare och HSA-ansvariga samt brukarorganisationers kontaktpersoner, systemägare och ansvariga personer. Dessa målgrupper definieras i särskilt dokument [8]. Policyn är tillämpbar för etablering, drift och förvaltning av HSA samt för användning av information från HSA. Sid 7/18

2. Allmänna förutsättningar Med ansluten organisation avses organisation inom HSA som både tillgängliggör information från den egna organisationen och nyttjar information ifrån andra anslutna organisationer, således både direktansluten och tredjepartsansluten organisation. Med direktansluten organisation avses organisation som har eget HSA-avtal med Inera. Det finns två anslutningsformer för direktansluten organisation, fullständig eller förenklad. Den senare innebär att man bara kan administrera och läsa information via HSA Admin. LDAP-anrop och HSA webbservice-anrop är bara tillåtna vid fullständig anslutning. Med HSA-ombud avses direktansluten organisation som med medgivande från eller på uppdrag av en tredjepartsansluten organisation ansvarar för att tillgängliggöra och vid behov registrera den tredjepartsanslutna organisationens information i HSA. Detta gäller oavsett var informationen placeras i HSA. Med brukarorganisation avses organisation eller tjänst som nyttjar information från HSA utan att egen information tillgängliggörs i HSA. Det finns två anslutningsformer för brukarorganisation, fullständig eller förenklad. Den senare innebär att man bara får läsa publik enhets- och funktionsinformation enligt särskild specifikation. 2.1. Ansvarsförhållanden För varje direktansluten organisation ska det finnas en huvudansvarig för anslutningen till HSA, kallad HSA-ansvarig. Alla kontakter rörande HSA-frågor kommer att gå till den HSA-ansvarige som ska ha tillräckliga mandat och kontaktvägar inom sin organisation för att kunna hantera dessa frågor. HSA-ombud ska reglera informationsägarskap och informationssäkerhetsansvar med sina tredjepartsanslutna organisationer. För varje brukarorganisation ska det finnas en utsedd kontaktperson som ansvarar för brukarorganisationens användning av information ifrån HSA och kontakter gentemot HSA. 2.2. Förpliktelser för ansluten organisation 2.2.1. Allmänt Ansluten organisation ska arbeta enligt denna policy och garantera att organisationen till fullo uppfyller samtliga policykrav. 2.2.2. Förpliktelser för HSA-ansvarig i direktansluten organisation Den HSA-ansvarige ska tillse att: organisationens uppgifter i HSA är aktuella och korrekta så att andra anslutna organisationer kan förlita sig på dessa uppgifters riktighet Sid 8/18

behandling av personuppgifter i HSA följer personuppgiftslagen (PuL) en organisation för administration av information i HSA upprättas, bemannas och dokumenteras organisationen har en tillgänglig och bemannad funktion som meddelar och tar emot drift- och störningsinformation från HSA:s driftorganisation regelbunden intern revision sker rörande efterlevnad av HSA-policyn det finns en kontinuitetsplan (avbrotts- och katastrofplan) det finns ett dokumenterat regelverk för hur administratörer utses och för hur behörigheter tilldelas information från HSA Förvaltning sprids inom organisationen inklusive eventuella tredjepartsanslutna organisationer LDAP-policyn för HSA [7] följs Riktlinjer för tester och testdata i HSA [6] följs. Om information i HSA uppdateras av ett internt system ska HSA-ansvarig ansvara för: användning och säkerhet i det interna systemet vid utveckling, anskaffning, drift och förvaltning driftgodkännande av anslutning till HSA. 2.2.3. HSA-policytillämpning för ansluten organisation (HPTA) Direktansluten organisation ska ta fram ett särskilt dokument, HSA-policytillämpning för ansluten organisation (HPTA), som beskriver hur denna policy tillämpas. Framtagen HPTA ska godkännas av HSA Förvaltningsgrupp. HPTA ska utformas enligt anvisningarna i dokumentet Mall för HSA-policytillämpning för ansluten organisation [3]. All användning av HSA ska dokumenteras i HPTA. Godkänd HPTA ska arkiveras av direktansluten organisation. Namn på organisation som har godkänd HPTA kommer att publiceras på Ineras hemsida. Om något förhållande som påverkar en direktanslutens organisations HPTA förändras ska ny policytillämpning inlämnas skyndsamt. Den nya versionen ska baseras på aktuell mallversion. HSA Förvaltningsgrupp kan begära att organisationen skickar in en uppdaterad HPTA om den senaste versionen är äldre än tre år. 2.2.4. Särskilda förpliktelser för HSA-ombud HSA-ombud ska ansvara för sina tredjepartsanslutna organisationer, som om de gällde deras egen organisation, för allt som sägs i denna policy. HSA-ombud ska tillse att tredjepartsanslutning endast sker av organisationer inom vård- och omsorgssektorn. Samarbetsavtal som omfattar hanteringen i HSA ska finnas mellan HSA-ombud och tredjepartsanslutna organisationer. Samarbetsavtalen ska på uppmaning delges HSA Förvaltning. Sid 9/18

HPTA ska innehålla en lista på de tredjepartsanslutna organisationerna som finns på o-nivå. För tredjepartsanslutna organisationer på ou-nivå ska beskrivas hur dessa kan urskiljas från organisationens/organisationernas (o) egna objekt. HSA-ombud ska tillse att informationsägare finns för varje tredjepartsansluten organisation. Detta ska dokumenteras i samarbetsavtalet. HSA-ombud ska ha en organiserad supportfunktion för tredjepartsanslutna organisationers HSArelaterade ärenden. 2.3. Förpliktelser för brukarorganisation 2.3.1. Allmänt Brukarorganisation ska arbeta enligt denna policy och garantera att samtliga krav avseende brukarorganisationer efterlevs. Brukarorganisationen ska ha en utsedd person som är ansvarig för ansluten tjänst, denna person kallas i detta dokument för systemägare. Om informationen lagras i brukarorganisationens egen applikation får ej informationen från HSA ändras. Brukarorganisationen ansvarar för att informationen hålls uppdaterad och aktuell. 2.3.2. Förpliktelser för systemägare inom brukarorganisationen Systemägare för system inom brukarorganisationen som använder information ifrån HSA ska tillse att: informationshanteringen sker i enlighet med HSA-policyn och godkänd HPTB behandling av personuppgifter följer personuppgiftslagen (PuL) kontinuitetsplanering (avbrotts- och katastrofplanering) finns i händelse av att HSA ej är tillgänglig ett dokumenterat regelverk finns för hur användare ges tillgång till information som härstammar från HSA och för hur behörigheter tilldelas eventuella begränsningar i belastning på HSA efterlevs Riktlinjer för tester och testdata i HSA [6] efterlevs. 2.3.3. Förpliktelser för kontaktperson inom brukarorganisation Kontaktperson i brukarorganisationen ska tillse att användningen av HSA-information sker i enlighet med HSA-policyn och godkänd HPTB. Kontaktperson ansvarar för löpande kontakter med HSA Förvaltning och andra intressenter inom HSA. 2.3.4. HSA-policytillämpning för brukarorganisation (HPTB) Brukarorganisationen ska ta fram ett särskilt dokument, HSA-policytillämpning för brukarorganisation (HPTB), som beskriver hur denna policy tillämpas. Framtagen HPTB ska godkännas av HSA Förvaltningsgrupp. Sid 10/18

HPTB ska utformas enligt anvisningarna i dokumentet Mall för HSA-policytillämpning för brukarorganisation [4]. HPTB ska innehålla en redogörelse för vilken information som används och hur denna nyttjas. Godkänd HPTB ska arkiveras av brukarorganisationen. Namn på tjänst och organisation som har godkänd HPTB kommer att publiceras på Ineras hemsida. Om något förhållande som påverkar en brukarorganisations HPTB förändras ska ny policytillämpning inlämnas skyndsamt. Den nya versionen ska baseras på aktuell mallversion. HSA Förvaltningsgrupp kan begära att organisationen skickar in en uppdaterad HPTB om den senaste versionen är äldre än tre år. 2.4. Informationsinnehåll i HSA Informationsinnehållet i HSA ska följa den specifikation som anges i aktuell RIV Informationsspecifikation HSA Struktur och innehåll [2] med tillhörande bilagor som specificerar innehåll i HSA. Gällande HSA-schema finns publicerad på Ineras hemsida. Vid uppgradering av HSA-schemat bör ansluten organisation utan dröjsmål anpassa sina system så att gällande schema följs. Förändringar ska vara införda senast tre månader efter uppgradering av HSAschemat. 2.5. Hantering av andra organisationers information Ansluten organisation får ej tillgängliggöra HSA-information från andra anslutna organisationer utanför den egna organisationen, t.ex. genom publicering på Internet eller annan spridning av information till tredje part, såvida inte särskild överenskommelse finns med den organisation vars uppgifter man vill publicera. Brukarorganisationer får ej tillgängliggöra HSA-information på annat sätt än vad som beskrivs i godkänd HPTB. Information från HSA får ej användas för massutskick i marknadsföringssyfte eller i någon form av betaltjänst. 2.6. Revision Direktansluten organisation och brukarorganisation ska löpande genomföra intern revision, minst en gång per år, för att kontrollera efterlevnad av krav i denna policy. Vid revision ska policytillämpningens aktualitet och överensstämmelse med policyn kontrolleras. Revisionen ska också kontrollera att aktuella rutiner uppfyller krav i denna policy. Genomförda revisioner ska dokumenteras. Revisionsrapporter ska vid förfrågan delges HSA Förvaltning. Allvarliga brister som påträffas lokalt som riskerar att påverka andra anslutna organisationer eller nyttjare av information från HSA ska omedelbart rapporteras till HSA Förvaltning. HSA Förvaltning, eller av HSA Förvaltning utsedd tredje part, får genomföra revision av ansluten organisation eller brukarorganisation för att kontrollera efterlevnad av denna policy. Eventuella brister och avvikelser som påträffas vid en revision ska åtgärdas skyndsamt. Sid 11/18

Om HSA Förvaltningsgrupp bedömer det nödvändigt att genomföra förnyad revision bekostas denna av direktansluten organisation eller brukarorganisation. Sid 12/18

3. Styrning av HSA 3.1. Övergripande styrning och ansvarsförhållanden Systemägare för HSA är VD för Inera AB. Systemägaren ansvarar för att utse lämpliga stödfunktioner för central förvaltning av HSA, inklusive förvaltningsansvarig. Programstyrgruppen för infrastruktur ansvarar för att utse förvaltningsgrupp och ordförande. Programstyrgruppen godkänner och fastställer förvaltningsplan inklusive budget. Förvaltningsgruppen svarar för att, i samråd med av systemägare utsedd förvaltningsansvarig och inom ramen för godkänd förvaltningsplan, främja utveckling och användning av HSA genom förslag angående t.ex. förändringar och tillägg i policy, schema och regelverk, nya anslutningar etc. Löpande förvaltningsfrågor handläggs av förvaltningsansvarig som, efter delegering från systemägare och i samråd med förvaltningsgruppen, kan fatta beslut i HSA-frågor. 3.2. Godkännandeprocess vid anslutning till HSA Godkännandeprocessen för anslutande organisationer och brukarorganisationer innehåller följande steg: 1. Anslutande organisation och brukarorganisation ansöker om anslutning. 2. Efter utredning av anslutning tar anslutande organisation fram HPTA och brukarorganisation tar fram HPTB. 3. Granskning sker av HPTA/HPTB. Ett interimistiskt godkännande av en HPTA kan ges under högst sex månader. 4. Resultatet av granskningen redovisas i HSA Förvaltningsgrupp som tar ställning till godkännande. 5. När HPTA/HPTB är godkänt undertecknas anslutningsavtal. Förändringar i ansluten organisations HPTA eller brukarorganisations HPTB ska godkännas av HSA Förvaltningsgrupp. Sid 13/18

4. Informationssäkerhetskrav 4.1. Allmänt För att bibehålla tilliten mellan de organisationer och tjänster som använder HSA är det viktigt att det interna informationssäkerhetsarbetet sker på ett strukturerat sätt så att en likvärdig nivå kan upprätthållas mellan organisationerna. Detaljerad vägledning kring kraven i detta kapitel ges bland annat av Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet [9] samt i den internationella standarden ISO/IEC 27002 [10]. 4.2. Krav på riktighet Strukturen i HSA kan se olika ut beroende på olika organisationers indelning i ekonomiska, organisatoriska och ansvarsmässiga enheter. Rekommendationen är att organisationens struktur i HSA utgår från enheter med egen budget, egen personal och en formellt ansvarig chef. Informationsinnehållet i HSA ska vara korrekt och aktuellt, dvs. spegla nuläget i organisationen när det gäller personal, organisation och funktioner. Ansluten organisations regelverk kring uppdatering av information i HSA ska beskrivas i HPTA. Beskrivningen ska omfatta villkor för när uppdateringar sker samt hur uppdateringar genomförs. Vid registrering och uppdatering av information i HSA ska informationens riktighet verifieras mot ursprungskällan. 4.2.1. Personuppgifter Personuppgifter ska vid registrering samt regelbundet, minst en gång i månaden, verifieras mot Skatteverkets register med hjälp av personnummer eller samordningsnummer. HPTA ska innehålla en beskrivning av hur personuppgifter verifieras. Uppgifter om legitimation och specialitet ska hämtas från Socialstyrelsens register samt regelbundet, minst en gång i månaden, verifieras mot samma källa. Personer i HSA ska ha ett anställnings- eller uppdragsförhållande till den organisation de tillhör i HSA. Verifiering av att anställnings- eller uppdragsförhållandet kvarstår ska göras vid registrering samt minst en gång per kvartal. I det fall svenskt personnummer eller samordningsnummer saknas ska verifiering av personuppgifter ske med hjälp av uppvisat pass. En kopia av passet ska arkiveras hos organisationen. Passnummer och passets giltighetstid ska registreras i HSA tillsammans med personens födelsedatum. Personobjektet i HSA får ej ha längre giltighetstid än identitetshandlingen. 4.2.2. Organisationsuppgifter Vid skapandet av organisationsuppgifter ska dessa verifieras mot SCB:s och/eller Bolagsverkets register genom användning av organisationsnummer. HPTA ska innehålla en beskrivning av hur organisationsuppgifter verifieras. Sid 14/18

Vid avslut av organisationer på organisationsnivå (o-nivå) i HSA ska organisationen lagras dold i HSA med namn, HSA-id, organisationsnummer och namn på godkänd HPTA. 4.2.3. Vårdgivare och Vårdenheter Organisationer som anges som Vårdgivare i HSA ska finnas registrerade i Socialstyrelsens Vårdgivarregister. Vårdenheter och Verksamhetschefer som anges i HSA ska vara korrekta och uppdaterade enligt Vårdgivarens beslut. Vårdgivare och Vårdenheter får ej tas bort från HSA när de upphör med sin verksamhet. Istället ska de lagras dolda i HSA. För Vårdgivare ska namn, HSA-id, organisationsnummer samt eventuellt start- och slutdatum sparas. För Vårdenheter ska namn, HSA-id, eventuellt start- och slutdatum samt vårdgivartillhörighet sparas. 4.2.4. HSA-id Alla objekt i HSA ska identifieras med HSA-id. HSA-id ska vara unikt och uppbyggt enligt gällande syntax. Kopplingen mellan HSA-id och person-id ska arkiveras om informationen tas bort från HSA. Uppgifterna ska sparas minst 10 år efter det att informationen togs bort ur HSA. Periodicitet, arkiveringstid och procedurer för arkivering beskrivs i HPTA. Vid byte av personidentitet får ej HSA-id ändras. 4.2.5. Särskilt tillstånd kring fingerad data i monitorerings- och verifieringssyfte Fingerad data i HSA:s produktionsmiljö får ej förekomma utan särskilt tillstånd. Under vissa förutsättningar kan en ansluten organisation eller brukarorganisation undantagsvis få tillåtelse att registrera och använda fingerad data i en utpekad gren i HSA i verifierings- eller monitoreringssyfte. Detta ska föregås av ett godkännande i HSA Förvaltningsgrupp. Begäran om ett sådant undantag ska vara skriftlig och beskrivas i den anslutna organisationens HPTA eller brukarorganisationens HPTB. Hanteringen av fingerade data ska följa riktlinjerna för tester och testdata i HSA [6]. 4.3. Krav på tillgänglighet Målsättningen är att HSA är tillgängligt dygnet runt under årets alla dagar. 4.4. Krav på spårbarhet Förändringar i HSA ska loggas. Loggning ska ske på ett sådant sätt att all förändring av informationsinnehåll i HSA kan spåras. Loggfiler ska innehålla information om vilken förändring som gjorts, om användaren/systemet som gjorde förändringen och tidpunkten för förändringen. Loggningen ska ske på ett sådant sätt att ansvarig administratör kan identifieras. Loggfiler ska sparas i minst 3 år och kunna uppvisas vid revision. HPTA ska innehålla en beskrivning av hur loggning sker. Sid 15/18

4.5. Krav på sekretess Information som kräver utökad behörighet ska endast kunna registreras och visas för behöriga administratörer. Skyddade personuppgifter ska vara dolda i HSA och endast hanteras av ett fåtal utsedda administratörer. Personer med skyddade personuppgifter ska informeras av arbetsgivaren om hur personuppgifterna hanteras och ska kunna välja om uppgifterna ska göras synliga. Ansluten organisations rutiner för hantering av skyddade personuppgifter ska beskrivas i HPTA. Av beskrivningen ska det framgå hur personuppgifter döljs i samband med att en person får skyddade personuppgifter samt hur uppgifterna synliggörs när personen inte längre har skyddade personuppgifter. Brukarorganisationer får endast tillgång till skyddade personuppgifter i undantagsfall och efter en riskbedömning. De brukarorganisationer som får tillgång till dessa uppgifter ska i HPTB beskriva hur uppgifterna hanteras. All kommunikation mot HSA och anslutna system ska vara krypterad. 4.6. Kontinuitetsplanering Ansluten organisation/brukarorganisation ansvarar för egen kontinuitetsplanering i händelse av störningar i HSA. Organisationens kontinuitetsplan för HSA bör dokumenteras av ansluten organisation och brukarorganisation. 4.7. Säkerhetskopiering Säkerhetskopiering av information i HSA ska ske regelbundet, minst en gång per dygn om förändring av informationsinnehåll gjorts. Periodicitet och procedurer för säkerhetskopiering, inklusive verifiering av innehåll i säkerhetskopia, ska dokumenteras i HPTA. Säkerhetskopior ska förvaras avskilt från HSA-anslutet system. För mer vägledning kring säkerhetskopiering se [9] och [10]. 4.8. Fysisk säkerhet Tillträde till utrymme med system som uppdaterar HSA ska vara begränsat till personal med särskild behörighet. Detaljerad beskrivning av behörighetsregler och procedurer för tillträde ska dokumenteras. För mer vägledning kring fysisk säkerhet se [9] och [10]. 4.9. Styrning av åtkomst Åtkomst av information i HSA ska föregås av autentisering direkt av individ eller indirekt via annat system. Om LDAP används vid kommunikation med HSA ska HSA LDAP-policy [7] följas. För mer vägledning kring styrning av åtkomst, se [9] och [10]. Sid 16/18

4.9.1. Styrning av åtkomst för HSA-administratörer Detaljerad beskrivning av procedurer för behörighetshantering för administratörer ska dokumenteras och redovisas i HPTA. Administratörer ska identifiera sig med stark autentisering. Metod för stark autentisering bör vara SITHS-certifikat. Om annan metod används ska denna beskrivas i HPTA. 4.9.2. Styrning av åtkomst för brukarorganisation Brukarorganisationen ansvarar för att följa HSA:s riktlinjer för åtkomst vid användning av HSAinformation. Tilldelad behörighet får ej delas vidare till annan part. Sid 17/18

Refererade dokument [1] HSA-policy [2] RIV Informationsspecifikation HSA Struktur och Innehåll [3] Mall för HSA-policytillämpning för ansluten organisation, HPTA-mall [4] Mall för HSA-policytillämpning för brukarorganisation, HPTB-mall [5] Mall för anslutningsavtal [6] Riktlinjer för tester och testdata i HSA [7] HSA LDAP-policy [8] HSA Begrepp och definitioner [9] Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) samt www.informationssakerhet.se [10] SS-ISO/IEC 27002:2014, Informationsteknik - Säkerhetstekniker - Riktlinjer för informationssäkerhetsåtgärder (ISO/IEC 27002:2013, IDT) Förkortningar HPTA HPTB LDAP PuL RIV HSA-policytillämpning för ansluten organisation HSA-policytillämpning för brukarorganisation Lightweight Directory Access Protocol Personuppgiftslagen Regelverk för interoperabilitet inom vård och omsorg Sid 18/18

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss