Krav til informasjonssikkerhet ved bruk av private IKT-leverandører

Direktør Christine Bergland i Direktoratet for e-helse
Foto: Rebecca Ravneberg

 

Direktoratet for e-helse fikk i 2017 i oppdrag fra Helse – og omsorgsdepartementet (HOD) å gjennomgå informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgssektoren. Direktoratet inviterte, blant andre ikt- og medtek-næringen, til å gi innspill til arbeidet.

I prosjektet deltok bransjeforeningene Abelia, IKT Norge, Medtek Norge og flere IKT og medtek-leverandører: Microsoft, IBM, DXC, Evry, Sopra Steria, Roche Diagnostic, Vingmed, B. Braun Medical, Medtronic, Philips, Alere. 

Leverandører tilfører spesialkompetanse

I rapporten Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten konkluderer direktoratet for e-helse at det ikke er grunnlag for at noen typer tjenester aldri kan overlates til private leverandører.

– Private leverandører er nødvendig for å modernisere og digitalisere helsetjenesten. Det handler om en bærekraftig helsetjeneste der opplysningene følger pasienten uten å komme på avveie.  Leverandører tilfører spesialkompetanse som helsetjenesten ikke har selv og kan bidra til mer stabile og tilgjengelige tjenester, sier direktør Christine Bergland i Direktoratet for e-helse.

– For at det skal være forsvarlig å bruke private leverandører understreker rapporten at det kreves god styring av risiko og høy bestillerkompetanse hos virksomhetene for eksempel sykehus. Dette gjelder i alle faser, fra planlegging av anskaffelse til oppfølging av kontrakter og leveranser.

Fremmer preventivt vedlikehold av MTU

Som viktige tiltak og forbedringsområder påpeker direktoratet at databehandlingsansvaret må klargjøres og tilpasses strategier for fellesløsninger i helse- og omsorgssektoren.  Videre må Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren) forenkles og tilpasses både GDPR (allerede igangsatt), rutiner for helhetlig risikovurdering og standardiserte databehandleravtaler.

-Et godt gjennomført arbeid på disse punktene vil kunne lette innfasingen og økt bruk av eksempelvis velferdsteknologi. I tillegg kan det innebære tidsbesparelser og forenkling av regelverk for digital oppfølging av status på og iverksetting av preventivt vedlikehold på MTU, forklarer seniorrådgiver Jan Ivar Ingebrigtsen i Medtek Norge.

Gjennomslag for viktige prinsipielle saker

Medtek Norge og våre medlemsbedrifter har nådd frem med tre viktige budskap:

  1. Separate databehandleravtaler per Helseforetak er ikke er veien å gå
  2. Det må gjennomføres forenkling og standardisering
  3. Det må gjennomføres en kartlegging av omfang av særnorske krav

– Rapporten er et skritt i riktig retning, men intensjonen i denne må følges opp av konkret handling. Det innebærer en faktisk forbedring på punktene som påpekes, og ikke ytterlige byråkrati og komplisert regelverk. Medtek Norge og våre medlemsbedrifter vil fortsette arbeidet for å påvirke at utviklingen går i riktig retning, avslutter Ingebrigtsen.

Mer informasjon om rapporten finner du på Direktoratet for e-helses nettsider

Seniorrådgiver Jan Ivar Ingebrigtsen i Medtek Norge

 

Nøkkelord:, ,