HSA-policytillämpning för ansluten

HSA Anslutningsavtal HSA-policytillämpning för ansluten organisation (HPTA) Kommunförbundet Skåne Version 0.91 2014-01-23

Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 Ifyllnadsinstruktioner... 5 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi... 6 1.3. Övergripande mål och principer... 6 1.4. Målgrupp och tillämplighet... 6 2. Allmänna förutsättningar... 7 2.1. Ansvarsförhållanden... 7 2.2. Förpliktelser för ansluten organisation... 7 2.3. Förpliktelser för brukarorganisation... 9 2.4. Informationsinnehåll i HSA... 9 2.5. Hantering av andra organisationers information... 9 2.6. Revision... 10 3. Styrning av HSA...11 3.1. Övergripande styrning och ansvarsförhållanden... 11 3.2. Godkännandeprocess... 11 4. Informationssäkerhetskrav...12 4.1. Allmänt... 12 4.2. Krav på riktighet... 12 4.3. Krav på tillgänglighet... 14 4.4. Krav på spårbarhet... 14 4.5. Krav på sekretess... 15 4.6. Kontinuitetsplanering... 15 4.7. Säkerhetskopiering... 16 4.8. Fysisk säkerhet... 16 4.9. Styrning av åtkomst... 16 Refererade dokument... 17 Förkortningar... 17 Bilagor... 17 Anrop mot HSA specifikation... 18 Sid 2/22

Revisionshistorik Version Datum Status 0.5 2013-03-20 Första utkast till Inera 0.6 2013-04-19 Komplettering bilaga 2 0.7 2013-10-18 Komplettering enligt granskningasrapport 130425 0.8 0.9 0.91 2014-01-08 2014-01-20 2014-01-23 Komplettering enligt granskningsrapport 131023 Komplettering enligt granskningsrapport 140110 Komplettering enligt granskningsrapport 140120 Kontaktuppgifter Denna HSA-policytillämpning förvaltas av: Kommunförbundet Skåne. Organisation: Kommunförbundet Skåne Adress: Porfyrvägen 8 Box 53 Postnummer: 221 00 Ort: Lund Telefon: 046-71 99 00 E-post: kansliet@kfsk.se Hemsida: http://www.kfsk.se Sid 3/22

Övergripande dokumentstruktur för HSA Styrning och användning av HSA regleras i ett antal dokument. Bilden nedan visar den övergripande dokumentstrukturen för HSA och de inbördes relationerna mellan dokumenten. Den övergripande dokumentstrukturen består av: HSA-policy [1], ett styrande dokument för HSA på övergripande nivå. RIV Informationsspecifikation HSA Struktur och innehåll [2], beskriver informationsinnehållet i HSA. Till detta dokument finns följande bilagor: - HSA-schema, organisationsträdet (inklusive excelark) - HSA-schema, tjänsteträdet (inklusive excelark) - Värdemängdsbilagor, som beskriver tillåtna värden för vissa attribut. HSA-policytillämpning för ansluten organisation (HPTA) [3], skrivs av varje organisation ansluten till HSA och beskriver hur den enskilda organisationen uppfyller kraven i HSApolicy. Det finns även en särskild variant av HPTA som är framtagen för de organisationer som endast använder HSA Admin för att uppdatera information i HSA manuellt. Sid 4/22

HSA-policytillämpning för brukarorganisation (HPTB) [4], skrivs av organisationer som använder information från HSA och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA-policyn. Anslutningsavtal [5], tecknas mellan Inera AB och organisationer som är anslutna till eller nyttjar uppgifter från HSA och beskriver hur denna organisation uppfyller kraven på informationshantering i HSA-policyn. Riktlinjer för HSA:s testmiljöer [6], utifrån definierade riktlinjer beskriver organisationer hur de tänker använda de båda testmiljöerna i en användningsbeskrivning. Mall för utformning av beskrivningen finns i riktlinjerna. LDAP-policy [7] beskriver hur kommunikation via LDAP ska ske mot HSA. Ifyllnadsinstruktioner Detta dokument är utformat som ett speglingsdokument till HSA-policyn med samma kapitelindelning och struktur. Dokumentet är utformat så att organisationen enkelt kan beskriva hur varje krav hanteras i den egna organisationen samt i eventuella tredjepartsanslutna organisationer. Kursiv text ger instruktioner för hur dokumentet ska fyllas i. Normal text anger krav som måste uppfyllas. Normal text får ej tas bort eller ändras! Kryssrutor anger områden där någon form av val måste göras. [Skriv här] anger avsnitt där information måste tillföras vid utformningen av HPTA. Detta kan antingen anges direkt i dokumentet, i särskild bilaga till HPTA eller som referens till ett namngivet dokument. [Org X] ersätts med den organisationens namn i hela dokumentet. Sid 5/22

1. Introduktion 1.1. Översikt Denna policytillämpning beskriver hur Kommunförbundet Skåne uppfyller de krav som ställs i den nationella HSA-policyn [1]. Kommunförbundet Skåne bekräftar efterlevnad av HSA-policy genom anslutningsavtal och upprättande av denna policytillämpning (HPTA), som godkänns av HSA Förvaltningsgrupp. 1.2. Terminologi Definitioner av begrepp som används i denna policy återfinns i HSA Begrepp och definitioner [8]. 1.3. Övergripande mål och principer Övergripande mål och principer för HSA beskrivs i HSA-policy [1]. 1.4. Målgrupp och tillämplighet Målgrupper för denna policytillämpning är Kommunförbundet Skåne informationsägare, HSAansvarig, nyttjare samt HSA Förvaltningsgrupp. Dessa målgrupper definieras i särskilt dokument [8]. Denna HPTA baseras på kraven i HSA-policy [1]. Sid 6/22

2. Allmänna förutsättningar 2.1. Ansvarsförhållanden Här anges anslutande organisations HSA-ansvarig med namn på en person samt roll. HSA-ansvarig för Kommunförbundet Skåne är Thomas Wester, samordnare kommunal e-hälsa. 2.2. Förpliktelser för ansluten organisation Här beskrivs organisationens åtagande att följa HSA-policyn fullt ut och de förpliktelser som följer med anslutningen. 2.2.1. Allmänt Kommunförbundet Skåne förbinder sig att följa HSA-policy fullt ut och garanterar genom detta dokument att samtliga policykrav är uppfyllda. Dokumentet beskriver även hur policyn tillämpas i organisationen. Utrymme för ytterligare beskrivning kring detta avsnitt 2.2.2. Förpliktelser för HSA-ansvarig i direktansluten organisation HSA-ansvarig i Kommunförbundet Skåne ansvarar för att: organisationens uppgifter i HSA är aktuella och korrekta så att andra anslutna organisationer kan förlita sig på dessa uppgifters riktighet behandling av personuppgifter i HSA följer personuppgiftslagen (PuL) en organisation för administration av HSA upprättas, bemannas och dokumenteras. organisationen har en tillgänglig och bemannad funktion som meddelar och tar emot drift- och störningsinformation från HSA:s driftorganisation. regelbunden intern revision sker rörande efterlevnad av HSA-policy och denna policytillämpning. det finns en kontinuitetsplan (avbrotts- och katastrofplan). det finns ett dokumenterat regelverk för hur administratörer utses och för hur behörigheter tilldelas information från HSA Förvaltning sprids inom organisationen inklusive eventuella tredjepartsanslutna organisationer LDAP-policyn för HSA [7] följs. Om information i HSA uppdateras av ett internt system ansvarar organisationens HSA-ansvariga för: användning och säkerhet i det interna systemet vid utveckling, anskaffning, drift och förvaltning driftgodkännande av anslutning till HSA. Sid 7/22

Utrymme för ytterligare beskrivning kring detta avsnitt 2.2.3. HSA-policytillämpning för ansluten organisation (HPTA) Här redovisas hur HSA-policyn tillämpas vad gäller användning av information i HSA. I beskrivningstexten nedan anges vilka system/tjänster inom organisationen som använder HSA som informationskälla och hur informationen används. Denna HPTA beskriver all användning av HSA inom Kommunförbundet Skåne. Dokumentet är utformat enligt HPTA-mall, version [3]. Följande system/verksamheter/tjänster inom Kommunförbundet Skåne använder HSA (anrop mot HSA kataloghotell): Mina planer Pascal NPÖ Kommunkatalogen (gränssnitt för manuell inmatning av uppgifter i HSA) Användningen beskrivs mer utförligt i Bilaga 2. Om något förhållande som påverkar Kommunförbundet Skånes HPTA förändras inlämnas ny policytillämpning skyndsamt. Den nya versionen ska baseras på aktuell mallversion. 2.2.4. Särskilda förpliktelser för HSA-ombud Kommunförbundet Skåne: agerar inte HSA-ombud. agerar HSA-ombud för organisationer inom vård och omsorgssektorn och ansvarar för dessa organisationer för allt som sägs i denna policy. Kommunförbundet Skåne har samarbetsavtal med samtliga tredjepartsanslutna organisationer. Samarbetsavtalen innehåller information om den tredjepartsanslutna organisationens informationsägare. Kommunförbundet Skåne har en organiserad supportfunktion för tredjepartsanslutna organisationers HSA-relaterade ärenden. Följande tredjepartsanslutna organisationer är upplagda på organisationsnivå (o-nivå) i HSA: Bjuvs kommun-212000-1041, Bromölla kommun-212000-0894, Burlövs kommun-212000-1025, Båstad kommun-212000-0944, Eslövs kommun-212000-1173, Helsingborgs stad-212000-1157, Hässleholms kommun- 212000-0985, Höganäs kommun-212000-1165, Hörby kommun-212000-1108, Höörs kommun-212000-1116, Klippans kommun-212000-0928, Kristianstads kommun-212000-0951, Kävlinge kommun-212000-1058, Sid 8/22

Landskrona stad- 212000-1140, Lomma kommun-212000-1066, Lunds kommun-212000-1132, Malmö stad-212000-1124, Osby kommun-212000-0902, Perstorps kommun-212000-0910, Simrishamns kommun-212000-0969, Sjöbo kommun-212000-1090, Skurups kommun-212000-1082, Staffanstorps kommun-212000-1017, Svalövs kommun-212000-0993, Svedala kommun-212000-1074, Tomelilla kommun-212000-0886, Trelleborgs kommun- 212000-1199, Vellinge kommun-212000-1033, Ystads kommun-212000-1181, Ängelholms kommun-212000-0977, Åstorps kommun-212000-0936, Örkelljunga kommun-212000-0878, Östra Göinge kommun-212000-0860]. Tredjepartsanslutna organisationer som finns på enhetsnivå (ou-nivå) i HSA kan urskiljas från Kommunförbundet Skånes egna objekt i HSA på följande vis: Inga tredjepartsanslutna organisationer kommer att läggas på ou-nivå. 2.3. Förpliktelser för brukarorganisation Ej tillämplig för HPTA. 2.4. Informationsinnehåll i HSA Kommunförbundet Skånes informationsinnehåll i HSA följer den specifikation som anges i RIV Informationsspecifikation HSA Struktur och innehåll [2] med tillhörande bilagor som specificerar innehåll i HSA. Vid uppgradering av HSA-schemat kommer Kommunförbundet Skåne att införa förändringarna senast tre månader efter uppgradering. Utrymme för ytterligare beskrivning kring detta avsnitt 2.5. Hantering av andra organisationers information Här förbinder sig organisationen att inte sprida vidare information ur HSA från andra anslutna organisationer utan att en skriftlig överenskommelse mellan de båda parterna upprättats. Om sådana överenskommelser finns ska referenser till dessa anges. Kommunförbundet Skåne förbinder sig att inte tillgängliggöra HSA-information från andra anslutna organisationer utanför den egna organisationen, t.ex. genom publicering på Internet eller annan spridning av information till tredje part, såvida inte särskild överenskommelse finns med den organisation vars uppgifter man vill publicera. Sid 9/22

Kommunförbundet Skåne förbinder sig att inte använda information från HSA för massutskick i marknadsföringssyfte eller i någon form av betaltjänst. Utrymme för ytterligare beskrivning kring detta avsnitt 2.6. Revision Här beskrivs organisationens revisionsprocess. Kommunförbundet Skåne förbinder sig att genomföra revision löpande, minst en gång per år, för att kontrollera denna HPTA:s aktualitet och överensstämmelse med gällande HSA-policy och interna rutiner. Genomförda revisioner dokumenteras och delges vid förfrågan HSA Förvaltningsgrupp. Allvarliga brister som påträffas lokalt och riskerar att påverka andra anslutna organisationer eller nyttjare av information från HSA rapporteras omedelbart till HSA Förvaltning. Kommunförbundet Skåne accepterar att HSA Förvaltning, eller av HSA Förvaltning utsedd tredje part, kan genomföra revision för att kontrollera efterlevnaden av HSA-policy. Eventuella brister och avvikelser som påträffas vid en revision åtgärdas skyndsamt av Kommunförbundet Skåne. Om HSA Förvaltningsgrupp bedömer det nödvändigt att genomföra förnyad revision bekostas denna av Kommunförbundet Skåne. Skånes 33 kommuner finns tredjepartsanslutna till Kommunförbundet Skåne. Vi planerar att genomföra fyra revisioner per kvartal i dessa kommuner. Revisionerna fördelas om ett fysiskt besök och tre enkät utskick. Samtliga kommuner kommer vara föremål för minst en revision under en treårs period. Vi kommer även att göra revision på förekomman anledning. Vid revisionen kontrolleras följsamheten till HSA-policy med inriktning på att kraven på riktighet enligt 4.2 följs. Kommunförbundet Skåne sammanställer en revisionsrapport som delges säkerhetsansvarig samt kommunledningen för de reviderade kommunerna. De avvikelser som finns följs upp av Kommunförbundet Skåne via en fortlöpande dialog med berörd kommun. Rapporterna publiceras i extranätet Yammer och delges HSA-administratörerna via nätverksträffar som Kommunförbundet Skåne anordnar två gånger per år. Sid 10/22

3. Styrning av HSA 3.1. Övergripande styrning och ansvarsförhållanden Styrning av HSA på övergripande nivå sker enligt kapitel 3 i HSA-policy [1]. Vid förändring av HSA-policyn kommer denna HPTA att revideras för att överensstämma med gällande policy. 3.2. Godkännandeprocess Godkännandeprocessen för anslutande organisationer innehåller följande steg: 1. Anslutande organisation ansöker om anslutning. 2. Efter utredning av anslutning tar anslutande organisation fram HPTA. 3. Granskning sker av HPTA. Ett interimistiskt godkännande av en HPTA kan ges under högst sex månader. 4. Resultatet av granskningen redovisas i HSA Förvaltningsgrupp som tar ställning till godkännande. 5. När HPTA är godkänt undertecknas anslutningsavtal. Vid eventuella förändringar i godkänd HPTA inlämnas en ny version för godkännande i HSA Förvaltningsgrupp. Sid 11/22

4. Informationssäkerhetskrav 4.1. Allmänt Vägledning kring informationssäkerhetskraven framgår av HSA-policy [1]. 4.2. Krav på riktighet Kommunförbundet Skånes innehåll i HSA är korrekt och aktuellt, dvs. speglar nuläget i organisationen när det gäller personal, organisation och funktioner. Kommunförbundet Skånes uppdatering av information i HSA sker enligt följande regelverk Manuell uppdatering sker i gränssnittet Kommunkatalogen. Kommunkatalogen synkas var 20:e minut med kataloghotellet. Uppdraget att lägga in individuell förskrivarkod, gruppförskrivarkod och legitimerad yrkestitel lämnas av ansvarig verksamhetschef för aktuell användare till lokal HSA-administratör i kommunen, se bilaga 1, punkt 5. Individuell förskrivarkod och legitimerad yrkestitel: Värdena hämtas automatiskt från körning av HOSP fil en gång per dygn och automatiska korrigeringar sker då avvikelser finns mellan HOSP fil och värden i HSA för attributen legitimerad yrkesgrupp respektive individuell förskrivarkod. Då det finns en eftersläpning i uppdatering av HOSP information från Socialstyrelsen till HOSP filen måste individuell förskrivarkod eller legitimerad yrkestitel ibland matas in manuellt i lokal HOSP. Detta görs av huvudadministratör/superadministratör i varje enskild kommun. Gruppförskrivarkod: Manuell inmatning av detta attribut görs i lokal HOSP av huvudadministratör/superadministratör i varje enskild kommun. Beskrivningen av uppdateringar för Kommunförbundet Skåne omfattar villkor för när uppdateringar sker samt hur uppdateringar genomförs. Vid registrering och uppdatering av information i HSA verifieras informationens riktighet mot ursprungskällan. Alla kommuner som Kommunförbundet Skåne är ombud för i HSA har utsedda HSA administratörer. Uppdateringar av organisationsträdet med nya enheter, personposter och medarbetaruppdrag sker i varje kommun manuellt av dessa administratörer fortlöpande efter behov, se bilaga 1. 4.2.1. Personuppgifter Kommunförbundet Skåne verifierar personuppgifter mot Skatteverkets register med hjälp av personnummer eller samordningsnummer vid registrering samt regelbundet, minst en gång i månaden, på följande sätt: Anställd med samordningsnummer kan inte läggas in i HSA då gränssnittet inte stödjer detta. HSA administratörer i kommunerna gör all nyregistrering av personposter manuellt i gränssnittet mot HSA. Uppdraget kommer från ansvarig verksamhetschef, se bilaga 1, punkt 5. En slagning sker mot Skatteverkets register via webbtjänst från Kommunkatalogen i samband med skapande av ny personpost samt när enskild HSA-administratör begär det. Kontroll mot skatteverket för folkbokföringsuppgifter sker också automatiskt 1 gång/månad för befintliga personposter. Efter kontrollkörning mot skatteverket går ett meddelande till den HSA-administratör som har hand om personposten i kommunen. Sid 12/22

Personposter som skapats med passnummer är inte med vid den månatliga körningen mot folkbokföringsregistret. Dessa poster måste uppdateras för hand av lokal HSA-administratör eller HSA huvudadministratör på Kommunförbundet, se bilaga 1, punkt 12. Om avvikelser påträffas korrigerar Kommunförbundet Skåne omgående uppgifterna. Om kontroll mot Skatteverket sker via HSA Admin kan kostnaden debiteras Kommunförbundet Skåne till självkostnadspris. Kommunförbundet Skåne hämtar uppgifter om legitimation, förskrivningsrätt och specialitet från Socialstyrelsens register. Inera AB ansöker regelbundet om utdrag av denna information hos Socialstyrelsen, vilken sedan kan användas av HSA-ansluten organisation för att uppdatera uppgifter. Kommunförbundet Skåne: tillåter att Inera AB gör denna beställning även för Kommunförbundet Skåne räkning tillåter ej att Inera AB gör denna beställning för [Org X] räkning Kommunförbundet Skåne kontrollerar att personer i HSA har ett anställnings- eller uppdragsförhållande till organisationen vid registrering i HSA genom att uppdraget att registrera personer i HSA kommer från en ansvarig verksamhetschef, se bilaga 1. Kommunförbundet Skåne verifierar att anställnings- eller uppdragsförhållandet kvarstår minst en gång per kvartal. I de fall svenskt personnummer eller samordningsnummer saknas verifierar Kommunförbundet Skåne personuppgifter med hjälp av uppvisat pass. En kopia av passet arkiveras hos Kommunförbundet Skåne. Kommunförbundet Skåne registrerar passnummer och giltighetstid tillsammans med personens födelsedatum samt tillser att personobjektet i HSA inte har längre giltighetstid än identitetshandlingen. Rutinen för detta beskrivs i bilaga 1, punkt 12. 4.2.2. Organisationsuppgifter Detta avsnitt fylls endast i om organisationen agerar HSA-ombud. Kommunförbundet Skåne ansvarar för riktigheten i uppgifter som publiceras om tredjepartsanslutna organisationer i HSA. Vid registrering av organisationsuppgifter verifieras dessa mot SCB:s och/eller Bolagsverkets register genom användning av organisationsnummer. Detta hanteras på följande sätt: Skånes 33 kommuner är redan upplagda i HSA organisationsträd på o-nivå. Det kommer inte vara aktuellt med upplägg av nya organisationer. Privata organisationer kan inte teckna tredjepartsavtal med Kommunförbundet Skåne eller enskild kommun. Vid avslut av organisationer på organisationsnivå (o-nivå) i HSA tillser Kommunförbundet Skåne att uppgifter om namn, HSA-id, organisationsnummer och namn på godkänd HPTA lagras dolt under organisationens tidigare gren i HSA. Kommuner som har tecknat tredjepartsavtal med Kommunförbundet Skåne skriver ingen egen HPTA. Följsamhet till rutinerna regleras i tredjepartsavtalet. Se bilaga 3. Sid 13/22

4.2.3. Vårdgivare och Vårdenheter Kommunförbundet Skåne ansvarar för att uppgifter om Vårdgivare, Vårdenheter och Verksamhetschefer i HSA är korrekta och uppdaterade enligt Socialstyrelsens Vårdgivarregister samt enligt Vårdgivarens beslut. Vårdenheter som upphör med sin verksamhet tas ej bort från HSA utan lagras dolda i HSA. Uppgifter som lagras är Vårdenhetens namn, HSA-id, start- och slutdatum samt Vårdgivartillhörighet. 4.2.4. HSA-id Kommunförbundet Skåne tillser att alla objekt i HSA identifieras med HSA-id. HSA-id ska vara unikt och uppbyggt enligt gällande syntax. Kommunförbundet Skåne: skapar HSA-id:n via egen metod och arkiverar kopplingen mellan HSA-id och person-id minst 10 år efter det att informationen togs bort från HSA. Periodicitet för arkivering och arkiveringstid är : Regelbunden arkivering i samband med avslut av poster samt arkivering tills vidare. Arkivering sker med manuella rutiner.hsa administratör i respektive kommun avslutar poster regelbundet efter uppdrag från ansvarig chef, se bilaga 1. Arkivering sker enligt följande procedurer: Arkiveringen görs i den lokala katalogen, i form av att personposten har HSA-ID satt som attribut. Eftersom personer hamnar i Limbo när de tas bort så tas aldrig informationen bort från HSA, och därmed lagras även kopplingen person -> Hsa-ID utan någon bestämd gräns. skapar inte egna HSA-id:n. Vid byte av personidentitet ändras inte HSA-id. 4.3. Krav på tillgänglighet Målsättningen är att HSA är tillgänglig dygnet runt under årets alla dagar. Kommunförbundet Skåne: driftar egen HSA-nod. Tillgänglighetstider för åtkomst till HSA är [skriv här]. Maximal stilleståndstid är [skriv här] har information i HSA Kataloghotell har information i annan organisations HSA-nod: Tillgänglighetstider för åtkomst till HSA är 99,9 %. 4.4. Krav på spårbarhet All åtkomst till HSA från Kommunförbundet Skåne, som innebär förändring av informationsinnehåll, loggas. Loggfilerna innehåller information om vilken förändring som gjorts, om användaren/systemet som genomfört förändringen och om tidpunkten för förändringen. Sid 14/22

Kommunförbundet Skåne sparar loggfiler i minst tre år och kan visa upp dessa vid revision. Loggning sker på följande sätt: Loggning på alla ändringar som görs genom gränssnittet loggas i auditloggen, både på fil och till databas. Loggning sker även på läsning av personpost då personen har skyddad identitet. 4.5. Krav på sekretess Information som kräver utökad behörighet kan endast registreras och visas för behöriga administratörer. Skyddade personuppgifter inom Kommunförbundet Skåne är dolda i HSA och hanteras endast av ett fåtal utsedda administratörer. Kommunförbundet Skåne informerar personer med skyddade personuppgifter om hur uppgifterna hanteras i HSA och personerna kan då välja att göra sina uppgifter synliga. Kommunförbundet Skåne har rutiner för hantering av skyddade personuppgifter i HSA. Nytillkomna skyddade personuppgifter kontrolleras och hanteras på följande vis: Administratörsrollen IM-protected admin hanterar skyddade personuppgifter. Denna roll är endast tilldelad två personer på Kommunförbundet Skåne. När en person med skyddad identitet anställs ska verksamhetschef lämna underlag till IM-protected admin på Kommunförbundet Skåne. Administratören kontaktar personen med skyddet, se bilaga 1, och lägger in personposten i HSA. Personposten skapas i egen gren av HSA och får objektklassen hsaconfidentialperson som döljer den för övriga behörigheter. Det är möjligt att sätta den som synlig efter skriftligt godkännande av den skyddade personen. Detta administreras av IM-protected admin. Personposten flyttas till aktuell ou-enhet i trädet och blir då synlig för övriga behörigheter. Personposten har trots förflyttning kvar sin status som skyddad. Om personen meddelar att posten på nytt ska döljas flyttas den tillbaka av IM-protected admin till dold gren. En gång per månad sker automatiserad kontroll mot folkbokföringen. Om det finns förändringar gällande skyddade identiteter skickas ett meddelande till speciell funktionsbrevlåda hos Kommunförbundet Skåne som bevakas av IM-protected admin. Rollen åtgärdar förändringen i HSA. Loggkontroll: Varje gång någon hämtar information om en personpost med skyddad identitet loggas slagningen. Specifik loggfil skapas med uppgift om datum, tid, vad man tittat på och vem som gjort slagningen. Då det förekommer person i HSA med skyddade personuppgifter vänder säkerhetsansvarig sig till CGI för att få ut loggfilen. Kontroll av loggfil sker en gång per månad. Om en ordinarie administratör i HSA försöker skapa personpost på person med skyddad identitet visas ett generellt felmeddelande om att man ska vända sig till Kommunförbundet Skånes support för HSA ärenden. Personer som inte längre har skyddade personuppgifter synliggörs på följande vis: IMprotected admin flyttar personposten till aktuell ou-enhet i trädet och tar bort attributet hsaprotectedperson. Kommunförbundet Skånes kommunikation mellan HSA och anslutna system är krypterad. I kontakt med personer med skyddad identitet överlämnar IM-protected admin en skriftlig information angående betydelsen av att förekomma i HSA-katalogen, se bilaga 4. 4.6. Kontinuitetsplanering Kommunförbundet Skåne ansvarar för egen kontinuitetsplanering i händelse av störningar i HSA. Sid 15/22

4.7. Säkerhetskopiering Om organisationen är ansluten till HSA via HSA kataloghotell kan man här hänvisa till anslutningsavtalet för kataloghotellet. Kommunförbundet Skåne/Region Skåne säkerhetskopierar information i HSA regelbundet, minst en gång per dygn, om förändring av informationsinnehåll gjorts. Periodicitet och procedurer för säkerhetskopiering, inklusive verifiering av innehåll i säkerhetskopia, sker genom Se nedan. Kommunförbundet Skåne/Region Skåne säkerhetskopior förvaras avskilt från HSA-anslutet system. Serverdriften är outsourcad till Dialect. Back up/verifiering görs dagligen, DR- disaster recovery. Denna back up sparas i 14 dagar. En mjukvara, Dialect back up, finns överlämnad till CGI som på uppdrag av Kommunförbundet Skåne kan genomföra riktad back up. 4.8. Fysisk säkerhet Tillträde till Kommunförbundet Skånes utrymme med anslutna system är begränsat till personal med särskild behörighet. Detaljerad beskrivning av behörighetsregler och procedurer för tillträde är dokumenterat i "Beskrivning Dialect Desktop 2.0 pdf" [10]. Endast personal från Dialect med speciell behörighet har tillträde till zon 2 i datahallen där kundens egen utrustning och hostade servrar är placerade. Har kunden eller tredjepart behov av att få tillträde till utrustningen måste en skriftlig begäran lämnas in minst två dagar innan besök. Vid besöket måste behörig personal från Dialect finnas närvarande under hela vistelsen. 4.9. Styrning av åtkomst Åtkomst av information i HSA föregås av autentisering av individ eller indirekt via annat system. Kommunförbundet Skåne följer HSA LDAP-policy [7] om LDAP används vid kommunikation med HSA. 4.9.1. Styrning av åtkomst för HSA-administratörer Detaljerad beskrivning av behörigheter och procedurer för tilldelning, förändring och borttag av behörigheter är dokumenterat i bilaga 1. Administratörer i Kommunförbundet Skåne identifierar sig med stark autentisering enligt följande metod: SITHS-certifikat Identifierar sig med annan metod: [beskriv metod här]. 4.9.2. Styrning av åtkomst för brukarorganisation Ej tillämplig för HPTA. Sid 16/22

Refererade dokument [1] HSA-policy [2] RIV Informationsspecifikation HSA Struktur och innehåll [3] Mall för HSA-policytillämpning för anslutande organisation, HPTA-mall [4] [5] Mall för HSA-policytillämpning för brukarorganisation, HPTB-mall Mall för anslutningsavtal [6] Riktlinjer för HSA:s testmiljöer [7] HSA LDAP-policy [8] HSA Begrepp och definitioner [9] HSA WS Användarhandledning [10] Beskrivning Dialect Desktop 2.0 pdf Förkortningar HPTA HSA-policytillämpning för ansluten organisation HPTB HSA-policytillämpning för brukarorganisation PuL Personuppgiftslagen Bilagor Nedan redovisas vilka bilagor som finns till HPTA. Bilaga 1: Kommunförbundet Skånes lokala organisation för administration av uppgifter som publiceras i HSA Bilaga 2: Beskrivning av Kommunförbundet Skånes användning av information från HSA Bilaga 3: Tredjepartsavtal för kommuner i Skåne Bilaga 4: Information om HSA till personal med skyddade personuppgifter Sid 17/22

Bilaga 2 Denna bilaga beskriver Kommunförbundet Skåne anrop som görs mot HSA för att hämta och/eller skriva information. Syftet med dokumentet är att utgöra beslutsunderlag vid anslutning för HSA Förvaltningsgrupp, men också att kunna användas som underlag för beskrivning av organisationens (inklusive tredjepartsanslutna) nyttjande av HSA samt som underlag vid utredningar om framtida förändringar i HSA, inklusive dimensionering av produktionsmiljön. Anrop mot HSA specifikation Här specificeras samtliga anrop som Kommunförbundet Skåne gör mot HSA kataloghotell. Används ett tjänstekontrakt/en webservice-metod där sökbas, sökfilter och/eller attribut i söksvar redan är fördefinierade i systemdokumentationen för HSA WS [9] behöver dessa rutor inte fyllas i. Observera att alla tjänstekontrakt/hsa WS-metoder som organisationen använder och alla eventuella LDAP-anrop som organisationen gör ska redovisas var för sig. Metod Sökbas Sökfilter Attribut i söksvar Frekvens Användning av sökresultat HospService ILM agent DirXMunicipali ties dc=hosp,dc=services, c=se OU=Kommunförbund et Skåne,OU=Skåne OU=Bjuvs Län,DC=kfskhsa,DC= (personalidentitynumber= [personnummer]) ( (hsasyncid=*)(objectclass=hsacomm ission)) cn, personalprescriptioncode, hsasosrestrictionscode, hsasosrestrictions, hsasoseducationcode, hsasostitlecode, hsatitle, specialitycode, specialityname hsaidentity ou cn fullname givenname initials Medelbelastni ng: 10 anrop/dag Maxbelastnin g: ca. 9000 anrop på söndagar dagligen 3 ggr/tim 06:50-19:30 samt 1 g/dygn 00:15 En webbtjänst som kontrollerar och uppdaterar en persons HOSPuppgifter. En genomgång som kontrollerar samtliga personer i katalogen görs varje söndag. Import av Skåne läns kommuners enheter, funktioner och personer till metakatalog (ILM). Efter synkronisering mot

se OU=Bromölla OU=Burlövs OU=Båstad OU=Eslövs OU=Helsingborgs stad,ou=skåne OU=Hässleholms OU=Höganäs OU=Hörby OU=Höörs OU=Klippans mail personalidentitynumber sn physicaldeliveryofficename employeenumber postaladdress street telephonenumber description postalcode mobile l title geographicalcoordinates businessclassificationcode businessclassificationname caretype dropinhours enddate facsimiletelephonenumber hsaconsigneeaddress hsadeliveryaddress hsainternaladdress hsainternalpagernumber hsainvoiceaddress hsaswitchboardnumber hsatitle ti,on,to,fr,lö Kommunkatalogen exporteras tillkommande/föränd rade objekt. Sid 19/22

OU=Kristianstads OU=Kävlinge OU=Landskrona stad,ou=skåne OU=Lomma OU=Lunds OU=Malmö stad,ou=skåne OU=Osby OU=Perstorps OU=Simrishamns hsavisitingruleage hsavisitingrulereferral hsavisitingrules labeleduri management municipalitycode municipalityname orgno pager route startdate surgeryhours telephonehours visitinghours languageknowledgecode middlename nickname specialitycode specialityname patitlecode patitlename oushort hsasyncid hsabusinesstype hsadestinationindicator lthtelephonenumber countycode Sid 20/22

OU=Sjöbo OU=Skurups OU=Staffanstorps OU=Svalövs OU=Svedala OU=Tomelilla OU=Trelleborgs OU=Vellinge OU=Ystads OU=Ängelholms countyname userprincipalname displayoption hsaalttext personalprescriptioncode hsasystemrole hsajpeglogotype hsavpwinformation1 hsavpwinformation2 hsavpwinformation3 hsavpwinformation4 hsavpwneighbouringobject hsahealthcareunitmanager hsahealthcareunitmember hsaresponsiblehealthcareprovi der geographicalcoordinatessweref 99TM unitprescriptioncode hsavpwwebpage jpegphoto hsacommissionmember hsacommissionpurpose hsacommissionright hsaprotectedperson hsapassportnumber hsapassportvalidthru Sid 21/22

OU=Åstorps OU=Örkelljunga OU=Östra Göinge hsapassportbirthdate hsagroupprescriptioncode hsaemigratedperson [Ev. fler metoder] Sid 22/22