Många landsting kämpar med gamla system och har problem att klara säkerhetskrav och rentav den tio år gamla patientdatalagen. Och det syns tydligt i en rapport kring Region Skånes it-säkerhet och informationssäkerhet som revisionsföretaget PwC gjort på uppdrag av Region Skånes Revisorer.

I rapporten slås fast att regionens skydd av sin information inte är ändamålsenlig.

Och det handlar inte bara om brister i själva it-miljön enligt rapporten som kom i veckan – det finns heller inte en organisation med tydlig ansvarsfördelning och ingen egen budget för informationssäkerhetsarbetet. Arbetet är inte tillräckligt prioriterat helt enkelt.

Fredrik Ljunggren, yrkesrevisor på Region Skåne och projektledare för rapporten konstaterar att it-säkerheten dykt upp i en tidigare granskning som ett problemområde och det var därför som revisorerna valde att just titta närmare på det.

Av de elva delmål på olika områden som rapporten går igenom missar Region Skåne fem och uppfyller bara delvis de övriga sex.

– Ja, där blev vi revisorer lite förvånade när konsulterna lämnade över rapporten – att det var negativt på varje punkt, säger han.

Läs också: Massivt it-haveri hos Skatteverket – hårdvarufel bakom

Revisorerna pekar specifikt ut fyra områden där de ser störst behov av att förbättras. Ett av dem är en bättre incidenthantering.– Vi ser en bristande rapportering när det gäller incidenter och det är heller inte klart definierat vad en incident är. Det gör det svårt för medarbetare att veta om det exempelvis är ett fel på bara deras dator eller om det är en incident som ska rapporteras, säger han.

Det är först när dessa rapporter kommer in som de kan följas upp och analyseras.

Andra områden som pekas ut som särskilt viktiga förbättringsområden av Region Skånes Revisorer är organisationen där roller och ansvarsfördelning behöver bli tydligare och budgeten anpassas efter vad som krävs för ett effektivt säkerhetsarbete. Riktlinjer för riskanalys och informationsklassificering måste tas fram och det krävs också kontroller för att se att riktlinjerna följs. Det behövs också nyckeltal för it- och informationssäkerheten.

Samtidigt som det brister runt incidenthanteringen, att förstå att något händer och svara på det, är det också dåligt med det proaktiva arbetet.

– Det saknas ett systematiskt förebyggande arbete i stället springer man på saker när det händer något. När ransomwareattacken Wannacry pågick så var ju hela it-organisationen mobiliserad och det är ju självklart bra men det skulle behövas ett proaktivt arbete också, säger Fredrik Ljunggren.

En av punkterna där regionen bara får ett halvt godkänt är det som gäller medborgarnas integritet och skyddet av information i patientjournalerna.

– Där brukar man peka på att den är svår att följa för att journalsystemen är gamla och det inte går att lägga in spärrar och så vidare. Men trots att det är komplicerat så måste ju allt detta vara med.

Läs också: Allt du behöver veta om ransomware – så skyddar du dig

Granskningen kommer i ett läge där Region Skåne är ute i en stor upphandling av en ny vårdinformationsmiljö och dessutom har organisationen nyligen ändrats och ansvaret för it-säkerheten flyttats från Hälso- och sjukvårdsnämnden till Regionstyrelsen.

– Det kan väl ses som ett tecken på att det är på väg att prioriteras högre, säger Fredrik Ljunggren.

– Vi är inte ute efter att kritisera organisationen utan det här är ju gamla brister, det här har inte varit ett prioriterat område på många år. Men vi hoppas att vår granskning kan vara till hjälp så det här byggs in från början både i organisationen och när vårdinformationssystemet byts så det blir rätt och bättre.