Ny undersøkelse bekrefter: Normen brukes i helsesektoren
Norm for informasjonssikkerhet og personvern er godt innarbeidet som felles kravsett for helse- og omsorgssektoren. Det viser en ny undersøkelse som et ledd i arbeidet med Nasjonal e-helsemonitor.
- Dette er svært positive resultater. Et felles kravsett bidrar til økt transparens, noe som fører til tillit hos pasientene og at disse i større grad velger å dele egen helseinformasjon, sier Robert Nystuen, direktør for avdeling Innsikt og innovasjon i Direktoratet for e-helse.
Undersøkelsen kartlegger status, etablerer indikatorer og gir et sammenligningsgrunnlag for informasjonssikkerhet sett opp mot internasjonale forhold. Slik gir den et utgangspunkt for å følge med på utviklingen av informasjonssikkerhet i helsesektoren.
Les mer om Nasjonal e-helsemonitor
Direktoratet for e-helse står bak undersøkelsen Informasjonssikkerhet i helse- og omsorgssektoren (PDF) sammen med flere aktører i sektoren.
Hovedfunn
Deltakere i undersøkelsen var de regionale helseforetakene, 11 helseforetak, alle regionale IKT-tjenesteleverandører og Norsk helsenett (NHN). Funnene viser blant annet:
- Alle regionale helseforetak (RHF) gir føringer for informasjonssikkerhetsarbeidet til regionens felles IKT-tjenesteleverandører og helseforetak (HF), som bekrefter at de mottar slike føringer.
- Oppfølging fra RHF skjer ved formell eierstyring. HF og IKT-tjenesteleverandør driver operativ risikovurdering og risikohåndtering. Informasjonssikkerhet kan også være tema i dialog på ledelsesnivå mellom region og helseforetak.
- I helseforetakene (HF) er det fagansvarlige for informasjonssikkerhet som i stor grad har et tydelig definert og delegert ansvar for risikovurdering. Mange HF-ledere svarer at de i stor grad også er med i vurderinger.
- Alle deltakerne, med unntak av ett RHF, har en IKT-beredskapsplan som er godkjent av ledelsen. Til sammenlikning viste Difi sin undersøkelse at bare 72 prosent av statlige virksomheter hadde det samme.
- Dersom en sikkerhetshendelse skjer, bør den evalueres for læring. De fleste svarer at ledelsen i stor eller moderat grad er involvert slike evalueringer.
- De regionale felles IKT-tjenesteleverandørene i Norge skårer høyere i modenhet innen informasjonssikkerhet, enn helsesektoren globalt internasjonalt.
Anbefalinger
Basert på funnene i rapporten, gir Direktoratet for e-helse seks anbefalinger til virksomhetene i spesialisthelsetjenesten:
- Ledelsen må ha tilstrekkelig kompetanse og oppmerksomhet for å utøve reell styring og kontroll på informasjonssikkerhetsområdet.
- Det bør iverksettes tettere kommunikasjon fra RHF og mer involvering av HF i informasjonssikkerhetsarbeidet i regionene.
- Den enkelte virksomhet (RHF, HF og IKT-tjenesteleverandør) må sikre nødvendig kompetanse på fagfeltet risikostyring.
- Helseforetakene, i samarbeid med de regionale helseforetakene og IKT-tjenesteleverandør, bør gjennomføre minst én årlig øvelse i informasjonssikkerhet.
- Regionene bør søke å samarbeide om et felles rullerende øvelsesopplegg for informasjonssikkerhet, for å trekke ut felles lærdommer, beste praksis og løfte de som ligger etter i beredskapsplanlegging og -øvelser.
- Virksomhetene bør kartlegge sin sikkerhetskultur. På bakgrunn av kartleggingen kan virksomheten utforme eventuelle tiltak til forbedring.
Viktig faktagrunnlag
De regionale IKT-tjenesteleverandørene får ulike forbedringsforslag knyttet til beste praksis for å øke grad av modenhet innen informasjonssikkerhet.
- Rapporten er et viktig faktagrunnlag for det videre arbeidet med informasjonssikkerhet og tillit til sikker lagring av helseopplysninger, sier avdelingsdirektør Robert Nystuen.
Direktoratet har tidligere gjennomført en innbyggerundersøkelse som spurte innbyggerne av om deres oppfatning av bl.a. informasjonssikkerhet og personvern. En tilsvarende undersøkelse for å belyse oppfatning av informasjonssikkerhet blant klinisk helsepersonell, er under arbeid.