ISO og informasjonssikkerhet i helsesektoren

27 mars 2020

Ny teknologi gir utfordringer knyttet til personvern. Ecura har gjennomført og klart ISO-sertifisering innen informasjonssikkerhet som første norske privateide helseforetak. Det har bidratt til gode rutiner og god kultur etter fusjon av flere selskaper.

Nærbilde av en åpen laptop og to hender som skriver i et Word-dokument.

Om ISO 27001:2017

  • Den mest anerkjente standarden for informasjonssikkerhet i verden.
  • Standarden har en helhetlig tilnærming til IT-sikkerhet og beskriver beste praksis for å beskytte dine data.
  • En ISO 27001-sertifisering viser at du tar sensitive kundedata og konfidensiell informasjon på alvor.
  • Sertifiseringen vil være gyldig i 3 år etter at den er innvilget. I løpet av denne perioden vil det bli utført årlige oppfølgingsrevisjoner

(Kilde: Kiwa)

Norge er i verdenstoppen i å ta i bruk ny teknologi, også for helseog omsorgsektoren. Økt digitalisering, flere sammenkoblede systemer og mer utveksling av informasjon for å skape bedre helse- og omsorgstjenester, vil også medføre nye trusler og sårbarheter.

Allerede under EHIN («E-Helse i Norge»)-konferansen i 2017 uttalte helse- og omsorgsminister Bent Høie at godt personvern og god informasjonssikkerhet er en forutsetning for digitalisering i helse- og omsorgstjenesten.

– Informasjonssikkerhet handler ikke først og fremst om teknologiske løsninger. Informasjons-sikkerhet handler først og fremst om kultur. Og lederne er de viktigste kulturbærerne, sa Høie den gang.

Både god teknologi og sikkerhetskultur

– Teknologien og behandlingen av opplysninger som brukes i helse- tjenesten kan bli utsatt for både utilsiktede og tilsiktede hendelser, uttaler revisjonsleder Ingebjørg Sjåstad i Kiwa Teknologisk Institutt Sertifisering.

Sjåstad er utdannet sykepleier med videreutdanning og mastergrad. Mastergraden handlet om ISO og kvalitet i spesialisthelsetjenesten. I Kiwa jobber hun med eksterne revisjoner innen tre viktige ISOstandarder.

– Helse- og omsorgstjenesten må bygge og forvalte robust teknologi, organisasjon og sikkerhetskultur og ha gode tiltak for å sikre at dette fungerer og samtidig håndtere og lære av tilfeller der det ikke fungerer. Det er et ledelsesansvar å sikre at en virksomhet følger kravene til personvern og informasjonssikkerhet, poengterer hun.

Sterkt verdiforankret

Ecura er et eksempel på et norsk helseforetak som ønsket å sikre at deres organisasjon etterlevde disse kravene Sjåstad nevner. Ecura er i dag sertifisert i henhold til fire ISO-standarder: 9001 for kvalitet, 14001 for miljø, 45001 for arbeidsmiljø og 27001 for informasjonssikkerhet.

– Bakgrunnen for opprettelsen av Ecura var en rekke selskaper i Norge som ønsket å slå seg sammen og bli en del av noe større. Vi er et ungt konsern, men med virksomheter som har en lang historie hver for seg. Fra dag én var det førende at vi skulle satse på kvalitet og kompetanse, forteller konsernsjef Per Gunnar Borhaug.

Borhaug understreker at Ecura bare har en rolle å spille som privat helseaktør så lenge de faktisk kan levere god kvalitet og en trygghet for oppdragsgiverne.

– Derfor er vi sterkt verdiforankret i Ecura, og vi valgte å gå for sertifisering både innen kvalitet, miljø, arbeidsmiljø og informasjonssikkerhet. Det har vært laserfokus på å få dette i mål på veldig kort tid, utdyper Borhaug.

– En forpliktelse

Tore Martin Skarpholt, leder for IT, teknologi og innovasjon, har vært ansvarlig for sertifiseringsprosessen i Ecura. Han forteller at overskriften på ISO-arbeidet har vært å forbedre selskapet på alle områder.

– Det ligger en forpliktelse i å ha fått sertifikatet og skulle re-sertifiseres årlig. Det er nødvendig at dette blir en del av vårt daglige arbeid, sier Skarpholt, som understreker at det ikke er noen motsetning mellom fokus på informasjonssikkerhet og en enklere og mer effektiv IT-hverdag.

Helse- og omsorgs- tjenesten må bygge og forvalte robust
teknologi

Finne gullet i hver virksomhet

Borhaug forklarer at ISO-sertifiseringene har fungert som et nyttig verktøy for å bygge en felles plattform i Ecura.

– ISO er ikke bare blitt et kvalitetssikringsverktøy, men også et verktøy for å integrere virksomhetene organisatorisk. De enhetene våre som jobbet med det samme spekter av tjenester har måttet bli enige om noen felles prosedyrer og retningslinjer, hvilke varslingssystemer og hvilke risiko- og sårbarhetsvurderinger de skulle benytte. Målet har vært å dele beste praksis, for alle selskapene har hatt noe som har fungert veldig bra,
sier Borhaug og legger til:

– Vi har vært på jakt etter å finne «gullet» i hver virksomhet. Det skapte bra engasjement, også hos personer som i utgangspunktet kanskje ikke var så motivert for sertifiseringsprosjektet. Jeg opplever at dette er noe som lever i organisasjonen. Sånn sett blir også ISO-sertifiseringen et kulturverktøy.

til toppen