...
Torsdag 11 april klockan 15.00-16.00 - genomfört med cirka 10 deltagare.
Tisdag 16 april klockan 15.00-16.00 - anslut till mötet
Frågor som inkommit via remissen och vid de öppna frågestunderna, med tillhörande svar
Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.
Fråga: Kan stycket kompletteras med exempel på förutsättningar som medför att en organisations medarbetare blir nekade tillgång till skyddsvärd information i tjänster? Detta för att en organisation ska kunna bedöma risken och konsekvenserna av att inte utse en HSA Säkerhetsansvarig.
Svar: Skrivningen i tillitsramverket kring att uppfyllelse av somliga bör-krav KAN medföra att organisationens medarbetare nekas åtkomst till vissa tjänster är medvetet inte så tydligt utformad.
Detta dels utifrån att skrivningen behöver vara hållbar över tid. Även om det just nu ”bara” gäller åtkomst till nationella läkemedelslistan hos E-hälsomyndigheten så kan det vara fler tjänster framöver som också vill ansluta sig till dessa krav. Men också därför att det även för de aktuella tjänsterna kan komma att ändras över tid vad som anses vara krav som måste vara uppfyllda för att de ska bevilja åtkomst.
I de diskussioner vi haft med E-hälsomyndigheten hittills är de tydliga med att de inte vill släppa in medarbetare från organisationer som inte uppfyller samtliga dessa bör-krav i nationella läkemedelslistan. Om detta ställningstagande kommer att vara gällande även i framtiden vet vi inte. Det är också därför som vi lagt beslutet om vilka krav som måste vara uppfyllda i tjänsternas (i detta fall E-hälsomyndighetens) händer och inte i HSA:s eller Ineras.
Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.
Fråga: Vem skulle kunna vara lämplig i rollen som HSA Säkerhetsansvarig?
Svar: Viktigast är att HSA Säkerhetsansvarig inte har någon annan roll i den lokala HSA-förvaltningen. Annars är det upp till respektive organisation att välja vem som ska utses för rollen. En bra utgångspunkt är att tänka att internrevision är en del av informationssäkerhetsarbetet för tjänsten, så intresse och kunskap kring dessa frågor är bra. Det bör också vara en person som har förmågan att förstå vad HSA är och gör.
Om organisationen redan har en SITHS Säkerhetsansvarig kanske denna persons uppdrag kan utökas till att också vara HSA Säkerhetsansvarig? Annars kanske dataskyddsombudet, medarbetare inom organisationens informationssäkerhetsfunktion eller internrevisionsfunktion alternativt MAS (medicinskt ansvarig sjuksköterska) kan vara ett alternativ?
Avsnitt 2.2 2 Bakgrundskontroller
Fråga: Vad omfattar bakgrundskontrollen? Varför är detta inte tydligare beskrivet i tillitsramverket?
Svar: Instruktioner för genomförande av bakgrundskontroll kommer att hanteras som en separat instruktion. Denna är ännu inte fastställd, men här kan ni se förslaget till rutin för bakgrundskontroll[HL1] så som den ser ut just nu. Rutinen utgår från befintlig rutin för de bakgrundskontroller som görs för SITHS idag och omfattar intyg om nuvarande anställning och lämplighet, legal lämplighet (utdrag ur belastningsregistret), finansiell lämplighet (kontroll hos Kronofogdemyndigheten) samt genomgången HSA-utbildning.
Att vi lägger specificeringen av vad som ingår i bakgrundskontrollen i ett separat dokument gör det möjligt för oss att vid behov förtydliga eller förändra bakgrundskontrollen utan att behöva uppdatera tillitsramverket och kräva in uppdaterade tillitsdeklarationer av samtliga HSA-anslutna organisationer.
Avsnitt 2.9, kravet att internrevision bör utföras av oberoende part
Fråga: Hur ska vi tolka oberoende part som ansvarig för internrevisionen? Vad blir HSA-ansvarigs roll i internrevisionen framöver?
Svar: Normalt blir HSA Säkerhetsansvarig ansvarig för revisionen. Och kravet på HSA Säkerhetsansvarig är att denne inte har en roll i den lokala HSA-förvaltningen och därmed kan anses opartisk. Om man använder sig av “särskild roll eller funktion inom organisationen med särskilt ansvar för intern granskning” så gäller kravet även för dem så att ingen av dem får ha en roll i den lokala HSA-förvaltningen.
Kravet avser initiering och uppföljning av internrevisionen, vilket lämnar öppet för att den lokala HSA-förvaltningen kan ha en relativt stor roll i internrevisionen även framöver. I praktiken kommer det nog att bero på vem som utses till HSA Säkerhetsansvarig och vilka kunskaper om tjänsten och vilken tid för uppdraget som denna person har eller får över tid. Det viktigaste är att internrevisionen genomförs på ett sådant sätt att efterlevnaden till regelverket verkligen kan säkerställas och med fokus på de krav som är viktiga för till exempel patientintegritet och gällande lagstiftning samt på de områden där man misstänker att avvikelser förekommer.
Tilläggas kan också att HSA-ansvarig enligt tillitsramverket har det övergripande ansvaret för att tillitsramverket efterlevs i sin helhet, vilket ju även omfattar att internrevision genomförs. Så vid behov kan HSA-ansvarig även behöva säkerställa att HSA Säkerhetsansvarig verkligen initierar och följer upp internrevisionen.
Fortsatt tidplan för övergången till HSA Tillitsramverk 5.0
...