Del av dokument 3:2 (2015–2016) / Offentliggjort Undersøkelse av helseforetakenes ivaretakelse av informasjonssikkerhet i medisinsk-teknisk utstyr

I likhet med tradisjonelle IKT-systemer kan også medisinsk-teknisk utstyr inneholde personsensitive opplysninger. Helseopplysninger som ligger i medisinsk-teknisk utstyr er ikke godt nok beskyttet.

Funn

  • Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av dem.
  • Bare 6 av 19 helseforetak har stilt krav til leverandørens behandling av personopplysninger i én eller flere avtaler som de har inngått.
  • Få helseforetak har stilt krav i avtalene om at de må gi samtykke før leverandøren kan gjøre endringer i systemet. Dette betyr at leverandøren ikke er forpliktet til å varsle helseforetaket når den foretar endringer.
  • Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr.
  • Det er uklare ansvarslinjer internt i helseforetakene og mellom helseforetakene og de regionale IT-enhetene.

Anbefalinger

Riksrevisjonen anbefaler at

  • Helse- og omsorgsdepartementet forsikrer seg om at de regionale helseforetakene og helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger
  • de regionale helseforetakene sørger for bedre samordning mellom regionene og innad i den enkelte region for å sikre at kravene som stilles til leverandører av medisinsk-teknisk utstyr om informasjonssikkerhet, blir mer ensartet
  • de regionale helseforetakene og helseforetakene klargjør ansvarslinjene for håndtering av informasjonssikkerhet mellom de regionale it-enhetene og helseforetakene og innad i helseforetakene, slik at rollene til hver enkelt er klart definert og forstått
  • de regionale helseforetakene og helseforetakene sørger for at lover og regler for informasjonssikkerhet blir ivaretatt, ved å stille klarere krav til informasjonssikkerhet overfor leverandørene av medisinsk-teknisk utstyr
  • helseforetakene følger opp at leverandørene overholder kravene i leverandøravtalene
  • helseforetakene utarbeider risikovurderinger av informasjonssikkerhet i medisinsk- teknisk utstyr for å få oversikt over informasjonen som ligger i utstyret, og hvordan informasjonen blir eksponert

Bakgrunn og mål

Innen helsevesenet benyttes det mange systemer og mye utstyr som inneholder helseopplysninger. Det foreligger ingen nasjonal oversikt over omfanget av medisinsk-teknisk utstyr, men Oslo universitetssykehus HF hadde per 1. januar 2015 totalt 39 765 enheter som er definert som medisinsk-teknisk utstyr. Det er foreløpig en begrenset andel av utstyret som kan lagre pasientopplysninger, men andelen som inneholder slike opplysninger er økende.

Målet med revisjonen har vært å undersøke om helseforetakene har tilstrekkelig informasjonssikkerhet ved bruk av medisinsk-teknisk utstyr.

Denne saken er ferdigbehandlet av Stortinget

Saken ble behandlet i Stortinget 7. april 2016.

Les mer på stortinget.no
Kategorier: Digitalisering og ikt Statlig eierskap