Oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og, der er ansvarlig. Tiltak nr i rapport 1/2013 3 Kontroll enkeltoppgjør Internrevisjonens anbefaling Det bør gjøres en samlet risikovurdering av prosessen for å beslutte hvilke kontrolltiltak som er effektive og hensiktsmessige hos hver av partene for å sikre at saker blir korrekt behandlet og utbetalt. Oppfølgingsansvar iht internrevisjonen Vedtatte tiltak/handlingspunkter i (sak nr 08/2014, 23. januar) Området vil bli risikovurdert som en del av den nasjonale risikovurderingen som er beskrevet under til nr 19 Vurdere kontrolltiltak med basis i gjennomførte risikovurderinger Frister som er satt i vedtatte handlingsplan Mars 2014 April 2014 Status per 01.12.14 Dette punktet er behandlet som en del av den samlede risikovurderingen av pasientreiseområdet under punkt 19. Implementere eventuelle nye kontrolltiltak Mai/juni 2014 6 Behandling av rekvisisjoner, direkteoppgjør Det bør vurderes om arbeidsprosess- og rutinebeskrivelser samt opplegg for lagring og versjonshåndtering av disse kan standardiseres ytterligere. Det igangsettes nå et arbeid med gjennomgang og etablering av nye mandater for FA-gruppene. I den forbindelse er det ønskelig at FA-gruppene får ansvaret med å etablere og vedlikeholde arbeidsprosesser på sine ansvarsområder. Våren 2014 Prosess igangsatt med samarbeidsforum vinter 2014. Representantene for ønsket å prosessere dette som del av et felles arbeid omsamarbeidsarenaer med en leveranse til eierstyringsgruppen innen september 2014. I påvente av avklaring fra eierstyringsgruppen ble arbeidet med nye mandater satt på vent noen måneder. Tilbakemeldinger fra eierstyringsgruppen er nå mottatt og arbeidet med
oppdaterte/reviderte mandater forventes fullført i løpet av vinteren 2015. 8 Forvaltning og drift av NISSY Rutiner og manuelle kontroller for tildeling, endring og avslutning av tilganger i NISSY bør forbedres. Tildelte tilganger på området må gjennomgås. HF-ene ønsker, i samarbeid med de regionale helseforetakene, å utvike dagens intranettløsning til en nettportal som fungerer som en inngang til en rekke ressurser for pasientreiseområdet. Ved å samle informasjon i én kilde og gjøre dagens løsning for spredning og deling av informasjon bedre, kan vi bidra både til en enklere arbeidshverdag for medarbeiderne, likebehandling av pasienter og kostnadseffektivitet for helseforetakene. Tilgangsstyring og oppfølgingsplan for dette ble behandlet i styret i 23.10.13. er i rute med plan for gjennomføring av vedtatte endringer inkl avklaring av retten til å rekvirere og oppdatere prosedyrer og system. Igangsetting våren 2014 31.12.2014 (i samsvar med handlingsplan) har gjennomført intervjurunder med alle lederne og enkelte andre medarbeidere ved alle pasientreisekontorene. Det er i tillegg gjennomført en frivillig spørreundersøkelse på nettsiden. 246 respondenter svarte på denne undersøkelsen. Resultatene av den gjennomførte undersøkelsen og intervjuene ble presentert på Pasientreisekonferansen 2014 og vil bli brukt videre for å målrettet utvikle intranett til å bli et verktøy for hele pasientreiseområdet. Tiltakene i handlingsplanen er gjennomført og effekten av tiltakene er evaluert ifm høstens risikovurdering (sak 45-2014). Implementerte tiltak er vurdert som velfungerende. I arbeidet med tilgangsstyring har også avdekket et sikkerhetsavvik i NISSY som medfører anonym tilgang (ikke
innlogget bruker) til NISSY der man kan utføre oppslag mot Folkeregister på personnummer. Oppslaget forutsetter tilgang til Helsenettet. Det kan ikke rekvireres reiser eller fås innsyn i hemmelig adresse i denne innloggingen. På bakgrunn av dette avdekkede sikkerhetsavviket vil denne type tilgang stenges i release 4.7 som er planlagt produksjonssatt i mai 2015. 10 Kontroll direkteoppgjør Arbeidet med etablering av et standardisert opplegg og felles verktøy for kontroll av direkteoppgjør bør prioriteres. Det ble etablert et mandat for å gjennomføre en foranalyse som skulle kartlegge dagens situasjon og vurdere alternative systemløsninger for oppgjørskontroll høsten 2013. Det har vært gjennomført en foranalyse for prosjekt oppgjørskontroll i perioden 15/10-20/12 2013. Det er utarbeidet en foranalyserapport som ble gjennomgått og behandlet av styringsgruppen 6. januar 2014. Det er et ønske om å utdype noen av områdene i foranalysen før det Styringsgruppens anbefaling vil behandles av styret 10. mars Forprosjektet for oppgjørskontroll er nå i sluttfasen. Etter opprinnelig plan skulle dette ferdigstilles i november med styrebehandling i desember. Grunnet en større teknisk kompleksitet enn antatt og merarbeid knyttet til utvikling av ny SUTI-standard her prosjektet fått godkjenning for utvidelse av prosjektperioden til ultimo desember med styrebehandling i januar. Innføring av løsning er antatt gjennomført i løpet av 2015.
anbefales videre retning for prosjektet. 11 Statistikk og styringsdata og opp-følging i styrings-linjen Behovene for data for styrings- og oppfølgingsformål i pasientreise-kontorene bør avklares, og styringsrapporter på områder innenfor eventuelle udekkede behov bør utvikles raskt. Prosjekt for implementering av portalløsning for styringsinformasjon pågår og løsning planlegges implementert i andre kvartal 2014. For å dekke behovet for data til styrings- og oppfølgingsformål, vil løsningen inneholde standardrapporter og legge til rette for utvikling av egne rapporter. Juni 2014 Prosjekt Radar, ny portal for styringsinformasjon, er ferdigstilt og løsningen er i drift. Det arbeides aktivt med kompetanseheving av ressurser på pasientreisekontorene og for å gjøre løsningen til en naturlig del av arbeidshverdagen. Gjennom presentasjon og bruk av løsningen oppleves det at løsningen gir mange nye muligheter og godt grunnlag for videreutvikling av styringsinformasjon innen pasientreiseområdet. Det er allerede igangsatt en rekke tiltak for videreutvikling av rapporter og innhold i løsningen. Dette gjøres gjennom systemeieransvaret i og delvis ute på pasientreisekontorene. 12- Statistikk og styringsdata og oppfølging i styringslinjen Det bør avklares om tiltak som er iverksatt lokalt for å hente ut data direkte fra dataleverandøren og over i andre verktøy er i Databehandleransvar utredes i egen styresak i januar. Ref. styresak 07-2014. Anbefalingen i styresaken er at vil ta kontakt med helseforetakene for å igangsette Tentativt juni 2014 Det er våren 2014 gjennomført kurs i personopplysninger og databehandleravtaler hvor ledere ved pasientreise-
samsvar med de krav som følger av personopplysningsloven med tilhørende forskrift. arbeidet med revisjon av dagens databehandleravtaler eller vedlegg til disse. Styret vil orienteres om utfallet av prosessen. kontorene deltok. Videre er det arbeidet med å klargjøre databehandlingsansvaret. Det er bl.a. gjennomført en undersøkelse ved alle kontorene for å få klargjort bruken av personopplysninger i og utenfor PRO og NISSY. Det er gjort en vurdering fra ekstern advokat vedrørende forståelsen av registrene PRO og NISSY. har også vært i kontakt med jurister i Helse- og omsorgsdepartementet, datatilsynet og personvernombud ved Oslo universitetssykehus. Det er avklart at det er tilstrekkelig med justering av dagens bilag 1 og 2 til databehandleravtalene og at det ikke er nødvendig med justering av selve databehandleravtalen. I september ble det gjennomført et arbeidsmøte hvor alle pasientreisekontorlederne og samarbeidsforum for SLA deltok. Møtet ga verdifull innsikt i hvilke behov og hvilke utfordringer pasientreisekontorene har. Ledernes kjennskap og innspill til behov for bruk var avgjørende for å få utfyllende
og gode bilag. Etter møtet har laget utkast til nye bilag til databehandleravtalene. Utkastene ble sendt helseforetakene for innspill og tilbakemeldinger. Endelige bilag ble sendt til helseforetakene for underskrift i begynnelsen av november. vil også gjennomføre en prosess med bilagene til databehandleravtalene som er inngått med leverandørene. 17 Samhandling mellom HF med PRK, Pasient-reiser ANS og RHF-ene Det bør avklares om lokalt anskaffede IKTsystemer(eksempelvis Bliksund), som understøtter oppgaveløsingen i pasientreisekontorene, skal inngå som en del av den samlede IKTporteføljen på området. Støttesystemer IKT og databehandleransvar drøftes i egne styresaker i januar. Ref. styresak 09-2014 og 07-2014. Januar 2014 Gjennomgangen av støttesystemer IKT ble tatt til orientering av styret i januar (sak 09-2014). En nærmere vurdering av lokalt anskaffede IKT systemer, systemeierskap og databehandleransvar ble gjort i samarbeid med /SF og HF gjennom arbeidet med databehandleravtaler høsten 2014. Dette er konkretisert gjennom de reviderte bilagene til databehandleravtalen. Se styresak 47-2014. Funksjonalitet for administrasjon av bomturer
18 - Samhandling mellom HF med PRK, Pasient-reiser ANS og RHF-ene Systemeieransvaret og eventuelt databehandleransvaret for nye systemer som er tatt i bruk eller planlegges tatt i bruk i flere pasientreisekontor bør avklares. Støttesystemer IKT og databehandleransvar drøftes i egne styresaker i januar. Ref. styresak 09-2014 og 07-2014. Januar 2014 ble implementert i NISSY 4.5. og det er også igangsatt et arbeid for å se på videreutvikling av dagens Intranettløsning. Se punkt 6. Nye bilag til databehandleravtalene er nå sendt helseforetak med pasientreisekontor, se punkt 12. Bilagene er klargjørende i forhold til å gi en presis beskrivelse av hvilke oppgaver pasientkontorene skal utføre på vegne av. VIdere eventuelt hvilke lokale systemer og registre som skal benyttes i den forbindelse og som erkjenner å ha behandlingsansvaret for. Systemeieransvaret vil vurderes parallelt. 19 - Samhandling mellom HF med PRK, Pasientreiser ANS og RHF-ene Det bør etableres et systematisk opplegg for gjennomgang og oppfølging av risiko på pasientreiseområdet, slik at tiltak kan iverksettes med utgangspunkt i et omforent risikobilde. Arbeidet blir organisert som et eget prosjekt i med kvalitetsrådgiver som prosjektleder Utarbeide milepæler for arbeidet Utforme forslag til standardisert opplegg for Januar i 2014 Januar i 2014 Februar 2014 Beskrivelse av prosess og resultat av samlet risikobilde av pasientreiseområdet ble lagt frem for styret i sak 41-2014. Samarbeidsforum (SF) og ble enige om prosess og milepælsplan 22.02.14.Det var bred forankring og involvering av pasientreisekontorene i
risikovurderinger og prosess nasjonalt i samarbeid med Gjennomføre risikovurderinger Innarbeide nasjonale risikovurderinger for pasientreiseområdet som en del av årshjulet Mars 2014 April 2014 prosessen gjennom SF og i regionale dialogmøter. Hovedpunktene i prosessen har vært: Prosess og milepæler besluttes i SF (februar) Malverk uformes av og godkjennes i SF (mars) Aktuelle risikoområder kartlegges og legges inn i mal (april/mai) 19 risikoområder vurderes ved alle pasientreisekontor og (mai/juni) Risikoene akkumuleres av og sendes til SF for godkjenning (juli) Endelig, omforent, risikomatrise med tiltak ferdigstilles (august/september) Styret vedtok at det skal gjennomføres en årlig risikovurdering av pasientreiseområdet på høsten med behandling i styret i i oktober parallelt med selskapets ordinære, halvårlige risikovurdering. Fremdriftsplanen for arbeidet skal utarbeides i
samarbeid med SF. Rapporteringen av resultatene av oppfølgingen av forrige risikovurdering vil skje i forbindelse med ny risikovurdering. Neste risikovurdering av pasientreiseområdet og rapportering på oppfølgingen er planlagt presentert for styret i oktober 2015.