Information och IT-system är mycket viktiga för att kunna bedriva landstingets verk-samhet (effektivt och säker vård mm).
Detta kräver till exempel att informationen är korrekt och riktig, att IT systemen är tillgängliga vid behov. Vidare krävs att information inte når obehöriga (sekretess).
Externa lagar och regler ställer krav på informationssäkerheten;
Hälso- och sjukvårdslag
Patientdatalag
Patientsäkerhetslagen
Lag om hälsodataregister
SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Ändringsförfattning SOSFS 2011:8
SOSFS 2011:9 Ledningssystem för systematiskt kvalitetsarbete
Offentlighets och sekretesslagen 2009:400
Offentlighets och sekretessförordningen 2009:641
Personuppgiftslag 1998:204
Datainspektionen som arbetar för att säkra den enskilda individens rätt till integritet i samhället ger bland annat ut anvisningar och råd.
Alla vårdsystem som innehåller journalinformation är klassade som Medicinteknisk produkt och kräver speciell hantering (utifrån Socialstyrelsens och Läkemedelsverkets utgångspunkt).
Den snabba utvecklingen av tekniken innebär att det kommer nya risker som måste beaktas1.
Landstingsfullmäktige har fastställt en IT- policy för Landstinget Gävleborg som utgör en grund för andra policys och direktiv. I policyn anges att landstingsstyrelsen och be-rörda nämnder utformar, upprätthåller och utvecklar direktiv för policyns tillämpning och utövar tillsyn avseende efterlevnad.
Mot ovanstående bakgrund har landstingets revisorer gett PwC i uppdrag att genom-föra en översiktlig granskning avseende informationssäkerheten.
Vår övergripande revisionsfråga var om
det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT-hantering/verksamhetskritisk information.
1 Mobliltelefoner, appar, läsplattor, sociala media mm.) Mobiliteten är stor och önskan från allmänhet (journal och loggar på nätet) och olika yrkesgrupper ökar hela tiden (jobba hemma, tåget, hotell – utanför den ordinarie verksam-heten.)
Frågan har avgränsats till ett antal kontrollfrågor/områden som granskats översiktligt.
Inom de kontroller vi utfört är vår sammanfattande bedömning att hanteringen inte är tillräckligt tillfredställande.
Detta grundar vi bl.a. på att
Det finns behov att att revidera2 de styrande dokumenten och i ökad grad kommunicera dessa till olika roller.
Det har inte skett en tillräcklig regelbunden uppföljning avseende efterlevnad av de styrande dokumenten som finns inom informationssäkerhet.
Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår be-dömning den övergripande kontrollen inte tillräckligt tillfredställande.
Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen.
Det finns behov att tydliggöra systemägarrollen.
Systemsäkerhetsplaner inte upprättats på ett tillräckligt bra sätt i enlighet med de styrande dokumenten.
Inom flera områden där vi uppmärksammat behov av förbättringar pågår dock ett för-bättringsarbete och/eller är ett förför-bättringsarbete påbörjat.
Exempel på sådant som varit positivt är t ex
Det finns många bra övergripande styrande dokument som tydliggör hantering-en av IT inom landstinget (till exempel direktiv, policys, instruktioner till an-vändare).
Avseende de verksamhetsövergripande systemen som hanteras inom
IT-avdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt3 (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbe-tet med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav.
Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga för-bättringar.
2 Dock finns många bra dokument att utgå från.
3 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete.
Nedan sammanfattas mer av de kommentarer och de rekommendationer som finns intagna i rapporten.
Finns aktuella styrande och stödjande dokument och är dessa tillräckligt kommunicerade
Utifrån vår bedömning finns behov att nå ut med dokumenten till olika roller på ett bättre sätt, till exempel avseende de krav som ställs på systemägare.
Vi rekommenderar att de som arbetar inom vården ska bekräfta att det tagit del av de dokument som berör alla. Till exempel säkerhetsinstruktion för användare.
Underlaget bör finnas samlat som stöd för landstingsstyrelsens uppföljning.
Finns en tydlighet i ansvar och roller avseende hantering av IT
Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare.
Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande doku-menten.
Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man
råd-gör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man in-formerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare4 på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet.
Vi rekommenderar även att det sker en översyn avseende informationssäker-hetsfunktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regelbundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi rekommenderar att det tas fram beskrivningar hur olika roller ska samverka, till exempel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen).
Sker uppföljning avseende tillämpning av olika riktlinjer och analyseras IT-relaterade risker
Vi kan konstatera att det sker uppföljning och analyser av risker på olika sätt.
Olika förbättringsaktiviter genomförs. Ett exempel är den nya systemförvalt-ningsmodellen som sannolikt kommer att stödja uppföljningen eftersom denna bidrar till en ökad kommunikation mellan verksamheten och olika IT-resurser.
Dock är vår bedömning att det inte sker en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderar att det sker översyn kring hur den regelbundna uppföljningen avseende detta kan förbättras. Uppföljningen bör omfatta en rapportering av de
4 Innefattar även att medverka till att ”se risker” som skulle kunna innebära att krav/mål inte nås.
teter som genomförts, vilka olika riskanalyser har utförts med mera. Avseende risker som ansvariga själva inte kan råda över är det extra viktigt att dessa rap-porteras uppåt i organsationen.
I avsnitt 3.3 har vi rekommenderat att det finns behov att ser över informat-ionssäkerhetsfunktionens kontaktytor mot olika roller. Vi har tidigare noterat att den interna kontrollenheten är direkt underställd landstingsdirektören.
Denna organisatoriska placering för informationssäkerhetfunktionen skulle in-nebära att de arbetar mer oberoende i sin uppföljning. Vi rekommenderar att fördelar med detta ses över.
Får användare inom vården en regelbunden informationssäkerhetsrelate-rad utbildning och information.
Vi kan konstatera att det sker utbildningar på olika sätt. Den generella utbildningen till nya anställda är positiv. Utbildningen omfattar även chefers möjlighet att följa upp deltagares resultat vilket är bra. Vi rekommenderar dock att det sker en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt finns många anställda som inte deltagit i denna utbildning idag. Vilka som deltagit och inte bör dokumenteras.
Resultatet bör delges landstingstyrelsen.
Vi rekommenderar att kunskapsbehovet hos olika roller ses över, till exempel vad bör alla som arbetar inom vården känna till exempelvis kring de
informationskanaler som används, vilken kunskap avseende
informationssäkerhet krävs av alla. Se även det behov av utbildning till systemägare som omnämnts i avsnitt 3.2.
Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser.
Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. Det krävs dock en regelbunden uppföljning av att processen är etablerad ända ut till användarna.
Det är givetvis viktigt att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gäller även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer).