Datatilsynet varsler gebyr til helseforetakene

Helseforetakene i Helse Sør-Øst har mottatt et forhåndsvarsel fra Datatilsynet om at de vil ilegge foretakene et gebyr på 800.000,- kroner for mangelfull risikovurdering og sårbarhetsanalyser knyttet til IKT-infrastrukturmoderniseringen. Datatilsynet skriver i brevet at deres vurdering er at Helse Sør-Øst RHF gjennom sine reaksjoner har erkjent at avvik har skjedd og at de har iverksatt tiltak for å avhjelpe situasjonen. 

 

​- Vi tar Datatilsynets konklusjoner på største alvor, sier konserndirektør i Helse Sør-Øst RHF, Atle Brynestad.

De forhold som fremkommer av Datatilsynets forhåndsvarsel påpeker langt på vei de samme svakhetene som den tidligere eksterne gjennomgangen av PwC viste. Helse Sør-Øst RHF har som følge av dette allerede satt i gang tiltak for å forsterke arbeidet med risiko- og sårbarhetsanalyser.  Dette omfatter blant annet å se på hvordan risikovurderinger og ledelsesforankring bedre kan settes i system i foretaksgruppen.

- Helse Sør-Øst arbeider med å utvikle gode og moderne innbyggertjenester. I dette arbeidet er det nødvendig å standardisere og samordne innsatsen på tvers av helseforetakene. Samtidig har det ikke vært tilstrekkelig involvering av helseforetakene som databehandlingsansvarlige. Datatilsynets rapport peker på at vi har et behov for å tydeliggjøre roller, ansvar og rutiner på området informasjonssikkerhet. Dette arbeidet er vi i gang med og det skjer i et samarbeid med helseforetakene, sier Brynestad.

Helse Sør-Øst stilte infrastrukturmoderniseringen i bero den 24. mai i år og utreder nå hvordan prosjektet skal tas videre. Det er iverksatt et målrettet arbeid for å styrke tilgangskontroll og sporbarhet, risiko- og sårbarhetsanalyser, samt ledelse og styring. En lang rekke tiltak er allerede implementert og flere tiltak vil bli iverksatt gjennom høsten.

- Trygge og sikre pasientopplysninger er en kjerneoppgave for helseforetakene, og det pågår nå et omfattende arbeid for å sikre dette, sier Brynestad.

Helseforetakene har fått frist til 24. november med å gi eventuell tilbakemelding til Datatilsynet.