Direktoratet for e-helse mener at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører, men at helse- og omsorgssektoren generelt må ha en relativt lav risikoappetitt. I en fersk rapport presenterer direktoratet tre sentrale forbedringsområder for den enkelte virksomhet i sektoren når det gjelder informasjonssikkerhet ved bruk av private leverandører.
Helse- og omsorgstjenesten er avhengig av private leverandører innen IKT-området. I rapporten er det gitt forslag til kriterier og rutiner som kan danne grunnlag for det videre arbeidet med informasjonssikkerhet ved bruk av private leverandører. Forslagene bygger på innspill fra et bredt spekter av relevante aktører.
Det gis anbefalinger for hvordan kravene til informasjonssikkerhet bedre kan etterleves, basert på fagkompetanse i Direktoratet for e-helse, innspill fra helse- og omsorgssektoren, kompetansemiljøer og IKT-leverandører til helse- og omsorgssektoren, samt fra fag- og pasientorganisasjoner.
Forbedringsområder
Det foreslås tiltak og forbedringsområder av to kategorier – tiltak og forbedringer virksomheter i sektoren selv må gjøre og tiltak som må følges opp sentralt. Sektoren består av både store og små virksomheter med ulike utfordringer for å tilpasse seg et felles regelverk. Foreslåtte tiltak er ikke nødvendigvis relevant for alle virksomheter i sektoren, og tiltakene må tilpasses den enkelte virksomhet.
Tiltak og forbedringsområder for virksomhetene i sektoren:
- God og reell ledelsesforankring og styring
Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet, herunder forholdet til private leverandører. Det er behov for bedre ledelsesforankring. Dette må underbygges av gode prosesser som brukes aktivt i den totale virksomhetsstyringen.
- Helhetlig risikovurdering
Når tjenester overlates til private leverandører, må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende, eldre og komplekse tekniske løsninger. Det er viktig med både periodisk oppfølging og nye risikovurderinger når det gjøres endringer i tjenesten eller leveransestrukturen. Nødvendige risikodempende tiltak må ha tilstrekkelig finansiering.
- Behov for kompetanse
Virksomheten må ha tilstrekkelig kompetanse, kapasitet og struktur for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god i alle faser, fra kravstilling i planleggings- og anskaffelsesfasen til leverandøroppfølging i driftsfasen. Ledelsen, inkludert styret, må ha tilstrekkelig kompetanse for å utøve reelle styring og kontroll også på dette området.
Bli den første til å kommentere på "Alle helse- og sosialtjenester kan konkurranseutsettes, men risikoappetitten må være lav"