SUU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 571: Spm. om, hvilke initiativer Sundheds- og Ældreministeriet har foranstaltet for at imødekomme Rigsrevisionens kritik af, at beskyttelsen af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende i alle tre regioner, som Rigsrevisionen har undersøgt, til sundhedsministeren

Sundheds- og Ældreudvalget 2017-18
SUU Alm.del
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 13-03-2018

Enhed: SUNDOK

Sagsbeh.: DEPMAHA

Sagsnr.: 1801711

Dok. nr.: 557874

Folketingets Sundheds- og Ældreudvalg har den 20. februar 2018 stillet følgende

spørgsmål nr. 571 (Alm. del) til sundhedsministeren, som hermed besvares. Spørgs-

målet er stillet efter ønske fra Stine Brix (EL).

Spørgsmål nr. 571:

”Ministeren

bedes redegøre for, hvilke initiativer Sundheds- og Ældreministeriet har

foranstaltet for at imødekomme Rigsrevisionens kritik af, at beskyttelsen af adgangen

til it-systemer og sundhedsdata ikke er tilfredsstillende i alle tre regioner, som Rigsre-

visionen har undersøgt, idet Rigsrevisionen påpeger, at der er en risiko for, at føl-

somme og fortrolige persondata kommer i hænderne på uvedkommende, og at vig-

tige sundhedsdata, der indgår i behandlingen af borgere i sygehusvæsenet, ikke er

pålidelige eller tilgængelige, når der er brug for dem. Der henvises til Rigsrevisionens

beretning 4/2017.

”

Svar:

Rigsrevisionens beretning indeholder en alvorlige kritik af de tre regioners beskyttelse

af adgange til it-systemer og sundhedsdata, og jeg deler Rigsrevisionens vurdering af,

at de grundlæggende tiltag mod hackerangreb og beskyttelse af adgangen til it-

systemer og sundhedsdata bør prioriteres højt i alle landets regioner.

Det er min klare forventning, at regionerne arbejder aktivt og systematisk med at

beskytte adgange til it-systemer og sundhedsdata, som et naturligt led i det ansvar

regionerne har for it og sikkerhed i sundhedssektoren.

I forhold til, hvilke initiativer Sundheds- og Ældreministeriet har foranstaltet for at

sikre et højt sikkerhedsniveau i sundhedssektoren kan jeg indledningsvist oplyse, at

regeringen og regionerne i forbindelse med økonomiaftalen for 2016 har aftalt at

gøre sikkerhedsstandarden ISO27001 obligatorisk. Det fremgår samtidig af Den

fællesoffentlige digitaliseringsstrategi, at alle offentlige myndigheder skal følge

principperne i den internationale standard for informationssikkerhed. Standarden

udstikker retningslinjer og krav til informationssikkerhed, risikostyring og kontroller

herunder af adgangen til it-systemer og sundhedsdata.

Derudover offentliggør regeringen inden længe en ny national strategi for cyber- og

informationssikkerhed 2018-2022, hvoraf det fremgår, at de særligt udsatte sektorer,

herunder sundhedssektoren skal udarbejde en sektorspecifik cyber- og

informationssikkerhedsstrategi. Sundheds- og Ældreministeriet udarbejder den

sektorspecifikke strategi i samarbejde med Danske Regioner og KL, netop fordi

ansvaret for beskyttelse af sundhedsdata ligger hos sundhedsvæsenet driftsherrerne.

Den sektorspecifkke strategi for cyber- og informationssikkerhed for sundhedssekto-

ren har til formål at sikre et forsvarligt informationssikkerhedsmæssigt beredskab in-

den for sundhedssektoren samt styrke og ensrette arbejdet med cyber- og informati-

SUU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 571: Spm. om, hvilke initiativer Sundheds- og Ældreministeriet har foranstaltet for at imødekomme Rigsrevisionens kritik af, at beskyttelsen af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende i alle tre regioner, som Rigsrevisionen har undersøgt, til sundhedsministeren

onssikkerhed på tværs af sektoren ved sætte rammen for, at sundhedssektoren ar-

bejder systematisk og risikobaseret med cyber- og informationssikkerhed med hen-

blik på at forudsige, forebygge, opdage og håndtere cyberangreb.

Derudover har Folketinget netop 1. behandlet forslag til lov om krav til sikkerhed i

net- og informationssystemer inden for sundhedssektoren, som implementerer EU-

direktivet om net- og informationssystemer i sundhedssektoren (NIS-direktivet). Med

lovforslaget foreslås det, at der bl.a. vil blive stillet krav om, at operatører af

væsentlige tjenester træffer passende sikkerhedsforanstaltninger, der står mål med

risikoen. Regionerne forventes, i dele af deres funktion, at være en operatør af en

væsentlig tjeneste, og dermed vil de skulle leve op til en række organisatoriske og

tekniske sikkerhedsforanstaltninger. Desuden etableres der en statslig tilsynsfunktion

i Sundhedsdatastyrelsen, som skal sikre, at operatørerne opretholder et passende

sikkerhedsniveau. Implementering af NIS-direktivet stiller således en række krav til

operatørernes sikkerhedsniveau med henblik på at opretholde et funktionelt

sundhedsvæsen, og hvor borgerne har tillid til digitale løsninger i sundhedsvæsenet.

Endelig har regeringen, med den netop lancerede Strategi for digital sundhed 2018-

2022, i sa arbejde ed Da ske Regio er og KL også u der overskrifte ”Tillid og

sikkerhed o data” lagt spor for de fortsatte i dsatser

med cyber- og

informationssikkerhed. Det gælder bl.a. borgeradgang til logoplysninger fra

hospitaler, modernisering af it-sikkerhedsstandarder i sundhedsvæsenet, og ikke

mindst, etablering af et politisk cyberforum, hvor parterne på politisk niveau kan

drøfte og sætte retning for håndtering af udfordringer knyttet til cybersikkerhed mv.

Med venlig hilsen

Ellen Trane Nørby

Maja Holm Andreasen

Side 2