Målet med revisjonen er å undersøke om helseforetakene
har tilstrekkelig informasjonssikkerhet ved bruk av medisinsk-teknisk
utstyr. Undersøkelsen omfatter dokumentanalyse av leverandøravtaler
for utvalgte maskintyper, risikoanalyser og retningslinjer i 19
helseforetak. I tillegg er det foretatt intervjuer i fire helseforetak,
en regional it-enhet og hos en sentral leverandør av medisinsk-teknisk
utstyr. Undersøkelsen omfatter i hovedsak perioden 2012–2014.
Innen helsevesenet benyttes det mange systemer og
mye utstyr som inneholder helseopplysninger. I likhet med tradisjonelle
ikt-systemer kan også medisinsk-teknisk utstyr inneholde personsensitive
opplysninger, og andelen av slikt utstyr øker. Det er en risiko
for at personsensitive helseopplysninger som ligger i medisinsk-teknisk
utstyr, ikke er godt nok beskyttet.
Undersøkelsen har blant annet tatt utgangspunkt i
følgende lover og forskrifter:
Utkast til rapport ble forelagt Helse- og omsorgsdepartementet
i brev av 19. juni 2015. Departementet har i brev av 19. august
2015 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak
innarbeidet i Riksrevisjonens dokument.
Hovedfunn:
Helseforetakene stiller
ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med
leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging
av leverandører.
Helseforetakene har mangelfull oversikt
over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk
utstyr.
Det er uklare ansvarslinjer for informasjonssikkerhet
i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene
og de regionale it-enhetene.
Helseforetakene stiller i liten grad krav om
informasjonssikkerhet i avtalene med leverandører. Bare 6 av 19
helseforetak har stilt krav til leverandørens behandling av personopplysninger
i én eller flere avtaler som de har inngått. Dette kan være krav
til oppdatering av programvare og vedlikehold av utstyr og hvordan
personopplysninger skal håndteres. Kravene skal klargjøre hva leverandør
skal ha på plass av sikringstiltak for å ivareta informasjonssikkerheten.
Videre har få helseforetak stilt krav i avtalene om at de må gi
samtykke før leverandøren kan gjøre endringer i systemet. Dette betyr
at leverandøren ikke er forpliktet til å varsle helseforetaket når
den foretar endringer og oppdateringer på helseforetakets utstyr. Avtalene
inneholder derfor i liten grad krav som kan bidra til å hindre eller
oppdage brudd på informasjonssikkerheten.
Leverandørene er i stor grad premissgiver i avtalene.
Mange av avtalene som er gjennomgått tar utgangspunkt i maler utarbeidet
av leverandør, som ikke omtaler informasjonssikkerhet. Det er videre
lite samarbeid mellom helseforetakene om å stille krav til leverandørene
ved kravspesifisering, avtaleinngåelse og anskaffelse av utstyr.
Det kan være krevende for helseforetakene å følge
lovverket fullt ut ettersom utstyret fra leverandørene ikke har
all den funksjonalitet som loven krever, som for eksempel tilgangsstyring, antivirusprogrammer
og loggfunksjoner. Leverandørene tilbyr løsninger som er beregnet
på det internasjonale markedet med andre lovkrav. De norske helseforetakene
har etter loven ikke mulighet til å gjøre endringer på utstyret
for å imøtekomme kravene i personopplysningsforskriften om tilgangsstyring,
antivirus og logging.
De regionale helseforetakenes it-enheter har utarbeidet
felles føringer for styringssystem for informasjonssikkerhet. Det
er imidlertid få helseforetak som bruker leverandøravtalene til
å stille krav til leverandørene om informasjonssikkerhet. Samtidig
framstår helseforetakene som lite koordinerte og samstemte i sin
samhandling med leverandørene. Helseforetakene har blant annet ulik
praksis om bruk av fjernaksessavtaler. Fjernaksessavtaler inngås
i hovedsak for å regulere at leverandøren kan logge seg på utstyret
for å foreta oppdatering og service fra andre lokasjoner enn i helseforetakets
lokaler der utstyret er plassert. Riksrevisjonen mener at få krav
og lite samordning gir økt risiko for mangelfull informasjonssikkerhet.
Helseforetakene foretar ikke egne kontroller
av leverandørene, eller innhenter uavhengige revisjoner av leverandørene.
Etter Riksrevisjonens vurdering benytter ikke helseforetakene muligheten
til kontroll av leverandørene som lovverket hjemler, noe som ville
gi bedre kjennskap til leverandørens praktisering av lover og regler knyttet
til sensitive personopplysninger.
Det er etablert regionale føringer, retningslinjer og
rutiner for å gjennomføre risikovurderinger som også omfatter medisinsk-teknisk
utstyr. Det utarbeides regionale risikoanalyser hvor medisinsk-teknisk
utstyr inngår som et av flere risikoområder på overordnet nivå.
Helseforetakene har i liten grad gjort overordnede
risikovurderinger av informasjonssikkerheten i medisinsk-teknisk
utstyr. Det foreligger dermed ingen samlet oversikt over risikoen
og heller ingen opplysninger om eventuelle forebyggende og korrigerende
tiltak. Bare to av 19 helseforetak kan dokumentere at det har vært
gjennomført risikoanalyser knyttet til det enkelte medisinsk-tekniske
utstyret. De fire helseforetakene som er intervjuet, uttaler imidlertid
at det behandlende helsepersonellet som benytter utstyret, har oversikt
over hvilken informasjon som ligger der.
Manglende risikovurderinger kan etter Riksrevisjonens
mening føre til at det ikke foretas noen vurdering av sensitiviteten
i informasjonen som ligger i utstyret. Det er dermed vanskelig å
få en klar oversikt over trusselbildet, og om det er iverksatt relevante
forebyggende eller korrigerende tiltak. I tillegg kan praktiseringen
av regelverket bli ulikt, og kravene til leverandør og fjernaksessløsninger
kan bli mangelfulle, men også i enkelte tilfeller unødig strenge.
Helseforetakene har i undersøkelsesperioden
i begrenset grad hatt retningslinjer og rutiner som beskriver hvordan
personsensitiv informasjon i medisinsk-teknisk utstyr skal behandles.
De regionale helseforetakenes IT-enheter har
arbeidet med å få på plass felles regionale føringer, retningslinjer
og rutiner, men undersøkelsen viser at dette i begrenset grad er
implementert i helseforetakene.
Oppgavefordelingen for å ivareta informasjonssikkerhet
både mellom helseforetakene og helseregionenes it-enheter og innad
i helseforetakene mellom ikt og medisinsk-teknisk avdeling, er uklar.
I tillegg tyder undersøkelsen på at regelverket knyttet til informasjonssikkerhet
er vanskelig å anvende i praksis for helseforetakene.
De regionale helseforetakene og helseforetakene har
ulike oppfatninger om hvilke krav som skal stilles overfor leverandørene,
og hvilke rettigheter leverandører skal ha til å foreta oppdateringer
og vedlikehold på utstyr som inneholder person- og helseopplysninger.
Etter Riksrevisjonens vurdering kan dette føre til at det blir uklart
for aktørene hvordan kravene skal operasjonaliseres og følges opp.
Det er uklare ansvarslinjer for informasjonssikkerhet
internt i helseforetakene og mellom helseforetakene og de regionale
it-enhetene. Videre er det lite samarbeid mellom helseforetakene
på dette området. En felles tilnærming i helseforetakene til hvordan
kravene skal forstås og anvendes, vil gjøre det enklere for foretakene
å følge opp leverandørene. Mye av det medisinsk-tekniske utstyret
som i dag benyttes, er mer likt tradisjonelt ikt-utstyr med egne
lagringsenheter og mulighet for å kommunisere via nettverk. Dette fører
til større behov for samhandling og samarbeid mellom de ulike avdelingene.
Helseforetakene som er intervjuet, opplever
at det ikke er tilstrekkelig klarlagt hvordan informasjonssikkerheten
i medisinsk-teknisk utstyr skal ivaretas, og de er usikre på hvordan
de skal balansere kravene til pasientsikkerhet og informasjonssikkerhet.
Riksrevisjonen anbefaler at:
Helse- og omsorgsdepartementet
forsikrer seg om at de regionale helseforetakene og helseforetakene
etterlever gjeldende regelverk for informasjonssikkerhet og behandling
av helseopplysninger
de regionale helseforetakene sørger for
bedre samordning mellom regionene og innad i den enkelte region
for å sikre at kravene som stilles til leverandører av medisinsk-teknisk
utstyr om informasjonssikkerhet, blir mer ensartet
de regionale helseforetakene og helseforetakene klargjør
ansvarslinjene for håndtering av informasjonssikkerhet mellom de
regionale it-enhetene og helseforetakene og innad i helseforetakene,
slik at rollene til hver enkelt er klart definert og forstått
de regionale helseforetakene og helseforetakene sørger
for at lover og regler for informasjonssikkerhet blir ivaretatt,
ved å stille klarere krav til informasjonssikkerhet overfor leverandørene
av medisinsk-teknisk utstyr
helseforetakene følger opp at leverandørene overholder
kravene i leverandøravtalene
helseforetakene utarbeider risikovurderinger
av informasjonssikkerhet i medisinsk- teknisk utstyr for å få oversikt
over informasjonen som ligger i utstyret, og hvordan informasjonen
blir eksponert
Komiteen viser til
at målet med revisjonen er å undersøke om helseforetakene har tilstrekkelig informasjonssikkerhet
ved bruk av medisinsk-teknisk utstyr og at undersøkelsen omfatter
dokumentanalyse av leverandøravtaler for utvalgte maskintyper, risikoanalyser
og retningslinjer i 19 helseforetak, i tillegg til intervjuer.
Komiteen merker seg Riksrevisjonens
hovedfunn:
Helseforetakene stiller
ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med
leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging
av leverandører.
Helseforetakene har mangelfull oversikt
over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk
utstyr.
Det er uklare ansvarslinjer for informasjonssikkerhet
i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene
og de regionale it-enhetene.
Komiteen vil understreke at informasjonssikkerhet
og personvern innen helsesektoren må tas på det største alvor hos
alle som er involvert i ulike prosesser i helsevesenet.
Komiteen noterer seg at leverandørene
i stor grad er premissgiver i avtalene om leveranser av teknisk
utstyr, og at behandling av personopplysninger i liten grad er omtalt
i avtalene.
Komiteen vil bemerke at til tross
for at leverandørene tilbyr løsninger til det internasjonale markedet
som har andre lovkrav, vil en mer koordinert innkjøpspraksis kunne
motivere leverandørene til å imøtekomme kravene i personopplysningsforskriften.
Komiteen merker seg også at helseforetakene ikke
foretar kontroller av leverandørene eller innhenter uavhengige revisjoner.
Komiteen deler Riksrevisjonens
oppfatning av at manglende risikovurderinger, retningslinjer, rutiner,
samt uklare ansvarslinjer kan føre til at det ikke foretas noen
vurdering av sensitiviteten i informasjonen som ligger i utstyret,
og at det dermed blir vanskelig å få en klar oversikt over trusselbildet
og eventuelle tiltak.
Komiteen merker seg Riksrevisjonens
anbefalinger og deler disse.