Medborgarnas integritet är inte säkerställd, då patientdata i journalerna bara delvis är skyddade mot obehöriga. Och arbetet med informationssäkerhet i regionen är inte i den nivå som både lag och interna dokument i Skåne anger. Det visar rapporten som har fokus på patientdata och som revisorerna i Region Skåne beställt av konsultfirman KPMG.

I rapporten har firman bland annat utgått från patientdatalagen, dataskyddsförordningen och regionens säkerhetspolicy. Granskningen har gjorts genom dokumentstudier, intervjuer och granskning av tre utvalda system: journalsystemen i primärvård och slutenvård, samt ett administrativt system som hanterar personuppgifter som delas till 50 andra system.

När det gäller slutenvården har KPMG identifierat ett stort antal risker med »mycket höga värden«, även efter de återfärder som föreslagits. Det finns en särskild notering om att merparten av regionens användare har fått en alltför hög behörighet på grund av otillräcklig behovs- och riskanalys. Rapporten specificerar inte vilket system som omskrivs av säkerhetsskäl. Men KPMG kommer som sagt fram till att data i journalerna bara delvis är skyddade mot obehöriga.

Också systemet inom primärvården har »ett antal risker som är identifierade som mycket höga«. Där uppskattas de åtgärder som föreslagits leda till en acceptabel nivå.

Rapporten kommer också fram till att Region Skåne har ett delvis tillräckligt skydd för sina databaser, men saknar en samlad bild av vilka skyddsbehov som finns eftersom man inte genomför informationsklassning och riskbedömning i tillräcklig omfattning.

Om en incident skulle inträffa, finns rutiner för detta i Region Skåne. Men de saknar en tydlig beskrivning om ansvar, processer och eskaleringsvägar. Det gör sammantaget att avvikelser och incidenter hanteras bara delvis i enlighet med lagar och regelverk.

Revisorerna i Region Skåne ger en rad rekommendationer baserade på rapporten. Däribland vill man se att processen för åtkomst- och behörighetshanteringen stärks så att bara behöriga personer har tillgång till informationen. Därtill bör det bli bättre kontroll av att alla nämnder och styrelser verkligen följer bestämmelserna, och att personal verkligen genomför sin utbildning i informationssäkerhet.

I intervjuerna som KPMG har gjort med verksamhetsföreträdare framgår också att Region Skåne genomför ett omfattande arbete med riskhantering av informationssystem, något som går under namnet »projektdirektiv U537«. Det väntas ta ytterligare något år. Då ska samtliga system, som beräknas vara 600–700, ha riskbedömts.

Rapporten finns på regionrevisionens webbplats.