Extern granskning av informationssäkerhet för 1177 Vårdguiden

Nu redovisas den externa granskningsrapporten avseende informationssäkerhet för tjänsten 1177 Vårdguiden på telefon som KPMG gjort på uppdrag av hälso- och sjukvårdsförvaltningen.

Det var i februari 2019 som hälso- och sjukvårdsförvaltningen fick kännedom om att inspelningar av vissa samtal till 1177 Vårdguiden på telefon var tillgängliga för obehöriga. På initiativ av hälso- och sjukvårdsnämndens ordförande tillsatte hälso- och sjukvårdsförvaltningen en extern granskning av informationssäkerheten för tjänsten 1177 Vårdguiden på telefon. Granskningen har nu genomförts av KPMG AB.

Uppdrag att granska

Uppdraget var att ur informationssäkerhetsperspektiv granska hälso- och sjukvårdsförvaltningens avtal med MedHelp som utför tjänsten 1177 Vårdguiden på telefon samt avtalsuppföljningen. Uppdraget har inkluderat att granska om vårdgivaren har efterlevt kvalitetssystem, processer, rutiner och tekniska skyddsåtgärder gällande informationssäkerhet.

- Den externa granskningen har fokuserat på det som saknas eller kan förbättras för att vi som beställare ska ha bättre och tydligare avtal och avtalsuppföljning avseende informationssäkerheten. Det här blir ett viktigt underlag i vårt förbättringsarbete, säger avdelningschefen för digital hälsa och vård, Lena Furmark.

Granskningen rekommenderar att hälso- och sjukvårdsförvaltningen följer upp vårdgivarens införande av ett ledningssystem för informationssäkerhet samt skyndsamt fortsätter arbetet med att etablera ett eget komplett ledningssystem för informationssäkerhet för förvaltningens arbete. Vidare rekommenderas hälso- och sjukvårdsförvaltningen att se över avtalsprocessen för att säkerställa rätt informationssäkerhetskrav samt förmågan att följa upp dessa. Hälso- och sjukvårdsförvaltningen rekommenderas också att stärka kompetens och organisation inom informationssäkerhetsområdet och förtydliga roller och ansvar i arbetet.

- Vår avtalsuppföljning har fokuserat på kvaliteten i den sjukvårdsrådgivning de levererat. Som den externa granskningen visar har uppföljningen av informationssäkerhetsaspekter inte skett på ett systematiskt sätt. Vi har intensifierat arbetet med att stärka informationssäkerheten och flera projekt planeras starta under den närmaste tiden. Informationssäkerheten är inte något vi blir färdiga med utan är en ständigt pågående process, säger Lena Furmark.

Pågående åtgärder vid hälso- och sjukvårdsförvaltningen

Framtagandet av en modell för att följa upp vårdgivares efterlevnad av gällande regelverk avseende informationssäkerhet.

Översyn av avtalsprocess och avtal med privata vårdgivare för att säkerställa rätt informationssäkerhetskrav.

Utbildning i informationssäkerhet inom förvaltningen.

Planerade åtgärder vid hälso- och sjukvårdsförvaltningen

Påskynda förvaltningens pågående arbete med att införa ett komplett ledningssystem för informationssäkerhet (LIS).

Kategorisera och riskbedöma leverantörer/vårdgivare ur informationssäkerhetssynpunkt.

Förtydliga skrivningarna i vårdavtalen (allmänna villkor) avseende informationssäkerhet.

Utveckla kompetensen inom förvaltningen för att följa upp informationssäkerhetskraven i vårdavtalen.

Utreda förutsättningar för att inkludera innehav av komplett ledningssystem för informationssäkerhet (LIS) som ett kvalificeringskrav i upphandlingsprocessen.

Etablera enhetliga rutiner för godkännande av underleverantörer.Utreda förutsättningarna att certifiera förvaltningen enligt ISO 27001.

Tillbaka till nyhetslistan hälsa och vård