Tar grep for å styrke IKT-sikkerhet

- Jeg er glad for at styret har fått bekreftet at det viktige arbeidet med å bedre informasjonssikkerheten i regionen er godt i gang, sier styreleder i Helse Sør-Øst RHF, Ann-Kristin Olsen, etter at styret fikk en orientering om status for standardisering av IKT-infrastruktur og arbeidet med informasjonssikkerhet i møtet 14.september.

 

​Styret i Helse Sør-Øst RHF stilte infrastrukturprosjektet i bero den 24. mai fordi PwCs eksterne og Helse Sør-Østs egen interne gjennomgang viste at det ikke har vært god nok kontroll i prosjektet. Dette gjaldt både i forhold til tilgangskontroll, sporbarhet, risiko- og sårbarhetsanalyser, samt styring og ledelse.

- Sykehuspartner utreder nå alternativene for hvordan regionen skal få på plass en modernisert og standardisert IKT-infrastruktur. Det er viktig at vi tar lærdom av de feilene som ble gjort. Prosessene med utredningene skal være grundige og involverende. Vi skal bruke teknologi for å kunne levere bedre helsetjenester til pasientene og for å styrke datasikkerheten. Forutsetningen for dette, er at sensitive personopplysninger håndteres på en trygg og sikker måte. Vi kommer ikke til å gå videre med å standardisere infrastrukturen før disse forholdene er utbedret, sier administrerende direktør Cathrine M. Lofthus.

Tiltak for bedre informasjonssikkerhet

Uavhengig av framtidig valg av modell for hvordan infrastrukturen skal moderniseres og standardiseres, er det allerede tatt en rekke grep for å styrke tilgangskontroll, sporbarhet, risikovurderinger og styring og ledelse.

- Vi implementerer nå forbedringer i IKT-sikkerheten løpende. Noe er allerede på plass, mens andre ting vil ta mer tid. Tiltakene innbefatter også aktiviteter som skal styrke tilgangs- og loggkontroll mot elektronisk pasientjournal og bedre informasjonssikkerheten i medisinsk teknisk utstyr, sier Lofthus.

Valg av modell for modernisering og standardisering av infrastrukturen

Sykehuspartner utreder ulike modeller for gjennomføring, inkludert en terminering av kontrakten.

De angir at resultatet av utredningsarbeidet og et fullstendig beslutningsgrunnlag vil kunne foreligge mot slutten av året.

Helse Sør-Øst RHF planlegger å gjennomføre en ekstern kvalitetssikring av de anbefalingene som kommer fra styret i Sykehuspartner HF før beslutningssak legges fram for styret i Helse Sør-Øst RHF.

Helse- og omsorgsdepartementet har også tatt initiativ til en nasjonal gjennomgang av krav til informasjonssikkerhet ved bruk av private leverandører. Dette arbeidet skal Direktoratet for e-helse ferdigstille innen 1.november.

På bakgrunn av dette er det ennå ikke fastsatt noen dato for endelig beslutning i styret i Helse Sør-Øst RHF.