Alle helse- og sosialtjenester kan konkurranseutsettes, men risikoappetitten må være lav

TOPICS::
Anbud365: Alle helse- og sosialtjenester kan konkurranseutsettes, men risikoappetitten må være lavDirektoratet for e-helse foreslår tiltak og forbedringsområder når det gjelder informasjonssikkerheten ved bruk av private leverandører i helse- og omsorgssektoren. På bildet direktør Christine Bergland i direktoratet (foto: Rebecca Ravneberg / Direktoratet for e-helse).

Innlegg av: Lennart Hovland 3. januar 2018

Skriv ut artikkelen

Direktoratet for e-helse mener at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører, men at helse- og omsorgssektoren generelt må ha en relativt lav risikoappetitt. I en fersk rapport presenterer direktoratet tre sentrale forbedringsområder for den enkelte virksomhet i sektoren når det gjelder informasjonssikkerhet ved bruk av private leverandører.

Helse- og omsorgsdepartementet ga i juni 2017 Direktoratet for e-helse i oppdrag å gjennomgå informasjonssikkerheten ved bruk av private leverandører i helse- og omsorgssektoren. Nå foreligger rapporten.

Helse- og omsorgstjenesten er avhengig av private leverandører innen IKT-området. I rapporten er det gitt forslag til kriterier og rutiner som kan danne grunnlag for det videre arbeidet med informasjonssikkerhet ved bruk av private leverandører. Forslagene bygger på innspill fra et bredt spekter av relevante aktører.

Det gis anbefalinger for hvordan kravene til informasjonssikkerhet bedre kan etterleves, basert på fagkompetanse i Direktoratet for e-helse, innspill fra helse- og omsorgssektoren, kompetansemiljøer og IKT-leverandører til helse- og omsorgssektoren, samt fra fag- og pasientorganisasjoner.

Forbedringsområder

Det foreslås tiltak og forbedringsområder av to kategorier – tiltak og forbedringer virksomheter i sektoren selv må gjøre og tiltak som må følges opp sentralt. Sektoren består av både store og små virksomheter med ulike utfordringer for å tilpasse seg et felles regelverk. Foreslåtte tiltak er ikke nødvendigvis relevant for alle virksomheter i sektoren, og tiltakene må tilpasses den enkelte virksomhet.

Tiltak og forbedringsområder for virksomhetene i sektoren:

  • God og reell ledelsesforankring og styring

Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet, herunder forholdet til private leverandører. Det er behov for bedre ledelsesforankring. Dette må underbygges av gode prosesser som brukes aktivt i den totale virksomhetsstyringen.

  • Helhetlig risikovurdering

Når tjenester overlates til private leverandører, må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende, eldre og komplekse tekniske løsninger. Det er viktig med både periodisk oppfølging og nye risikovurderinger når det gjøres endringer i tjenesten eller leveransestrukturen. Nødvendige risikodempende tiltak må ha tilstrekkelig finansiering.

  • Behov for kompetanse

Virksomheten må ha tilstrekkelig kompetanse, kapasitet og struktur for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god i alle faser, fra kravstilling i planleggings-­ og anskaffelsesfasen til leverandøroppfølging i driftsfasen. Ledelsen, inkludert styret, må ha tilstrekkelig kompetanse for å utøve reelle styring og kontroll også på dette området.

DEL TWEET PIN DEL

Relaterte innlegg

Bli den første til å kommentere på "Alle helse- og sosialtjenester kan konkurranseutsettes, men risikoappetitten må være lav"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.