– Sikkerhet innen eHelse, attføring og rehabilitering har blitt et så gjennomregulert og krevende felt at det er vanskelig å komme utenom en proff driftspartner av en viss størrelse. Jeg har sett mange virksomheter som har satt bort driftsansvaret og tror de har alt på stell, som i realiteten er eksponert for ganske stor risiko. 

Det sier rådgiver og eier av INCERTUS, Knut Henrik Andersen, som har 30 års erfaring med IT-sikkerhet i helsesektoren. For kunder, som Avans Soma, gjennomfører han risikovurderinger og juridiske utredninger, gir råd om IT-arkitektur og sikkerhet og utarbeider styringssystemer. I 15 av disse årene har han jobbet deltid hos Helsedirektoratet med utvikling av norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten (Normen) – et omforent sett av krav til informasjonssikkerhet basert på lovverket.

Kirkens Bymisjon har tatt valget, de har gått for Avans Soma sin skyløsning. Les om hvilke vurderinger ligger til grunn for avgjørelsen de har tatt.

Knut Henrik Andreassen– Mitt inntrykk er at etterlevelse ofte synker omvendt proporsjonalt med helse- eller attføringsaktørens størrelse. Og egentlig er det ganske logisk. Vi snakker om et gjennomregulert og svært komplekst område som de regionale helseforetakene har hundrevis av ansatte for å håndtere. At en mindre aktør, hvis primære fokus ikke er IT, men å hjelpe mennesker, ikke alltid klarer å henge med bør ikke overraske noen. Men da blir det desto viktigere å sikre at man jobber med partnere som kjenner både teknologien, fagapplikasjonene og kravene som lovverket stiller.

Mye kan gå galt

“2021 er hackernes år” ble det nylig hevdet i et innlegg i Dagens Næringsliv. Kronikkforfatteren er bekymret for at IT-sikkerhet ble kastet på båten da “alle” flyttet på hjemmekontor i mars 2020. Standardløsninger ble rullet ut, innarbeidede krav og rutiner måtte vike for at alle skulle ha de nødvendige tilganger og løsninger for å kunne jobbe effektiv hjemmefra.

– For en aktør innen helse, attføring og rehabilitering , med det samme behovet for å legge til rette for fleksibelt arbeid og mobilitet som alle andre, er det imidlertid ikke rom for å nedprioritere sikkerhet på samme måte som for eksempel en konsulentorganisasjon kanskje føler de kan gjøre i en kortere periode. Kravene til sikkerhet er absolutte og konsekvensene av å ikke ha ting på stell er store, sier Andersen og gir flere  eksempler. 

– Helseopplysninger kan komme på avveie, nedetid i systemene, uautorisert innsyn, svikt i kvalitet og kvalitetssikring og problemer med integrasjon og samhandling – som i økende grad er en forutsetning for en velfungerende helsesektor i et moderne samfunn. 

Bør gå av seg selv

– Slik jeg ser det må en driftspartner ha en viss størrelse for å håndtere disse sikkerhetsaspektene. GDPR – og størrelsen på de bøtene som blir skrevet ut når regelverket brytes – har bidratt til økt bevissthet rundt disse problemstillingene. Men det kreves fortsatt mye egen kunnskap for å stille de rette spørsmålene når du skal forsikre deg om at IT-løsningen din er sikret hos driftspartneren i henhold til lovverket. 

Sky

Lokalisering av persondata er også et spørsmål aktørene innen helse og attføring må forholde seg aktivt til, etter den såkalte Scherms II-dommen i EU-domstolen i fjor. Dommen stiller nye, og strengere krav til lagring av persondata utenfor det såkalte “innlandet”, som favner EU, EØS og et knippe andre land. Problemstillingen dukker ofte opp hvis du benytter en driftspartner som lagrer data via de store, globale IT-gigantene. Med en norsk driftspartner, som lagrer i Norge, EØS eller EU, er det ikke nødvendig å forholde seg til de nye, strengere kravene. 

En siste faktor som Andersen også tror påvirker risikobildet, er antallet aktører som er involvert i én løsning. – At en leverandør av en fagapplikasjon også velger driftspartner og sammen med denne overtar ansvaret for alt som har med sikkerhet å gjøre, mener jeg er med på å redusere risiko. Hvis det oppstår en feil eller noe går galt er det ingen tvil om hvor ansvaret ligger. Og når alt fungerer som det skal, blir sikkerhets- og funksjonalitetsoppgraderinger gjort automatisk, uten at brukerne må vite om eller bruke tid på prosessen. 

Det enkle er ofte det beste

I helsesektoren og innen attføring er fokus på integrasjon og samhandling høyt, og vil ikke bli mindre i årene som kommer. Områder Andersen trekker frem er eResept, behandlingsforløp, kjernejournal på helsenorge.no, overføring av resultater knyttet til prøver og laboratorieanalyser og verktøy for strukturering av informasjon i pasientdialogen. – Forutsetningen for all denne samhandlingen er integrasjonen er sikkerhet. 

Og INCERTUS-rådgiveren vet hva han snakker om, etter selv å ha vært med å skrive den delen av Normen som regulerer skybasert  informasjonssikkerhet og personvern. – Den gamle driftsmodellen, men lokale installasjoner og serverrom, har gått ut på dato. Og ved etablering av fagapplikasjoner i skyen, som Avans Soma er et eksempel på,  er det ingen grunn til å gå veien om en tredjepart hvis det kan unngåes, avslutter rådgiver i INCERTUS, Knut Henrik Andersen.

Mer informasjon og påmelding

Se hele programmet og meld deg på i dag

Påmelding