Datatilsynet varsler gebyr til helseforetakene
Helseforetakene i Helse Sør-Øst har mottatt et forhåndsvarsel fra Datatilsynet om at de vil ilegge foretakene et gebyr på 800.000,- kroner for mangelfull risikovurdering og sårbarhetsanalyser knyttet til IKT-infrastrukturmoderniseringen. Datatilsynet skriver i brevet at deres vurdering er at Helse Sør-Øst RHF gjennom sine reaksjoner har erkjent at avvik har skjedd og at de har iverksatt tiltak for å avhjelpe situasjonen.
- Vi tar Datatilsynets konklusjoner på største alvor, sier konserndirektør i Helse Sør-Øst RHF, Atle Brynestad.
De forhold som fremkommer av Datatilsynets forhåndsvarsel påpeker langt på vei de samme svakhetene som den tidligere eksterne gjennomgangen av PwC viste. Helse Sør-Øst RHF har som følge av dette allerede satt i gang tiltak for å forsterke arbeidet med risiko- og sårbarhetsanalyser. Dette omfatter blant annet å se på hvordan risikovurderinger og ledelsesforankring bedre kan settes i system i foretaksgruppen.
- Helse Sør-Øst arbeider med å utvikle gode og moderne innbyggertjenester. I dette arbeidet er det nødvendig å standardisere og samordne innsatsen på tvers av helseforetakene. Samtidig har det ikke vært tilstrekkelig involvering av helseforetakene som databehandlingsansvarlige. Datatilsynets rapport peker på at vi har et behov for å tydeliggjøre roller, ansvar og rutiner på området informasjonssikkerhet. Dette arbeidet er vi i gang med og det skjer i et samarbeid med helseforetakene, sier Brynestad.
Helse Sør-Øst stilte infrastrukturmoderniseringen i bero den 24. mai i år og utreder nå hvordan prosjektet skal tas videre. Det er iverksatt et målrettet arbeid for å styrke tilgangskontroll og sporbarhet, risiko- og sårbarhetsanalyser, samt ledelse og styring. En lang rekke tiltak er allerede implementert og flere tiltak vil bli iverksatt gjennom høsten.
- Trygge og sikre pasientopplysninger er en kjerneoppgave for helseforetakene, og det pågår nå et omfattende arbeid for å sikre dette, sier Brynestad.
Helseforetakene har fått frist til 24. november med å gi eventuell tilbakemelding til Datatilsynet.