Det finns inga reglerande dokument, inga tillräckligt kvalificerade anställda och ingen strategisk ledning. Det är resultatet av revisioner av Region Västerbottens it- och informationssäkerhetsverksamhet samt av dataskyddsförordningen.
Västerbotten har skapat sig ett rykte inom digitalisering av hälso- och sjukvården. Området var tidigt ute med distanslösningar som virtuella vårdrum och digitala konsultationer, bland annat.
Regionens revisorer har dock lyft fram bekymmer i det övergripande arbetet med IT och informationssäkerhet i revisioner genom åren. Till exempel har det inte rapporterats något systematiskt arbete med riskanalys eller testning av hackarangrepp i verksamheten. Dessutom har den fysiska säkerheten i serverhallarna varit otillräcklig.
Området har nu beställt ytterligare två utvärderingar av IT- och informationssäkerhet, denna gång på strategisk nivå, samt av den allmänna dataskyddsförordningen (GDPR).
– Under årens lopp har vi genomfört flera revisioner. Dessa revisioner har alla en sak gemensamt: ingenting har förändrats när det gäller den strategiska hanteringen, säger Richard Norberg, revisionschef för Region Västerbotten.
EY, ett revisions- och konsultföretag, har genomfört de två revisionerna. Både regionstyrelsen och hälso- och sjukvårdsnämnden, som har det yttersta ansvaret för verksamheten, har granskats.
Enligt EY har styrningen en “ganska låg mognadsgrad” när det gäller informationssäkerhet, jämfört med vad verksamheten rekommenderar med tanke på den enorma mängden data och dess känsliga karaktär.
– Strategisk ledning och kontroll saknas. Man har inte upprättat en organisation med lämpliga resurser, saknar vissa styrdokument, kontrollerar inte att de anställda får utbildning och genomför ingen strategisk uppföljning på central nivå “Enligt Richard Norberg.
Säkerhetsbrister är fortfarande en källa till oro för regionens revisorer. De har nu lämnat många förslag till lagstiftarna. De handlar bland annat om att ta fram tydliga protokoll för att känna igen risker, säkerställa uppföljning och kontroll samt se till att personalen får rätt utbildning.
När det gäller GDPR anser EY att regionen brister på områden som interna kontroller och utbildning av registrerade användare om lagring av personuppgifter. Revisorerna föreslår också att man upprätthåller uppföljning och kontroll, håller styrdokumenten uppdaterade och förtydligar organisationen av dataskyddsverksamheten.
Förslag på hur du använder Lenitos säkra e-posttjänst. Deras mjukvara uppfyller GDPR och används av myndigheter för att överföra känsliga personuppgifter.
Anslut med Lenitos Microsoft-konto
Mer information om revisorernas granskning finns på Region Västerbottens webbplats.