Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: Ekstraordinært styremøte 20. juni Tidspunkt:

Like dokumenter
Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

PROTOKOLL FRA FORETAKSMØTE I SYKEHUSPARTNER HF

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 6. desember Tidspunkt: Følgende medlemmer deltok:

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 19. juni Tidspunkt: Følgende medlemmer deltok:

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 2. mai Tidspunkt: Følgende medlemmer deltok:

Møteprotokoll. Styre: Møtested:

Styret Sykehuspartner HF 6. desember 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 30. august Tidspunkt: Følgende medlemmer deltok:

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 25. oktober Tidspunkt: Følgende medlemmer deltok:

Styret Sykehuspartner HF 15. november 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Helse Sør-Øst RHF 14. september 2017

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 5. februar Tidspunkt: Følgende medlemmer deltok:

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 12. desember Tidspunkt: Følgende medlemmer deltok:

Dato: 10. mai 2017 kl. 15:00 18:00 Sted: Sykehuspartner, Skøyen Møterom Livshjulet

Styret Helse Sør-Øst RHF 28. juni 2017

Styret Helse Sør-Øst RHF 16. november 2017

Styret Sykehuspartner HF 21. mars 2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. desember 2017 SAK NR MÅL 2018 PROSESS OG STATUS. Forslag til vedtak:

Styret Helse Sør-Øst RHF 15. desember 2016 SAK NR IKT-INFRASTRUKTURMODERNISERING STYRING OG OPPFØLGING AV EKSTERN PARTNER

Styret Helse Sør-Øst RHF 6. august 2018

Vedlegg 1 til styresak Oppdrag gitt i foretaksmøte 31. mai Statusrapport 5 om gjennomføring av oppdraget

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

Vedlegg 1 til styresak Oppdrag gitt i foretaksmøte 31. mai Statusrapport 3 om gjennomføring av oppdraget

Arbeid og erfaringer med konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst RHF. Hans Martin Aase

Møteprotokoll. Ansattes representant vara for Nanette Loennechen Ansattes representant vara for Tatjana Schanche

Foreløpig protokoll fra styremøtet 27. april 2017 inneholder følgende saker av spesiell interesse for Sykehusapotekene HF:

Styret Sykehuspartner HF 5. september 2018 STATUS FOR PROGRAMMET FOR STYRKET TILGANGSSTYRING, PERSONVERN OG INFORMASJONSSIKKERHET (ISOP)

Konsernrevisjonen Rapport 7/2019. Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019.

Styret Sykehuspartner HF 12. oktober 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus

Styret Sykehuspartner HF 12. desember 2018

Styret Sykehuspartner HF 5. september 2018

Saksframlegg. Styret Helse Sør-Øst RHF 10. september 2015

Styret Helse Sør-Øst RHF 4. februar 2016

Sak Oppfølging av vedtak fm foretaksmøte SykehuspartnerHF 31. mai 2017

Styret Sykehuspartner HF 10. april 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Vedlegg 1 til styresak Oppdrag gitt i foretaksmøte 31. mai Statusrapport 4 om gjennomføring av oppdraget

Foreløpig møteprotokoll

Styret Helse Sør-Øst RHF 15. juni 2017

HELSE MIDT-NORGE RHF STYRET

Saksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR

Saksframlegg. Saksgang: Styret Sykehuspartner HF 15. november 2017 SAK NR BUDSJETTPROSESS Forslag til vedtak:

Vedlegg til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.90

Styret Sykehuspartner HF 5. september 2018 BUDSJETT PROSESS OG TILNÆRMING TIL UTVALGTE OMRÅDER

Saksframlegg. Saksgang: Styret Sykehuspartner HF 25. oktober 2018 SAK NR ÅRSPLAN STYRET 2018/19. Forslag til vedtak:

Oslo universitetssykehus HF

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Oppdrag 2016 Regionalt senter for kliniske IKT løsninger Oslo Universitetssykehus HF

Årsplan styret i Sykehuspartner HF

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

SAK NR GODKJENNING AV PROTOKOLL FRA STYREMØTE 8. SEPTEMBER

Vedlegg 2 til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.5

Styret Sykehuspartner HF 25. oktober 2018 STATUS I ETABLERING AV PROGRAM FOR STANDARDISERING OG IKT- INFRASTRUKTURMODERNISERING

SAK NR TERTIALRAPPORT FOR IKT-PROGRAMMET DIGITAL FORNYING

HELSE MIDT-NORGE RHF STYRET

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. mars 2019 SAK NR ØKONOMISK LANGTIDSPLAN Forslag til vedtak

TERTIALRAPPORT DIGITAL FORNYING

Møteprotokoll for styret i Helsetjenestens driftsorganisasjon for nødnett HF

Styret Sykehuspartner HF 28. mai 2019

Styret Sykehuspartner HF 19. juni 2019

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Styret Sykehuspartner HF 25. oktober 2018 SYKEHUSPARTNERS LEVERANSER I BYGGEPROSJEKTER I HELSE SØR-ØST OG LEVERANSEOMFANG NYTT SYKEHUS I DRAMMEN

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Oslo universitetssykehus HF

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Møteprotokoll for styret i Helsetjenestens driftsorganisasjon for nødnett HF

Styret Helse Sør-Øst RHF 24. august 2018 SAK NR STATUS OG RAPPORTERING REGIONAL IKT-PORTEFØLJE PER FØRSTE TERTIAL 2018

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Styret Sykehusinnkjøp HF 4. april 2016

Fra administrasjonen: Adm. direktør Just Ebbesen og administrasjonssjef Vigdis Velgaard (referent)

Revisjonsplan 2019 Konsernrevisjonen Helse Sør-Øst. Oppdatert med endringer etter styremøte (sak 46/2018)

Saksframlegg. Saksgang: Styret Sykehuspartner HF 11. november 2015 SAK NR TILTAK BEDRE LEVERANSER TJENESTEENDRINGER. Forslag til vedtak:

Møteprotokoll for styret i Helsetjenestens driftsorganisasjon for nødnett HF

Saksframlegg. Styret Helse Sør-Øst RHF 10. mars 2016 SAK NR TERTIALRAPPORT 3. TERTIAL 2015 FOR DIGITAL FORNYING. Forslag til vedtak:

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 17/06/13

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

Saksframlegg Referanse

Møte: Styret, Sykehuspartner Dato: 22. desember 2014 kl 15:00 16:00 Sted: Helse Sør-Øst RHF, Grev Wedels plass

HELSE MIDT-NORGE RHF STYRET

Sikkerhetskrav for systemer

Hvilken vei går Helse Sør-Øst innenfor IKT-området?

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Rita von der Fehr, SAN, KTV Mette Vilhelmshaugen, YS. Nr. Sak Underlag Innledning Møteleder ønsket velkommen.

Notat til AD-møtet. U.off inntil et gitt tidspkt? Saken legges frem av (navn/tittel) Styreleder Sykehusinnkjøp HF Steinar Marthinsen

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Styret Helse Sør-Øst RHF 6. mai 2010

Vedlegg 1 tidligere vedtak i saken. Styrevedtak i Vestre Viken: Styrets vedtak 25. august 2010, sak 97/10:

INNKALLING OG SAKSLISTE

Styret Sykehuspartner HF 19. juni 2018 VIDERE ARBEID MED STANDARDISERING OG MODERNISERING AV IKT- INFRASTRUKTUR

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG

Løsning for regional multimedia. Mona K Andersen Sykehuspartner

Møteprotokoll. Steinar Marthinsen Atle Brynestad Nestleder Fra kl 09.30

Transkript:

Møteprotokoll Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: Ekstraordinært styremøte 20. juni 2017 Tidspunkt: 1400-1700 Følgende medlemmer deltok: Morten Thorkildsen Leder Anne Kari Lande Hasle Nestleder Anita Schumacher Eivind Gjemdal Just Ebbesen Pr. Lync Nanette Loennechen Ansattes representant Terje Aurdal Ansattes representant Vara for Tatjana Schanche Joachim Thode Ansattes representant Følgende fra administrasjonen var til stede i hele eller deler av møtet: Konst. adm. direktør Gro Jære, viseadm. direktør Olav Berg, direktør Tjenesteutvikling Axel Bull, direktør Plan og Styring Terje Takle Johnsen, Økonomidirektør Atle Helle, HRdirektør Siv Halvorsen, programleder John Vestengen, Mette Bustad Thordén (referent) Sakene ble behandlet i følgende rekkefølge: Sak 045-2017 Side 1 av 4

SAK 045-2017 FORELØPIG RAPPORT OM OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017 Saken ble behandlet i lukket møte, jfr. Helseforetaksloven 26a. Styrets enstemmige V E D T A K: 1. Styret godkjenner foreløpig rapport om oppfølging av protokoll fra foretaksmøte Sykehuspartner HF 31. mai 2017 med de kommentarene som fremkom i møtet og ber om at det legges frem oppdatert orientering på oppdraget i styremøte 30. august 2017. 2. Styret tar til orientering at Sykehuspartner HF har stilt programmet for IKTinfrastrukturmodernisering i bero på en kontrollert måte. Inngåtte avtaler løper ut oppsigelsestiden. 3. Styret godkjenner at enkelte prosjekter som har vært gjennomført som en del av IKT-infrastrukturmoderniseringsprogrammet videreføres i tråd med fremstillingen i saken. Dette for å sikre Sykehuspartner HFs drift, videreføre kritiske moderniseringsprosjekter for aktuelle helseforetak og legge til rette for en kommende modernisering av IKT-infrastrukturen. Dette gjelder følgende prosjekter: Prosess og verktøyprosjektet Applikasjonskonsolidering og standardisering Identity and access management (IAM) -prosjektet videreføres og styrkes. Etablering av en helhetlig løsningsarkitektur for modernisert infrastruktur inklusiv fremtidig regional sikkerhetsarkitektur. Replanlegging telekommunikasjon. Helseforetaksspesifikke prosjekter som listet i vedlegg 2 4. Endringene som følger av protokoll fra foretaksmøte 31. mai 2017 har konsekvenser for driften i Sykehuspartner HF og det må gjennomføres tiltak som sikrer at sikker og stabil drift opprettholdes, blant annet innen lagring og back-up. 5. Endringene som følger av protokoll fra foretaksmøte 31. mai 2017 har konsekvenser for ansatte og for Sykehuspartner HF som organisasjon. Styret ber administrerende direktør sikre at berørte ansatte blir fulgt opp på en god måte. 6. Styret tar foreløpig plan for styrket tilgangsstyring og en bedre metode for risikoog sårbarhetsanalyser til orientering og ber administrerende direktør iverksette kortsiktige tiltak og fortsette arbeidet med planen. Bredding av analyseplattformen til alle helseforetak trekkes frem som et viktig tiltak som på kort sikt kan øke informasjonssikkerheten gjennom sporing og logging. Side 2 av 4

7. Styret ber administrerende direktør gå i dialog med Helse Sør-Øst RHF for å sikre finansiering til videreføring av prosjekter og tiltak for å sikre sikker og stabil drift. 8. Styret legger stor vekt på å ivareta interessene til pasienter og helsepersonell i forhold til sensitive opplysninger, fremdrift i modernisering av infrastrukturen, samt involvering av de ansatte. Styret ber om at administrerende direktør og styreleder går i dialog med DXC for å fremskaffe beslutningsunderlag innenfor de foreslåtte alternativene så raskt som mulig. Styret legger stor vekt på forsvarlig fremdrift. Stemmeforklaring fra ansatte representantene Nanette Loennechen, Terje Aurdal og Joachim Thode: Ansattrepresentantene kan ikke se at noen av de 3 alternativene skissert i vedlegg 6 endrer muligheten for at en ekstern partner kan få tilgang til pasientsensitive data fra utlandet. Med bakgrunn i den siste tidens mediebilde står det klart for de ansatte, i Sykehuspartner, at samfunnet generelt ikke støtter at ressurser hos en utenlandsk partner skal kunne få tilgang til pasientdata. Ansattrepresentantene mener at bruk av ordet modernisering er misvisende i forhold til hva avtalen faktisk gir Helse Sør-Øst. Dette dreier seg i stor grad kun om en standardisering av infrastruktur nivå. Flere ansatte påpeker at teknologivalget som er gjort av ESN benytter seg av eldre teknologi enn det som i mange tilfeller benyttes av Sykehuspartner. Sykehuspartner er per i dag ikke modent for å inngå en avtale som eksklusivt legger så store driftsoperasjoner til en leverandør. Vi kan heller ikke se hvordan en slik avtale, om den videreføres, i ettertid kan splittes opp hvis det skulle bli et behov for dette. Vi ser at det er stor uro blant de ansatte og ser med uro på at personell i omfang for en eventuell virksomhetsoverdragelse i større grad velger å slutte. Vi kan ikke se at businesscaset slik det ble fremlagt for 1 år siden fortsatt står seg. Vi mener derfor at en oppdatering må gjennomføres på businesscaset og settes opp mot en vurdering av gjennomføring i egen regi. De ansatte kan ikke se at de har vært involvert i utarbeidelsen av denne rapporten. De tillitsvalgte har blitt informert. Side 3 av 4

Skøyen, 20. juni 2017 Morten Thorkildsen Leder Anne Kari Lande Hasle nestleder Anita Schumacher Eivind Gjemdal Just Ebbesen Nanette Loennechen Joachim Thode Terje Aurdal for Tatjana Schanche Side 4 av 4

Oppdrag gitt i foretaksmøte 31. mai 2017 Foreløpig rapport om gjennomføring av oppdraget Status per 20. juni 2017

Innhold 1. Bakgrunn... 3 2. Programmet stilles i bero inntil videre... 3 3. Programmets ressurser forutsettes disponert til utredning av de forhold som styret i helse Sør Øst RHF har påpekt... 4 4. Redegjørelse for dagens driftssituasjon når det gjelder konfidensialitet, integritet og tilgjengelighet, herunder redundans og backup løsninger ved ulike hendelser. Samt beskrive konfidensialitetsproblemstillingene knyttet til privilegerte tilganger ved drift av IKT infrastruktur.. 4 5. Utarbeide en plan for styrket tilgangsstyring og en bedre metodikk for risiko og sårbarhetsanalyser. Planen skal ivareta informasjonssikkerhet og personvern innenfor lovmessige krav samt de nye EU personvernkravene (GDPR)... 4 6. Utrede mulige alternativer for etablering av modernisert IKT infrastruktur i Helse Sør Øst, basert på inngått avtale med Enterprise Services Norge AS.... 4 7. Utarbeide forslag til styrket styring og ledelse av prosjektet.... 5 8. Overordnet konsekvensvurdering av en eventuell terminering av avtalen med Enterprise Services Norge AS.... 5 2

1. Bakgrunn Sykehuspartner HF fikk foretaksmøte 15. oktober 2016 i oppdrag å inngå avtale om modernisering av IKT infrastruktur Helse Sør Øst RHF med ekstern partner. Grunnlaget for oppdraget er beskrevet i Helse Sør Øst RHF styresak 069 2016, og peker blant annet på at: «Modernisering, standardisering og harmonisering av den grunnleggende IKT infrastrukturen i Helse Sør Øst er en nødvendig forutsetning både for å lykkes med å videreutvikle Sykehuspartner som en sterk og effektiv tjenesteleverandør som understøtter helseforetakenes behov, samt for å gjennomføre Digital fornying i tråd med gjeldende strategier. Det er viktig å gjennomføre tiltak som kan understøtte en digitalisering, modernisering og standardisering av kliniske og administrative arbeidsprosesser i helseforetakene, og i denne sammenheng er en modernisert infrastruktur helt avgjørende.» Formålet med dette dokumentet er å gi en foreløpig rapport i henhold til bestilling fra foretaksmøtet 31. mai 2017 Oppdraget gitt i foretaksmøtet er omfattende og i denne foreløpige rapporten vil det bli presentert en overordnet plan for gjennomføring av oppdraget, samt foreløpige leveranser i egne vedlegg som det henvises til gjennom denne rapporten. Rapporten vil utdypes i forhold til IKTinfrastrukturen i helseregionen og for å gi gode svar er det nødvendig å se dagens driftssituasjon i et historisk perspektiv. Det er satt opp et prosjekt i Sykehuspartner HF for å koordinere arbeidet med oppdraget. Oppdraget vil involvere sentrale ledere og ressurser i linjen til å løse oppdraget. Programledelsen fra det tidligere imod programmet bidrar gjennom å opprettholde et kjerneteam for blant annet å se på alternative veier til modernisert IKT infrastruktur. I foretaksprotokollen ble det bestilt en foreløpig rapport om gjennomføring av oppdraget gitt i foretaksmøte 31. mai 2017. Rapporten skal overleveres Helse Sør Øst RHF innen 20. juni 2017. Med den korte fristen for å avgi foreløpig rapport, er det i felleskap med de tillitsvalgte blitt enighet om å gjennomføre ukentlige statusmøter med alle de hovedtillitsvalgte. Videre er det gitt innspill på fagressurser som spesielt bør være inkludert i prosessen for avgivelse av statusrapport (møte med disse fagressursene er flyttet fra fredag 16. juni til mandag 19. juni grunnet kort frist på innkallingen). Videre form og hyppighet på involvering av tillitsvalgte og ytterligere fagressurser avtales etter at styremøtet i Helse Sør øst RHF 28. juni er gjennomført. Styret vil legge vekt på selv om man gjennomfører en lang rekke tiltak knyttet til sikkerhet og tilgangsstyring så er kompleksiteten i applikasjoner og infrastruktur så stor at det vil ta lang til å komme til et nivå der kun de med et tjenestelig behov har tilgang til helseopplysninger. Det kan gjennomføres begrensende tiltak men må avveies mot kostnad i dagens løsninger opp mot fremtidig løsning. 2. Programmet stilles i bero inntil videre Programmet ble stilt i bero ved å oppløse programstyret 31. mai 2017. Videre ble helseforetak SPOC (single point of contact) gruppe også satt i bero. Den 6. juni 2017 ble det formalisert en stopp ordre til DXC gjennom endringsordre til kontrakten. Denne endringsordren er under behandling hos DXC og det avventes formell respons på ordren. Det pågår en nedpakking og nedbemanning av ressurser fra programmet hvor det også blir gjennomført en vurdering av kritiske aktiviteter som anbefales videreført og konsekvenser av at prosjektet er stilt i bero. Dette er beskrevet i vedlegg 2: «Tiltak for å stille programmet i bero». 3

3. Programmets ressurser forutsettes disponert til utredning av de forhold som styret i helse Sør Øst RHF har påpekt Prosjektleder for oppdraget og programledelsen fra programmet IKT infrastrukturmodernisering arbeider med å sette opp et kjerneteam for utredning av alternativer samt sikre tilstrekkelig involvering fra ansatte og tillitsvalgte. Videre jobbes det med hvordan det sikres re etablert en styringsstruktur og fremdrift på prosjektene beskrevet i vedlegg 2 og en minimumsbemanning for å holde avtaleforholdet med DXC løpende i bero perioden. 4. Redegjørelse for dagens driftssituasjon når det gjelder konfidensialitet, integritet og tilgjengelighet, herunder redundans og backup løsninger ved ulike hendelser. Samt beskrive konfidensialitetsproblemstillingene knyttet til privilegerte tilganger ved drift av IKT infrastruktur. Det er utarbeidet en foreløpig rapport «Vedlegg 3 Redegjørelse dagens driftssituasjon» som beskriver konfidensialitet, integritet og tilgjengelighet for særlig følgende områder: IKT utviklingen i Helse Sør Øst Risiko og sårbarhetsanalyser Tilgangsstyring Utdatert infrastruktur Sykehuspartner HFs mandat og styringsevne Omfanget av redegjørelsen er stort. «Redegjørelsen dagens driftssituasjon» omfatter en av de største og mest komplekse IKT infrastrukturene i Norge, og en redegjørelse vil nødvendigvis være av overordnet natur. Rapporten vil utdypes i forhold til IKT infrastrukturen i helseregionen. Rapporten vil fungere som underlag for tiltakene for oppdraget i vedtak 4 av foretaksprotokollen. 5. Utarbeide en plan for styrket tilgangsstyring og en bedre metodikk for risiko og sårbarhetsanalyser. Planen skal ivareta informasjonssikkerhet og personvern innenfor lovmessige krav samt de nye EU personvernkravene (GDPR) Sykehuspartner HF har sett nærmere på aktiviteter som er nødvendig å gjennomføre for å styrke tilgangsstyringen. Vedlegg 4 Styrket tilgangsstyring beskriver en plan for implementering av tiltak på kort og lang sikt. Det arbeides også med en plan for bedre metodikk for risiko og sårbarhetsanalyser. Planen vil dekke elementer som beskrevet i Vedlegg 5 Styrket metode for risiko og sårbarhetsvurderinger. 6. Utrede mulige alternativer for etablering av modernisert IKT infrastruktur i Helse Sør Øst, basert på inngått avtale med Enterprise Services Norge AS. Programledelsen og sentrale programressurser i imod har startet utredningen av alternativer for etablering av modernisert IKT infrastruktur ved bruk av inngått avtale med Enterprise Services Norge AS. En tidlig vurdering er utarbeidet og vedlagt i Vedlegg 6 Alternativer for etablering av modernisert IKT infrastruktur innenfor inngått avtale. Det legges nå opp til en komprimert plan der det søkes å fremskynde prosessen med å utforske handlingsrommet innenfor mulige alternativer 4

sammen med DXC. Det legges opp til at DXC gir tilbakemelding på alternative veier videre og at disse, samt anbefalt fremdriftsplan presenteres for styret i styremøte 30. august 2017. 7. Utarbeide forslag til styrket styring og ledelse av prosjektet. Det ble i vår gjennomført en ekstern gjennomgang av styringsmodellen i programmet imod. Gjennomgangen ble utført av et anerkjent konsulentselskapet innen prosjektstyring og rådgiving som i sin rapport anbefalte en rekke tiltak for bedret styringsmodellen for programmet. Det anbefales at anbefalingene innarbeides i forslaget til ny organisering av et revitalisert/nytt IKTinfrastrukturmoderniseringsprogram. 8. Overordnet konsekvensvurdering av en eventuell terminering av avtalen med Enterprise Services Norge AS. Det er gjennomført en overordnet vurdering av en eventuell terminering av avtalen inkludert økonomisk og praktiske konsekvenser av termineringen. Vurderingen som er utført anses å inneha høy usikkerhet da det foreløpig ikke er mottatt noe krav fra DXC. Videre trenger programmet og prosjektene mer tid for å vurdere konsekvenser. Vurderingen finnes vedlagt i vedlegg 7 Overordnet konsekvensvurdering av terminering av kontrakten. Det vil være nødvendig å utarbeide en modell for modernisering og fremtidig drift av IKT infrastruktur dersom termineringsalternativet materialiseres, og prosessen må dekke en ny vurdering og sammenligning med alternativ gjennomføring. Dette betyr nye analyser og en eller flere nye anskaffelsesprosesser, noe som igjen medfører en betydelig forsinket modernisering av infrastrukturen i foretaksgruppen. 5

VEDLEGG 4 STYRKET TILGANGSSTYRING Innledning Tilgangsstyring skal sikre at rett person får rett tilgang, til rett ressurs/informasjon, til rett tid og fra rett sted, med tilhørende sporbarhet og kontrollmekanismer. Tilgangsstyring er summen av policyer, prosesser og teknologi som er ment å regulere og etterleve dette området. Det finnes ulike teknologier som benyttes for å ivareta identitet og tilgangsstyring som område, og Helse Sør Øst (HSØ) har valgt å ta i bruk flere av disse for å understøtte regionens behov for autentisering og autorisasjon. Videre reguleres tilgang gjennom databehandleravtaler og personlige taushetserklæringer. Se Appendix A for definisjoner vedrørende Tilgangsstyring/ kontroll. Bakgrunn Det henvises til vedlegg 3 «Redegjørelse av dagens driftssituasjon når det gjelder konfidensialitet, integritet og tilgjengelighet». Kortsiktige tiltak Det vil være behov for å fortsette arbeidet med organisering, ansvarsfordeling, styring, policy, prosesser og rutiner for tilgangsstyring i perioden fremover. Det er den siste tiden avdekket flere utfordringer ved dagens praksis, som vil måtte adresseres gjennom tiltak den kommende perioden. I tillegg til de overnevnte punktene vil det iverksettes arbeid knyttet til sterkere og bredere tiltak innenfor sporbarhet og kontrollmekanismer. I og med at området er stort og komplekst anbefales det at kortsiktige tiltak fokuseres mot privilegerte tilganger som benyttes for drift, forvaltning og leverandøraksess. En rekke kortsiktige tiltak er allerede iverksatt: Forsterket rutine for tildeling av priviligerte tilganger Forsterket rutine for gjenåpning av eksisterende tilganger Gjennomgang av kontroll og rapporteringsbehov Full gjennomgang av tilganger for leverandører og eksternt personell Påbegynt deaktivering av tilganger for leverandører og eksternt driftspersonell som ikke har tjenestelig behov Bedret kontrollrapportering av tilgangsendringer for leverandører og eksternt personell Det vil også bli gjennomført vurderinger av endringer og/eller bredding av allerede tilgjengelige produkter som f.eks: Saksbehandlingsverktøyet (HPSM) er planlagt oppgradert høsten 2017 slik at godkjenningsprosessen styrkes. Økt bruk av passordhvelvet (PAM) for priviligerte tilganger. Dette vil innebære økt løpende driftskostnad i året. Ytterligere utvidet bruk av produktet PAM må ses opp mot et langsiktig målbilde før det kan vurderes. Utvidet bruk av passordhvelvet kan iverksettes høsten 2017 dersom finansiering avklares. Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 991 324 968

Bredding av analyseplattformen til alle HFene vil gi økt sporbarhet og kontroll/rapporteringsmulighet. Dette er også definert som et regionalt tiltak etter hendelsen med Wannacry. Det er ikke budsjettert med midler til dette i 2017. Bredding kan igangsettes i august 2017 dersom finansiering avklares. Disse tiltakene vil gi en positiv effekt på tilgangsstyringen, men utelukker ikke muligheten for at driftspersonell med privilegerte rettigheter kan eksponeres for helseopplysninger/sensitive personopplysninger. Langsiktige tiltak Et samlet initiativ for forsterking av tilgangsstyring har en betydelig kompleksitet, gitt det store antall brukere i Helse Sør Øst og volumet av servere og applikasjoner som eksisterer, samt behovet for etablering av styringsmodeller for tilgangsstyring og applikasjonsportefølje i HSØ. Dette initiativet vil også ha en betydelig økonomisk og ressursmessig konsekvens, som gjør at det vil være behov for å gjennomføre en prioritering av tilnærmingen på dette initiativet. For å sikre en strukturert og samlet tilnærming til tilgangsstyring bør det igangsettes et prosjekt som har som formål å definere og forankre et målbilde for dette område, samt en GAP analyse og et veikart som grunnlag for en prioritert implementeringsplan. Dette målbildet må også sees opp imot den planlagte infrastrukturmoderniseringen og andre regionale prosjekter, for å sikre at disse er samkjørt og at det ikke gjennomføres overlappende aktiviteter. Prosjektet må sees i sammenheng med IAM og de andre prosjektene som er vurdert for viderføring fra imod. På det nåværende tidspunkt antas at en foranalyse kan foreligge i starten av kvartal 4 2017. Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 991 324 968

Appendix A: Normen om informasjonssikkerhet i Helse og omsorgstjenesten beskriver kravene til informasjonssikkerhet, herunder tilgangsstyring: Med tilgang menes at helse og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov (Normen) Med autorisere/autorisert/autorisasjon menes at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt (Normen) Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse og personopplysninger. Det skal iverksettes tiltak slik at mulig misbruk skal kunne avdekkes. (Normen) Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 991 324 968

VEDLEGG 5 STYRKET METODE FOR RISIKO OG SÅRBARHETSVURDERINGER Bakgrunn og formål Foretaksmøtet vedtok den 31. mai at det skal utarbeides en plan for at metodikk for risiko og sårbarhetsanalyser knyttet til informasjonssikkerhet må gjennomgås, forsterkes og implementeres. Planen må ivareta informasjonssikkerhet og personvern innenfor lovmessige krav, samt de nye EUpersonvernkravene (GDPR) som blir gjeldende fra mai 2018. Formålet med dette notatet er å overordnet beskrive plan for gjennomføring. Leveranse Sykehuspartner foreslår å etablere et prosjekt for forbedret metode og leveranse av risiko og sårbarhetsvurderinger i Helse Sør Øst. Rapporten fra PwC peker på noen forbedringspunkter, men det vil være et overordnet mål å også bruke denne muligheten til å tydelig styrke Sykehuspartner HFs leveranseevne knyttet til risiko og sårbarhetsvurderinger, ved å benytte verktøy for å betydelig redusere leveransetiden og kompleksiteten sammenlignet med i dag. Et viktig første steg i en slik endring er å definere et målbilde på hvorfor vi utarbeider risiko og sårbarhetsvurderinger, og hvordan rapportene best skal inngå i den øvrige virksomhetsstyringen. Et tiltak som vil innføres i løpet av kort tid, vil være å forsterke oppfølgingen av risikoreduserende tiltak slikt at disse gjennomføres innenfor tidsmessig forventning. Tilsvarende på kort sikt vil det være et vesentlig metodeforbedringspunkt fra dagens håndtering av risiko og sårbarhetsvurderinger er å gjennomføre vurdering av restrisiko, samt at det på noe lengre sikt også ses nærmere på kriteriene for å beslutte hvilke risikoreduserende tiltak som skal gjennomføres, slikt at det forholdsmessigheten mellom effekten av foreslåtte tiltak og kosten av å beslutte tiltakene blir mer synlig. Dette mener vi vil medføre en signifikant bedring av Sykehuspartner HFs leveranseevne og det vil også styrke egen og regional risikostyring. Vi ønsker å ta utgangspunkt i eksisterende regional prosess for risiko og sårbarhetsvurderinger, og arbeide for å forbedre denne i henhold til både anbefalingene i den foreløpige rapporten fra gjennomgangen av imod programmet, Helse Sør Øst RHF styresak 058 2017, samt også beste praksis fra andre referanser. Prosjektet vil også ta eierskap til å etablere kvantitative, regionale risikoakseptkriterier, særlig innenfor konfidensialitet, samt knytte tilgjengelighetskrav opp mot etablert SLA. Det er også nødvendig for dette prosjektet å forbedre eksisterende mangel ved at informasjonssikkerhetsmessig risiko på enkelttjenester ikke inngår i den samlede risikostyringen for virksomheten, både i Sykehuspartner HF og til de øvrige helseforetakene i regionen Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 914637651

Det nye felleseuropeiske personopplysningslovverket (GDPR) gjøres gjeldende i Norge fra mai 2018, og arbeidet med dette vil inngå i planen. Det må bl.a. etableres metode, malverk og prosesser for utarbeidelse av personvernkonsekvenser og andre endringer som påvirker helsesektoren. Sykehuspartners GDPR kompetanse vil på denne måten bidra til å heve etterlevelse i hele regionen. Organisering Leveransen foreslås organisert som et prosjekt. Det er ønskelig at prosjektet rapporterer til et prosjektstyre som består av fagpersoner også utenfor sikkerhetsmiljøet. Det er foreslått at HFrepresentasjon fra kundesiden deltar, samtidig som også Sykehuspartner ledelse er representert. Det vil også etableres en refereansegruppe som vil inkludere Regionalt Sikkerhetsfaglig Råd. Prosjektleder vil være overordnet ansvarlig for leveransen. Dette vil inkludere leveranser innen formål og gjennomføring med risiko og sårbarhetsvurderinger, oppfølging inn i eksisterende prosesser for risikostyring og avviksregistrering, samt også å rapportere til prosjektstyret. En tidlig leveranse vil være å utføre en gap analyse mellom det som blir definert som et ønsket målbilde, og hva dagens metode for risiko og sårbarhetsvurderinger gir. Avhengigheter Styrking av metode vil medføre kostnader til prosjektledelse og bruk av interne ressurser. Det har ikke vært rom til å gjennomføre en foranalyse som gir et kostnadsestimat til denne rapporten, men det bør tas høyde for at en forbedring av risiko og sårbarhetsmetoden i Helse Sør Øst vil ta noe tid og behøve flere runder med forankring i regionen. Det bør som minimum antas at 1 årsverk (FTE) for innleid ressurs. For å også gi de leveransemessige gevinstene mener vi at det må anskaffes verktøy for å redusere kompleksitet og omfang jfr. dagens situasjon. Dette må redegjøres for på et senere tidspunkt. Det er nødvendig med regional forankring dagens risiko og sårbarhetsvurderingsmetode er utarbeidet over tid, og dypt forankret i de enkelte helseforetakene. For at Sykehuspartner skal drive dette fremover, bør også mandatet forankres regionalt. Neste milepæler 1. oktober 2017: En prosjektplan sammen med gap analyse mellom nåsituasjon og målbilde presenteres ledergruppen i Sykehuspartner HF. Prosjektplanen vil beskrive hvordan styrking av risiko og sårbarhetsmetode skal gjennomføres, basert på de føringene som er gitt i dette dokumentet. Videre iverksettes forsterket oppfølging av risikoreduserende tiltak. 1. november 2017: Forankring i Regionalt Sikkerhetsfaglig Råd for prosjektplan og målbilde, inkl. endring som medfører vurdering av restrisiko som del av malverket. 1. januar 2018: Eksisterende risikoregister gjennomgått, utestående tiltak tildeles oppfølgingsansvarlig gjennom avvikssystemet (DFS). Muliggjør rapportering og fremdriftsmåling fordelt på organisasjonsenhetene. Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 914637651

1. juni 2018: Endelig beslutning og innføring av ny regional metode for risiko og sårbarhetsvurderinger. Fakturaadresse: Postboks 3562, 3007 Drammen Besøksadresse hovedkontor: Vektergården, Grønland 34 3045 Drammen Telefon: 32 23 53 00 Telefaks: 32 23 53 01 Web: www.sykehuspartner.no E post: post@sykehuspartner.no Org.nr.: 914637651

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding