4. Helseforetakenes ivaretakelse av informasjonssikkerhet i medisinsk-teknisk utstyr
- 4.1 Innledning
- 4.2 Riksrevisjonens merknader
- 4.2.1 Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av leverandører
- 4.2.2 Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr
- 4.2.3 Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene
- 4.2.4 Riksrevisjonens anbefalinger
- 4.3 Komiteens merknader
Målet med revisjonen er å undersøke om helseforetakene har tilstrekkelig informasjonssikkerhet ved bruk av medisinsk-teknisk utstyr. Undersøkelsen omfatter dokumentanalyse av leverandøravtaler for utvalgte maskintyper, risikoanalyser og retningslinjer i 19 helseforetak. I tillegg er det foretatt intervjuer i fire helseforetak, en regional it-enhet og hos en sentral leverandør av medisinsk-teknisk utstyr. Undersøkelsen omfatter i hovedsak perioden 2012–2014.
Innen helsevesenet benyttes det mange systemer og mye utstyr som inneholder helseopplysninger. I likhet med tradisjonelle ikt-systemer kan også medisinsk-teknisk utstyr inneholde personsensitive opplysninger, og andelen av slikt utstyr øker. Det er en risiko for at personsensitive helseopplysninger som ligger i medisinsk-teknisk utstyr, ikke er godt nok beskyttet.
Undersøkelsen har blant annet tatt utgangspunkt i følgende lover og forskrifter:
lov om helseregistre og behandling av helseopplysninger av 18. mai 2001 (helseregisterloven)
lov om helsepersonell av 2. juli 1999 (helsepersonelloven)
Utkast til rapport ble forelagt Helse- og omsorgsdepartementet i brev av 19. juni 2015. Departementet har i brev av 19. august 2015 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak innarbeidet i Riksrevisjonens dokument.
Hovedfunn:
Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av leverandører.
Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr.
Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene.
Helseforetakene stiller i liten grad krav om informasjonssikkerhet i avtalene med leverandører. Bare 6 av 19 helseforetak har stilt krav til leverandørens behandling av personopplysninger i én eller flere avtaler som de har inngått. Dette kan være krav til oppdatering av programvare og vedlikehold av utstyr og hvordan personopplysninger skal håndteres. Kravene skal klargjøre hva leverandør skal ha på plass av sikringstiltak for å ivareta informasjonssikkerheten. Videre har få helseforetak stilt krav i avtalene om at de må gi samtykke før leverandøren kan gjøre endringer i systemet. Dette betyr at leverandøren ikke er forpliktet til å varsle helseforetaket når den foretar endringer og oppdateringer på helseforetakets utstyr. Avtalene inneholder derfor i liten grad krav som kan bidra til å hindre eller oppdage brudd på informasjonssikkerheten.
Leverandørene er i stor grad premissgiver i avtalene. Mange av avtalene som er gjennomgått tar utgangspunkt i maler utarbeidet av leverandør, som ikke omtaler informasjonssikkerhet. Det er videre lite samarbeid mellom helseforetakene om å stille krav til leverandørene ved kravspesifisering, avtaleinngåelse og anskaffelse av utstyr.
Det kan være krevende for helseforetakene å følge lovverket fullt ut ettersom utstyret fra leverandørene ikke har all den funksjonalitet som loven krever, som for eksempel tilgangsstyring, antivirusprogrammer og loggfunksjoner. Leverandørene tilbyr løsninger som er beregnet på det internasjonale markedet med andre lovkrav. De norske helseforetakene har etter loven ikke mulighet til å gjøre endringer på utstyret for å imøtekomme kravene i personopplysningsforskriften om tilgangsstyring, antivirus og logging.
De regionale helseforetakenes it-enheter har utarbeidet felles føringer for styringssystem for informasjonssikkerhet. Det er imidlertid få helseforetak som bruker leverandøravtalene til å stille krav til leverandørene om informasjonssikkerhet. Samtidig framstår helseforetakene som lite koordinerte og samstemte i sin samhandling med leverandørene. Helseforetakene har blant annet ulik praksis om bruk av fjernaksessavtaler. Fjernaksessavtaler inngås i hovedsak for å regulere at leverandøren kan logge seg på utstyret for å foreta oppdatering og service fra andre lokasjoner enn i helseforetakets lokaler der utstyret er plassert. Riksrevisjonen mener at få krav og lite samordning gir økt risiko for mangelfull informasjonssikkerhet.
Helseforetakene foretar ikke egne kontroller av leverandørene, eller innhenter uavhengige revisjoner av leverandørene. Etter Riksrevisjonens vurdering benytter ikke helseforetakene muligheten til kontroll av leverandørene som lovverket hjemler, noe som ville gi bedre kjennskap til leverandørens praktisering av lover og regler knyttet til sensitive personopplysninger.
Det er etablert regionale føringer, retningslinjer og rutiner for å gjennomføre risikovurderinger som også omfatter medisinsk-teknisk utstyr. Det utarbeides regionale risikoanalyser hvor medisinsk-teknisk utstyr inngår som et av flere risikoområder på overordnet nivå.
Helseforetakene har i liten grad gjort overordnede risikovurderinger av informasjonssikkerheten i medisinsk-teknisk utstyr. Det foreligger dermed ingen samlet oversikt over risikoen og heller ingen opplysninger om eventuelle forebyggende og korrigerende tiltak. Bare to av 19 helseforetak kan dokumentere at det har vært gjennomført risikoanalyser knyttet til det enkelte medisinsk-tekniske utstyret. De fire helseforetakene som er intervjuet, uttaler imidlertid at det behandlende helsepersonellet som benytter utstyret, har oversikt over hvilken informasjon som ligger der.
Manglende risikovurderinger kan etter Riksrevisjonens mening føre til at det ikke foretas noen vurdering av sensitiviteten i informasjonen som ligger i utstyret. Det er dermed vanskelig å få en klar oversikt over trusselbildet, og om det er iverksatt relevante forebyggende eller korrigerende tiltak. I tillegg kan praktiseringen av regelverket bli ulikt, og kravene til leverandør og fjernaksessløsninger kan bli mangelfulle, men også i enkelte tilfeller unødig strenge.
Helseforetakene har i undersøkelsesperioden i begrenset grad hatt retningslinjer og rutiner som beskriver hvordan personsensitiv informasjon i medisinsk-teknisk utstyr skal behandles.
De regionale helseforetakenes IT-enheter har arbeidet med å få på plass felles regionale føringer, retningslinjer og rutiner, men undersøkelsen viser at dette i begrenset grad er implementert i helseforetakene.
Oppgavefordelingen for å ivareta informasjonssikkerhet både mellom helseforetakene og helseregionenes it-enheter og innad i helseforetakene mellom ikt og medisinsk-teknisk avdeling, er uklar. I tillegg tyder undersøkelsen på at regelverket knyttet til informasjonssikkerhet er vanskelig å anvende i praksis for helseforetakene.
De regionale helseforetakene og helseforetakene har ulike oppfatninger om hvilke krav som skal stilles overfor leverandørene, og hvilke rettigheter leverandører skal ha til å foreta oppdateringer og vedlikehold på utstyr som inneholder person- og helseopplysninger. Etter Riksrevisjonens vurdering kan dette føre til at det blir uklart for aktørene hvordan kravene skal operasjonaliseres og følges opp.
Det er uklare ansvarslinjer for informasjonssikkerhet internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene. Videre er det lite samarbeid mellom helseforetakene på dette området. En felles tilnærming i helseforetakene til hvordan kravene skal forstås og anvendes, vil gjøre det enklere for foretakene å følge opp leverandørene. Mye av det medisinsk-tekniske utstyret som i dag benyttes, er mer likt tradisjonelt ikt-utstyr med egne lagringsenheter og mulighet for å kommunisere via nettverk. Dette fører til større behov for samhandling og samarbeid mellom de ulike avdelingene.
Helseforetakene som er intervjuet, opplever at det ikke er tilstrekkelig klarlagt hvordan informasjonssikkerheten i medisinsk-teknisk utstyr skal ivaretas, og de er usikre på hvordan de skal balansere kravene til pasientsikkerhet og informasjonssikkerhet.
Riksrevisjonen anbefaler at:
Helse- og omsorgsdepartementet forsikrer seg om at de regionale helseforetakene og helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger
de regionale helseforetakene sørger for bedre samordning mellom regionene og innad i den enkelte region for å sikre at kravene som stilles til leverandører av medisinsk-teknisk utstyr om informasjonssikkerhet, blir mer ensartet
de regionale helseforetakene og helseforetakene klargjør ansvarslinjene for håndtering av informasjonssikkerhet mellom de regionale it-enhetene og helseforetakene og innad i helseforetakene, slik at rollene til hver enkelt er klart definert og forstått
de regionale helseforetakene og helseforetakene sørger for at lover og regler for informasjonssikkerhet blir ivaretatt, ved å stille klarere krav til informasjonssikkerhet overfor leverandørene av medisinsk-teknisk utstyr
helseforetakene følger opp at leverandørene overholder kravene i leverandøravtalene
helseforetakene utarbeider risikovurderinger av informasjonssikkerhet i medisinsk- teknisk utstyr for å få oversikt over informasjonen som ligger i utstyret, og hvordan informasjonen blir eksponert
Komiteen viser til at målet med revisjonen er å undersøke om helseforetakene har tilstrekkelig informasjonssikkerhet ved bruk av medisinsk-teknisk utstyr og at undersøkelsen omfatter dokumentanalyse av leverandøravtaler for utvalgte maskintyper, risikoanalyser og retningslinjer i 19 helseforetak, i tillegg til intervjuer.
Komiteen merker seg Riksrevisjonens hovedfunn:
Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av leverandører.
Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr.
Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene.
Komiteen vil understreke at informasjonssikkerhet og personvern innen helsesektoren må tas på det største alvor hos alle som er involvert i ulike prosesser i helsevesenet.
Komiteen noterer seg at leverandørene i stor grad er premissgiver i avtalene om leveranser av teknisk utstyr, og at behandling av personopplysninger i liten grad er omtalt i avtalene.
Komiteen vil bemerke at til tross for at leverandørene tilbyr løsninger til det internasjonale markedet som har andre lovkrav, vil en mer koordinert innkjøpspraksis kunne motivere leverandørene til å imøtekomme kravene i personopplysningsforskriften.
Komiteen merker seg også at helseforetakene ikke foretar kontroller av leverandørene eller innhenter uavhengige revisjoner.
Komiteen deler Riksrevisjonens oppfatning av at manglende risikovurderinger, retningslinjer, rutiner, samt uklare ansvarslinjer kan føre til at det ikke foretas noen vurdering av sensitiviteten i informasjonen som ligger i utstyret, og at det dermed blir vanskelig å få en klar oversikt over trusselbildet og eventuelle tiltak.
Komiteen merker seg Riksrevisjonens anbefalinger og deler disse.