Efter Computer Swedens avslöjande om 1177-läckan i vintras var det många som blev tagna på sängen, och som lovade att gå till botten med vad som hade hänt. Nu är den första av många granskningar färdig.

– Det här är en extern granskning vi beställde från Region Stockholm och det är en i raden av alla granskningar. Det pågår en rejäl genomlysning för att se till att vi gör rätt. Vi har tagit in KPMG som har tittar på ett antal frågeställningar som: Har Medhelp levt upp till kraven? Är kraven från oss rätt ställda och har Region Stockholms uppföljning varit relevant, säger Daniel Forslund (L), biträdande regionråd i Region Stockholm.

Från granskningen kan man inte helt överraskande konstatera att det finns förbättringspotential för Medhelp och för Region Stockholm. Det kommer också ett antal rekommendationer från KPMG. Det handlar om att regionen behöver ha en mer specifik kravställning gentemot vårdgivarna, att avtalsuppföljningen borde vara starkare, inte minst när det gäller informationssäkerhet samt att man pekar på behovet av tydliga ledningssystem inom förvaltningen.

När det gäller översynen av vad som har hänt har man inte hittat fler nedladdade samtal som faktiskt laddats ner, av de 2,7 miljoner samtal till 1177 som låg oskyddade på nätet.

– Det kommer inte fram några nya tekniska beskrivningar eller några nya omfattande skadeeffekter. Det är fortfarande bara 55 samtal. Där har man inte hittat mer, säger Daniel Forslund.

Magnus Fröderberg
Foto: Magnus FröderbergDaniel Forslund.

Resultatet av granskningen kommer att bli en åtgärdsplan som Region Stockholms hälso- och sjukvårdsdirektör Björn Eriksson kommer att besluta om i dag, där målet är en ambitionshöjning inom informationssäkerhet.

De åtgärderna kan delas upp i två delar. Dels de som redan pågår, dels de nya åtgärder som ska vidtas efter granskningen.

De åtgärder som redan är på banan är:

  • Framtagande av en modell för att följa upp vårdgivares efterlevnad av gällande regelverk avseende informationssäkerhet.
  • Översyn av avtalsprocess och avtal med privata vårdgivare för att säkerställa rätt informationssäkerhetskrav.
  • Utbildning i informationssäkerhet inom förvaltningen.

Och de nya åtgärder som hälso- och sjukvårdsdirektören kommer att besluta mot bakgrund av granskningen är följande:

  • Påskynda förvaltningens pågående arbete med att införa ett komplett ledningssystem för informationssäkerhet.
  • Kategorisera och riskbedöma leverantörer och vårdgivare ur informationssäkerhetssynpunkt.
  • Förtydliga de allmänna villkoren i vårdavtalen avseende informationssäkerhet.
  • Utveckla kompetensen inom förvaltningen för att följa upp informationssäkerhetskraven i vårdavtalen.
  • Utreda förutsättningar för att inkludera innehav av komplett ledningssystem för informationssäkerhet som ett kvalificeringskrav i upphandlingsprocessen.
  • Etablera enhetliga rutiner för godkännande av underleverantörer.
  • Utreda förutsättningarna att certifiera förvaltningen enligt ISO 27001.

För att komma tillrätta med de brister som granskningen identifierat kommer Hälso- och sjukvårdsförvaltningen tillsammans med Medhelp att upprätta en åtgärdsplan, vilken inkluderar att se till att man får ett komplett ledningssystem för informationssäkerhet med särskilt fokus på åtkomstkontroll och ändringshantering, samt att man etablerar rutiner för systematisk uppföljning av underleverantörer. Den åtgärdsplanen ska framöver följas upp vid varje månadsdialog med vårdgivaren.

I vintras i samband med Computer Swedens avslöjande var man från Region Stockholm tydliga med att det kunde bli aktuellt med en polisanmälan. ”Finns det misstanke om lagbrott så polisanmäler vi. Vår primära uppgift är att journaluppgifter hålls trygga och då gäller lagens krav oavsett hur man besöker vården”, sade Daniel Forslund då. Men någon polisanmälan har det inte blivit.

– Vi övervägde från Region Stockholm under den första tiden efter incidenten att göra en egen polisanmälan om det framkom nya uppgifter som krävde detta. Eftersom polisanmälan sedan gjordes av annan part så kände vi oss trygga med att eventuella brott kommer att utredas grundligt av både Polisen och av ansvariga tillsynsmyndigheter, säger Daniel Forslund.

Läs också:
1177-läckan: Här är allt du behöver veta om it-haveriet på Vårdguiden
Experter: 1177-läckan bara en del av ett mycket större vård-it-kaos