HSA Tillitsramverk 5.0

En ny version av regelverket för HSA - HSA Tillitsramverk 5.0 - fastställdes den 3 maj 2024 efter att ha varit ute på remiss hos samtliga HSA-anslutna organisationer. De viktigaste ändringarna görs för att anpassa regelverket så att regioner, kommuner och privata vårdgivare ska kunna använda HSA, SITHS och Ineras IdP för åtkomst till Nationella läkemedelslistan. Tillitsramverket, som ersätter HSA-policyn, gäller från och med 1 januari 2025. Innan dess ska samtliga HSA-anslutna organisationer ta fram en HSA Tillitsdeklaration. HSA-anslutna producenter måste också tidigt ta ställning till vilka bör-krav som ska uppfyllas och starta arbetet för att möjliggöra detta så snart som möjligt.

HSA-ansluten producent - vad behöver HSA-ansvarig göra?

Enligt tidplanen ska alla HSA-anslutna producenter ha lämnat in en HSA Tillitsdeklaration senast den 31 oktober 2024. Innan dess måste en hel del förberedande arbete göras, varför vi redan i våras rekommenderade alla HSA-ansvariga att påbörja detta arbete direkt, och att kanske också reservera tid i kalendern under sommaren (då det för de flesta kanske är lite lugnare) för att arbeta med dessa frågor.

  1. Läs HSA Tillitsramverk 5.0, sätt dig in i skillnaden från HSA-policy 4.2 (med hjälp av revisionshistoriken eller versionerna med ändringsmarkeringar som finns längre ner på denna sida).

  2. Se till att få beslut i organisationen avseende vilka av bör-kraven ni har för avsikt att uppfylla.

    1. Ska ni utse en HSA Säkerhetsansvarig? Vem i så fall?

      1. Notera att det måste vara en person utanför den lokala HSA-förvaltningen.

    2. Ska HSA Säkerhetsansvarig genomföra bakgrundskontroller för HSA-ansvarig och ställföreträdande HSA-ansvarig?

    3. Avser ni lämna in ny tillitsdeklaration minst vartannat år?

    4. Ska HSA Säkerhetsansvarig eller annan oberoende part inom organisationen initiera och följa upp internrevisionen?

    5. Kan och ska ni uppfylla de särskilda krav på hur organisationens informationssäkerhetsarbete ska bedrivas som beskrivs i avsnitt 4.1?

  3. Hämta rätt mall för HSA Tillitsdeklaration från Projektplatsen, i denna mapp. Endast personer som är behöriga på Projektplatsen HSA Förvaltning (normalt endast HSA-ansvarig) kan komma åt dokumenten denna väg.

    1. Ifyllningsbar mall kan även begäras ut, av HSA-ansvarig, genom att lägga ett ärende i Ineras Kundportal.

    2. Mallarna finns även för påsyn (ej ifyllningsbara) på sidan Anslutningsavtal för producenter.

  4. Fyll i tillitsdeklarationen så långt du kan på egen hand.

    1. Utgå från tidigare godkänd HSA-policytillämpning (HPT) för organisationen, MEN kontrollera att den text du kopierar över verkligen överensstämmer med hur det fungerar i verkligheten.

    2. Fyll även i avseende de nya kraven, om du känner dig helt säker på att du kan svara för detta själv.

  5. Stäm av med berörda personer inom din organisation avseende kvarvarande krav i tillitsdeklarationen (bör-kraven samt vid behov även övriga nya krav)

    1. Kan vara till exempel ansvarig chef eller informationssäkerhetsansvarig.

  6. När tillitsdeklarationen är komplett ifylld – skicka in den via formuläret https://etjanster.inera.se/DokumentGranskning.

För de producenter som väljer att uppfylla bör-kraven bör HSA-ansvarig också göra följande:

  1. Säkerställ att HSA-ansvarig och ställföreträdande HSA-ansvarig har genomgått HSA Grundutbildning.

    1. Om inte – boka utbildning på sidan https://www.securestatecyber.se/utbildning/hsa .

    2. HSA-ansvariga som godkändes med hjälpa av kunskapstest 2017 måste tyvärr också gå utbildningen, då kunskapstestet inte godtas utifrån E-hälsomyndighetens krav på

  2. Skicka in anmälan av HSA Säkerhetsansvarig.

    1. Använd formuläret https://etjanster.inera.se/AndringHSAAnsl

    2. Notera att HSA-ansvarig SKA kontrollera giltig id-handling vid fysiskt möte innan anmälan skickas.

  3. Säkerställ att HSA Säkerhetsansvarig genomför bakgrundskontroll av HSA-ansvarig och ställföreträdande HSA-ansvarig enligt Instruktion för bakgrundskontroll enligt HSA Tillitsramverk.

  4. Ladda upp resultatet av bakgrundskontrollerna i ärendet avseende organisationens HSA Tillitsdeklaration.

  5. Tillsammans med HSA Säkerhetsansvarig  eller den andra oberoende part som organisationen beslutat:

    1. uppdatera era rutiner för internrevision utifrån att HSA Säkerhetsansvarig är den som ska initiera och följa upp internrevisionerna framöver.

    2. planera också för nästa internrevision tillsammans. Och hjälps åt att säkerställa att det blir en riktigt bra internrevision!

  6. Säkerställ att HSA Säkerhetsansvarig, HSA-ansvarig och ställföreträdande HSA-ansvarig har koll på kraven avseende organisationens informationssäkerhetsarbete i avsnitt 4.1 samt kan redogöra för hur organisationen uppfyller dessa.

HSA-ansluten konsument - vad behöver kontaktpersonen göra?

Enligt tidplanen ska alla HSA-anslutna konsumenter ha lämnat in en HSA Tillitsdeklaration senast den 31 januari 2025. Vårt tips är att du som är kontaktperson för en konsument (HSA-ansluten tjänst) reserverar tid för arbete med detta under hösten.

  1. Läs HSA Tillitsramverk 5.0, sätt dig in i skillnaden från HSA-policy 4.2 (med hjälp av revisionshistoriken eller versionerna med ändringsmarkeringar som finns längre ner på denna sida).

  2. Hämta rätt mall för HSA Tillitsdeklaration från Projektplatsen, i denna mapp. Endast personer som är behöriga på Projektplatsen HSA Förvaltning (normalt endast kontaktpersonen) kan komma åt dokumenten denna väg.

    1. Ifyllningsbar mall kan även begäras ut, av kontaktpersonen, genom att lägga ett ärende i Ineras Kundportal.

    2. Mallarna finns även för påsyn (ej ifyllningsbara) på sidan Anslutningsavtal för konsumenter.

  3. Fyll i tillitsdeklarationen så långt du kan på egen hand.

    1. Utgå från tidigare godkänd HSA-policytillämpning (HPT) för tjänsten, MEN kontrollera att den text du kopierar över verkligen överensstämmer med hur det fungerar i verkligheten.

    2. Fyll även i avseende de nya kraven, om du känner dig helt säker på att du kan svara för detta själv.

  4. Stäm av med berörda personer inom din organisation avseende kvarvarande krav i tillitsdeklarationen (bör-kraven samt vid behov även övriga nya krav)

    1. Kan vara till exempel kollegor i tjänsteförvaltningen, tjänstens arkitekt och/eller utvecklare.

  5. När tillitsdeklarationen är komplett ifylld – skicka in den via formuläret https://etjanster.inera.se/DokumentGranskning.

Några tips till dig som håller på med tillitsdeklarationen

Efter att vi nu granskat de första inkomna tillitsdeklarationerna har vi samlat de vanligaste granskningsanmärkningarna här. Titta gärna på denna lista innan du skickar in din tillitsdeklaration så kanske du blir en av de få som får din tillitsdeklaration godkänd direkt.

Vi passar också på att tipsa om att det till varje ifyllningsbart fritextfält finns en hjälptext. Den visas om du ställer markören i fältet och trycker på tangenten F1. Särskilt viktig är detta kanske i avsnitt 4.2.1, där den tidigare fritextbeskrivningen nu istället ska föras in i en tabell.

Avsnitt

Brist

Förslag till åtgärd

Avsnitt

Brist

Förslag till åtgärd

Revisions-historik (samt förstasidan och dokument-namnet)

Revisionshistoriken är ofullständig enligt instruktion i avsnittet Läs mig först.

Kopiera revisionshistoriken från er senast godkända HPT.
Ange därefter versionsnummer för denna tillitsdeklaration.

Är er senast godkända HPT version 7.0 ska denna version alltså vara 7.1. Den kan också vara 7.2, 7.3 och så vidare om ni gjort flera ändringar innan den skickas in för granskning.

Revisions-historik

Revisionshistoriken ofullständig med avseende på vilka ändringar som gjorts sedan senast godkända HPT.

Ange först “Överförd till mall för HSA Tillitsdeklaration.” Lägg därefter till punkter för övriga ändringar som gjorts jämfört med er senast godkända HPT och som INTE beror på att mallen förändrats. Har ni till exempel bytt veckodag för när ni gör kontrollkörningarna? Ändrat er rutin för kontroll mot Bolagsverket? Bytt uppgiften om vem som utser HSA-ansvarig? Eller börjat hantera någon ny informationsmängd via er synk?

4.2.1, tabell avseende verifiering av anställning / uppdrag.

Ofullständig beskrivning av hur anställning/uppdrag verifieras för anställda (egen organisation) vid registrering.

Förtydliga till exempel att registrering görs efter beställning av chef samt att chefen då intygar att personen har en anställning. Alternativt att HSA-administratören kontrollerar mot personalregistret att personen har en aktuell eller kommande anställning.

4.2.1, tabell avseende verifiering av anställning / uppdrag.

Ofullständig beskrivning av hur anställning/uppdrag verifieras för anställda (egen organisation) kontinuerligt.

Justera beskrivningen, samt den interna rutinen.

Att enbart förlita sig på att chefer meddelar när personer slutar är enligt vår erfarenhet en otillräcklig kontroll. Regelbundet, med max 100 dagars mellanrum, måste en kontroll av samtliga registrerade personer göras.

Det kan göras genom att utdrag tas ut ur HSA och lämnas till respektive ansvarig chef, som sedan får signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har aktuell anställning/aktuellt uppdrag.

När det gäller anställda kan en kontroll också göras mot personalregistret, förutsatt att HSA-administratören har behörighet där. Alternativt att utdrag ur HSA skickas till personalhandläggare som kan signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har aktuell anställning.

4.2.1, tabell avseende verifiering av anställning / uppdrag.

Frekvens för regelbunden kontroll av anställning/uppdrag för anställda (egen organisation) ej angiven.

Kontrollen ska genomföras med max 100 dagars mellanrum. Exempel på godkänd angiven frekvens kan vara:

  • Första helgfria måndagen i mars, juni, september och december.

  • Sista vardagen i varje månad, utom under juni och juli.

4.2.1, tabell avseende verifiering av anställning / uppdrag.

Beskrivning av hur anställning/uppdrag verifieras för uppdragstagare (egen organisation) vid registrering saknas helt.

Förtydliga till exempel att registrering görs efter beställning av chef samt att chefen då intygar att personen har ett aktuellt uppdrag.

Om organisationen verkligen inte någonsin hanterar uppdragstagare i HSA, skriv detta tydligt i rutan. Notera att det då innebär att ni heller aldrig registrerar till exempel hyrsjuksköterskor, och att sådana alltså aldrig kan få ta del av patientinformation om de arbetar för kommunen.

4.2.1, tabell avseende verifiering av anställning / uppdrag.

Beskrivning av hur anställning/uppdrag verifieras för uppdragstagare (egen organisation) kontinuerligt saknas helt.

Att enbart förlita sig på att chefer meddelar när personer slutar är enligt vår erfarenhet en otillräcklig kontroll. Regelbundet, med max 100 dagars mellanrum, måste en kontroll av samtliga registrerade personer göras.

Det kan, avseende uppdragstagare, göras genom att utdrag tas ut ur HSA och lämnas till respektive ansvarig chef, som sedan får signera underlaget och på så sätt bekräfta att samtliga registrerade personer fortfarande har ett aktuellt uppdrag.

Om organisationen verkligen inte någonsin hanterar uppdragstagare i HSA, skriv detta tydligt i rutan. Notera att det då innebär att ni heller aldrig registrerar till exempel hyrsjuksköterskor, och att sådana alltså aldrig kan få ta del av patientinformation om de arbetar för kommunen.

Frågor och funderingar

Inera har tillsatt ett särskilt team för att hantera uppdateringen av anslutningsdokumentation (tillitsdeklarationer) för de 201 HSA-anslutna producenter och 35 HSA-anslutna konsumenter som berörs. Vår målsättning är alltså att kunna hantera det ökade flödet av frågor och granskningar som kan dyka upp under denna period utan onödigt dröjsmål.

  1. Börja med att läsa informationen på denna sida noga - kanske finns svaret på din fundering här?

  2. Skicka annars ett ärende via Ineras kundportal (https://kundportal.inera.se/) och formulera din fråga tydligt så återkommer vi till dig.

    1. Som vanligt är det endast HSA-ansvarig, ställföreträdande HSA-ansvarig och kontaktperson som får skicka in ärenden avseende HSA.

  3. Passa även på att ställa dina frågor om/när HSA Förvaltning kontaktar dig avseende HSA Tillitsdeklaration.

Om HSA Tillitsramverk och uppdateringen av regelverket för HSA

Bakgrund

Regelverket för HSA innehåller krav som alla organisationer som är anslutna till HSA måste uppfylla. Regelverket ägs gemensamt av de HSA-anslutna organisationerna, både producenter och konsumenter. Därför skickades förslaget till uppdaterat regelverk ut på remiss. Beslut om ändringar av regelverket fattas av HSA Policygrupp, som består av representanter för de HSA-anslutna producenterna samt för HSA Förvaltning på Inera.

Den nu gällande versionen av regelverket, HSA-policy 4.2, fastställdes i maj 2020. Sedan dess har Inera löpande tagit emot önskemål om förändringar i regelverket från både producenter, konsumenter, HSA Policygrupp och HSA Förvaltning.

Under 2023 framförde framför allt regionerna ett tidskritiskt önskemål om att uppdatera regelverket så att HSA, SITHS och Ineras IdP ska kunna användas för åtkomst till Nationella läkemedelslistan. E-hälsomyndighetens GAP-analys mellan HSA-policyn och deras eget regelverk visade då på ett antal förändringsbehov i HSA-policyn för att detta skulle vara möjligt. Detta är anledningen till att uppdateringen av HSA-regelverket görs nu, trots att den delvis krockar med migreringen av HSA till den nya tekniska plattformen för grunddata och katalog.

Kort beskrivning av de viktigaste ändringarna

I den nya versionen av regelverket har ett antal krav ändrats utifrån E-hälsomyndighetens GAP-analys. För att de ändrade kraven inte ska utestänga någon befintlig HSA-ansluten organisation har de utformats som bör-krav med krav på redogörelse av efterlevnad. Dessa krav är försedda med tillägget: ”Att inte uppfylla ovanstående krav kan medföra att organisationens medarbetare inte ges åtkomst till skyddsvärd information i tjänster som använder HSA som källa för den behörighetsgrundande informationen.” Inera kommer att vidareförmedla uppgifter till E-hälsomyndigheten om vilka organisationer som inte uppfyller vilka krav, och E-hälsomyndigheten får därefter fatta beslut om huruvida medarbetare från dessa organisationer ska ges åtkomst till Nationella läkemedelslistan.

Följande bör-krav i HSA Tillitsramverk 5.0 härstammar från E-hälsomyndighetens GAP-analys:

  • (avsnitt 2.1) Ny roll HSA Säkerhetsansvarig med uppgift att genomföra personkontroller av HSA-ansvarig och ställföreträdande samt att initiera och följa upp internrevisioner.

  • (nytt avsnitt 2.2) Krav på bakgrundskontroller för HSA-ansvarig och ställföreträdande samt för medarbetare hos Inera och Ineras leverantörer.

  • (avsnitt 2.3.3, tidigare 2.2.3) Krav på inlämning av ny tillitsdeklaration minst vartannat år, oavsett om förändring skett eller inte.

  • (avsnitt 2.9, tidigare 2.7) Krav att internrevision ska initieras och följas upp av oberoende part.

  • (avsnitt 4.1) Särskilda krav på hur organisationens informationssäkerhetsarbete ska bedrivas.

Bland övriga förändringar kan nämnas:

  • tillägg av det styrande dokumentet ”Eskaleringsprocess vid allvarliga avvikelser mot HSA Tillitsramverk”.

  • krav att även konsumenter ska anpassa sin tjänst till gällande schema.

  • krav att lämna gränssnitt för konsumtion av HSA-information inom 18 månader från meddelat end-of-life.

  • nytt avsnitt som beskriver vad som händer om tjänsten HSA upphör.

  • förtydligat krav för kontroll av behörighetsgrundande information i nytt avsnitt.

För en fullständig lista över de ändringar som har införts i den nya versionen av regelverket, se revisionshistoriken i dokumentet.

I samband med uppdateringen byter regelverket namn från HSA-policy till HSA Tillitsramverk. HSA-policytillämpning (HPT) byter då också namn till HSA Tillitsdeklaration.

HSA Tillitsramverk 5.0

HSA Tillitsramverk 5.0 fastställdes av HSA Policygrupp den 3 maj 2024. Nedan finns den i ett antal olika varianter:

Tidplan för övergången till HSA Tillitsramverk 5.0

Efter återkoppling från HSA Nätverksmöte i november 2023 har tidplanen för övergången till HSA Tillitsramverk förskjutits med två månader och ser ut på följande sätt:

När

Vad

När

Vad

22 februari 2024

Fastställande av remissversion för HSA Tillitsramverk 5.0

25 mars 2024

Utskick inbjudan till remiss avseende HSA Tillitsramverk 5.0

23 april 2024

Sista inlämningsdag för remissynpunkter till HSA Tillitsramverk 5.0

  • För information om remissen, samt svar på frågor som inkommit vid remissen samt vid de öppna frågestunderna, se nedan.

3 maj 2024

Fastställande av HSA Tillitsramverk 5.0 med anpassningar efter inkomna remissvar.

22 maj 2024

Presentation av HSA Tillitsramverk 5.0 samt tidplan för uppdaterade tillitsdeklarationer vid HSA Nätverksmöte.

31 oktober 2024

Sista inlämningsdag för uppdaterad HSA Tillitsdeklaration för producenter.

1 januari 2025

HSA Tillitsramverk 5.0 börjar gälla.

31 januari 2025

Samtliga producenters uppdaterade HSA Tillitsdeklaration godkända.

31 januari 2025

Sista inlämningsdag för uppdaterad HSA Tillitsdeklaration för konsumenter.

15 mars 2025

Samtliga konsumenters uppdaterade HSA Tillitsdeklaration godkända.

Ifyllnad av tillitsdeklarationer för alla HSA-anslutna organisationer

Förhoppningen under denna process har varit att kunna erbjuda ett verktyg för ifyllnad av tillitsdeklarationer som skulle möjliggöra att spara informationen i respektive direktansluten organisations tillitsdeklaration och kunna bibehålla de ifyllda delarna när HSA-ansvarig/kontaktpersonen uppdaterar tillitsdeklarationen - oavsett om det sker på organisationens initiativ eller utifrån att HSA Tillitsramverk uppdateras.

Vi har dock inte lyckats i denna ambition, och därför kommer vi tills vidare att fortsätta med Word-mallar även för tillitsdeklarationerna (precis som vi haft tidigare för HSA-policytillämpningarna, HPT:erna).

Läsbara versioner av de olika mallarna för tillitsdeklarationer finns på sidorna Anslutningsavtal för producenter respektive Anslutningsavtal för konsumenter. Ifyllningsbara versioner finns på Projektplatsen, tillgängliga för HSA-ansvariga hos direktanslutna producerande organisationer och för kontaktpersonerna hos direktanslutna konsumerande organisationer.

Om remissen inför fastställande av tillitsramverket

Remissrundan pågick 25 mars till 23 april 2024

För att säkerställa möjlighet för alla HSA-anslutna organisationer att påverka det gemensamma regelverket skickades förslaget till HSA Tillitsramverk 5.0 ut på remiss under perioden 25 mars till 23 april 2024. Det genomfördes under denna tid också två öppna frågestunder där det erbjöds möjlighet att både ställa frågor kring föreslagna ändringar och att inkomma med synpunkter.

Totalt inkom remissynpunkter från sex producenter och en konsument. Ytterligare ett femtontal producenter deltog i de öppna frågestunderna men valde efter detta att inte skicka in några remissynpunkter. Arbetsgruppen för uppdateringen av tillitsramverket besvarade varje inkommen remissynpunkt eller fråga, och arbetade också in vissa av dem i ett förnyat förslag. Detta förslag fastställdes av HSA Policygrupp den 3 maj 2024 och utgör därmed den gällande versionen av HSA Tillitsramverk 5.0.

Frågor som inkommit via remissen och vid de öppna frågestunderna, med tillhörande svar

Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.

Fråga: Kan stycket kompletteras med exempel på förutsättningar som medför att en organisations medarbetare blir nekade tillgång till skyddsvärd information i tjänster? Detta för att en organisation ska kunna bedöma risken och konsekvenserna av att inte utse en HSA Säkerhetsansvarig.

Svar: Skrivningen i tillitsramverket kring att uppfyllelse av somliga bör-krav KAN medföra att organisationens medarbetare nekas åtkomst till vissa tjänster är medvetet inte så tydligt utformad.

Detta dels utifrån att skrivningen behöver vara hållbar över tid. Även om det just nu ”bara” gäller åtkomst till nationella läkemedelslistan hos E-hälsomyndigheten så kan det vara fler tjänster framöver som också vill ansluta sig till dessa krav. Men också därför att det även för de aktuella tjänsterna kan komma att ändras över tid vad som anses vara krav som måste vara uppfyllda för att de ska bevilja åtkomst.

I de diskussioner vi haft med E-hälsomyndigheten hittills är de tydliga med att de inte vill släppa in medarbetare från organisationer som inte uppfyller samtliga dessa bör-krav i nationella läkemedelslistan. Om detta ställningstagande kommer att vara gällande även i framtiden vet vi inte. Det är också därför som vi lagt beslutet om vilka krav som måste vara uppfyllda i tjänsternas (i detta fall E-hälsomyndighetens) händer och inte i HSA:s eller Ineras.

Avsnitt 2.1 Ansvarsförhållanden, kravet Direktansluten producent bör utse en HSA Säkerhetsansvarig.

Fråga: Vem skulle kunna vara lämplig i rollen som HSA Säkerhetsansvarig?

Svar: Viktigast är att HSA Säkerhetsansvarig inte har någon annan roll i den lokala HSA-förvaltningen. Annars är det upp till respektive organisation att välja vem som ska utses för rollen. En bra utgångspunkt är att tänka att internrevision är en del av informationssäkerhetsarbetet för tjänsten, så intresse och kunskap kring dessa frågor är bra. Det bör också vara en person som har förmågan att förstå vad HSA är och gör.

Om organisationen redan har en SITHS Säkerhetsansvarig kanske denna persons uppdrag kan utökas till att också vara HSA Säkerhetsansvarig? Annars kanske dataskyddsombudet, medarbetare inom organisationens informationssäkerhetsfunktion eller internrevisionsfunktion alternativt MAS (medicinskt ansvarig sjuksköterska) kan vara ett alternativ?

Avsnitt 2.2 2 Bakgrundskontroller

Fråga: Vad omfattar bakgrundskontrollen? Varför är detta inte tydligare beskrivet i tillitsramverket?

Svar: Instruktionen för genomförande av bakgrundskontroll kommer att hanteras som ett separat dokument.

[Gällde när svaret lämnades:] Denna är ännu inte fastställd, arbetsgruppen arbetar på denna och räknar med att kunna presentera åtminstone en preliminär version.

[Gäller från och med att tillitsramverket fastställdes i maj 2024:] Fastställd instruktion för genomförande av bakgrundskontroll finns här: https://inera.atlassian.net/wiki/download/attachments/399836296/instruktion_for_bakgrundskontroll_enligt_hsa_tillitsramverk.pdf.

Rutinen utgår från befintlig rutin för de bakgrundskontroller som görs för SITHS idag och omfattar intyg om nuvarande anställning, lämplighet för tjänsten och legal lämplighet, finansiell lämplighet (kontroll hos Kronofogdemyndigheten) samt genomgången HSA-utbildning.

Att vi lägger specificeringen av vad som ingår i bakgrundskontrollen i ett separat dokument gör det möjligt för oss att i framtiden (om tre år?) vid behov förtydliga eller förändra bakgrundskontrollen utan att behöva uppdatera tillitsramverket och kräva in uppdaterade tillitsdeklarationer av samtliga HSA-anslutna organisationer.

Avsnitt 2.9, kravet att internrevision bör initieras och följas upp av oberoende part

Fråga: Hur ska vi tolka oberoende part som ansvarig för internrevisionen? Vad blir HSA-ansvarigs roll i internrevisionen framöver?

Svar: Normalt blir HSA Säkerhetsansvarig ansvarig för revisionen. Och kravet på HSA Säkerhetsansvarig är att denne inte har en roll i den lokala HSA-förvaltningen och därmed kan anses opartisk. Om man använder sig av “särskild roll eller funktion inom organisationen med särskilt ansvar för intern granskning” så gäller kravet även för dem så att ingen av dem får ha en roll i den lokala HSA-förvaltningen.
Kravet avser initiering och uppföljning av internrevisionen, vilket lämnar öppet för att den lokala HSA-förvaltningen kan ha en relativt stor roll i internrevisionen även framöver. I praktiken kommer det nog att bero på vem som utses till HSA Säkerhetsansvarig och vilka kunskaper om tjänsten och vilken tid för uppdraget som denna person har eller får över tid. Det viktigaste är att internrevisionen genomförs på ett sådant sätt att efterlevnaden till regelverket verkligen kan säkerställas och med fokus på de krav som är viktiga för till exempel patientintegritet och gällande lagstiftning samt på de områden där man misstänker att avvikelser förekommer.

Tilläggas kan också att HSA-ansvarig enligt tillitsramverket har det övergripande ansvaret för att tillitsramverket efterlevs i sin helhet, vilket ju även omfattar att internrevision genomförs. Så vid behov kan HSA-ansvarig även behöva säkerställa att HSA Säkerhetsansvarig verkligen initierar och följer upp internrevisionen.

Avsnitt 4.2.4 Vilka vårdgivare kan stå under annan myndighets kontroll (annan än Inspektionen för vård och omsorg, IVO)?

Det har framkommit under anslutningsdiskussioner att vissa myndigheter inte omfattas av IVOs kontrollansvar utan har en egen kontrollmyndighet för sin vårdgivarverksamhet. För att ge dem möjlighet att ansluta till HSA, om de så skulle önska, har vi gjort detta tillägg i tillitsramverket.

Generellt Vilka krav i policyn gäller för vilken anslutningsform (producent/konsument, fullständig/förenklad)?

Alla krav i tillitsramverket gäller alla anslutna organisationer, oavsett anslutningsform. Kraven gäller också HSA Förvaltning och HSA Policygrupp. Beroende på anslutningsform är det emellertid i vissa fall inte möjligt att bryta mot enskilda krav. I dessa fall krävs inte någon redogörelse för att – och hur – kravet efterlevs. Vilka dessa krav är framgår i mallen för tillitsdeklaration för respektive anslutningsform.