Helsetilsynet

Hvordan er sykehusene forberedt på IKT-bortfall? Kartlegging ved fem virksomheter

Rapport fra Helsetilsynet 3/2020
PDF

Statens helsetilsyn gjennomførte vinteren 2019/2020 en kartlegging av fem virksomheter sine oversikter over kritiske system, risikovurderinger og nødrutiner for IKT-system. Kartleggingen er avgrenset til noen virksomheter i spesialisthelsetjenesten. Det er ikke gjort en lovlighetskontroll av innsendte svar. I denne rapporten gir vi en samlet presentasjon av de viktigste funnene.

Virksomhetene har i stor grad identifisert hvilke IKT-system som er kritiske, og i stor grad utarbeidet nødrutiner for sentrale funksjoner som bestilling av undersøkelser og utdeling av legemiddel. Det er imidlertid få virksomheter som klarer å holde oversikt over inneliggende og planlagte pasienter ved IKT-bortfall. Fare for svikt i forsvarlige helsetjenester øker dessuten jo lengre periode IKT-feil varer. Pasienter som kommer til akuttmottaket mens journalsystem er utilgjengelig, må i stor grad behandles uten informasjon om tidligere behandling.

Beslutningsstrukturer vedrørende etablering av lesekopier av EPJ (en elektronisk tilgang til å lese back-up av elektronisk pasientjournal) er uklare ved flere virksomheter. Det var noe uavklart ansvar mellom noen helseforetak og IKT-driftsleverandører vedrørende utføring og godkjenning av risikovurderinger.

Virksomhetene oppgir at nødrutiner er lagret i egne beredskapspermer på kliniske avdelinger. Det er noe varierende øving i nødrutiner, men i praksis får en test av nødrutiner ved reelle driftsproblem. Rapporten danner grunnlag for en større kartlegging. Informasjonssikkerhet undersøkes for tilgjengelighet, men ikke for konfidensialitet eller integritet.