Er sykehusene godt nok forberedt på bortfall av IKT-systemene?

Statens helsetilsyn gjennomførte vinteren 2019/2020 en kartlegging av fem virksomheter sine oversikter over kritiske system, risikovurderinger og nødrutiner for IKT-system.

Undersøkelsen omfatter et foretak i hver helseregion og et privat ideelt sykehus. Basert på erfaringene fra denne første kartleggingen skal vi gjennomføre en tilsvarende undersøkelse ved de øvrige sykehusene i Norge. Den neste undersøkelsen blir noe spisset med fokus på risikovurderinger, tilgang til journalopplysninger ved IKT-bortfall og bruk av avviksrapporter.

Statens helsetilsyn fant at virksomhetene i stor utstrekning har identifisert hvilke IKT-system som er kritiske og utarbeidet nødrutiner for sentrale funksjoner som bestilling av undersøkelser og utdeling av legemiddel. Men det er få virksomheter som klarer å holde oversikt over inneliggende og planlagte pasienter ved IKT-bortfall. Fare for svikt i forsvarlige helsetjenester øker dessuten jo lengre periode IKT-feil varer. Pasienter som kommer til akuttmottaket mens journalsystem er utilgjengelig, må i stor grad behandles uten informasjon om tidligere behandling.

Ved flere virksomheter ble det også funnet uklare beslutningsstrukturer når det gjaldt etablering av lesekopier av EPJ – elektronisk tilgang til å lese back-up av elektronisk pasientjournal. Det var noe uavklart ansvar mellom noen helseforetak og IKT-driftsleverandører når det gjaldt utføring og godkjenning av risikovurderinger.

Virksomhetene oppgir at nødrutiner er lagret i egne beredskapspermer på kliniske avdelinger. Det er noe varierende øving i nødrutiner, men i praksis får en test av nødrutiner ved reelle driftsproblem. Informasjonssikkerhet er undersøkt for tilgjengelighet. Det er ikke gjort vurdering av konfidensialitet eller integritet.

Hvordan er sykehusene forberedt på IKT-bortfall? Kartlegging ved fem virksomheter

Rapport fra Helsetilsynet 3/2020