Jämförda versioner

Gammal version 6

changes.mady.by.user Henrika Littorin

Sparat den

jämfört med

Ny version 7

changes.mady.by.user Henrika Littorin

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

En ny version av regelverket för HSA har varit ute på remiss hos samtliga HSA-anslutna organisationer. De viktigaste ändringarna görs för att anpassa regelverket så att regioner, kommuner och privata vårdgivare ska kunna använda HSA, SITHS och Ineras IdP för åtkomst till Nationella läkemedelslistan. I samband med uppdateringen byter regelverket namn från HSA-policy till HSA Tillitsramverk.

Bakgrund

Regelverket för HSA innehåller krav som alla organisationer som är anslutna till HSA måste uppfylla. Regelverket ägs gemensamt av de HSA-anslutna organisationerna, både producenter och konsumenter. Därför skickades förslaget till uppdaterat regelverk ut på remiss. Beslut om ändringar av regelverket fattas av HSA Policygrupp, som består av representanter för de HSA-anslutna producenterna samt för HSA Förvaltning på Inera.

...

Under 2023 framförde framför allt regionerna ett tidskritiskt önskemål om att uppdatera regelverket så att HSA, SITHS och Ineras IdP ska kunna användas för åtkomst till Nationella läkemedelslistan. E-hälsomyndighetens GAP-analys mellan HSA-policyn och deras eget regelverk visade då på ett antal förändringsbehov i HSA-policyn för att detta skulle vara möjligt. Detta är anledningen till att uppdateringen av HSA-regelverket görs nu, trots att den delvis krockar med migreringen av HSA till den nya tekniska plattformen för grunddata och katalog.

Kort beskrivning av de viktigaste ändringarna

I den nya versionen av regelverket har ett antal krav ändrats utifrån E-hälsomyndighetens GAP-analys. För att de ändrade kraven inte ska utestänga någon befintlig HSA-ansluten organisation har de utformats som bör-krav med krav på redogörelse av efterlevnad. Dessa krav är försedda med tillägget: ”Att inte uppfylla ovanstående krav kan medföra att organisationens medarbetare inte ges åtkomst till skyddsvärd information i tjänster som använder HSA som källa för den behörighetsgrundande informationen.” Inera kommer att vidareförmedla uppgifter till E-hälsomyndigheten om vilka organisationer som inte uppfyller vilka krav, och E-hälsomyndigheten får därefter fatta beslut om huruvida medarbetare från dessa organisationer ska ges åtkomst till Nationella läkemedelslistan.

...

I samband med uppdateringen byter regelverket namn från HSA-policy till HSA Tillitsramverk. HSA-policytillämpning (HPT) byter då också namn till HSA Tillitsdeklaration.

Förslag till HSA Tillitsramverk 5.0

Remissversionen fastställdes av HSA Policygrupp den 22 februari 2024. Nedan finns den i ett antal olika varianter:

...

Efter avslutad remiss kommer HSA Tillitsramverk att fastställas av HSA Policygrupp den 2 maj 2024. Efter detta beslut kommer ovanstående dokument att bytas mot versioner anpassade till den fastställda versionen.

Remissrundan pågick 25 mars till 23 april 2024

För att säkerställa möjlighet för alla HSA-anslutna organisationer att påverka det gemensamma regelverket skickades förslaget till HSA Tillitsramverk 5.0 ut på remiss under perioden 25 mars till 23 april 2024. Det genomfördes under denna tid också två öppna frågestunder där det erbjöds möjlighet att både ställa frågor kring föreslagna ändringar och att inkomma med synpunkter.

Totalt inkom remissynpunkter från sex producenter och en konsument. Ytterligare ett femtontal producenter deltog i de öppna frågestunderna men valde efter detta att inte skicka in några remissynpunkter. Arbetsgruppen för uppdateringen av tillitsramverket har besvarat varje inkommen remissynpunkt eller fråga, och har också arbetat in vissa av dem i ett förnyat förslag som nu läggs fram till HSA Policygrupp inför fastställande av tillitsramverket den 3 maj 2024.

Frågor som inkommit via remissen och vid de öppna frågestunderna, med tillhörande svar

Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.

Fråga: Kan stycket kompletteras med exempel på förutsättningar som medför att en organisations medarbetare blir nekade tillgång till skyddsvärd information i tjänster? Detta för att en organisation ska kunna bedöma risken och konsekvenserna av att inte utse en HSA Säkerhetsansvarig.

...

I de diskussioner vi haft med E-hälsomyndigheten hittills är de tydliga med att de inte vill släppa in medarbetare från organisationer som inte uppfyller samtliga dessa bör-krav i nationella läkemedelslistan. Om detta ställningstagande kommer att vara gällande även i framtiden vet vi inte. Det är också därför som vi lagt beslutet om vilka krav som måste vara uppfyllda i tjänsternas (i detta fall E-hälsomyndighetens) händer och inte i HSA:s eller Ineras.

Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.

Fråga: Vem skulle kunna vara lämplig i rollen som HSA Säkerhetsansvarig?

...

Om organisationen redan har en SITHS Säkerhetsansvarig kanske denna persons uppdrag kan utökas till att också vara HSA Säkerhetsansvarig? Annars kanske dataskyddsombudet, medarbetare inom organisationens informationssäkerhetsfunktion eller internrevisionsfunktion alternativt MAS (medicinskt ansvarig sjuksköterska) kan vara ett alternativ?

Avsnitt 2.2 2 Bakgrundskontroller

Fråga: Vad omfattar bakgrundskontrollen? Varför är detta inte tydligare beskrivet i tillitsramverket?

...

Att vi lägger specificeringen av vad som ingår i bakgrundskontrollen i ett separat dokument gör det möjligt för oss att vid behov förtydliga eller förändra bakgrundskontrollen utan att behöva uppdatera tillitsramverket och kräva in uppdaterade tillitsdeklarationer av samtliga HSA-anslutna organisationer.

Avsnitt 2.9, kravet att internrevision bör initieras och följas upp av oberoende part

Fråga: Hur ska vi tolka oberoende part som ansvarig för internrevisionen? Vad blir HSA-ansvarigs roll i internrevisionen framöver?

...

Tilläggas kan också att HSA-ansvarig enligt tillitsramverket har det övergripande ansvaret för att tillitsramverket efterlevs i sin helhet, vilket ju även omfattar att internrevision genomförs. Så vid behov kan HSA-ansvarig även behöva säkerställa att HSA Säkerhetsansvarig verkligen initierar och följer upp internrevisionen.

Avsnitt 4.2.4 Vilka vårdgivare kan stå under annan myndighets kontroll (annan än Inspektionen för vård och omsorg, IVO)?

Det har framkommit under anslutningsdiskussioner att vissa myndigheter inte omfattas av IVOs kontrollansvar utan har en egen kontrollmyndighet för sin vårdgivarverksamhet. För att ge dem möjlighet att ansluta till HSA, om de så skulle önska, har vi gjort detta tillägg i tillitsramverket.

Generellt Vilka krav i policyn gäller för vilken anslutningsform (producent/konsument, fullständig/förenklad)?

Alla krav i tillitsramverket gäller alla anslutna organisationer, oavsett anslutningsform. Kraven gäller också HSA Förvaltning och HSA Policygrupp. Beroende på anslutningsform är det emellertid i vissa fall inte möjligt att bryta mot enskilda krav. I dessa fall krävs inte någon redogörelse för att – och hur – kravet efterlevs. Vilka dessa krav är framgår i mallen för tillitsdeklaration för respektive anslutningsform.

Fortsatt tidplan för övergången till HSA Tillitsramverk 5.0

Efter återkoppling från HSA Nätverksmöte i november 2023 har tidplanen för övergången till HSA Tillitsramverk förskjutits med två månader och ser ut på följande sätt:

...