Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Relevanta dokument
Revisionsrapport SITHS och HSA Version

SITHS RA-dag

Revisionsfrågor HSA och SITHS 2014

Revisionsfrågor HSA och SITHS 2015

HSA Kunskapstest för HSA-ansvariga

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Revisionsfrågor HSA och SITHS 2016

Revisionsrapport SITHS och HSA Version 1.0

Revisionsrapport SITHS och HSA version

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0,

Revisionsrapport SITHS och HSA Version

Identifieringstjänst. del av projektet Infrastruktur

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Revisionsfrågor HSA och SITHS 2017

Utbildningsinnehåll. Introduktion E-tjänstekort. Kortkrav. Korttyper. Rutiner

Revisionsrapport HSA Version

Manual - Inloggning. Svevac

Uppdatering av HSA-policyn. HSA Nätverksmöte

Nationell patientöversikt en lösning som ökar patientsäkerheten

Regler vid verksamhetsövergång och ägarbyte

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Förvaltningsplan för Identifieringstjänst SITHS

En övergripande bild av SITHS

Checklista. För åtkomst till Svevac

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Avtal om Kundens användning av Identifieringstjänst SITHS

Frågorna 7, 8 samt 9 gäller bara om du agerar HSA-ombud, dvs svarat c, d eller e på fråga 5. Är du inte ombud så går du direkt vidare till fråga 10.

Hantering av borttagna personobjekt med giltiga HCC. Beskrivning av totallösningen

Så ansluter ni till HSA och SITHS via redan ansluten organisation (landsting eller annan kommun)

Systemadministration. Webcert Fråga/Svar

Manual inloggning Svevac

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

Avtal om Kundens användning av E-identitet för offentlig sektor

Intygstjänster. - Beskrivning och tjänstespecifika villkor

Manual - Inloggning. Svevac

Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen.

Införande av Pascal ordinationsverktyg för elektroniska dosordinationer

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Tjänster med åtkomst till personer med skyddade personuppgifter från HSA. Version 1.2.2,

Pascal ordinationsverktyg ersätter e-dos

SITHS Nationell identifieringstjänst. Vad? Varför? Hur? Framöver?

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Mobilt Efos och ny metod för stark autentisering

HSA Begrepp och definitioner

Riktlinjer för tester och testdata i HSA. Version

Guide. SITHS reservkort (12)

Tillitsramverk. Identifieringstjänst SITHS

HSA Arkivering av stängda vårdgivare och vårdenheter. Scenariobeskrivning, version 2.0,

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

HSA Anslutningsavtal. HSA-policy

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Teknisk beskrivning PDL i HSA

Portalinloggning SITHS HCC och Lösenordsbyte manual

Överenskommelse Kommunal ehälsa Genomförandeplan för regional utveckling i samverkan inom ehälsa 2013 VOHJS13-032, Bilaga VOHJS 16 /13

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Manual Beställning av certifikat (HCC) till reservkort

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

Inom kort kommer sjuksköterskor inte längre åt webbapplikationen e-dos om de inte har SITH- kort, Apotekets säkerhetsdosa eller en e-legitimation.

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Termer och begrepp. Identifieringstjänst SITHS

Paketerad med erfarenhet. Tillgänglig för alla.

Mobilt Efos och ny metod för stark autentisering

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Interimslösning SITHS delområde HSA-katalogen

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Termer och begrepp. Identifieringstjänst SITHS

Bilaga 1. Preliminär juridisk rapport

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Västra Götalands RA-organisation

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

Tjänster med åtkomst till personer med skyddade personuppgifter från HSA. Version 1.3,

Nationell patientöversikt

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Införande av SITHS kort i en. Förstärkt inloggning enligt Nationella rutiner och rekommendationer Version

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.2

Dokumenttyp. Namn på uppdraget. Integration META katalog och nationell HSA katalog.

Mobilt Efos och ny metod för stark autentisering

Samverka effektivare via regiongemensam katalog

Införandestöd för Pascal säkerhetslösning. - Inklusive uppfyllande av Säkerhetskrav enligt Patientdatalagen (PDL)

Inför Verksamhetsutveckling med stöd av IT

Rutin för administrering av KOMKAT och SITHS kort

Ladda på nya certifikat på reservkort så medarbetaren kan ha kvar kortet längre tid Författare:

Nätverksträff. maj 2014 NPÖ, NATIONELL PATIENTÖVERSIKT

SITHS Sj k årdsrådgi ningen (SVR) Thomas Näsberg

Pascal. Peter Öberg, Inera AB Lars Törnblom, SKL

Arkitekturella beslut Infektionsverktyget. Beslut som påverkar arkitekturens utformning

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Uppdatering av HSA-policyn. Resultat från diskussionstorg

3 Hur förbereder jag mig inför krav på kortinlogg?

Transkript:

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS 28 januari 2015 Henrika Littorin henrika.littorin@inera.se

Tjänsterna i sitt sammanhang HSA SITHS 3

SITHS-kort Uppfyller kraven på stark autentisering (2008:14) Vi kan säkrare veta vem som faktiskt loggat in Ersätter olika användar-id och olika lösenord i olika tjänster

Nationell behörighetsmodell för hälsooch sjukvården Patientdatalagen (PDL) Personliga, anställnings- och uppdragsrelaterade egenskaper registreras i HSA och gäller oavsett i vilken e- tjänst informationen presenteras minskar behovet av användaradministration i respektive e-tjänst och ökar säkerheten i att veta vem som har ett aktuellt uppdrag 5

Några grundprinciper Anslutning till HSA och SITHS är frivillig (men är i realiteten nödvändig för de som vill nyttja nationella e-tjänster) Varje ansluten organisation äger och ansvarar för sin egen HSA-information liksom för sina utgivna SITHS-kort och certifikat Ansluten organisation, och ansluten tjänst, förbinder sig att följa HSA-policyn resp. RA-policyn HSA Förvaltningsgrupp resp. SITHS Policy Authority representerar alla anslutna och beslutar HSA- resp. RA-policy samt godkänner anslutning av organisationer och tjänster 6

Nuläge HSA och SITHS 2015-01-01 C:a 613 000 objekt i katalogen, varav c:a 523 000 personer C:a 448 000 SITHS-kort utfärdade Anslutna organisationer Samtliga landsting Samtliga kommuner Ett tusental (?) privata aktörer (varav ett 20-tal direktanslutna) Information i HSA läses av drygt 20 nationella tjänster och ett stort antal lokala tjänster, vilka i sin tur har miljontals användare 3,5 miljoner sökningar görs mot katalogen varje dag Ett stort antal tjänster är anpassade för inloggning med SITHS-kort

Om detta ska kunna funka krävs rejäl ordning och reda Om SITHS-kort ges ut till fel personer eller om behörighetsgrundande egenskaper inte underhålls finns stor risk för att fel person ges åtkomst till känslig patientinformation.

Styrande dokument Bilden beskriver HSA, men motsvarande finns även för SITHS

Revisioner uppföljning av efterlevnad till HSA- och RA-policy 11

Revision av HSA och SITHS Genomfördes första gången 2010 Ett antal organisationer väljs ut varje år Revisionen genomförs via enkät, telefonintervju och på-platsen-revision Identifierade brister sammanställs i Protokoll till respektive organisation En sammanställd rapport till förvaltningsgrupperna En avidentifierad rapport som publiceras på webben Reviderade organisationer sammanställer åtgärdsplan Åtgärdsplanen följs upp varje kvartal tills alla brister är åtgärdade 12

Revision 2014 - Tidplan 13

Områden Revision 2014 A. HSA B. Kontrollkörningar och stickprov HSA C. SITHS D. SITHS Stickprovskontroll E. Intern revision 14

Totalt antal brister (104 st.) Fördelning per allvarlighetsgrad 3 15 39 Hög (allvarlig) Mellan Låg 47 Åtgärdad 15

Exempel identifierade allvarliga brister Rutinbeskrivningar saknades Kontroll av personers anställnings-/uppdragsförhållande sker inte enligt krav Uppgifter för personer som är registrerade i HSA avviker från uppgifter i HOSP-registret Ej godkänd anslutningsdokumentation Otillåten id-handling (EU-pass) har använts i identifieringsprocessen Fel persons id-handling registreras i SITHS Admin vid distansutgivning av reservkort Ingen intern revision har gjorts alt. inget dokument har laddats upp i enkäten som påvisar genomförd intern revision, därmed kan inte styrkas att det gjorts senaste 12 månaderna 16

Reflektioner från årets revision En organisation hade inga brister! Det är färre antal brister i år Vi får svar på våra frågor i större utsträckning Brister åtgärdas i snabbare takt än tidigare Anslutna organisationer och tjänster förstår vikten av revision och dess syfte 17

Vad har vi lärt av fem års revisioner? Få vill bryta mot regelverket Brister beror ofta på tidsbrist, slarv, okunskap eller felaktig funktionalitet i gränssnitt Revisionerna är ett sätt att hitta fel som organisationen inte själva känner till och att ge ansvariga en anledning att lyfta betydelsen av tjänsterna inom sin organisation Revisionen tas generellt emot positivt av utsatta organisationer Som man frågar får man svar Fråga inte Har ni tillräckliga rutiner för, Efterlevs era rutiner för utan begär istället att få ta del av dokumentation (rutinbeskrivningar, protokoll från internrevisioner etc.) 18

Vad har vi lärt forts. Revisioner är ett sätt att lära Frågor som tvingar organisationer att själva göra kvalitetskontroller (ladda upp en jämförelse mellan aktiva SITHS-kort och aktiva personposter i HSA, gör så här) hjälper även informationskvaliteten på lång sikt Sprid information om revisionerna Avidentifierade rapporter på webben, nyhetsbrev, nätverksträffar Man kan lära av andras misstag Ge inte upp! 2014 stängde vi revisionerna 2011 och 2012 då alla brister var åtgärdade 19

Revisioner som verktyg för kontroll av efterlevnad till regelverk Utan revisioner är det risk att policy och självdeklaration blir en hyllvärmare Revisioner kan sällan bli mer än stickprov, men de drar ofta med sig en översyn av andra delar också Information och kommunikation kring regelverket och varför det behöver följas är viktigt Prova även andra metoder Krav på uppdatering av anslutningsdokumentation med ny granskningsrunda efter uppdaterad policy Policy-quiz med pris till alla med alla rätt 20

Mer information www.inera.se/hsa resp. www.inera.se/siths Under Regelverk och Revision återfinns beskrivning samt avidentifierade rapporter Frågor för stunden? 21

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss