Helse Sør-Øst styrker tilgangskontroll og risikovurderinger

- Jeg er tilfreds med at Sykehuspartner HF nå tar grep for å styrke tilgangskontroll og sporbarhet i Helse Sør-Østs IKT-systemer. Det har hele tiden vært avgjørende for meg at helseopplysninger skal behandles trygt og sikkert, sier administrerende direktør Cathrine M. Lofthus.

 

Helse Sør-Øst RHF har sendt ut sakspapirer til ekstraordinært styremøte den 28. juni, hvor styret skal behandle sak om modernisering av IKT-infrastrukturen. PwCs endelige gjennomgang av prosjektet er en del av saksunderlaget.

- PwCs sluttrapport bekrefter hovedinnholdet i den foreløpige redegjørelsen som ble fremlagt i styremøte den 24. mai. Den viser at det ikke har vært god nok kontroll på moderniseringsprosjektet. Dette er alvorlig og det er derfor styret stilte prosjektet i bero den 24. mai. Jeg er imidlertid glad for at PwC-rapporten slår fast at det er lite sannsynlig at eksterne har tilegnet seg helseopplysninger, sier Lofthus.

En modernisering av IKT-infrastrukturen er helt nødvendig og vil være et viktig bidrag for å kunne ivareta hensynet til personvern og informasjonssikkerhet.

Sykehuspartner HF fikk i mai i oppdrag å forsterke tilgangsstyring, styrke risiko- og sårbarhets-analyser, utrede nødvendige endringer i leveranser og planer, samt styrke styring, ledelse og gjennomføring. En foreløpig rapport om dette arbeidet er også en del av saksunderlaget for styrebehandlingen i Helse Sør-Øst RHF kommende onsdag.

- Sykehuspartner HF har fått et omfattende og krevende oppdrag som det vil ta noe tid å løse. Jeg er tilfreds med at det allerede nå tas en rekke grep for å styrke tilgangskontroll, sporbarhet og risikovurderinger. Disse tiltakene er ikke avhengig av hvilken løsning som velges for den fremtidige infrastrukturmoderniseringen og kan derfor iverksettes uavhengig av dette, sier Lofthus.

Sykehuspartner HF har startet arbeidet med å utrede ulike alternative modeller for å gjennomføre IKT-moderniseringen. Dette innbefatter også en vurdering av hvilke konsekvenser en terminering av kontrakten med ekstern leverandør vil ha. Alle disse alternativene skal utredes videre.

- Uansett hvilken modell som til slutt velges, skal personvern og informasjonssikkerhet ivaretas og være i tråd med lovgivningen. Jeg vil også legge stor vekt på involvering og medvirkning fra ansatte, tillitsvalgte og helseforetak i den videre prosessen, sier Lofthus.

Se saksliste og saksdokumenter til møtet