Informasjonssikkerhet i helsesektoren – et kulturspørsmål
Konsernsjef Per Gunnar Borhaug (t.v.) og Tore Martin Skarpholt, leder for IT, teknologi og innovasjon i Ecura er enige om at ISO-sertifisering er et nyttig verktøy i arbeidet for økt informasjonssikkerhet.
Ecura er det første norske, privateide helseforetaket med ISO-sertifisering for informasjonssikkerhet.
Norge er i verdenstoppen i å ta i bruk ny teknologi, og dette gjelder også for helse- og omsorgsektoren. Økt digitalisering, flere sammenkoblede systemer og mer utveksling av informasjon for å skape bedre helse- og omsorgstjenester, vil også medføre nye trusler og sårbarheter.
Allerede under EHIN («E-Helse i Norge»)-konferansen i 2017 uttalte helse- og omsorgsminister Bent Høie at godt personvern og god informasjonssikkerhet er en forutsetning for digitalisering i helse- og omsorgstjenesten.
- Informasjonssikkerhet handler ikke først og fremst om teknologiske løsninger. Informasjonssikkerhet handler først og fremst om kultur. Og lederne er de viktigste kulturbærerne, sa Høie den gang.
- Teknologien og behandlingen av opplysninger som brukes i helsetjenesten kan bli utsatt for både utilsiktede og tilsiktede hendelser, uttaler revisjonsleder Ingebjørg Sjåstad i Kiwa, og fortsetter:
- Helse- og omsorgstjenesten må bygge og forvalte robust teknologi, organisasjon og sikkerhetskultur og ha gode tiltak for å sikre at dette fungerer og samtidig håndtere og lære av tilfeller der det ikke fungerer.
Viktig standard
Sjåstad fremhever at ISO 27001:2017 for informasjonssikkerhet er en viktig standard i dette arbeidet. Implementering av standarden bidrar til at en organisasjon iverksetter nødvendige tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer.
- Det er et ledelsesansvar å sikre at en virksomhet følger kravene til personvern og informasjonssikkerhet og at dette ansvaret ivaretas som en del av arbeidet med virksomhetsstyring og kvalitetsforbedring, poengterer Sjåstad.
Sterkt verdiforankret
Ecura er et eksempel på et norsk helseforetak som ønsket å sikre at deres organisasjon etterlevde disse kravene. De er i dag sertifisert i henhold til fire ISO-standarder: 9001 for kvalitet, 14001 for miljø, 45001 for arbeidsmiljø og 27001 for informasjonssikkerhet.
- Bakgrunnen for opprettelsen av Ecura var en rekke selskaper i Norge som ønsket å slå seg sammen og bli en del av noe større. Vi er et ungt konsern, men med virksomheter som har en lang historie hver for seg. Fra dag én var det førende at vi skulle satse på kvalitet og kompetanse, forteller konsernsjef Per Gunnar Borhaug.
Borhaug understreker at Ecura bare har en rolle å spille som privat helseaktør så lenge de faktisk kan levere god kvalitet og en trygghet for oppdragsgiverne.
- Derfor er vi sterkt verdiforankret i Ecura, og vi valgte å gå for sertifisering både innen kvalitet, miljø, arbeidsmiljø og informasjonssikkerhet. Det har vært laserfokus på å få dette i mål på veldig kort tid, utdyper Borhaug.
Tore Martin Skarpholt, Leder for IT, teknologi og innovasjon, har vært ansvarlig for sertifiseringsprosessen i Ecura. Han understreker at overskriften på ISO-arbeidet har vært å forbedre selskapet på alle områder.
- Det ligger en forpliktelse i å ha fått sertifikatet og skulle resertifiseres årlig. Vi har innført ISO-systemene og har alle retningslinjene på plass. Nå er det avgjørende at vi får med oss hele organisasjonen. Det er nødvendig at dette blir en del av vårt daglige arbeid.
Skarpholt medgir at det har vært en større utfordring å gå i gang med ISO 27001 sammenlignet med de tre andre standardene. Det er en omfattende standard som også er teknisk krevende. Det handler blant annet om lagring av sensitive opplysninger i henhold til gjeldende lovverk og sikring av data i forbindelse med avhending av datautstyr. Oppfølging av at eksterne IT-leverandører ivaretar datasikkerheten på en tilfredsstillende måte er et annet eksempel.
- ISO-sertifiseringen har hjulpet oss til å bli mer bevisste, og forstå konsekvensene, sier Skarpholt. Han understreker også at det ikke er noen motsetning mellom fokus på informasjonssikkerhet og en enklere og mer effektiv IT-hverdag.
Revisor med bransjeerfaring
Borhaug påpeker at det har vært en stor fordel at revisorene fra Kiwa har helsefaglig bakgrunn.
- Det kan argumenteres for at kvalitet er generisk, men et kvalitetssystem i et helseforetak må nødvendigvis skille seg fra det i en mekanisk industribedrift, mener Borhaug og tilføyer:
- Det handler om språk og felles erfaringsbakgrunn. Når vi snakker om medisinavvik, så forstår revisor konsekvensene av det. Det har vært en forutsetning for en god sertifiseringsprosess.
Samlet verdikjede
Revisor Sjåstad er enig i at det har vært en god prosess som Ecura har lært mye av. Hun mener at de har blitt mer oppmerksomme på sine styrker og svakheter.
- Det var naturlig at informasjonssikkerhet og personvern ble implementert som en del av det totale ledelsessystemet for organisasjonen. Resultatet er at Ecura har oppnådd en samlet verdikjede som bidrar til at de kan levere helse- og omsorgstjenester i tråd med standardens krav, egne krav og krav i henhold til myndigheter, lover og forskrifter, sier Sjåstad.
Finne gullet i hver virksomhet
Borhaug forklarer at ISO-sertifiseringene har fungert som et veldig nyttig verktøy for å bygge en felles plattform i Ecura.
- ISO er ikke bare blitt et kvalitetssikringsverktøy, men også et verktøy for å integrere virksomhetene organisatorisk. De enhetene våre som jobbet med det samme spekter av tjenester har måttet bli enige om noen felles prosedyrer og retningslinjer, hvilke varslingssystemer og hvilke risiko- og sårbarhetsvurderinger de skulle benytte. Målet har vært å dele beste praksis, for alle selskapene har hatt noe som har fungert veldig bra, sier Borhaug og legger til:
- Vi har vært på jakt etter å finne gullet i hver virksomhet. Det skapte bra engasjement, også hos personer som i utgangspunktet kanskje ikke var så motivert for sertifiseringsprosjektet. Jeg opplever at dette er noe som lever i organisasjonen. Sånn sett blir også ISO-sertifiseringen et kulturverktøy. Borhaug forteller at ISO kan også bli ukultur hvis ledelsen dytter prosedyrene og de ansatte foran seg.
- Man henviser til at man har prosedyrer, men vet samtidig at prosedyrene ikke blir fulgt. Sertifiseringen må aldri bli et avlatssystem for ledelsen, presiserer han.
Skarpholt følger opp:
- Det vesentligste aspektet ved sertifiseringen er at vi blir en så god leverandør som mulig. Det er brukerne vi til syvende og sist gjør dette for. Vi ønsker å heve kompetansen vår slik at vi kan yte en virkelig god tjeneste. Det er det aller viktigste.