Styret Helse Sør-Øst RHF 14. september 2017

Like dokumenter
Styret Helse Sør-Øst RHF 16. november 2017

Møteprotokoll. Styre: Møtested:

PROTOKOLL FRA FORETAKSMØTE I SYKEHUSPARTNER HF

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

Styret Sykehuspartner HF 6. desember 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Helse Sør-Øst RHF 6. august 2018

Styret Sykehuspartner HF 15. november 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Helse Sør-Øst RHF 15. desember 2016 SAK NR IKT-INFRASTRUKTURMODERNISERING STYRING OG OPPFØLGING AV EKSTERN PARTNER

Styret Helse Sør-Øst RHF 28. juni 2017

Arbeid og erfaringer med konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst RHF. Hans Martin Aase

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Styret Sykehuspartner HF 21. mars 2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Sykehuspartner HF 12. desember 2018

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. desember 2017 SAK NR MÅL 2018 PROSESS OG STATUS. Forslag til vedtak:

Styret Helse Sør-Øst RHF 14. desember 2017

Styret Helse Sør-Øst RHF 24. august 2018 SAK NR STATUS OG RAPPORTERING REGIONAL IKT-PORTEFØLJE PER FØRSTE TERTIAL 2018

Styret Sykehuspartner HF 12. oktober 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Vedlegg 1 til styresak Oppdrag gitt i foretaksmøte 31. mai Statusrapport 5 om gjennomføring av oppdraget

Saksframlegg. Saksgang: Styret Sykehuspartner HF 25. oktober 2018 SAK NR ÅRSPLAN STYRET 2018/19. Forslag til vedtak:

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Styret Helse Sør-Øst RHF 17. desember 2015

Styret Helse Sør-Øst RHF 4. februar 2016

Årsplan styret i Sykehuspartner HF

Styret Helse Sør-Øst RHF 14. desember Det fastsettes følgende krav til økonomisk resultat i 2018 (tall i millioner kroner):

SAK NR GODKJENNING AV PROTOKOLL FRA STYREMØTE 8. SEPTEMBER

SAK NR TERTIALRAPPORT FOR IKT-PROGRAMMET DIGITAL FORNYING

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Styret Sykehuspartner HF 10. april 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Saksframlegg. Styret Helse Sør-Øst RHF 10. september 2015

Foreløpig protokoll fra styremøtet 27. april 2017 inneholder følgende saker av spesiell interesse for Sykehusapotekene HF:

Styret Helse Sør-Øst RHF 15. juni 2017

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. mars 2019 SAK NR ØKONOMISK LANGTIDSPLAN Forslag til vedtak

Styret Helse Sør-Øst RHF 15. desember Det fastsettes følgende krav til økonomisk resultat i 2017 (tall i millioner kroner):

Styret Sykehuspartner HF 5. september 2018

Styret Sykehuspartner HF 28. mai 2019

Styret Helse Sør-Øst RHF 26. april Styret slutter seg til plan for anskaffelse av radiologiløsning slik den er beskrevet i saken.

Vedlegg 1 tidligere vedtak i saken. Styrevedtak i Vestre Viken: Styrets vedtak 25. august 2010, sak 97/10:

SAK NR ORIENTERINGSSAK: PROTOKOLLER FRA STYREMØTER I HELSE SØR-ØST RHF

Utredning om videreføring av Nasjonal IKT HF

Styret Sykehuspartner HF 19. juni 2019

Vedlegg 1 til styresak Oppdrag gitt i foretaksmøte 31. mai Statusrapport 3 om gjennomføring av oppdraget

IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

STYRESAK. DATO: SAKSHANDSAMAR: Ivar Eriksen SAKA GJELD: Utredning om videreføring av Nasjonal IKT HF ARKIVSAK: 2019/6625 STYRESAK: 054/19

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017

Vedlegg til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.90

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: Ekstraordinært styremøte 20. juni Tidspunkt:

Vedlegg 2 til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.5

Saksframlegg. Styret Helse Sør-Øst RHF 10. mars 2016 SAK NR TERTIALRAPPORT 3. TERTIAL 2015 FOR DIGITAL FORNYING. Forslag til vedtak:

Saksframlegg Referanse

Saksframlegg. Saksgang: Styret Sykehuspartner HF 15. november 2017 SAK NR BUDSJETTPROSESS Forslag til vedtak:

SAK NR ORIENTERINGSSAK: PROTOKOLLER FRA STYREMØTER I HELSE SØR-ØST RHF

Oslo universitetssykehus HF

Styret slutter seg til avtale om virksomhetsoverdragelse av stråleterapienhet på Gjøvik fra Oslo universitetssykehus HF til Sykehuset Innlandet HF.

Styret Helsetjenestens driftsorganisasjon for nødnett HF 23.oktober 2017

VEDLEGG 1 TERTIALRAPPORT DIGITAL FORNYING - for bedre pasientsikkerhet og kvalitet-

Saksframlegg. Styret Helse Sør-Øst RHF 24. august 2018 SAK NR REVISJONSRAPPORT 12/2017 FORVALTNING AV GAT. Forslag til vedtak:

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Styret Helse Sør-Øst RHF 21. april 2016 SAK NR KVALITETS-, AKTIVITETS- OG ØKONOMIRAPPORT PER FEBRUAR 2016

Dato: 10. mai 2017 kl. 15:00 18:00 Sted: Sykehuspartner, Skøyen Møterom Livshjulet

Informasjonssikkerhet

Styret Sykehuspartner HF 30. September 2015 BRUK AV FINANSIELL LEASING TIL DEKNING AV BEHOV INNEN LAGRING OG PERIFERIUTSTYR I PERIODEN

Saksframlegg. Styret Helse Sør-Øst RHF 15. juni 2017 SAK NR ORIENTERINGSSAK: ÅRSPLAN STYRESAKER 2017 OG Forslag til vedtak:

Oslo universitetssykehus HF

Konsernrevisjonen Rapport 7/2019. Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019.

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styret Helse Sør-Øst RHF 17. august 2017

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Styret Helse Sør-Øst RHF 6. mai 2010

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Oslo universitetssykehus HF

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 2. mai Tidspunkt: Følgende medlemmer deltok:

helseforetakenes håndtering av bierverv, oppfølging av anbefalte tiltak

Styret Helseforetakenes senter for pasientreiser ANS 26/06/2014

Oppfølging av styrets vedtak, status for gjennomføring, jf. styresak /3

Saksframlegg. Sørlandet sykehus HF

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 65/16 Protokoller fra styremøter i Helse Sør-Øst RHF og

HELSE MIDT-NORGE RHF STYRET

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

Styret Helse Sør-Øst RHF 14. april 2011 SAK NR REVISJONSRAPPORT - LEVERANSE AV HELSEPERSONELLVIKARER

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

Saksframlegg Referanse

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Sykehuset Innlandet HF Styremøte SAK NR STATUS RADIOLOGISYSTEM RIS/PACS. Forslag til VEDTAK:

Styret Helse Sør-Øst RHF 21. april 2016

Oppfølging av styresaker

Sak Oppfølging av vedtak fm foretaksmøte SykehuspartnerHF 31. mai 2017

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.august 2017

Styret Sykehuspartner HF 25. oktober 2018 STATUS I ETABLERING AV PROGRAM FOR STANDARDISERING OG IKT- INFRASTRUKTURMODERNISERING

HELSE MIDT-NORGE RHF STYRET

Styret Helse Sør-Øst RHF 01/12/08 STIFTELSE AV OSLO UNIVERSITETSSYKEHUS HF. AVVIKLING AV EKSISTERENDE HF.

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG. Sak 64/17 Protokoll fra styremøter i Helse Sør-Øst RHF i juni, august og september 2017

Transkript:

Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. september 2017 SAK NR 090-2017 ORIENTERINGSSAK - STATUS IKT-INFRASTRUKTURMODERNISERING OG ARBEIDET MED INFORMASJONSSIKKERHET I HELSE SØR-ØST Forslag til vedtak: Styret tar redegjørelsen om status IKT-infrastrukturmodernisering og arbeidet med informasjonssikkerhet til orientering. Oslo, 6. september 2017 Cathrine M. Lofthus administrerende direktør Side 1 av 9

1. Hva saken gjelder I foretaksmøte 31. mai 2017 ble Sykehuspartner HF gitt i oppdrag å stille IKTinfrastrukturmoderniseringen i bero. Videre ble Sykehuspartner HF blant annet gitt i oppdrag å utrede mulige alternative løsninger basert på den inngåtte avtale med ekstern leverandør og å gi en konsekvensvurdering av en eventuell terminering av avtalen med ekstern leverandør. Oppdraget inkluderte også utarbeidelse av en plan for styrket tilgangsstyring og en bedre metodikk for risiko- og sårbarhetsanalyser. I styremøte 28. juni 2017 ble oppdraget til Sykehuspartner HF supplert med bl.a. krav til aktiviteter og prosjekter som er viktig for å bedre informasjonssikkerhet og sørge for sikker og stabil drift, herunder backup, lagring og innføring av analyseplattformen for å bedre informasjonssikkerheten gjennom sporing og logging. Videre ble det i styremøte den 28. juni 2017 understreket at terminering av avtalen skal utredes videre og at det må startes et arbeid med å utrede hvordan en modernisering av IKT-infrastruktur kan gjennomføres i regi av Sykehuspartner HF dersom avtalen termineres. I tillegg til aktiviteter iverksatt av Sykehuspartner HF har også Helse Sør-Øst RHF iverksatt ulike aktiviteter relatert til informasjonssikkerhet. Hensikten med denne styresaken er å gi en statusrapport basert på arbeidet som skjer i regi av Sykehuspartner HF og i regi av Helse Sør-Øst RHF. Hoveddelen av gjennomgangen i saken bygger på Sykehuspartners styresak 55-2017 Oppfølging av vedtak fra foretaksmøte Sykehuspartner HF 31. mai 2017 som ble behandlet i styremøte i Sykehuspartner HF 30. august 2017. Sykehuspartner HFs styresak ble oversendt til Helse Sør-Øst RHF 4. september 2017 og saken følger som vedlegg til denne saken. 2. Hovedpunkter og vurdering av handlingsalternativer Sykehuspartner HF har arbeidet med oppdraget gitt i foretaksmøtet 31. mai 2017, hensyntatt forholdene som fremkom i PWC-rapporten datert 22. juni 2017 og Helse Sør-Øst RHFs styrevedtak i sak 077-2017 behandlet i styremøte 28. juni 2017. Vedlagt denne saken er en oversikt (utarbeidet av Sykehuspartner HF som vedlegg til deres styresak 55-2017) som gir en kort status på samtlige vedtakspunkter fra foretaksmøtet 31. mai. Det har vært arbeidet spesielt med to forhold tiltak innen informasjonssikkerhet og personvern og status og veien videre for infrastrukturmoderniseringen, inkludert vurdering av alternative gjennomføringsmodeller innenfor og utenfor kontrakt med DXC. Side 2 av 9

2.1 Bakgrunn I foretaksmøte i Sykehuspartner HF 31.mai 2017 ble det fattet følgende vedtak: 1. Programmet for IKT-infrastrukturmodernisering i Sykehuspartner HF stilles i bero inntil videre. 2. Programmets ressurser forutsettes disponert til utredning av de forhold som styret i Helse Sør-Øst RHF har påpekt. Dette arbeidet skal skje i nært samarbeid med Helse Sør-Øst RHF. 3. Sykehuspartner HF skal redegjøre for dagens driftssituasjon når det gjelder konfidensialitet, integritet og tilgjengelighet, herunder redundans og back-up løsninger ved ulike hendelser. Spesifikt skal Sykehuspartner beskrive hvordan konfidensialitetsproblemstillingene knyttet til privilegerte tilganger ved drift av IKT-infrastruktur håndteres. 4. Sykehuspartner HF skal utarbeide en plan for styrket tilgangsstyring og en bedre metodikk for risiko- og sårbarhetsanalyser. Planen må ivareta informasjonssikkerhet og personvern innenfor lovmessige krav, samt de nye EU-personvernkravene (GDPR) som blir gjeldende fra mai 2018. 5. Sykehuspartner HF skal utrede mulige alternativer for etablering av en modernisert IKT-infrastruktur i Helse Sør-Øst, basert på inngått avtale med Enterprise Services Norge AS. Alternativene skal ivareta at informasjonssikkerhet og personvern håndteres på en trygg og sikker måte og i tråd med lovgivningen. For alle alternative gjennomføringsplaner skal det som et minimum beskrives: Hovedtrekk i leveranser og leveranseplan Risiko for eksponering av personsensitive opplysninger til egne ansatte og leverandør(er) Kontraktuelle forhold og konsekvenser Økonomiske konsekvenser 6. Sykehuspartner HF skal i tillegg utarbeide forslag til styrket styring og ledelse av prosjektet. Forslaget skal ivareta at organisering og styring av programmet utformes slik at det lykkes å nå programmålene og hente ut gevinstpotensialet. Det skal særskilt vektlegges at gjennomføringen av prosjektet skjer på en kontrollert måte, med et forsvarlig risikonivå. Forslag til organisering må også beskrive hvordan Sykehuspartner HF sikrer tilstrekkelig kompetanse og kapasitet for å gjennomføre et prosjekt av dette omfang og kompleksitet. 7. I tillegg til beskrivelse av gjennomføringsalternativer skal Sykehuspartner HF også gi en overordnet konsekvensvurdering av en eventuell terminering av avtalen med Enterprise Services Norge AS. Dette omfatter både økonomiske og praktiske konsekvenser av termineringen, herunder konsekvenser for fremdrift av andre prosjekter. I styresak 077-2017 behandlet i styremøte i Helse Sør-Øst RHF 28. juni 2017 ble det fattet følgende enstemmige vedtak: 1. Styret understreker at pasientene skal være sikre på at sensitive personopplysninger håndteres på en trygg og sikker måte. En modernisering av IKT-infrastrukturen er helt nødvendig og vil være et viktig bidrag for å kunne ivareta hensynet til personvern og informasjonssikkerhet. 2. Styret tar den endelige rapporten fra PwC til etterretning og forutsetter at de påpekte svakheter følges opp gjennom det oppdraget som er gitt til Sykehuspartner HF i foretaksmøte 31. mai 2017. Dette gjelder i særlig grad aktiviteter som vil styrke personvern og informasjonssikkerhet, herunder arbeidet med å bedre tilgangsstyringen og forbedret metodikk for risiko- og sårbarhetsanalyser. Styret understreker at dette arbeidet må gis høy prioritet og ber administrerende direktør avklare rammer og opplegg for gjennomføring av arbeidet med forbedret metodikk for risiko- og sårbarhetsanalyser i samarbeid med Sykehuspartner HF. 3. Styret konstaterer at Sykehuspartner HF har stilt programmet for IKT-infrastrukturmodernisering i bero. Side 3 av 9

4. Dagens situasjon knyttet til informasjonssikkerhet i foretaksgruppens IKT-infrastruktur gir grunn til bekymring. Styret tar til etterretning at selv om programmet for IKT-infrastrukturmodernisering er stilt i bero, skal enkelte prosjekter og aktiviteter som er viktige for å bedre informasjonssikkerheten og sørge for sikker og stabil drift videreføres. Disse tiltakene er ikke relatert til tjenesteutsetting. Dette gjelder følgende: a. Prosess- og verktøyprosjektet b. Applikasjonskonsolidering og -standardisering c. Identity and access management (IAM) -prosjektet. d. Etablering av en helhetlig løsningsarkitektur for modernisert infrastruktur inklusiv fremtidig regional sikkerhetsarkitektur e. Replanlegging av telekommunikasjon-modernisering f. Utvalgte helseforetaksspesifikke prosjekter 5. Styret ber administrerende direktør gå i dialog med Sykehuspartner HF for å avklare økonomiske rammer og omprioriteringer av investeringsmidler for å sikre at tiltakene i punkt 4 og andre nødvendige tiltak for å bedre informasjonssikkerheten og opprettholde sikker og stabil drift gjennomføres. Dette inkluderer backup-løsninger og lagring, samt innføring av analyseplattformen til alle helseforetak for å bedre informasjonssikkerheten gjennom sporing og logging. 6. Styret tar til etterretning status i det pågående arbeidet med å utrede alternative modeller for å gjennomføre moderniseringen. Styret understreker at alle alternativer skal ivareta personvern og informasjonssikkerhet på en trygg og sikker måte og i tråd med lovgivningen. Styret understreker også at terminering av avtalen skal utredes videre og at det må startes et arbeid med å utrede hvordan en modernisering av IKTinfrastruktur kan gjennomføres i regi av Sykehuspartner HF dersom avtalen termineres. 7. Styret legger til grunn at Sykehuspartner HF i det videre arbeidet sikrer bred involvering og medvirkning av ansatte og tillitsvalgte. Ansattes kompetanse og kunnskap skal aktivt etterspørres og inkluderes i utredningen av alternative modeller. 8. Styret tar til etterretning de tiltak som Helse Sør-Øst RHF vil iverksette knyttet til å styrke kapasitet og kompetanse innenfor områdene personvern og informasjonssikkerhet. Styret legger også vekt på at styring og ledelse av det videre arbeidet med å modernisere IKT-infrastrukturen må styrkes og sikre god involvering av helseforetakene. 9. Det regionale brukerutvalget skal involveres før ny sak fremmes for styret i Helse Sør-Øst RHF. 2.2 Aktiviteter i regi av Sykehuspartner HF Informasjonssikkerhet og personvern God kontroll med informasjonssikkerhet og personvern er helt avgjørende premisser for vurderingene av fremtidig modell for arbeidet med infrastrukturmodernisering i Helse Sør-Øst. Sykehuspartner HF har utarbeidet en tiltaksliste (vedlegg 5 i Sykehuspartner HFs styresak 055-2017) som omfatter både kortsiktige tiltak og tiltak på mellomlang og lang sikt. Prosjektene og tiltakene skal klargjøre forhold som vil inngå i premisser for valg av modell for infrastrukturmoderniseringen. Videre er det tiltak som skal møte kommende lovendringer innen området og tiltak som vurderes som nødvendige for å sikre behov for utvikling av området. Side 4 av 9

Sykehuspartner HF påpeker i sin styresak at to forhold har særlig betydning for valg av modell for modernisering av infrastrukturen; Sykehuspartner HFs prosjekt registeroversikt (prosjektet skal kartlegge alle registre Sykehuspartner HF behandler og hvilke personopplysninger som inngår i disse registrene) og Direktoratet for e-helses oppdrag knyttet til informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren. Prosjekt registeroversikt vil være et element i grunnlaget for å gi en vurdering av hvilke teknologiske løsninger som i tilstrekkelig grad sikrer informasjon på de ulike nivåene og hva som er en trygg og sikker driftsmodell. Dette tiltaket er derfor prioritert av Sykehuspartner HF. Direktoratet for e-helse skal levere sin utredning innen 1. november 2017, og Sykehuspartner HF vil vurdere konsekvenser denne leveransen har for det videre arbeidet med infrastrukturmoderniseringen. Sykehuspartner HF har videre foretatt en vurdering av rapporten fra PWC og de anbefalinger som der gis. Det er Sykehuspartner HFs vurdering at de områder det pekes på og anbefalinger som gis, er dekket gjennom arbeidet som er startet eller under etablering. Noen av forholdene er også ferdigstilt gjennom strakstiltak. Det har i løpet av sommeren vært dialog med Sykehuspartner HF vedrørende behov for finansiering av tiltak knyttet til styrking av personvern og informasjonssikkerhet. Helse Sør-Øst RHF ga i brev datert 13. juli 2017 Sykehuspartner HF fullmakt til å gjennomføre investeringer på 17 millioner kroner knyttet til implementering av analyseplattformen ved alle helseforetak for å bedre informasjonssikkerheten gjennom sporing og logging. Særskilt om tilgangskontroll Svakheter i styring og kontroll med tilganger var et av de viktigeste og mest alvorlige funnene i PWCs gjennomgang. Det er derfor etablert et eget prosjekt i Sykehuspartner HF som skal se på tilgangsstyring og -kontroll. Prosjektet skal besvare foretaksmøtets beslutning hvor Sykehuspartner HF bes om å lage en plan for styrket tilgangsstyring. Leveransemålene er å styrke identitets- og tilgangsstyringen innenfor eksisterende policyer, prosesser og teknologi på kort sikt og deretter videreutvikle disse. Sistnevnte vil måtte ha et litt lengre tidsperspektiv. Særskilt om backup og lagring Sykehuspartner HF er bedt om å iverksette nødvendige tiltak for å opprettholde sikker og stabil drift. I denne sammenheng er det pekt særskilt på blant annet backup-løsninger og lagring. Sykehuspartner HF har fulgt opp dette og det har i løpet av sommeren vært dialog mellom Sykehuspartner HF og Helse Sør-Øst RHF vedrørende behov for finansiering av tiltak. Helse Sør-Øst RHF ga i brev datert 13. juli 2017 Sykehuspartner HF fullmakt til å gjennomføre investeringer for 35 millioner knyttet til strakttiltak innen backup og lagring. Sikker og stabil drift Etter den opprinnelige planen skulle DXC overta innkjøp og utplassering av periferi- og lagringsutstyr fra mai 2017. Med utgangspunkt i at prosjektet for infrastrukturmodernisering nå er stilt i bero har Sykehuspartner HF pekt på at det behov for å øke rammen for finansiell leie av periferi- og lagringsutstyr. Samlet sett ble Sykehuspartner HF i brev av 13. juli 2017 gitt fullmakt til å inngå finansielle leiekontrakter på inntil 90 millioner kroner. Denne finansieringen håndteres innenfor det etablerte regimet og avtaler om finansiell leie i Helse Sør-Øst og er i tråd med praksis før avtalen med ekstern partner ble inngått. Side 5 av 9

Sykehuspartner HF har gjennom sommeren arbeidet videre med vurderinger knyttet behovet for økonomiske midler for å kunne følge opp de øvrige tiltakene som omtales i vedtakspunkt 4 og 5 i styresak 077-2017 i styret i Helse Sør-Øst RHF og det vil pågå en dialog om ytterligere behov for omprioritering av økonomiske midler for å sikre finansiering av tiltak knyttet til sikker og stabil drift, samt aktiviteter som vurderes som nødvendige som følge av at infrastruturmoderniseringsprogrammet er stilt i bero. Status og veien videre for infrastrukturmoderniseringen Sykehuspartner HF utreder mulige løsninger for videre infrastrukturmodernisering både innenfor og utenfor inngått kontrakt. Dette er omtalt nærmere i vedlegg 3 i Sykehuspartner HFs styresak 055-2017. Sykehuspartner HF redegjør i egen styresak for at alternativet som utredes innenfor eksisterende kontrakt innebærer at Sykehuspartner HF drifter dagens infrastruktur videre, mens DXC utvikler og drifter en ny infrastruktur. Det utredes også hvordan en modernisering kan gjennomføres i regi av Sykehuspartner HF og i et hensiktsmessig samspill med leverandørmarkedet. Arbeidet tar utgangspunkt i det som lå til grunn for egenregialternativet i Helse Sør-Øst styresak 069-2016, og vil beskrive endringer vedrørende kostnader, tid for gjennomføring og risiko. Sykehuspartner HF angir at resultatet av utredningene og et fullstendig beslutningsgrunnlag vil kunne foreligge mot slutten av året. Nærmere om egenregialternativet og samarbeid med Helse Vest IKT Både når det gjelder utredningen av egenregialternativet, og på mer generell basis, er det etablert et samarbeid med Helse Vest IKT for å kunne høste av deres erfaringer. Helse Vest IKT har i dette arbeidet stilt sentrale personer til disposisjon, blant annet selskapets administrerende direktør. Helse Vest IKT har en driftsmodell knyttet til infrastruktur hvor denne delen av virksomheten driftes i egen regi. Dette betyr ikke at Helse Vest IKT ikke samarbeider med eksterne leverandører, men kontroll og styring ligger i Helse Vest IKT. Det er svært nyttig for de vurderinger som skal gjøres av Sykehuspartner HF å kunne trekke på de erfaringer Helse Vest IKT har gjort, og få innsikt i hvilke sentrale og kritiske funksjoner de selv utfører og har kontroll med når de slipper til eksterne leverandører. 2.3 Aktiviteter i regi av Helse Sør-Øst RHF Uavhengig av arbeidet som pågår i Sykehuspartner HF er det igangsatt aktiviteter i regionen knyttet til informasjonssikkerhet. Dette er aktiviteter som dels er oppfølging knyttet til revisjoner og tilsyn og dels aktiviterer som har fått forsterket fokus som en følge av infrastukturmoderniseringsprosjektet og avtalen med ekstern leverandør. Status informasjonssikkerhet i prosjekt- og systemporteføljen Det er igangsatt et arbeid for å få en samlet oversikt over status i prosjekt- og systemporteføljen knyttet til informasjonssikkerhet. Side 6 av 9

Metodikk risikovurdering Helse Sør-Øst RHF vil i samarbeid med Sykehuspartner HF ta ansvaret for den regionale tilnærmingen til risikovurderinger og etablere rammer og opplegg for gjennomføring av arbeidet med forbedret metodikk for risiko- og sårbarhetsanalyser. Prosjekt for systematisk loggkontroll knyttet til elektronisk pasientjournal Systematisk loggkontroll av oppslagslogger i behandlingsrettede helseregistre er en lovpålagt oppgave. Per i dag gjennomføres det stikkprøvekontroll, men dette omfatter kun et meget lite volum. Per i dag mangler det effektive verktøy for å oppfylle lovens krav til systematikk i loggkontrollen. En metode for statistisk loggkontroll/mønstergjenkjenning er utviklet og testet ved Oslo universitetssykehus HF. Metoden innebærer at det gjennomføres en automatisert gjennomgang og statistisk analyse av alle oppslag med utgangspunkt i kombinasjon av flere scenarioer basert på vanlige bruksmønstre. Gjennom denne systematiske gjennomgangen av loggene vil det avdekkes om det er oppslag i pasientjournalene som avviker fra vanlige oppslagsmønstre. Oppslag som avviker det normale kontrolleres og følges opp manuelt. Det er besluttet å etablere et felles prosjekt mellom Helse Nord, Helse Midt-Norge og Helse Sør- Øst for å få implementert mønstergjenkjenning. Prosjektet vil realiseres i samarbeid med Norsk Helsenett. Regionalt sikkerhetsråd Regionalt sikkerhetsfaglig råd og regionalt risikovurderingsteam har fungert over flere år, men har ikke hatt tydelig nok forankring og et klart mandat. Det arbeides med å utarbeide mandat, avklare roller og ansvar, samt med å sikre god forankring hos de administrerende direktørene i helseforetakene som databehandlingsansvarlige. Oppfølging av Riksrevisjonens revisjoner Riksrevisjonen har utført undersøkelser av helseforetakenes styring av tilgang til helseopplysninger/ tilgangsstyring til elektroniske pasientjournaler (Dok 3:2 (2014 2015) og ivaretagelse av informasjonssikkerhet i medisinsk-teknisk utstyr (Dok 3:2 (2015 2016). Undersøkelsene påviste flere avvik og Helse- og omsorgsdepartementet stilte krav om lukking av avvikene i foretaksmøter i både 2015 og 2016. I sommer ble de regionale helseforetakene bedt om å rapportere status på arbeidet med å lukke avvik til departementet. Helse Sør-Øst RHF har etablert seks hovedtiltak for å lukke avvik knyttet til tilgangskontroll i elektronisk pasientjournal (EPJ) og åtte hovedtiltak knyttet til informasjonssikkerhet i medisinsk teknisk utstyr (MTU). Innen EPJ-området er en stor del av tiltakene gjennomført, og der hvor tiltak ikke er gjennomført foreligger det planer. I all hovedsak vil tiltakene være gjennomført i løpet av høsten 2017 og våren 2018. Også innen MTU-området er mange av tiltakene gjennomført, men det gjenstår i større grad tiltak under planlegging. Det vises til vedlegg i saken for nærmere utdyping av status. Side 7 av 9

Informasjonssikkerhetsarbeidet i Helse Sør-Øst RHF Helse Sør-Øst RHF har i dag knyttet til seg en regional informasjonssikkerhetskoordinator i 50 % stilling. Vedkommende er ansatt ved Oslo universitetssykehus HF hvor hun innehar stilling som informasjonssikkerhetsansvarlig og personvernombud. Det er behov for å øke innsatsen innen arbeidet med informasjonssikkerhet og det arbeides derfor med utlysning av en full stilling knyttet til informasjonssikkerhet ved det regionale helseforetaket som skal rapportere direkte til konserdirektør. Det gjøres også vurderinger av behovet for en stilling knyttet til personvern. 3. Administrerende direktørs anbefaling Administrerende direktør konstaterer at Sykehuspartner HF arbeider med oppdraget gitt i foretaksmøte 31. mai 2017 og styrevedtak i Helse Sør-Øst RHF den 28. juni 2017. Det er igangsatt aktiviteter for å svare opp bestillingene og det rapporteres jevnlig til styret i Sykehuspartner HF. Helse Sør-Øst RHF har dialog med Sykehuspartner HF om både det pågående arbeidet og for å sikre økonomiske midler og omprioriteringer til nødvendige investeringer. Administrerende direktør vil igjen understreke at pasientene skal kunne føle seg trygge på at sensitive personopplysninger håndteres på en trygg og sikker måte. Det er viktig at det gjennomføres tiltak av betydning for informasjonssikkerhet på kort sikt og at det i arbeidet med å utrede alternativer for videre infrastrukturmodernisering legges grunn at kravene som er stilt til informasjonssikkerhet innfris. Dette innebærer at de forholdene som er påpekt i PWCs rapport må løses og at informasjonssikkerhet, herunder tilgangsstyring- og kontroll, må håndteres i samsvar med de krav og forventninger som følger av styrebehandling i Helse Sør-Øst RHF og foretaksmøte med Sykehuspartner HF Arbeidet som Sykehuspartner HF har igangsatt for å kartlegge alle registre som foretaket behandler og hvilke personopplysninger som inngår i disse, er avgjørende for å kunne vurdere modell for infrastrukturmodernisering. Videre er det viktig at Sykehuspartner HF utreder hvilke funksjoner og oppgaver som må håndteres av foretaket i egen regi av hensyn til informasjonssikkerhet. Det må også utredes hvilke tilganger som kan gis til eksterne leverandører generelt sett. Administrerende direktør er tilfreds med at Helse Vest IKT har stilt sentrale personer til disposisjon i det arbeidet Sykehuspartner HF gjennomfører og ser det som verdifullt at det kan trekkes på de erfaringer Helse Vest IKT har gjort. I denne sammenheng vil administrerende direktør påpeke at Sykehuspartner HF så langt som mulig må trekke lærdom av hvordan Helse Vest IKT bruker eksterne leverandører og hvordan de bruker egne ressurser innen områdene som er avgjørende for god informasjonssikkerhet og gode driftsløsninger. Samtidig vil administrerende direktør påpeke at ledelsen i Sykehuspartner HF fortløpende må forsikre seg om at det er enn reell og bred involvering av ansatte/fagmiljøer og tillitsvalgte i det arbeidet som nå utføres med vurdering av de ulike alternativene for infrastrukturmodernisering. Side 8 av 9

Administrerende direktør vil prioritere regionale prosjekter og aktiviteter knyttet til informasjonssikkerhet og fortløpende vurdere behovet for tiltak og aktiviteter utover det som det er redegjort for i denne saken. Det vises i denne sammenheng til gjennomgangen av status i prosjekt- og systemporteføljen knyttet til informasjonssikkerhet. Direktoratet for e-helses arbeid knyttet til informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren er startet opp og leveransen til Helse- og omsorgsdepartementet vil legge premisser for modell for infrastrukturmodernisering. Både Helse Sør-Øst RHF, Sykehuspartner HF og helseforetakene i regionen har med deltagere inn i arbeidet. Direktoratet for e-helse skal levere sin utredning innen 1. november 2017. Sykehuspartner HF angir at resultatet av utredningene som pågår knyttet til modell for infrastrukturmodernisering og et fullstendig beslutningsgrunnlag vil kunne foreligge mot slutten av året. Administrerende direktør planlegger å gjennomføre en ekstern kvalitetssikring av de anbefalinger som kommer fra styret i Sykehuspartner HF før beslutningssak fremlegges for styret i Helse Sør-Øst RHF. Viktige elementer for en anbefaling vil utover trygg og sikker behandling av personsensitiv informasjon være lav gjennomføringsrisiko, rask modernisering og økonomisk bærekraft. Administrerende direktør vil holde styret løpende informert om det arbeidet som pågår knyttet til infrastrukturmodernisering og informasjonssikkerhet og anbefaler at styret tar saken til orientering. Trykte vedlegg Sykehuspartner HF styresak 055-2017 Oppfølging av vedtak fra foretaksmøte Sykehuspartner HF 31.05.2017 Status tilgangskontroll EPJ og informasjonssikkerhet MTU Utrykte vedlegg: Ingen Side 9 av 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding