Koncernkontoret Årlig rapport till Regionstyrelsen

Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Kontaktperson
Informationssäkerhetschef
Johan Reuterhäll
Tfn: 046-17 10 39
[email protected]
Årlig rapport till Regionstyrelsen om
informationssäkerhetsarbetet
Denna rapport utgör den rapport som enligt gällande lagstiftning1 och enligt Region Skånes
riktlinjer för informationssäkerhet en gång om året ska lämnas till vårdgivaren med uppgift
om vilka
1. granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med
informationssäkerhetspolicyn
2. riskanalyser som har utförts avseende informationssäkerheten, och
3. förbättringsåtgärder som har vidtagits
Rapportens mottagare är vårdgivaren vilket i Region Skånes fall utgörs av Regionstyrelsen.
Regionstyrelsen ska också fastställa det förslag till handlingsplan som följer med denna
rapport.
Denna rapport och medföljande förslag till handlingsplan har som syfte att sätta fokus på
brister i ledningssystemet för informationssäkerhet som Region Skåne tillämpar för att uppnå
ett kontinuerligt förbättringsarbete och skapa förutsättningar för god styrning och kontroll.
Johan Reuterhäll
Informationssäkerhetschef
1
1 kap. 3§ Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälsooch sjukvård
Adress: S-291 89 KRISTIANSTAD
Besöksadress: Kioskgatan 17, LUND
Organisationsnummer: 23 21 00-0255
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Innehåll
Årlig rapport till Regionstyrelsen om informationssäkerhetsarbetet ......................................... 1
Sammanfattning och förslag till handlingsplan ...................................................................... 3
Beslut om nya riktlinjer för informationssäkerhet ............................................................. 3
Beslut om införande av informationsägare ........................................................................ 3
Riskbedömningar med informationsklassning ................................................................... 3
Genomförande av tidigare beslut om införande av system för automatiserad logganalys . 3
Inledning................................................................................................................................. 4
Mål ..................................................................................................................................... 4
Omfattning ......................................................................................................................... 4
Innebörd ............................................................................................................................. 4
Överensstämmelse med krav och mål .................................................................................... 5
Problem i nuvarande IT-miljö ............................................................................................ 5
Nu gällande riktlinjer för informationssäkerhet ................................................................. 5
Riskbedömningar och informationsklassning .................................................................... 6
Ansvar och befogenheter .................................................................................................... 7
Uppföljning av tidigare beslut ................................................................................................ 7
Beslut om införande av verktyg för logganalys ................................................................. 7
Granskningar och skyddsåtgärder .......................................................................................... 8
Externa granskningar.......................................................................................................... 8
Interna granskningar ........................................................................................................... 8
Genomförda riskanalyser ....................................................................................................... 9
Förbättringsåtgärder ............................................................................................................. 10
Informationssäkerhetsorganisationen ............................................................................... 10
Samverkan med andra regioner inom informationssäkerhetsområdet (G4) ..................... 10
Informationsinsatser ......................................................................................................... 10
Utbildningsinsatser ........................................................................................................... 10
IT-säkerhet ....................................................................................................................... 11
Övrigt ............................................................................................................................... 11
IT-incidenter under 2014 ...................................................................................................... 11
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Sammanfattning och förslag till handlingsplan
Beslut om informationssäkerhetspolicy
Regionstyrelsen beslutar att AKS får i uppdrag att ta fram en informationssäkerhetspolicy
samt göra en översyn av övriga styrande dokument i syfte att harmonisera, modernisera och
om möjligt minska det totala antalet dokument.
Beslut om införande av informationsägare
Regionstyrelsen beslutar att informationsägare införs som en ny roll inom Region Skåne.
Ansvar och befogenheter definieras närmare i informationssäkerhetspolicyn och övriga
styrande dokument. Den av Medicinsk service förvaltade styr- och förvaltningsmodellen för
IT- och MT-system kompletteras med denna roll och informationsägarskap utses för varje
informationsmängd inom Region Skåne i den takt som är möjlig och med prioritet för de stora
journalsystemen och kvalitetsregistren samt i harmoni med införandet av övriga roller inom
ramen för nämnda styrmodell.
Riskbedömningar med informationsklassning
Regionstyrelsen beslutar att AKS får i uppdrag att definiera processerna för riskbedömningar
och informationsklassning och besluta om vilket eller vilka verktyg som ska användas inom
hela Region Skåne för inventering, informationsklassificering, uppföljning och
dokumentation av informationssystem och tillhörande skyddsåtgärder.
Genomförande av tidigare beslut om införande av system för automatiserad
logganalys
Regionstyrelsen beslutar att ge Regiondirektören i uppdrag att ge förvaltningen Medicinsk
service ett förnyat uppdrag att ge verksamhetsansvariga, som har skyldighet att genomföra
kontroll av loggar i journalsystem, tillgång till ett automatiserat logganalysverktyg i enlighet
med Regionstyrelsens tidigare beslut.
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Inledning
Medborgarna ska kunna få insyn i Region Skånes verksamhet och vara förvissade om att den
information som Region Skåne lämnar är korrekt samt att den information som samlas in får
tillräckligt skydd.
Information är en av Region Skånes viktigaste tillgångar och utgör en förutsättning för att
kunna bedriva verksamhet. Våra informationstillgångar ska därför behandlas och skyddas på
ett tillfredsställande sätt mot de risker som förekommer. Avbrott i tillgången till information
kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och
sjukvården, kollektivtrafiken och inom Region Skånes övriga ansvarsområden.
Mål
Målet för Region Skånes informationssäkerhetsarbete är att skydda informationen inom
verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom
möjliggöra för Region Skånes verksamheter att uppnå sina mål.
En god informationssäkerhet inom Region Skåne främjar verksamheternas funktionalitet,
kvalitet och effektivitet, patientsäkerhet, medborgares rättigheter och personliga integritet.
Det stärker också Region Skånes förmåga att förebygga och hantera allvarliga störningar och
kriser samt förtroendet för Region Skånes informationshantering och IT-system.
Omfattning
Informationssäkerheten omfattar alla informationstillgångar oavsett om de behandlas manuellt
eller automatiserat och oberoende av i vilken form eller miljö de förekommer.
Informationssäkerhetsarbetet styrs med hjälp av Region Skånes verksamhetsledningssystem
som implementerar standarden för ledningssystem för informationssäkerhet, SS-ISO/IEC
27000 och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter.
Ledningssystemet ger en struktur för ledning och styrning av informationssäkerheten på både
övergripande nivå och på verksamhetsnivå.
Innebörd
Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med
hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när
den behövs, att den är korrekt, att obehöriga inte kan få tillgång till den samt att förändringar
är spårbara. Skyddet av informationstillgångar och informationssystem ska vara utformat så
att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när Region
Skånes information eller informationssystem hanteras av extern part.
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Överensstämmelse med krav och mål
Problem i nuvarande IT-miljö
Vårdsystem
Det är väl känt att det finns problem med flera av de IT-stöd som används inom vården i
Region Skåne. Ur informationssäkerhetsperspektiv handlar problemen framförallt om att krav
från nuvarande lagstiftning är bristfälligt implementerat eller att kraven inte uppfylls i ITstöd.
Ett problem är att Region Skånes vårdsystem i förekommande fall saknar stöd för att hantera
flera vårdgivare, sammanhållen journalföring. Det innebär att Region Skåne i vissa
applikationer inte kan använda sig av sammanhållen journalföring eller att spärrar av
journaler mellan vårdgivare måste lösas på att sätt som är till nackdel för patientsäkerheten.
I vissa informationssystem där kraven från Patientdatalagen har implementerats så har
utformningen varit till en nackdel för vårdpersonalen där de tvingas till onödiga
arbetsmoment samt att viktig information inte kommer behörig vårdpersonal tillgodo, vilket i
sämsta fall kan riskera patientsäkerheten.
Vårdregister och uppföljningsverksamhet
Utveckling av verktyg för uppföljning av kvalitet och produktionsresultat går i snabb takt
framåt. Även informationsmängderna som genereras ur vårdsystemen med syftet att följa upp
verksamheten och förbättra kvaliteten ökar snabbt. Det finns risker med detta som bör
belysas. Det finns en icke obetydlig risk att nya informationsmängder med patientuppgifter
och andra känsliga personuppgifter framställs utifrån samkörningar av data från flera källor
och att denna information hanteras på ett sätt som kan vara ett hot mot patientintegriteten. Det
gäller dels förvaringen av informationen, dels att säkerställa att endast behöriga kommer åt
den. Det är även i vissa fall inte klarlagt vem som äger den nya informationen som genererats
och som kan svara på hur den ska klassificeras vilket i sin tur styr bland annat
hanteringsregler och åtkomst till informationen. Verktygen som används saknar även
behörighetshantering och möjlighet att följa upp loggar i den utsträckning som följer av
Patientdatalagen.
Med anledning av ovan identifierade problemområden understryks vikten av att aktivt arbeta
med informationssäkerhet. Nedan följer ett antal förslag till åtgärder för att förbättra det
proaktiva arbetet och förtydliga ansvaret för Region Skånes informationstillgångar.
Nu gällande riktlinjer för informationssäkerhet
Region Skånes styrande dokument för informationssäkerheten är ”Riktlinjer för
informationssäkerhet i Region Skåne, beslutat av Regionstyrelsen 2009-05-12. Den utgör en
komplettering av säkerhetspolicyn, fastställd av Regionfullmäktige, beslutad 2003-06-18.
I korthet anger riktlinjer för informationssäkerhet att informationssäkerhetsarbetet ska
bedrivas förebyggande och inriktas mot att eliminera brister och att det så långt som möjligt
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
ska bedrivas enligt Svensk Standard2 för informationssäkerhet och vara en integrerad del av
verksamheten och följas vid planering, utveckling, ackreditering och upphandling.
Det ska finnas rutiner för risk- och avvikelsehantering.
Arbetet med informationssäkerheten ska genomföras organiserat, med rätt bemanning och
med rätt kompetens och utbildning ska genomföras systematiskt och regelbundet.
Uppföljning av efterlevnad ska ske systematiskt och regelbundet och rapportering av större
händelser och åtgärder ska ske en gång per år av informationssäkerhetschefen till
Regionstyrelsen.
Nuvarande riktlinje för informationssäkerhet ställer krav på hur arbetet med
informationssäkerhet ska bedrivas. Den ligger i linje med hur andra regioner och landsting
arbetar med frågorna och i linje med gällande lagstiftning. Riktlinjen brister dock i en del
avseenden och detta bör ändras i ett nytt beslut där en informationssäkerhetspolicy ersätter
nuvarande riktlinje för informationssäkerhet och därmed utgör det högsta styrande
dokumentet. Att det bör vara en policy kommer av att det i 2 kap. 1§ i Socialstyrelsens
föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS
2008:14) anges att vårdgivare ska ha en informationssäkerhetspolicy.
Utöver beslut om informationssäkerhetspolicy bör även samtliga övriga styrande dokument i
form av riktlinjer och anvisningar ses över och harmoniseras så långt som möjligt med
motsvarande styrande dokument som finns i Stockholms läns landsting och
Västragötalandsregionen då vi går mot en ökad användning och utveckling av gemensamma
system.
Förslag till beslut: Regionstyrelsen beslutar att AKS får i uppdrag att ta fram en
informationssäkerhetspolicy samt göra en översyn av övriga styrande dokument i syfte
att harmonisera, modernisera och om möjligt minska det totala antalet dokument.
Riskbedömningar och informationsklassning
Av nuvarande riktlinjer görs tolkningen att riskbedömningar ska genomföras då arbetet ska
bedrivas förebyggande och det ska finnas rutiner för riskhantering. Bedömningen i nuläget är
att riskbedömningar inte genomförs systematiskt, i tillräcklig omfattning och med den kvalitet
som bör eftersträvas i Region Skåne som hanterar en stor mängd skyddsvärd information i ett
stort antal system. Avsaknaden av riskbedömningar ökar avsevärt risken att
informationssystem utvecklas eller vidareutvecklas utan att lagkrav och verksamhetens egna
krav omhändertas vilket kan leda till att systemen måste modifieras i efterhand med stora
kostnader som följd och att Region Skåne under tiden i sämsta fall bryter mot lagkrav. Att
verksamhetens krav inte omhändertas kan leda till system som inte är anpassade efter
verksamhetens behov. Detta innebär i sin tur onödiga kostnader då det ofta leder till
ineffektivitet, onödiga arbetsmoment och svårigheter att uppfylla ingångna avtal.
Riskbedömningens grund ligger i informationsklassning, d.v.s. värdera informationsmängder,
identifiera krav på dem och i slutändan bestämma rätt skyddsåtgärder. Ett processorienterat
synsätt är nödvändigt och ytterst bör genomförandet av riskbedömningar ses som en del av
2
Svenska standarder för informationssäkerhet är 1. Ledningssystem för informationssäkerhet - Krav (SSISO/IEC 27001:2014, fastställd 2014-02-26), och 2. Riktlinjer för informationssäkerhetsåtgärder (SS-ISO/IEC
27002:2014, fastställd 2014-02-26).
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Region Skånes kvalitetsarbete och en viktig del i att bidra till ändamålsenliga stöd till
verksamhetsprocesserna.
Med rätt kompetens i deltagandet vid riskbedömningen är den ett mycket bra sätt för olika
aktörer som exempelvis informationsägare, verksamhetsansvariga, systemansvariga och
driftleverantörer att samverka på ett medvetet sätt kring säkerheten i informationshanteringen
och i tidigt skede ta höjd för de krav som finns och fatta väl underbyggda beslut kring
skyddsåtgärder.
Förslag till beslut: Regionstyrelsen beslutar att AKS får i uppdrag att definiera
processerna för riskbedömningar och informationsklassning och besluta om vilket eller
vilka verktyg som ska användas inom hela Region Skåne för inventering,
informationsklassificering, uppföljning och dokumentation av informationssystem och
tillhörande skyddsåtgärder.
Ansvar och befogenheter
Väl fungerande rutiner och verktyg är en nödvändighet för att en organisation ska kunna
arbeta effektivt och systematiskt med informationsklassning. Den mest centrala delen i detta
är att det måste finnas ett utpekat ansvar med tillhörande befogenheter för
informationstillgångarna. Ansvaret för informationen i en verksamhet ligger på den som leder
verksamheten. I en myndighet som Region Skåne är det oftast en verksamhetschef som är
informationsägare men för mer övergripande system kan informationsägarskapet finnas på en
högre nivå.
Informationsägarskapet är i dagsläget inte definierat inom Region Skåne och det saknas även i
den beslutade styr- och förvaltningsmodellen3 som finns framtagen och som förvaltas av
Medicinsk service. Det bedöms som mycket angeläget att komplettera styr- och
förvaltningsmodellen med rollen informationsägare och definiera ansvar och befogenheter för
denna roll. Med ett tydligt definierat informationsägarskap får informationstillgångar inom
Region Skåne en ägare som kan formulera och besluta om krav på konfidentialitet,
tillgänglighet, riktighet och spårbarhet.
Förslag till beslut: Regionstyrelsen beslutar att informationsägare införs som en ny roll
inom Region Skåne. Ansvar och befogenheter definieras närmare i
informationssäkerhetspolicyn och övriga styrande dokument. Den av Medicinsk service
förvaltade styr- och förvaltningsmodellen för IT- och MT-system kompletteras med
denna roll och informationsägarskap utses för varje informationsmängd inom Region
Skåne i den takt som är möjlig och med prioritet för de stora journalsystemen och
kvalitetsregistren samt i harmoni med införandet av övriga roller inom ramen för
nämnda styrmodell.
Uppföljning av tidigare beslut
Beslut om införande av verktyg för logganalys
Beredningen för integritetsfrågor initierade 2012 en övergripande uppföljning av hur
förvaltningarna levde upp till kravet på uppföljning av loggar4 samt hur dataintrång hanteras.
3
Verksamhetsstyrd styr- och förvaltningsmodell för IT- och MT-system, daterad 2014-08-07
4 kap. 3 § Patientdatalagen (2008:355) samt 11§ punkt 4 i SOSFS 2008:14 om informationshantering och
journalföring inom hälso- och sjukvården.
4
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Stora brister och skillnader i arbetssätt konstaterades. En rapport lämnades till
Regionstyrelsen som fattade beslut5 om att ge Regiondirektören i uppdrag att införa verktyg
för logganalys som stödjer, underlättar och förbättrar verksamhetschefens systematiska och
återkommande stickprovskontroller av loggar, samt verka för att arbetet med centralisering av
loggar fortskrider. Regiongemensamma instruktioner togs fram med anledning av detta och
blev klara i oktober 2013. Samtidigt initierades ett arbete med framtagande av ett verktyg för
logganalys av Medicinsk service. Under 2014 pågick ett projekt inom Medicinsk service med
målet att införa ett sådant system men projektet avslutades under senare delen av 2014 utan
att något system införts.
Region Skåne ska genomföra uppföljning av loggar och i den beslutade instruktionen som
reglerar detta anges att cirka 10 % av personalen slumpmässigt ska väljas ut varje månad för
kontroll. Loggarna, avseende de personer som slumpats fram, ska därefter granskas under en
tidsperiod på 24 timmar. I dagsläget genomförs inte detta så som instruktionen anger och i de
fall det sker så är det ett ineffektivt sätt där sannolikheten att hitta olaga dataintrång är mycket
liten. Kontrollen är också mycket tidsödande då den sker helt manuellt och tar därför tid från
den ordinarie verksamheten.
Förslag till beslut: Regionstyrelsen beslutar att ge Regiondirektören i uppdrag att ge
förvaltningen Medicinsk service ett förnyat uppdrag att ge verksamhetsansvariga, som
har skyldighet att genomföra kontroll av loggar i journalsystem, tillgång till ett
automatiserat logganalysverktyg i enlighet med Regionstyrelsens tidigare beslut.
Granskningar och skyddsåtgärder
Externa granskningar
Datainspektionen (DI) genomförde under 2014 en uppföljande tillsyn6 efter ett beslut från den
31 mars 2013 som konstaterade att Region Skåne inte följer PDL i det avseendet att det inte
går att spärra vårdinformation med teknisk funktion i ett flertal system. Region Skåne
föreläggs att omgående införa tekniska funktioner för spärrar i de IT-system som saknar
spärrar och som behandlar vårdinformation.
Region Skåne beslutade med anledning av detta att initiera utveckling av stöd för yttre spärr
(sammanhållen journalföring) i Melior. Utvecklingsarbetet pågår för närvarande hos
leverantören och ett införande planeras till vintern 2015/2016. Eftersom Melior inte har ett
generellt stöd för begreppet vårdgivare innebär det att spärrar manuellt måste administreras på
varje vårdkontakt. Antalet patienter med spärrade uppgifter i Melior är mellan 700-800
stycken av det totala antalet patienter som är lite drygt 800 000 stycken.
Interna granskningar
Revisionskontorets granskning av distansarbete ur patientsäkerhetsperspektiv
Region Skånes revisionskontor har under 2014 granskat7 om distansarbete inom Region
Skåne sker på ett sätt som uppfyller gällande beslut, riktlinjer och policys. Den samlade
bedömningen är att gällande policys och riktlinjer för distansarbete idag inte inkluderar
patientsäkerhetsperspektivet på ett tydligt sätt. Granskningen har med den information som
varit tillgänglig kunnat dra några slutsatser kring huruvida distansarbete sker på ett
5
§ 127 Uppföljning av efterlevnad av anvisningar för logguppgifter och dataintrång, dnr 1202435
Region Skånes diarienummer 1302395
7
Revisionskontoret PM Nr 4/2014 samt Rapport nr 19, 2015-02-17
6
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
patientsäkert sätt. Granskningen ger bland annat förslag till förbättring av sekretess och
patientsäkerhet vid distansarbete.
Revisionskontorets granskning av IT-verksamheten
Revisionskontoret har granskat8 om Region Skånes IT-verksamhet organiseras, planeras och
genomförs av medborgare och patienter utifrån Region Skånes politiska beslut. Ur
informationssäkerhetsperspektiv är två iakttagelser i rapporten av intresse. Det gäller dels
kunskapen när det gäller rutiner för backup som är låg ute i verksamheten. Beställningar av
backup sker godtyckligt och det finns inte alltid kunskap om vilka backupintervall som är
optimala för respektive system. Granskningen konstaterar också att rutinerna för utbildning av
personal i nya IT-system är otillräcklig. Systemen kan skapa missnöje och framstå som
otillräckliga och inte användarvänliga när det egentligen beror på okunskap hos personalen.
Det finns alltså anledning att se över rutiner för lagring och backup av journaler och
patientinformation samt rutinerna för utbildning av personal i nya IT-system vilket även är
granskningens slutsats.
Regionarkivets granskning av utskrifter från journalsystem
Regionarkivet utövar bland annat tillsyn över Region Skånes arkiv och genomförde en
undersökning under 2014 över hur sjukvårdsförvaltningarna hanterar utskrivna
journalhandlingar på papper. Man konstaterar att det skrivs ut stora mängder pappersremisser
och journalutskrifter och att detta leder bland annat till att omfattande resurser läggs på
journalskanning. Ur ett informationssäkerhetsperspektiv är undersökningen intressant då
pappershantering innebär en ökad risk för att känsliga personuppgifter hanteras felaktigt och
att spårbarheten minskar. Undersökningen ger ett antal rekommendationer som bland annat
innefattar att ta fram regiongemensamma instruktioner för hur journalutskrifter och
journalkopior ska hanteras samt en rekommendation om att införa elektronisk remisshantering
mellan regionens vårdenheter.
Genomförda riskanalyser
Region Skåne genomförde under slutet av 2013 en riskanalys9 avseende informationssäkerhet
med anledning av outsourcing av delar av driften till molntjänst. Riskanalysen är senast
uppdaterad 2013-12-20 men har varit aktuell under 2014 och genomförandet av
outsourcingen pågår för närvarande.
Riskanalysen är allmän och inte inriktad på ett specifikt system men tar upp de risker som
finns generellt med outsourcing med viss inriktning mot vårdinformationssystem.
Riskanalysen pekar på ett antal risker som bör hanteras innan information som kräver skydd
flyttas till molntjänster. Förutom vårdinformation som omfattas av sekretess kan detta röra sig
om uppgifter om egna anställda som i vissa fall också omfattas av sekretess.
Kommentar: Den flytt av information och tjänster till molntjänster som sker efter
riskanalysens upprättande visar att riskanalysens förslag till åtgärder inte tagits i beaktande.
Det saknas tillräckligt väl genomförda riskanalyser för de enskilda system som flyttas vilket
innebär att skyddsvärd information och infrastruktur riskerar att placeras i en miljö som inte
uppfyller lagkrav och Region Skånes egna krav.
8
9
Revisionskontoret Nr 7, september 2014
Riskanalys – Infrastruktur som molntjänst, daterad 2013-10-15
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Förbättringsåtgärder
Informationssäkerhetsorganisationen
Informationssäkerhetsorganisationen försvagades under 2014 p.g.a. den tidigare
omorganisationen där enheten för informationssäkerhet minskade bemanningen med en
medarbetare samt att enheten upplöstes. Även sjukdom under året minskade aktiviteten inom
området.
Inom förvaltningarna prioriterades informationssäkerhetsarbetet i många fall ner som en
konsekvens av genomförandet av Skånevård 2.0. Upparbetade arbetssätt upphörde och
kommunikationsvägar blev mindre tydliga vilket bidrog till att arbetet inte kunde utföras på
ett effektivt sätt.
Den negativa utvecklingen bröts under slutet av 2014 då samverkan intensifierades mellan
AKS, Regionarkivet och enheten för juridik vilka alla fyller mycket viktiga funktioner inom
informationssäkerhetsområdet. Den 1 januari 2015 flyttades informationssäkerhetschefen till
Området för ambulans, krisberedskap och säkerhet (AKS) vid Koncernstab kansli från
enheten för juridik och den 1 februari 2015 anställdes en ny informationssäkerhetschef.
Regionarkivet tillsatte, som ett resultat av förändringen, en informationssäkerhetshandläggare
som under början av 2015 även utsågs till Koncernkontorets
informationssäkerhetssamordnare.
För närvarande pågår ett intensivt arbete med att stärka hela
informationssäkerhetsorganisationen där informationssäkerhetssamordnarna i varje
förvaltning har en mycket viktig roll att fylla.
Inom förvaltningen Skånevård Kryh framställdes under hösten 2014 ett förslag till intern
struktur för informationssäkerhet. Organisationen beslutades i februari 2015. Syftet är att
utgöra ett bättre stöd till verksamheten inom området.
Samverkan med andra regioner inom informationssäkerhetsområdet (G4)
Region Skånes har under 2014 samverkat med Västragötalandsregionen, Stockholms läns
landsting, Region Östergötland samt Inera AB för att ta fram gemensamma krav på
informationssäkerhet. Uppdraget gavs ursprungligen av Regiondirektörerna i de fyra
regionerna. Samverkansgruppen kallas G4 och utgörs av informationssäkerhetscheferna samt
Inera AB:s informationssäkerhetschef. Målet med gruppens arbete är att
informationssäkerhetskraven som ställs ska vara så lika som möjligt mellan de fyra
regionerna. Detta är av mycket stor betydelse när exempelvis gemensamma system ska
upphandlas eftersom våra krav då inte skiljer sig åt. Kraven som tas fram baseras på den
standard som finns för informationssäkerhet och som anges i patientdatalagen som den
standard som regionerna ska följa.
Informationsinsatser
Region Skåne har uppdaterat anvisningar avseende rätten att ta del av patientuppgifter samt
hantering av patientuppgifter för kvalitetssäkring inom vård och behandling.
Utbildningsinsatser
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668
Inom förvaltningen Medicinsk service har man under 2014 genomfört ett stort antal
utbildningar inom bland annat informationssäkerhet med rubriken ”Mitt regelverk”.
IT-säkerhet
Segmentering av nätverket
Ett arbete med nätverkssegmentering för att förbättra IT-säkerheten genom att dela upp
nätverket i olika delar beroende på skyddsvärde påbörjades under 2014.
Nätverkssegmentering innebär att nätverket delas in i logiska delar där varje indelning kan ha
olika typer av skydd. Det skapar möjlighet att lägga känsliga och sårbara system för
medicinskteknisk utrustning i ett segment och administrativa stödsystem i ett annat segment.
Segmentering innebär att man får större kontroll över vad som kopplas in i nätverket och kan
förhindra att utbrott av virus sprider sig i hela organisationen.
X-projektet
Med målet att endast godkänd utrustning får anslutas till Region Skånes nätverk så påbörjades
under 2013/2014 ett arbete för att höja säkerhetsnivån i det här avseendet. Att endast godkänd
IT-utrustning får anslutas till nätverket minskar risken att skadlig utrustning ansluts vilket
minskar risken för virusutbrott och dataintrång.
Övrigt
Förvaltningen Medicinsk service har, under år 2014, aktivt medverkat i en nationell utredning
med namnet ”Patientdatalagen i den kliniska vardagen ‐ Vilka krav ställs på medicintekniska
produkter?”. Utredningens fokus är på informationssäkerhet och medicintekniska produkter
och om regelverken avseende skyddet av patientens personliga integritet respektive
patientsäkerhet ur ett tekniskt/fysiologiskt perspektiv. Utredningens syfte är framförallt att ge
vägledning för personal verksam inom landsting och regioner om hur de ska förfara i den
kliniska vardagen.
IT-incidenter under 2014
Informationssäkerhetschefen ska enligt gällande riktlinjer för informationssäkerhet minst en
gång per år rapportera till Regionstyrelsen om händelser av större betydelse. Nedan redogörs
för incidenter som under 2014, av Medicinsk service, bedömts vara av allvarligare karaktär då
berörda system var otillgängliga under en längre tid. Flera av incidenterna orsakades av
störningar i nätverkskommunikationen och problem med underdimensionerade system.
Det förhållandevis stora antalet incidenter med telefonisystem berodde på att TeliaSonera
bytte databas under första kvartalet. Detta i kombination med nätverksproblem har bidragit till
det större antalet incidenter.

23 januari: Strömavbrott vid SUS i Malmö i kombination med trasig reservkraft
innebar att växeltelefonin inte fungerade under 40 minuter. Sjukhusets reservtelefoni
aktiveras under tiden. Den trasiga UPS:en har bytts ut.

28 januari: All växeltelefoni vid Ängelholms sjukhus slås ut p.g.a. hårdvarufel i
växeln. Sjukhusets reservtelefoni aktiveras under tiden. Den defekta hårdvaran är
utbytt.
Koncernkontoret
RAPPORT
Ambulans, Krisberedskap och Säkerhet
2015-09-14
Dnr: 1502668

3 mars: Under 5 timmar är det avbrott i Telias nummertjänst vilket innebär att
CallGuide-telefoni samt viktiga nummertjänster så som 020, 0771 samt sjukhusens
huvudnummer upphör att fungera. Orsaken är fel i den centrala plattformen hos Telia
och felet påverkade hela landet. Skydd för överbelastning av systemet infördes den
30:e april.

22 april: Under cirka 3 timmar är det avbrott i Telias nummertjänst vilket innebär att
CallGuide-telefoni samt viktiga nummertjänster så som 020, 0771 samt sjukhusens
huvudnummer upphör att fungera. Orsaken är fel i den centrala plattformen hos Telia
och felet påverkade hela landet. Skydd för överbelastning av systemet infördes den
30:e april.

22 maj: I samband med ett prov av reservkraften så bröts nätverkskommunikationen
på delar av SUS i Malmö och lasarettet i Trelleborg.

26 maj: Störningar förekommer på e-postservrarna där användarna upplever att eposten tidvis är otillgänglig. Åtgärder sätts in och normal drift återupptas den 10:e
juni. Orsaken till störningarna var att den tekniska miljön var underdimensionerad i
förhållande till det ökande antalet smarta telefoner och läsplattor.

Juni: Ett ökat antal användare medförde kraftig störning i VDI-miljön som är det
system som används av privata vårdgivare för åtkomst till Region Skånes system för
exempelvis journalsystemet PMO. Störningarna upplevdes av användarna som seghet
och tidvis otillgängliga system. Störningarna upphörde efter att kapaciteten ökades
genom att komplettera med mer hårdvara.

28 november: Under 2 timmar var det problem med Region Skånes nätverk som
orsakade lång svarstid internt och svårigheter för externa användare att ansluta till
Region Skånes nätverk.

11 december: Avbrott i telefoni för sjukvårdsrådgivningen 1177 och CallGuide under
cirka 2,5 timmar p.g.a. nätverksproblem. Felet påverkar också Lync och PMO.