HSA-policyn respektive SITHS Tillitsramverk ställer krav på att tredjepart-/samarbetsavtal ska tecknas med alla organisationer som en organisation agerar ombud för. Nedanstående malltext omfattar de krav som tjänsterna ställer på tredjepart-/samarbetsavtalen och kan fungera som hjälp för ombudet. Informationen till ombud förtydligar när ett tredjeparts-/samarbetsavtal behövs.
Enligt HSA-policyn krävs samarbetsavtal när en HSA-ansluten organisation registrerar uppgifter om en annan organisation, dess verksamhet och dess medarbetare. Detta krav är i enlighet med gällande personuppgiftslagstiftning, dataskyddsförordningen (GDPR). Samarbetsavtalet hjälper till att reglera till exempel ändamål med registreringen och gallringstid.
Samarbetsavtalet syftar också till att säkerställa att – och hur – den information som registreras hålls uppdaterad över tid. Enligt HSA-policyn är det HSA-ombudet som ansvarar för att informationen om den tredjepartanslutna organisationen är korrekt. Men det ligger också lika mycket i den tredjepartanslutna organisationens intresse att informationen hålls uppdaterad, eftersom ett bristande underhåll av informationen kan leda till att organisationen inte kan efterleva Patientdatalagen. Som ett exempel kan nämnas att om en person som slutar inte tas bort ur HSA kan personen fortfarande ha åtkomst till patientdata via olika vårdtjänster.
Ibland är det svårt att veta vad som avses med en tredjepartansluten organisation, det vill säga när det krävs ett samarbetsavtal. Därför fastställde HSA Policygrupp den 7 maj 2019 en förtydligad definition av tredjepartansluten organisation och har också listat ett antal exempel som ytterligare hjälp.
"En tredjepartsansluten organisation kan identifieras genom att organisationen självständigt ansvarar för riktigheten i HSA-informationen, t.ex. anställnings-/uppdragsförhållande och kontaktuppgifter. Den praktiska administrationen kan antingen hanteras av ombudet eller av den tredjepartsanslutna organisationen."
Den till HSA direktanslutna regionens/kommunens telefonväxel är bemannad med personal från extern part. Men det är fortfarande en enhet som regionen/kommunen har det fulla ansvaret för och det finns en person inom regionen/kommunen som har funktionsansvaret (även om den dagliga arbetsledningen sköts av chef hos den externa parten). Den ansvariga inom regionen/kommunen bekräftar var tredje månad att personerna från den externa parten ska vara kvar.
På sjukhuset finns en privat begravningsbyrå med en anställd person. Personen behöver finnas i HSA för att få ett SITHS-kort som används för passage. Den till HSA direktanslutna regionen ansvarar inte för verksamheten som begravningsbyrån bedriver, men tillhandahåller lokalen med tillhörande passagesystem. En person eller funktion inom regionen ansvarar för lokaluthyrningen och tar beslut var tredje månad om personen ska vara kvar eller inte.
Till ett äldreboende har den till HSA direktanslutna kommunen hyrt in sjuksköterskor från ett bemanningsföretag. Verksamhetschefen för äldreboendet ansvarar för att medarbetarna hos bemanningsföretaget tas bort ur HSA när deras uppdrag på äldreboendet upphör
En privat naprapatklinik med fem anställda har vårdavtal med den till HSA direktanslutna regionen om ett visst antal behandlingar av viss typ. I övrigt bedriver kliniken privat finansierad verksamhet. Naprapatkliniken måste registreras i HSA för att kunna rapportera till regionens ersättningssystem. Verksamhetschefen på naprapatkliniken ansvarar för att rapportera när personal anställs eller slutar.
Ett patientbibliotek finns i den direktanslutna regionens lokaler, men drivs och bemannas av kommunen. Patientbiblioteket och dess anställda måste registreras i regionens del av HSA för att kunna få passerkort.
Sjukhuskyrkan får registreras i HSA utan krav på samarbetsavtal eftersom medarbetare vid sjukhuskyrkan har olika arbetsgivare och det därmed inte finns någon naturlig avtalspart.