Ekstern rapport om IT-sikkerhet

Helse Midt-Norge IT har fått gjennomført en ekstern vurdering av IT-sikkerheten i forbindelse med etablering og drift av nytt logistikk- og økonomisystem i Helse Midt-Norge.

 

​Bakgrunnen for at det ble gjennomført en ekstern vurdering er knyttet til en rapport for IT-sikkerhet og bruk av private leverandører som Direktoratet for e-helse publiserte i fjor.  Denne rapporten peker blant annet på at private leverandører er nødvendig for å modernisere og digitalisere helsetjenesten.

– Sikkerhetsaspektet er helt sentralt for å ivareta en bærekraftig helsetjeneste der opplysningene følger pasienten uten å komme på avveie.  Leverandører tilfører spesialkompetanse som helsetjenesten ikke har selv og kan bidra til mer stabile og tilgjengelige tjenester, sier adm.dir. Stig Slørdahl.
 
For at det skal være forsvarlig å bruke private leverandører understreker rapporten fra Direktoratet for e-helse at det kreves god styring av risiko og høy bestillerkompetanse hos sykehusene. Dette gjelder i alle faser, fra planlegging av anskaffelse til oppfølging av kontrakter og leveranser. Rapporten fra Direktoratet for e-helse peker på forbedringsområder i helsesektoren.

Evaluerte IT-sikkerheten

Helse Midt-Norge IT (Hemit) har med dette som bakgrunn fått gjennomført en evaluering av IT-sikkerheten i forbindelse med etablering og drift av nytt logistikk- og økonomisystem i Helse Midt-Norge. Logistikk- og økonomisystemet behandler fakturaer der opplysninger om pasientnavn og behandlingssted kan forekomme, noe som er å betrakte som sensitive personopplysninger.

Helse Midt-Norge inngikk i 2013 en avtale med IBM AS om utvikling, implementering og drift av logistikk- og økonomisystem i SAP. Hemit håndterer og drifter IKT-infrastrukturen, mens driftstjenestene på systemet utføres av IBM sitt spesialistmiljø på Manila, Filippinene.

Før avtalen med IBM ble inngått ble det gjennomført risikovurderinger, juridiske vurdering, inngåelse av databehandleravtaler og melding til Datatilsynet i tråd med gjeldende regelverk.

Evalueringen viser blant annet at Helse Midt-Norge har god kontroll på tildeling av administratorbrukere i systemet og at roller og ansvarsfordeling er godt beskrevet. Samtidig peker evalueringen på forbedringsområder i metodikken og risikovurderingene som ble gjort for å synliggjøre risiko innenfor informasjonssikkerhet.

Helse Midt-Norge tar anbefalingene i rapporten fra Direktoratet fra e-helse og funnene i evalueringen på alvor, og har satt i gang tiltak deriblant forbedringer i prosess og metodikk for risikostyring.

Fant du det du lette etter?
Tilbakemeldingen vil ikke bli besvart. Ikke send personlig informasjon, for eksempel epost, telefonnummer eller personnummer.