...
Enligt tidplanen ska alla HSA-anslutna producenter ha lämnat in en HSA Tillitsdeklaration senast den 31 oktober 2024. Men innan Innan dess måste en hel del förberedande arbete göras. Vår starka rekommendation till dig som HSA-ansvarig är därför , varför vi redan i våras rekommenderade alla HSA-ansvariga att påbörja detta arbete redan nu direkt, och att kanske också reservera tid i kalendern under sommaren (då det för de flesta kanske är lite lugnare) för att arbeta med dessa frågor.
...
För de producenter som väljer att uppfylla bör-kraven bör HSA-ansvarig också göra följande:
Säkerställ att HSA-ansvarig och ställföreträdande HSA-ansvarig har genomgått HSA Grundutbildning.
Om inte – boka utbildning på sidan https://www.securestatecyber.se/utbildning/hsa .
HSA-ansvariga som godkändes med hjälpa av kunskapstest 2017 måste tyvärr också gå utbildningen, då kunskapstestet inte godtas utifrån E-hälsomyndighetens krav på
Skicka in anmälan av HSA Säkerhetsansvarig.
Använd formuläret https://etjanster.inera.se/AndringHSAAnsl
Notera att HSA-ansvarig SKA kontrollera giltig id-handling vid fysiskt möte innan anmälan skickas.
Säkerställ att HSA Säkerhetsansvarig genomför bakgrundskontroll av HSA-ansvarig och ställföreträdande HSA-ansvarig enligt Instruktion för bakgrundskontroll enligt HSA Tillitsramverk.
Ladda upp resultatet av bakgrundskontrollerna i ärendet avseende organisationens HSA Tillitsdeklaration.
Tillsammans med HSA Säkerhetsansvarig eller den andra oberoende part som organisationen beslutat:
uppdatera era rutiner för internrevision utifrån att HSA Säkerhetsansvarig är den som ska initiera och följa upp internrevisionerna framöver.
planera också för nästa internrevision tillsammans. Och hjälps åt att säkerställa att det blir en riktigt bra internrevision!
Säkerställ att HSA Säkerhetsansvarig, HSA-ansvarig och ställföreträdande HSA-ansvarig har koll på kraven avseende organisationens informationssäkerhetsarbete i avsnitt 4.1 samt kan redogöra för hur organisationen uppfyller dessa.
...
Enligt tidplanen ska alla HSA-anslutna konsumenter ha lämnat in en HSA Tillitsdeklaration senast den 31 januari 2025. Vårt tips är att du som är kontaktperson för en konsument (HSA-ansluten tjänst) reserverar tid för arbete med detta under hösten, eller att påbörjar det arbetet redan nu om det passar dig/er bättre.
Läs HSA Tillitsramverk 5.0, sätt dig in i skillnaden från HSA-policy 4.2 (med hjälp av revisionshistoriken eller versionerna med ändringsmarkeringar som finns längre ner på denna sida).
Hämta rätt mall för HSA Tillitsdeklaration från Projektplatsen, i denna mapp. Endast personer som är behöriga på Projektplatsen HSA Förvaltning (normalt endast kontaktpersonen) kan komma åt dokumenten denna väg.
Ifyllningsbar mall kan även begäras ut, av kontaktpersonen, genom att lägga ett ärende i Ineras Kundportal.
Mallarna finns även för påsyn (ej ifyllningsbara) på sidan Anslutningsavtal för konsumenter.
Fyll i tillitsdeklarationen så långt du kan på egen hand.
Utgå från tidigare godkänd HSA-policytillämpning (HPT) för tjänsten, MEN kontrollera att den text du kopierar över verkligen överensstämmer med hur det fungerar i verkligheten.
Fyll även i avseende de nya kraven, om du känner dig helt säker på att du kan svara för detta själv.
Stäm av med berörda personer inom din organisation avseende kvarvarande krav i tillitsdeklarationen (bör-kraven samt vid behov även övriga nya krav)
Kan vara till exempel kollegor i tjänsteförvaltningen, tjänstens arkitekt och/eller utvecklare.
När tillitsdeklarationen är komplett ifylld – skicka in den via formuläret https://etjanster.inera.se/DokumentGranskning.
...
Efter att vi nu granskat de först första inkomna tillitsdeklarationerna har vi samlat de vanligaste granskningsanmärkningarna här. Titta gärna på denna lista innan du skickar in din tillitsdeklaration så kanske du blir den första en av de få som får din tillitsdeklaration godkänd direkt.
...
Avsnitt | Brist | Förslag till åtgärd |
|---|---|---|
Revisions-historik (samt förstasidan och dokument-namnet) | Revisionshistoriken är ofullständig enligt instruktion i avsnittet Läs mig först. | Kopiera revisionshistoriken från er senast godkända HPT. Är er senast godkända HPT version 7.0 ska denna version alltså vara 7.1. Den kan också vara 7.2, 7.3 och så vidare om ni gjort flera ändringar innan den skickas in för granskning. |
Revisions-historik | Revisionshistoriken ofullständig med avseende på vilka ändringar som gjorts sedan senast godkända HPT. | Ange först “Överförd till mall för HSA Tillitsdeklaration.” Lägg därefter till punkter för övriga ändringar som gjorts jämfört med er senast godkända HPT och som INTE beror på att mallen förändrats. Har ni till exempel bytt veckodag för när ni gör kontrollkörningarna? Ändrat er rutin för kontroll mot Bolagsverket? Bytt uppgiften om vem som utser HSA-ansvarig? Eller börjat hantera någon ny informationsmängd via er synk? |
4.2.1, tabell avseende verifiering av anställning / uppdrag. | Ofullständig beskrivning av hur anställning/uppdrag verifieras för anställda (egen organisation) vid registrering. | Förtydliga till exempel att registrering görs efter beställning av chef samt att chefen då intygar att personen har en anställning. Alternativt att HSA-administratören kontrollerar mot personalregistret att personen har en aktuell eller kommande anställning. |
4.2.1, tabell avseende verifiering av anställning / uppdrag. | Ofullständig beskrivning av hur anställning/uppdrag verifieras för anställda (egen organisation) kontinuerligt. | Justera beskrivningen, samt den interna rutinen. Att enbart förlita sig på att chefer meddelar när personer slutar är enligt vår erfarenhet en otillräcklig kontroll. Regelbundet, med max 100 dagars mellanrum, måste en kontroll av samtliga registrerade personer göras. Det kan göras genom att utdrag tas ut ur HSA och lämnas till respektive ansvarig chef, som sedan får signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har aktuell anställning/aktuellt uppdrag. När det gäller anställda kan en kontroll också göras mot personalregistret, förutsatt att HSA-administratören har behörighet där. Alternativt att utdrag ur HSA skickas till personalhandläggare som kan signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har aktuell anställning. |
4.2.1, tabell avseende verifiering av anställning / uppdrag. | Frekvens för regelbunden kontroll av anställning/uppdrag för anställda (egen organisation) ej angiven. | Kontrollen ska genomföras med max 100 dagars mellanrum. Exempel på godkänd angiven frekvens kan vara:
|
4.2.1, tabell avseende verifiering av anställning / uppdrag. | Beskrivning av hur anställning/uppdrag verifieras för uppdragstagare (egen organisation) vid registrering saknas helt. | Förtydliga till exempel att registrering görs efter beställning av chef samt att chefen då intygar att personen har ett aktuellt uppdrag. Om organisationen verkligen inte någonsin hanterar uppdragstagare i HSA, skriv detta tydligt i rutan. Notera att det då innebär att ni heller aldrig registrerar till exempel hyrsjuksköterskor, och att sådana alltså aldrig kan få ta del av patientinformation om de arbetar för kommunen. |
4.2.1, tabell avseende verifiering av anställning / uppdrag. | Beskrivning av hur anställning/uppdrag verifieras för uppdragstagare (egen organisation) kontinuerligt saknas helt. | Att enbart förlita sig på att chefer meddelar när personer slutar är enligt vår erfarenhet en otillräcklig kontroll. Regelbundet, med max 100 dagars mellanrum, måste en kontroll av samtliga registrerade personer göras. Det kan, avseende uppdragstagare, göras genom att utdrag tas ut ur HSA och lämnas till respektive ansvarig chef, som sedan får signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har ett aktuellt uppdrag. Om organisationen verkligen inte någonsin hanterar uppdragstagare i HSA, skriv detta tydligt i rutan. Notera att det då innebär att ni heller aldrig registrerar till exempel hyrsjuksköterskor, och att sådana alltså aldrig kan få ta del av patientinformation om de arbetar för kommunen. |
...
Inera har tillsatt ett särskilt team för att hantera uppdateringen av anslutningsdokumentation (tillitsdeklarationer) för de 205 201 HSA-anslutna producenter och 35 HSA-anslutna konsumenter som berörs. Vår målsättning är alltså att kunna hantera det ökade flödet av frågor och granskningar som kan dyka upp under denna period utan onödigt dröjsmål.
...