Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1
Risiko Risikopunkt Konsekvens S K 1 Sikkerhet Risiko for feil bruk av systemene som følge av manglende kunnskap om bruk av systemet kommer på avveie/misbrukes. regelverk Feil bruk av bruk av merknadsfelt i NISSY og notat i PRO kan medføre at sensitiv info gis til transportør Opplæring av ansatte innen informasjonssikkerhet og avvikshåndtering for å sikre riktig håndtering av og bruk av systemene Individuelle kompetanseplaner med fastsatte kvalitetsmål Rutiner for oppfølging av avvik og kvalitet Slår av PCer etter arbeidstid Intern skjerming, eksempelvis egne manuelle arkiv for spesialsaker Opplæring av rekvirenter i primær- og spesialisthelsetjenesten. Innført rutine for bruk av fritekstfelt i NISSY Turer som innholder merknad til transportør gjennomgås Fortsatt fokus på intern og ekstern opplæring knyttet til bruk av systemene og krav i databehandleravtalene, inklusiv og videreutvikle opplæring og oppfølging av avvik (internt) ANS ( klasseromskurs og e-læring) Andre forslag fra Feltet «melding til transportør» bør merkes med en advarsel slik at rekvirent blir OBS på at informasjonen kommer ut. Rekvirenter som ikke følger opp krav bør deaktiveres Obligatorisk elæringskurs i informasjonssikkerhet for alle rekvirenter. Vurderes i egnede fora lokalt eller nasjonalt
Risiko Risikopunkt Konsekvens S K 2 Bruk av og kunnskap om Risiko for uautorisert tilgang til som følge av fysisk lagring utenfor PRO og NISSY (eksempelvis manuelle arkiv og permer) Risiko for på avveie som følge av at blir utlevert til feil eller uautoriserte personer Risiko for på avveie som følge av bruk av ukryptert e-post Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap hos rekvirenter kommer på avveie/misbrukes. Svekket omdømme regelverk likebehandlingsprinsippet Uautorisert bruker får tilgang Økt ressursbruk på kontoret ifm feil i saksbehandling, klager/avvik Minimalt med permer, de fleste er innelåste. Eksempelvis flybestillinger, faktura og taksameterslipper Gjennomført opplæring av de fleste rekvirenter via kurs, telefon og internopplæring. Prosedyre for makulering Kartlegging og systematisk oppfølging av brudd på regelverket Internett og intranettsidene er oppdatert Opplæring av ansatte om håndtering av Egne manuelle arkiv for spesialsaker for å sikre intern skjerming. Adgangskontroll Oppsøkende virksomhet ut mot behandlere med opplæring av rekvirenter Oppfølging av rekvirenter ved oppdagede avvik Utarbeide skriftlige retningslinjer for bruk av eksternt Gjennomføre intern revisjon med full gjennomgang og kartlegging av manuelle arkiv og omfang av disse. Herunder makulere gamle papirarkiv. Kartlegge behov for opplæring av rekvirenter og gjennomføre denne opplæringen. Bruke flere ressurser i informasjonsarbeid Oppfordre alle rekvirenter til å gjennomføre elæringskurs på pasientreiser.no. ANS kan bistå med tilrettelagt opplæring på forespørsel Vurderes i egnede fora lokalt eller nasjonalt (kartlegging) Juni 2015 (gjenno mføring)
Risikopunkt Konsekvens S K Risiko 3 Eksterne avtaleparter Risiko for feil håndtering av personopplysninge r som følge av manglende/mange lfull avtale, oppfølging og opplæring av underleverandør og deres eventuelle underleverandør(e r) kommer på avveie/misbrukes. regelverk Alle transportører /sjåfører må bestå Pasientreiser ANS sitt elektronisk sjåførkurs (kontraktsfestet hos noen) Taushetserklæring Oppfølging av etterregistrerte turer, bomturer, egenandelskorrigering og tilbakemelding til transportør på avvik om kjøreoppdraget Utført gjennomgang og informasjon om håndtering av Nasjonal gjennomgang for å sikre at kravene i databehandleravtalene er ivaretatt hos pasientreisekontorene og leverandørene i 2010, 2011, 2012 og 2013. Nasjonal opplæring har vært en sentral del av gjennomgangene. Kurs om internkontroll for lederne ved pasientreisekontorene høsten 2012 Kurs om bruk av våren 2014. Medarbeidere ved pasientreisekontor forsikrer seg i telefonsamtale med sjåfører at de ikke har samtalen på høyttaler, eller er alene i bilen. Tettere oppfølging, inklusiv stikkprøver, av alle avtaleparter (transportører) mht taushetsplikt og bruken av Oppdatering av databehandleravtale Sikre gjennomføring av E-læring hos sjåfører gjennom å kreve dokumentasjon på gjennomført opplæring og oppfølging av at dette er ivaretatt i praksis. Gjennomgang av effekt av oppfølging av tiltakene etter revisjonen av tverrgående prosessene (1/2013) Oppfølging ny databehandler(radar) Opplæring om syketransportregisterforskriften, databehandleravtaler og internkontroll høsten 2014 Endring av forskrift Begrense fritekstfelt i Nissy Hyppigere transportørmøter (ANS kan bistå med metodikk på forespørsel) og ANS (ANS kan etter avtale bistå med å ajourføre oversikt via NISSY over transportører i samarbeid med ) ANS ANS ANS Vurderes i egnede fora lokalt eller nasjonalt 22.10.14 2015 (iht plan)
Risikopunkt Konsekvens S K Risiko 4 Økonomiske misligheter Risiko for økonomiske misligheter som følge av misbruk på rekvirentnivå Lovbrudd Økonomisk tap/merkostnad for helseforetakene Pasient/personer får en tjeneste vedkommende ikke har krav på å få dekket likebehandlingsprinsippet Opplæring og oppfølging av rekvirenter Kundemøter avholdt Oppdatert informasjon på internett- og intranettsidene Avviksoppfølging Behovsprøvde tilganger PRO og NISSY Intern opplæring om riktig bruk av systemene Etiske retningslinjer og jevnlig dilemmatrening Etablert rutine for kontroll av direkteoppgjør Stikkprøvekontroll av rekvisisjoner Ytterligere opplæringstiltak av transportør Ytterligere opplæringstiltak av rekvirent Ytterligere opplæringstiltak av medarbeidere Fortsatt fokus på videreutvikling og oppfølging av avvik ANS kan bistå med tilrettelagt opplæring på forespørsel Økt bruk av RADAR Fremheve positive eksempler/dele gode historier Muligheter for å fakturere rekvirenter ved feilbestillinger/misbruk Vurdere behov og muligheten for mer effektiv rekvirentkontroll. Se på muligheten for ytterligere kontrolltiltak og eventuelt øke kapasitet til oppgjørskontroll generelt Vurderes i egnede fora lokalt eller nasjonalt
Risikopunkt Konsekvens S K Risiko 5 Annet Risiko for ukorrekt saksbehandling og utbetaling som følge av utilstrekkelige kontrolltiltak Økonomiske misligheter Lovbrudd Feil bruk av regelverket kommer på avveie Merarbeid ved klager Feilutbetaling likebehandlingsprinsippet 2 2 Gjennomførte tiltak: Logisk test i system av kontonummer og fødselsnummer i PRO Kontroll av rett fødselsnummer skjer i to ledd (ved oppgaveregistrering og hos saksbehandler) Opplæring og årlig sertifisering av saksbehandlere i alle ledd. Metodikk for kontinuerlig forbedring implementert Stikkprøver av saksbehandling Systematisk bruk av Fylkesmannens avgjørelser og få omgjørelser (1-2 ) Nasjonale prosedyrer for feilutbetalinger Det er innført kontroll (attestering) på alle utbetalinger over kr 2500,- og stikkprøver ved avvik. Et kontor har tilskudd og tiltak for å beholde seniorsaksbehandlere Avviksoppfølging Flere kontrollorganer før utbetaling - arbeidsdeling. Ingen nye felles tiltak, men følges opp i linjen hvor området er vurdert i gul/rød sone. Etablere oppgjørsmodul og ANS Vurderes i egnede fora lokalt eller nasjonalt Iht egne frister
Enkeltvise risikovurderinger Grunnlag for samlede risikovurderinger Hvert av de fem områdene er akkumulert fra flere risikoelementer: Sikkerhet (5) Bruk av og kunnskap om (8) Eksterne avtaleparter (3) Økonomiske misligheter (2) Annet (1) Store variasjoner i innspillene mht egne og akkumulerte risikopunkter. Oppfølging Tiltak og oppfølging av risikoene skal skje i linjen iht ansvar. Eksempelvis må det enkelte foretak følge opp egne risikoer i rødt og gult selv om det akkumulerte er i grønt. Områder i rødt krever strakstiltak og skal prioriteres. For områder i gult bør det iverksettes tiltak med plan for oppfølging. Områder i grønt ansees som godt ivaretatt og krever ikke ytterligere tiltak.