Helseforetakene har etter lov om helsemessig
og sosial beredskap (helseberedskapsloven) plikt til å utarbeide
beredskapsplaner for de tjenester de har ansvar for. IKT, vann og
strøm er sentrale og avgjørende innsatsfaktorer for sykehusdriften. Dette
betinger også at helseforetakene har beredskapsplaner og reserveløsninger
for disse innsatsfaktorene. De regionale helseforetakene skal, med
basis i risiko- og sårbarhetsanalyser for det enkelte helseforetak,
ha etablert tiltak som sikrer at helseforetakene har sikre systemer for
kritiske innsatsfaktorer som IKT, vann- og strømforsyning.
Formålet med undersøkelsen har vært å vurdere om
helseforetakene har tilstrekkelig beredskap for IKT, vann- og strømforsyning.
Herunder om helseforetakene har tilstrekkelig gode rutiner og planer
for beredskap, og om planene og rutinene er implementert ved opplæringstiltak,
øvelser og rutinemessige oppdateringer.
Utkast til rapport ble forelagt Helse- og omsorgsdepartementet
ved brev av 19. mai 2014. Departementet har i brev av 20. august
2014 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak
innarbeidet i Riksrevisjonens dokument.
Helseforetakene mangler
eller har mangelfulle risiko- og sårbarhetsanalyser og beredskapsplaner
for IKT, vann og strøm.
Helseforetakene gjennomfører få øvelser
på innsatsfaktorene vann, strøm og IKT.
Ledelsen i helseforetakene følger i liten
grad opp beredskapsarbeidet.
Helse- og omsorgsdepartementet og de regionale helseforetakene
har lagt til rette for beredskapsarbeidet, men oppfølgingen har
vært svak.
Formålet med risiko- og sårbarhetsanalyser (ROS-analyser)
er å identifisere scenario, ulike hendelsesforløp eller kriser som
virksomheten må være forberedt på å håndtere. Med bakgrunn i kartlagte
risiko og sårbarhet skal virksomheten vurdere og iverksette forebyggende
og beredskapsmessige tiltak for å styrke robusthet i kritisk infrastruktur.
De regionale helseforetakene har utarbeidet
regionale beredskapsplaner der IKT, vann og strøm er omtalt på overordnet
nivå. Helseforetakene har i varierende grad utarbeidet ROS-analyser
og beredskapsplaner for IKT, vann og strøm for egen virksomhet.
Ni av de 19 undersøkte helseforetakene mangler ROS-analyser for én
eller flere av innsatsfaktorene. 13 helseforetak mangler én eller
flere beredskapsplaner.
Omfanget og kvaliteten på de utarbeidede ROS-analysene
og beredskapsplanene varierer både mellom helseforetakene og innad
i de enkelte helseforetakene. Mens enkelte helseforetak har detaljerte
beskrivelser av mulige risikoforhold for vann og strøm, og sannsynlighet
og konsekvens ved hendelser, har andre helseforetak lite konkrete
risikobeskrivelser. I enkelte tilfeller inneholder beskrivelsen
kun en risiko, f.eks. bortfall av vann, uten å gi nærmere beskrivelse av
mulige årsaker til og konsekvenser av bortfallet. Det er ikke utarbeidet
felles maler for ROS-analyser og beredskapsplaner i regionene, og
i liten grad også innad i det enkelte helseforetaket.
For å forebygge og redusere konsekvenser av
alvorlige hendelser i kritisk infrastruktur er det viktig å ha tilstrekkelige
reserveløsninger. Mange helseforetak har kun ett vanninntak, og som
hovedregel fra én vannkilde. Helseforetakene og de regionale helseforetakene
opplyser at gamle helsebygg gir utfordringer for beredskapen, men
dette kommer ikke tydelig fram i risikovurderingene. Videre inneholder
svært få av ROS-analysene vurderinger av mulige alvorlige hendelser,
og helseforetakene synes ikke å planlegge for det uventede. Etter
Riksrevisjonens vurdering vil manglende og mangelfulle risiko- og
sårbarhetsanalyser og beredskapsanalyser svekke helseforetakenes
evne til å håndtere uforutsette hendelser.
Når det gjelder vannforsyning, viser departementet
til at dette er et område hvor helseforetakene også er avhengige
av aktører i kommunal sektor. Departementet understreker at helseforetakene
i fremtiden vil arbeide for å ha gode helhetlige beredskapsplaner
i samarbeid med relevante aktører, og viser til at kravene til beredskap
for kritisk infrastrukturer er gjentatt i foretaksprotokollene for
2014.
Lov om helsemessig og sosial beredskap stiller krav
til øving og opplæring av personell i beredskapsarbeidet. Undersøkelsen
viser at det gjennomføres få øvelser. Det er ikke registrert øvelser
lokalt i helseforetakene hvor svikt i vannforsyningen inngår, og
øvelser om strømforsyningen begrenser seg i all hovedsak til test av
nødstrømsaggregatet. Det er gjennomført enkelte større regionale
og nasjonale øvelser hvor IKT, vann og strøm er elementer i øvelsene,
og de regionale IKT-enhetene utfører øvelser innen IKT-området.
Riksrevisjonen har merket seg at der det har vært hendelser med
IKT, strøm og vann, har disse blitt taklet tilfredsstillende av helseforetakene.
Riksrevisjonen mener likevel at omfanget av faktiske hendelser,
og de alvorlige konsekvenser disse hendelsene kan få for pasientbehandlingen,
gjør det nødvendig å øve personalet og organisasjonene i beredskapsarbeid.
Internkontrollforskriften og ISO27001 stiller krav
om ledelsens oppfølging av og ansvaret for arbeidet med beredskap
og informasjonssikkerhet. Undersøkelsen viser at styrene i kun to helseforetak
har behandlet ROS-analyser, mens styrene i fire helseforetak har
behandlet beredskapsplaner. Beredskapsarbeid for IKT, strøm og vann
synes ikke å være et tema for ledelsen i helseforetakene.
Helseforetakene overlater mye av beredskapsarbeidet
for IKT til de regionale IKT-enhetene som er deres driftsleverandør/databehandler. Riksrevisjonen
mener at helseforetakene ikke har vært seg bevisst det ansvaret
som påligger dem som eier av dataene og som databehandleransvarlig.
Dette kan etter Riksrevisjonens vurdering medføre risiko for uklare
ansvarsforhold, mangler i beredskapen og svekket informasjonssikkerhet.
Undersøkelsen viser at Helse- og omsorgsdepartementet
og de regionale helseforetakene har krevet og tilrettelagt for at
det skal utarbeides ROS-analyser og beredskapsplaner for innsatsfaktorene.
Helsedirektoratet har på oppdrag fra departementet iverksatt flere
tiltak for å veilede de regionale helseforetakene i beredskapsarbeidet.
Direktoratet har også deltatt i planleggingen og gjennomføringen
av øvelser. Helse- og omsorgsdepartementet har i foretaksmøte stilt krav
om ROS-analyser og beredskapsplaner for IKT, strøm og vann i 2008,
2009 og gjentatt disse kravene i 2014.
Helse- og omsorgsdepartementet og Helsedirektoratet
har et ansvar for å følge opp beredskapsarbeidet innen helsesektoren.
De regionale helseforetakene har et ansvar for å følge opp beredskapsarbeidet
i helseforetakene. Det er Riksrevisjonens mening at de regionale helseforetakenes
oppfølging av helseforetakene, basert på funnene i undersøkelsen,
ikke har vært tilstrekkelig.
Departementet mener at det er behov for oppfølging
av overordnede krav både i eierlinjen og i faglinjen blant annet
gjennom Helsedirektoratet. Det understrekes også at selv om helseforetakene
arbeider med systematisk forbedringsarbeid innen beredskap for innsatsfaktorene,
er det helt nødvendig med regional og nasjonal samordning for å
styrke helseforetakenes beredskap innen de tre beredskapsområdene
IKT, vann og strømforsyning.
Riksrevisjonen anbefaler at:
Helse- og omsorgsdepartementet
pålegger de regionale helseforetakene å forsikre seg om at helseforetakene
etterlever gjeldende lover og regler for beredskapsarbeid for innsatsfaktorene IKT,
vann og strøm.
De regionale helseforetakene og helseforetakene sørger
for at arbeidet med ROS-analyser og beredskapsplaner forankres bedre
i helseforetakenes ledelse, inkludert styrene.
De regionale helseforetakene vurderer muligheten
for felles maler for ROS-analyser og beredskapsplaner, og mer samarbeid
innad i og mellom helseforetakene.
Helseforetakene gjennomfører flere øvelser
knyttet til innsatsfaktorene IKT, vann og strøm eller hvor innsatsfaktorene
blir integrert som en del av andre typer øvelser.
De regionale helseforetakene sørger for
at helseforetakene blir bevisstgjort sin rolle som databehandlingsansvarlig.
Komiteen viser til
at formålet med denne delen av undersøkelsen har vært å vurdere
om helseforetakene har tilstrekkelig beredskap for IKT, vann- og
strømforsyning. Herunder om helseforetakene har tilstrekkelig gode
rutiner og planer for beredskap, og om planene og rutinene er implementert
ved opplæringstiltak, øvelser, og rutinemessige oppdateringer.
Komiteen merker seg Riksrevisjonens
hovedfunn, herunder at helseforetakene mangler eller har mangelfulle
risiko- og sårbarhetsanalyser og beredskapsplaner for IKT, vann,
og strøm, at helseforetakene gjennomfører få øvelser på innsatsfaktorene
vann, strøm og IKT, at ledelsen i helseforetakene i liten grad følger
opp beredskapsarbeidet, og at Helse- og omsorgsdepartementet og
de regionale helseforetakene har lagt til rette for beredskapsarbeidet,
men at oppfølgingen har vært for svak.
Komiteen noterer seg at 9 av
de 19 undersøkte helseforetakene mangler ROS-analyser for én eller
flere av innsatsfaktorene, og at 13 helseforetak mangler én eller
flere beredskapsplaner.
Komiteen viser til at Riksrevisjonen
påpeker at omfanget og kvaliteten på de utarbeidede ROS-analysene
og beredskapsplanene er varierende.
Komiteen finner det positivt
at Helse- og omsorgsdepartementet understreker at det i fremtiden
vil arbeides for å ha gode helhetlige beredskapsplaner i samarbeid
med relevante aktører.
Komiteen viser til departementets
oppfølging og siterer fra dette:
«Det er viktig at alle nivåer har systemer for risikoerkjennelse
og for å håndtere risiko i ordinær drift, og planer og reserveløsninger
for sentrale innsatsfaktorer for sin virksomhet slik som ikt, vann
og strøm. Beredskapsplanene må ta høyde for ekstreme hendelser eller
hendelser som oppstår sjelden.»
Komiteen slutter seg til departementets merknader
på dette punkt.
Komiteen merker seg at Riksrevisjonen
mener at RHF-enes oppfølging av helseforetakene innen beredskapsarbeid
ikke har vært tilstrekkelig.
Komiteen viser ellers til Riksrevisjonens
anbefalinger, og ber departementet vurdere disse.