Del av dokument 3:2 (2015–2016) / Offentliggjort Undersøkelse av helseforetakenes ivaretakelse av informasjonssikkerhet i medisinsk-teknisk utstyr
I likhet med tradisjonelle IKT-systemer kan også medisinsk-teknisk utstyr inneholde personsensitive opplysninger. Helseopplysninger som ligger i medisinsk-teknisk utstyr er ikke godt nok beskyttet.
- (PDF, 0,65 MB) Last ned fullversjon
Funn
- Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av dem.
- Bare 6 av 19 helseforetak har stilt krav til leverandørens behandling av personopplysninger i én eller flere avtaler som de har inngått.
- Få helseforetak har stilt krav i avtalene om at de må gi samtykke før leverandøren kan gjøre endringer i systemet. Dette betyr at leverandøren ikke er forpliktet til å varsle helseforetaket når den foretar endringer.
- Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr.
- Det er uklare ansvarslinjer internt i helseforetakene og mellom helseforetakene og de regionale IT-enhetene.
Anbefalinger
Riksrevisjonen anbefaler at
- Helse- og omsorgsdepartementet forsikrer seg om at de regionale helseforetakene og helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger
- de regionale helseforetakene sørger for bedre samordning mellom regionene og innad i den enkelte region for å sikre at kravene som stilles til leverandører av medisinsk-teknisk utstyr om informasjonssikkerhet, blir mer ensartet
- de regionale helseforetakene og helseforetakene klargjør ansvarslinjene for håndtering av informasjonssikkerhet mellom de regionale it-enhetene og helseforetakene og innad i helseforetakene, slik at rollene til hver enkelt er klart definert og forstått
- de regionale helseforetakene og helseforetakene sørger for at lover og regler for informasjonssikkerhet blir ivaretatt, ved å stille klarere krav til informasjonssikkerhet overfor leverandørene av medisinsk-teknisk utstyr
- helseforetakene følger opp at leverandørene overholder kravene i leverandøravtalene
- helseforetakene utarbeider risikovurderinger av informasjonssikkerhet i medisinsk- teknisk utstyr for å få oversikt over informasjonen som ligger i utstyret, og hvordan informasjonen blir eksponert
Bakgrunn og mål
Innen helsevesenet benyttes det mange systemer og mye utstyr som inneholder helseopplysninger. Det foreligger ingen nasjonal oversikt over omfanget av medisinsk-teknisk utstyr, men Oslo universitetssykehus HF hadde per 1. januar 2015 totalt 39 765 enheter som er definert som medisinsk-teknisk utstyr. Det er foreløpig en begrenset andel av utstyret som kan lagre pasientopplysninger, men andelen som inneholder slike opplysninger er økende.
Målet med revisjonen har vært å undersøke om helseforetakene har tilstrekkelig informasjonssikkerhet ved bruk av medisinsk-teknisk utstyr.