Region Västerbotten har gjort sig lite av ett namn i digitaliseringens Sjukvårdssverige. Regionen har bland annat tidigt utforskat distanslösningar som virtuella hälsorum och digital konsultation.
Men vid granskningar genom åren har regionens revisorer identifierat risker inom det övergripande arbetet med IT- och informationssäkerhet. Det har till exempel noterats att det inte funnits något systematiskt arbete med riskanalyser eller tester för hackerattacker i verksamheterna. Det har inte heller funnits en tillräcklig fysisk säkerhet i serverhallarna.
Nu har regionen låtit göra ytterligare två granskningar, som den här gången är övergripande på en strategisk nivå när det gäller IT- och informationssäkerhet, samt dataskyddsförordningen GDPR.
– Vi har gjort många granskningar genom åren. Gemensamt för de här granskningarna är att det hänt rätt lite när det gäller den strategiska styrningen, säger Region Västerbottens revisionsdirektör Richard Norberg.
De två granskningarna är gjorda av revisions- och konsultföretaget EY. Två nämnder har synats: regionstyrelsen och hälso- och sjukvårdsnämnden, som bär det yttersta ansvaret för verksamheterna.
EY kommer fram till att styrningen har, som man kallar det, en »förhållandevis låg mognadsgrad« inom informationssäkerhet, i jämförelse med vad företaget rekommenderar med tanke på den stora mängden data och dess känsliga karaktär.
– Det brister i den strategiska styrningen och kontrollen. Man har inte sjösatt en organisation där man resurssatt det som behövts, man saknar vissa styrande dokument, man har inte koll på om personal får utbildning, och man gör ingen strategisk uppföljning på central nivå, säger Richard Norberg.
Regionens revisorer ser med oro att det fortfarande finns brister i säkerheten. Nu ger de ett antal rekommendationer till politikerna. De handlar bland annat att säkerställa en tydlig ansvarsfördelning för informations- och IT-säkerhet, etablera tydliga processer för att identifiera risker, säkerställa uppföljning och kontroll, och se till att medarbetarna får tillräcklig utbildning.
När det gäller GDPR menar EY att regionen till exempel brister i intern kontroll och när det gäller att informera registrerade användare om personuppgiftslagring. Även här rekommenderar revisorerna att säkerställa uppföljning och kontroll, att styrdokumenten är aktuella, och organisationen kring dataskyddsarbetet tydliggörs.
Mer om revisorernas granskningar finns på Region Västerbottens webbplats.
(uppdaterad 2022-10-18)