​

- Digitaliseringen av helsevesenet skaper nye muligheter og økt tilgjengelighet av tjenester og viktig informasjon, og god informasjonssikkerhet er en forutsetning for trygg og sikker pasientbehandling. Det er derfor viktig at risiko knyttet til informasjonssikkerhet håndteres på en måte som gir trygge og effektive helsetjenester. Tiltakene i handlingsplanen som nå er vedtatt, legger til rette for dette, sier Terje Rootwelt, administrerende direktør i Helse Sør-Øst RHF.  

Systematisk arbeid med informasjonssikkerhet handler blant annet om å finne en god balanse mellom konfidensialitet, integritet og tilgjengelighet. Skal en løsning stenges ned så snart det oppdages en sårbarhet? Kan risikoen aksepteres fordi nytten løsningen gir i pasientbehandlingen er større enn faren for at sårbarheten utnyttes? For å kunne hente ut gevinster av digitalisering vil det som oftest innebære å måtte akseptere en viss risiko. Balansene mellom nytte og risiko er krevende.

Helse Sør-Øst har en risikobasert tilnærming til informasjonssikkerhet hvor tiltak mot de største risikoene prioriteres, slik at egnet informasjonssikkerhet opprettholdes. Handlingsplanen omfatter tiltak basert på mål og strategi for informasjonssikkerhet i Helse Sør-Øst, revisjoner, øvelser, angrepssimuleringer, avvik og faktiske hendelser. Den tar hensyn til funn og anbefalinger fra Riksrevisjonens forvaltningsrevisjon av hvordan helseforetakene forebygger angrep mot sine IKT-systemer, og har tiltak for forbedring innen en rekke områder. 

Risikostyringen styrkes også. I oppdrags- og bestillingsdokumentene fra det regionale helseforetaket er helseforetakene gitt i oppdrag å rapportere om risiko, tilstand og avvik innen informasjonssikkerhet i den ordinære tertialrapporteringen. 

Det er også stilt krav til at informasjonssikkerhet skal integreres tettere med ordinær virksomhetsstyring i helseforetakene, der avveining av risiko gjøres i ledelseslinjene.