Regionrevisorerna har låtit konsultbolaget PWC granska avtalsstyrningen och uppföljningen av de externa vårdgivarnas informationssäkerhet. Den tydligaste bristen handlar om uppföljningen.

»Granskningen visar att det i praktiken inte sker någon systematisk uppföljning av externa vårdgivares informationssäkerhet. Det innebär att nämnden inte har någon kunskap om avtalskraven inom området följs«, skriver Regionrevisorerna i sin rapport.

Den låga graden av kontroll innebär en risk för »avsevärda förtroendeskador och kostnadsökningar för Hälso- och sjukvårdsnämnden«, står det i rapporten. Det kan handla om krav från enskilda eller kostnader som uppstår på grund av krisåtgärder som behöver sättas in.

Rapportförfattarna konstaterar att det sker en viss uppföljning och kontroll när vårdgivarna ska anslutas till SLL.net, fjärrnätet för datakommunikation inom Region Stockholm, men bedömer inte detta som tillräckligt.

För att nämnden ska uppfylla kommunallagens krav om intern kontroll och regionfullmäktiges egen policy samt riktlinjer, behöver arbetet utvecklas, menar de. PWC:s konsulter, som granskat dokument och intervjuat berörda tjänstemän, uttrycker sig något rakare i sin rapportbilaga.

»Bristen på kontroll gör också att vi bedömer att HSN inte följer upp sina leverantörsrelationer på sådant sätt som både interna styrdokument och lagstiftning kräver«.

Vad säger då företrädare för Region Stockholm? I ett e-postsvar framhåller chefsläkare Johan Bratt att förvaltningen följer upp avtalen rent generellt utifrån vilka signaler de får in och en prioriteringsmodell. Han lyfter fram en fördjupad uppföljning av Kry 2021 som ett exempel på detta.

Bristen på kontroll gör att PWC bedömer att lagen och interna styrdokument inte följs. Hur allvarligt ser ni på det?

»Revisorerna har hittat flera intressanta saker som vi kommer ta med oss i utvecklingen av avtalsprocessen. Förvaltningen vill säkerställa i vår uppföljning att den fångar det som är absolut nödvändigt utan att belasta vårdgivarna med oproportionerlig administration.«

HSN har ett budgetuppdrag 2023 om att skärpa etableringskrav och avtalsuppföljning som förvaltningen arbetar vidare med. Informationssäkerhet är en av flera frågor som är aktuella att granska redan i ansökningsförfarandet, skriver Johan Bratt.

Till saken hör att regionrevisorerna förde fram liknande kritik och liknande rekommendationer redan 2018. De rekommenderade då HSN att snarast skapa rutiner för uppföljning. Sedan dess har en enkät tagits fram och under våren 2023 också skickats ut.

»Projektet med att ta fram en enkät påbörjades 2019 men drog ut på tiden med anledning av pandemin, som påverkade både förvaltningen och vårdgivarna.  Enkäten är ute just nu hos olika vårdgivare och förvaltningen inväntar resultaten så att dessa kan analyseras«, skriver Johan Bratt.

PWC:s revisorer bedömer att enkäten är ett steg framåt, men att denna inte är tillräcklig, då svaren inte kommer att ge »en säker och objektiv bild«.

Hur ser ni på behovet av andra uppföljningsåtgärder än enkäten?

»Att skicka enkäten är inte den enda åtgärden utan den första, svaren kan sedan användas som underlag för fördjupad uppföljning och eventuella vidare åtgärder. Vidare åtgärder kan till exempel vara kontroll på plats eller granskning av vårdgivarens dokumentation«, svarar Johan Bratt.

Revisorerna anser också att själva kraven på informationssäkerhet i avtalen behöver förbättras även om arbetet med krav och villkor stärkts de senaste åren.

Till exempel behöver upphandlarna mer utgå från de olika vårdverksamheternas särskilda informationssäkerhetsrisker när de ställer kraven. Vårdbolagen bör också i större utsträckning kunna verifiera sitt säkerhetsarbete redan vid upphandlingen, alltså före det att avtalet skrivs under. Revisorerna efterlyser också incitament för de externa aktörerna att själva utveckla sin informationssäkerhet.

Johan Bratt framhåller att avtalsmallarna uppdaterades i början av 2023, och det innebar ett förtydligande gällande informationssäkerheten.

»De nya mallarna kommer att införas successivt i samband med kommande revideringar och upphandlingar av hälso- och sjukvård«, skriver han.

Regionrevisorernas rekommendationer:

• Hälso- och sjukvårdsnämnden bör säkerställa en återkommande systematisk uppföljning av externa vårdgivares informationssäkerhet.
• Ledningen bör inkludera uppföljning gällande informationssäkerhet i den interna kontrollplanen.
• Ledningen bör säkerställa att kravställning, val av kriterier i kvalificering och utvärdering samt avtalsvillkor i större utsträckning präglas av en riskbedömning avseende vilka specifika informationssäkerhetsrisker och vilka informationssäkerhetskrav som behöver hanteras inom olika typer av upphandlingar.

Källa: Regionrevisorerna: Externa Vårdgivares informationssäkerhet. Region Stockholm.