Vanliga frågor och svar

• Cirka 200 direktanslutna producerande organisationer är direktanslutna till HSA, var och en med egna rutiner kring HSA-innehåll och kvalitetssäkring av informationen.

• Cirka 10 000 HSA-administratörer uppdaterar HSA-information i ett 20-tal olika gränssnitt (varav Inera förvaltar ett).

• Cirka 700 000 personer är registrerade i HSA.

• Ett 30-tal tjänster har direktanslutning till HSA, totalt är det ett par hundra tjänster som är beroende av HSA-information.

  • Dessa har tillsammans över 10 miljoner användare.

• Förvaltningen har cirka 80 % av en heltidstjänst för hantering av supportfrågor kring HSA.

Du ska alltid vända dig till din lokala HSA-organisation. Kanske har du en HSA-administratör på din avdelning/din klinik? Om du inte vet vem som är HSA-administratör för din verksamhet, se om du kan hitta information om detta på intranät eller motsvarande. Lyckas inte heller det, skicka ett ärende till Ineras Kundservice och be om kontaktuppgifter till den lokala HSA-förvaltningen i din organisation. De kan hjälpa dig att hitta din närmaste administratör.

Privata vårdgivare kan endast ansluta till HSA via ett HSA-ombud. Läs mer på sidan Anslutning via HSA-ombud.

Ta kontakt med HSA-ansvarig för den aktuella regionen. Det är HSA-ansvarig som håller ihop en så kallad lokal tjänsteanslutning mot HSA - både under anslutningen och i förvaltningsfasen. Om du inte vet vem som är HSA-ansvarig i regionen - kolla med dina uppdragsgivare (som även kan söka efter informationen på intranätet) eller skicka i sista hand ett ärende till Ineras Kundservice och fråga efter kontaktuppgifter till den lokala HSA-organisationen i regionen.

Informationen i HSA ägs av respektive ansluten organisation och Inera får inte lämna ut listor ur HSA. Se mer information i dokumentet Utlämnande av uppgifter från HSA-katalogen.

Du behöver alltså vända dig till respektive informationsägare - i detta fall regionerna. Enklast är att skicka in din förfrågan via registratorsfunktionen. Kontaktuppgifterna hittar du på respektive regions webbplats.

Det finns ingen egentlig mall för internrevisionen, eftersom den behöver se väldigt olika ut för olika organisationer. Men i och med att internrevisionen ska handla om efterlevnaden till HSA Tillitsramverk (fram till och med 2024-12-31 HSA-policy) är en bra utgångspunkt att gå igenom den senaste versionen av HSA Tillitsramverk (på https://www.inera.se/hsa/dokument under länken Stödjande dokument) samt er senast godkända HSA Tillitsdeklaration (tidigare benämnd HPT). Har tillitsdeklarationen samma versionsnummer som nu gällande HSA Tillitsramverk? Följer ni alla kraven i tillitsramverket som är aktuella för er? Innehåller tillitsdeklarationen en korrekt och aktuell beskrivning av hur ni jobbar? Finns det något område som du kanske tror kan vara lite svajigt och som du borde titta närmare på?

Genomförda revisioner ska dokumenteras och dateras. Revisionsrapporten ska (minst) innehålla en beskrivning av vad revisionen omfattat, vilka som medverkat vid revisionen, resultatet av revisionen inklusive identifierade brister samt en åtgärdsplan med angivelse av tidpunkt då respektive brist ska vara åtgärdad samt vem som ansvarar för åtgärden.

Egentligen behövs båda delarna.

• Dataskyddsförordningen kräver att ni reglerar hanteringen av personuppgifter med berörda organisationer. Där är ett PuB-avtal en bra lösning med en standardiserad utformning. PuB-avtalen är ofta så pass generella att de täcker personuppgiftshantering generellt, inte bara för HSA.

• Det behövs också ett samarbetsavtal/en överenskommelse med era tredjepartanslutna organisationer kring hur ni reglerar ägarskapet och ansvaret för informationen i HSA, som ju inte bara utgörs av personuppgifter. Här finns också plats för att beskriva hur det praktiskt ska gå till att hålla HSA-informationen uppdaterad över tid. Formkraven är egentligen mindre här - det viktigaste är att ni känner att ni har på fötterna för att veta att era tredjepartanslutna organisationer följer er överenskommelse så att ni har något att trycka på om det skulle uppdagas fel i informationen i HSA. Ur Ineras och övriga HSA-anslutna organisationers perspektiv är ni ansvariga för all information som ni registrerar, och då är det ju viktigt att ni har förutsättningarna på plats för att kunna ta det ansvaret.

Denna fråga är mångbottnad och har flera olika svar. Men vi får försöka reda ut en del i taget.

Om vi börjar med frågan om huruvida regionen alls ska hantera privata utförare (och deras eventuella underleverantörer) i regionens del av HSA så beror svaret på om det finns förutsättningar som gör att privata utförare MÅSTE finnas i regionens lokala HSA-katalog (och därmed även i regionens del av HSA). Många regioner ställer krav på att de privata utförarna ska använda regionens verksamhetssystem - och regionens verksamhetssystem förutsätter att användarna finns i den lokala HSA-katalogen. Vissa regioner/kommuner har också ett erbjudande till sina privata utförare att hantera tjänsten HSA för organisationen så länge de har ett gällande avtal med regionen/kommunen.

Därmed blir regionen också HSA-ombud för de privata utförarna och det krävs samarbetsavtal och reglering av personuppgiftshanteringen via t.ex. PuB-avtal.

OM det nu är så att den privata utföraren FINNS i regionens lokala HSA-katalog får man titta vidare på förutsättningarna för hur underleverantören anlitas av den privata utföraren.

Är det så att den privata utföraren endast “hyr in” personal av underleverantören, men fortfarande har kvar vårdgivaransvaret själv, finns två vägar att gå:

1. Om möjligheten finns i regionens lokala HSA-katalog skulle man kunna lägga de enskilda medarbetarna hos underleverantören som medlemmar i aktuella medarbetaruppdrag (vårdmedarbetaruppdrag och/eller administrativa medarbetaruppdrag) och peka ut dem där de är registrerade av sitt HSA-ombud eller sin organisation i nationella HSA. Detta i analogi med hur regionen själv kan hantera “sin egen hyrpersonal”.

2. Om regionens lokala HSA-katalog inte ger denna möjlighet kan medarbetarna hos underleverantören registreras parallellt med medarbetarna hos den privata utföraren och läggas till och tas bort på samma villkor och enligt samma rutiner som den privata utförarens egen personal. Det är dock viktigt att i detta läge INTE registrera underleverantören (företaget), utan endast de enskilda personerna.

Är det istället så att den privata utföraren anlitar underleverantören som självständig vårdgivare måste även underleverantörens organisation (vårdgivare och vårdenhet/vårdenheter samt egna medarbetaruppdrag) registreras. OM detta görs krävs det också att regionen tecknar samarbetsavtal även med underleverantören om hanteringen av informationen i HSA, och också reglerar personuppgiftshanteringen på lämpligt sätt (via PuB-avtal eller motsvarande). I HSA är det inte tillåtet med “fjärdepartanslutning” (som ju skulle bli fallet om underleverantörens anslutning till HSA gick via den tredjepartanslutna privata utföraren).