Revisionsdirektör Richard Norberg.
Det är flera myndighetsrapporter och regionrevisioner som har påtalat problem och brister när det gäller informationssäkerheten i hälso- och sjukvården. Det är därför Riksrevisionen nu har inlett ett arbete med att granska vad staten gör på området, skriver VK.
I slutet av förra året kom revisionsbyrån EY i en rapport fram till att Region Västerbotten ”har en förhållandevis låg mognadsgrad” inom informationssäkerhet. Speciellt med tänkte på mängden data och dess känsliga karaktär. Revisionsbyrån hade fått uppdrag av regionrevisorerna att se över it- och informationssäkerheten.
Revisorerna konstaterade att det fanns oroande brister. Bland annat behövde riktlinjer och regler uppdateras. Det saknades rutiner och styrande dokument saknades helt. Det har exempelvis upptäckts att det inte funnits något systematiskt arbete med riskanalyser eller tester för hackerattacker i regionens verksamhet. Det har inte heller funnits en tillräcklig fysisk säkerhet i serverhallarna.
Hur medarbetare i regionen skulle utbildas om reglerna för it- och informationssäkerhet saknades dessutom. Revisorerna kom också fram till att det saknades en tillräckligt utvecklad organisation för arbetet med informationssäkerhet.
– Det finns inget övergripande dokument som beskriver hur dataskyddsarbetet ska organiseras. Det saknas också en analys av vilka resurser och stöd som behövs till informationssäkerhetsansvarig och dataskyddsombud i dataskyddsarbetet, konstaterade revisionsordförandena Edward Riedl (M) och Bert Öhlund (S).
Uppföljningen och kontrollen av att regler och rutiner för it- och informationssäkerheten följs i regionen var också svagt utvecklad.
– Vi har gjort många granskningar genom åren. Gemensamt för dem är att det hänt rätt lite när det gäller den strategiska styrningen. Man har inte sjösatt en organisation där man resurssatt det som behövts, man saknar vissa styrande dokument, man har inte koll på om personal får utbildning, och man gör ingen strategisk uppföljning på central nivå, säger Richard Norberg, revisionsdirektör Richard Norberg till Läkartidningen.
Även Region Norrbotten och Region Stockholm fick kritik för otillräcklig it-säkerhet.
Nedim Colo, projektledare.
Förmodligen är det dessa resultat av de lokala granskningarna som nu ska behandlas av Riksrevisionen. Det är också så att Riksrevisionen har upptäckt en ökning av antalet incidenter, speciellt så kallade antagonistiska eller fientliga angrepp. Hanteringen av patientinformation ser dessutom ut att ha brister på flera håll.
– Regionerna och kommunerna har i uppdrag att skydda patientinformationen. Vi kommer därför att undersöka vilken hjälp de får från staten och vilken hjälp de anser sig behöva från staten, säger Nedim Colo, projektledare för granskningen till Läkartidningen.
Det är bland annat undersökningar från Sveriges Kommuner och regioner (SKR) och Myndigheten för samhällsskydd och beredskap (MSB) som visar på brister i arbetet med att säkra informationen.
– Vi kommer att prata med ett urval av regioner och kommuner för att se vilka utmaningar som finns, och vi är då intresserade av att ta del av kommunernas och regionernas rapporter, men det är inte bristerna hos sjukvårdshuvudmännen som står i fokus, utan de statliga myndigheternas arbete, säger Nedim Colo.