En ny version av regelverket för HSA - HSA Tillitsramverk 5.0 - fastställdes den 3 maj 2024 efter att ha varit ute på remiss hos samtliga HSA-anslutna organisationer. De viktigaste ändringarna görs för att anpassa regelverket så att regioner, kommuner och privata vårdgivare ska kunna använda HSA, SITHS och Ineras IdP för åtkomst till Nationella läkemedelslistan. Tillitsramverket, som ersätter HSA-policyn, gäller från och med 1 januari 2025. Innan dess ska samtliga HSA-anslutna organisationer ta fram en HSA Tillitsdeklaration. HSA-anslutna producenter måste också tidigt ta ställning till vilka bör-krav som ska uppfyllas och starta arbetet för att möjliggöra detta så snart som möjligt.

Beskrivningen av

• varför ändringen av regelverket för HSA görs (bakgrund)

• vilka ändringar som gjorts jämfört med nu gällande regelverk HSA-policy 4.2

  • inkluderat versioner av dokumentet med och utan ändringsmarkeringar

• tidplanen för övergången

• remissförfarandet vid framtagandet av tillitsramverket

• frågor och svar som inkommit under remissperioden

har flyttats längre ner på denna sida.

HSA-ansluten producent - vad behöver HSA-ansvarig göra?

Enligt tidplanen ska alla HSA-anslutna producenter ha lämnat in en HSA Tillitsdeklaration senast den 31 oktober 2024. Men innan dess måste en hel del förberedande arbete göras. Vår starka rekommendation är därför att påbörja detta arbete redan nu och att kanske också reservera tid i kalendern under sommaren (då det för de flesta kanske är lite lugnare) för att arbeta med dessa frågor.

1. Läs HSA Tillitsramverk 5.0, sätt dig in i skillnaden från HSA-policy 4.2 (med hjälp av revisionshistoriken eller versionerna med ändringsmarkeringar som finns längre ner på denna sida).

2. Se till att få beslut i organisationen avseende vilka av bör-kraven ni har för avsikt att uppfylla.

   1. Ska nu utse en HSA Säkerhetsansvarig? Vem i så fall?

      1. Notera att det måste vara en person utanför den lokala HSA-förvaltningen.

   2. Ska HSA Säkerhetsansvarig genomföra bakgrundskontroller för HSA-ansvarig och ställföreträdande HSA-ansvarig?

   3. Avser ni lämna in ny tillitsdeklaration minst vartannat år?

   4. Ska HSA Säkerhetsansvarig eller annan oberoende part inom organisationen initiera och följa upp internrevisionen?

   5. Kan och ska ni uppfylla de särskilda krav på hur organisationens informationssäkerhetsarbete ska bedrivas som beskrivs i avsnitt 4.1?

3. Hämta ner rätt mall för HSA Tillitsdeklaration från Projektplatsen (eller begär den via Ineras Kundportal).

   1. Mallarna kommer att vara tillgängliga från och med den 20 juni.

4. Fyll i tillitsdeklarationen så långt du kan på egen hand.

   1. Utgå från tidigare godkänd HSA-policytillämpning (HPT) för organisationen, MEN kontrollera att den text du kopierar över verkligen överensstämmer med hur det fungerar i verkligheten.

   2. Fyll även i avseende de nya kraven, om du känner dig helt säker på att du kan svara för detta själv.

5. Stäm av med berörda personer inom din organisation avseende kvarvarande krav i tillitsdeklarationen (bör-kraven samt vid behov även övriga nya krav)

   1. Kan vara till exempel ansvarig chef eller informationssäkerhetsansvarig.

6. När tillitsdeklarationen är komplett ifylld – skicka in den via formuläret https://etjanster.inera.se/DokumentGranskning.

För de producenter som väljer att uppfylla bör-kraven:

7. Säkerställ att ställföreträdande HSA-ansvarig har genomgått HSA Grundutbildning.

   1. Om inte – boka utbildning på sidan https://www.securestatecyber.se/utbildning/hsa .

8. Skicka in anmälan av HSA Säkerhetsansvarig.

   1. Använd formuläret https://etjanster.inera.se/AndringHSAAnsl

   2. Notera att HSA-ansvarig SKA kontrollera giltig id-handling vid fysiskt möte innan anmälan skickas.

9. Säkerställ att HSA Säkerhetsansvarig genomför bakgrundskontroll av HSA-ansvarig och ställföreträdande HSA-ansvarig enligt Instruktion för bakgrundskontroll enligt HSA Tillitsramverk.

10. Ladda upp resultatet av bakgrundskontrollerna i ärendet avseende organisationens HSA Tillitsdeklaration.

11. Tillsammans med HSA Säkerhetsansvarig  eller den andra oberoende part som organisationen beslutat:

    1. uppdatera era rutiner för internrevision utifrån att HSA Säkerhetsansvarig är den som ska initiera och följa upp internrevisionerna framöver.

    2. planera också för nästa internrevision tillsammans. Och hjälps åt att säkerställa att det blir en riktigt bra internrevision!

12. Säkerställ att HSA Säkerhetsansvarig, HSA-ansvarig och ställföreträdande HSA-ansvarig har koll på kraven avseende organisationens informationssäkerhetsarbete i avsnitt 4.1 samt kan redogöra för hur organisationen uppfyller dessa.

HSA-ansluten konsument - vad behöver kontaktpersonen göra?

Enligt tidplanen ska alla HSA-anslutna konsumenter ha lämnat in en HSA Tillitsdeklaration senast den 31 januari 2025. Vårt tips är att reservera tid för arbete med detta under hösten, eller att påbörja det arbetet redan nu om det passar dig/er bättre.

1. Läs HSA Tillitsramverk 5.0, sätt dig in i skillnaden från HSA-policy 4.2 (med hjälp av revisionshistoriken eller versionerna med ändringsmarkeringar som finns längre ner på denna sida).

2. Hämta ner rätt mall för HSA Tillitsdeklaration från Projektplatsen (eller begär den via Ineras Kundportal).

   1. Mallarna kommer att vara tillgängliga från och med den 20 juni.

3. Fyll i tillitsdeklarationen så långt du kan på egen hand.

   1. Utgå från tidigare godkänd HSA-policytillämpning (HPT) för tjänsten, MEN kontrollera att den text du kopierar över verkligen överensstämmer med hur det fungerar i verkligheten.

   2. Fyll även i avseende de nya kraven, om du känner dig helt säker på att du kan svara för detta själv.

4. Stäm av med berörda personer inom din organisation avseende kvarvarande krav i tillitsdeklarationen (bör-kraven samt vid behov även övriga nya krav)

   1. Kan vara till exempel kollegor i tjänsteförvaltningen, tjänstens arkitekt och/eller utvecklare.

5. När tillitsdeklarationen är komplett ifylld – skicka in den via formuläret https://etjanster.inera.se/DokumentGranskning.

Frågor och funderingar

Inera har tillsatt ett särskilt team för att hantera uppdateringen av anslutningsdokumentation (tillitsdeklarationer) för de 205 HSA-anslutna producenter och 35 HSA-anslutna konsumenter som berörs. Vår målsättning är alltså att kunna hantera det ökade flödet av frågor och granskningar som kan dyka upp under denna period utan onödigt dröjsmål.

1. Börja med att läsa informationen på denna sida noga - kanske finns svaret på din fundering här?

2. Skicka annars ett ärende via Ineras kundportal (https://kundportal.inera.se/) och formulera din fråga tydligt så återkommer vi till dig.

   1. Som vanligt är det endast HSA-ansvarig, ställföreträdande HSA-ansvarig och kontaktperson som får skicka in ärenden avseende HSA.

3. Passa även på att ställa dina frågor om/när HSA Förvaltning kontaktar dig avseende HSA Tillitsdeklaration.

Om HSA Tillitsramverk och uppdateringen av regelverket för HSA

Bakgrund

Regelverket för HSA innehåller krav som alla organisationer som är anslutna till HSA måste uppfylla. Regelverket ägs gemensamt av de HSA-anslutna organisationerna, både producenter och konsumenter. Därför skickades förslaget till uppdaterat regelverk ut på remiss. Beslut om ändringar av regelverket fattas av HSA Policygrupp, som består av representanter för de HSA-anslutna producenterna samt för HSA Förvaltning på Inera.

...