Rapport: Brister i uppföljning av IT-säkerhet i Region Norrbotten

I revisionsrapporten »Granskning av avtalsstyrning och uppföljning av privata vårdgivares informationssäkerhet« framkommer det att regionen brister i flera avseenden.

Rapportförfattarna har inte kunnat se att regionen följer upp kraven och villkoren som den ställer i avtalen med de privata vårdgivarna. Någon uppföljning som de interna styrdokumenten och lagstiftningen kräver har man inte kunnat identifiera. Detta kan innebära risker för patienternas säkerhet, deras integritet och för verksamhetens förmåga till kontinuitet, framhåller man.

»Brister inom detta område kan betyda avsevärda förtroendeskador och kostnadsökningar för regionstyrelsen, och därför bör detta område ses som en kritisk del av tjänsten man upphandlar. Det innebär i sin tur att uppföljningen behöver prioriteras på samma nivå som exempelvis den ekonomiska uppföljningen«, skriver PWC.

Rapportförfattarna bedömer också att regionstyrelsen bara delvis säkerställer att det förs fram tillräckliga upphandlingskrav. Detta utifrån ett legalt, affärsmässigt och säkerhetsmässigt perspektiv. Det ställs visserligen krav på de privata vårdgivarna, men de är inte tillräckliga.

Dessutom är det så att regionen inte har några etablerade arbetssätt för att hantera avvikelser, även om de formella förutsättningarna finns, konstaterar rapportförfattarna.

Bakgrunden till granskningen är en drastiskt ökad medvetenhet i samhället om vilka risker som kan kopplas till informationshantering, och att information och personuppgifter inom hälso- och sjukvård har ett högt skyddsvärde. Eventuella incidenter kan också skada både individer och organisationen som helhet.

Rapporten går därför igenom om regionstyrelsen arbetar tillräckligt med avtalsstyrning och uppföljning och om den interna kontrollen är tillräcklig.

När det gäller den sistnämnda frågan kommer rapporten fram till att den interna kontrollen inte är tillräcklig, och här får man medhåll av de förtroendevalda regionrevisorerna som i ett PM skriver under på så gott som samtliga av PWC:s rekommendationer. Råden handlar främst om att utveckla avtalsvillkoren, inte minst utifrån specifika informationssäkerhetsrisker, och se till att dessa villkor följs upp.

Positivt, enligt PWC-revisorerna, är att de under granskningen märkt att intresset för den beskrivna problematiken är påtaglig, och att det finns saker som tyder på en ökad grad av medvetenhet i regionen.

Läkartidningen söker regionstyrelsen.

Läs också:
Granskningar visar brister i Västerbottens IT-säkerhet