Finansudvalget 2017-18
SB 4 2
Offentligt
1864938_0001.png
Regionshuset
Viborg
It-stab
Skottenborg 26
Postboks 21
DK-8800 Viborg
Tel. +45 7841 0000
[email protected]
www.rm.dk
Sundheds- og Ældreministeriet
Att.: Sundhedsministeren
Holbergsgade 6
1057 København K
Regionsrådets godkendte udtalelse vedr. Statsrevisorenes
beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen
til it-systemer og sundhedsdata
I forlængelse af tidligere fremsendt udtalelse vedr. Statsrevisorernes
beretning jf. emne skal oplyses, at Regionsrådet i Region Midtjylland
den 31. januar 2018 behandlede sagen.
Behandlingen affødte ingen ændringer i forhold til den tidligere
fremsendte udtalelse, der dermed er godkendt af Regionsrådet uden
forbehold.
Til orientering vedlægges den tidligere fremsendte udtalelse som
bilag.
Dato 07-02-2018
Sagsbehandler Jan Kristian Rømer
[email protected]
Tel. +4551258361
Sagsnr. 1-16-4-32-17
Side 1
Med venlig hilsen
Anders Kühnau
Regionsrådsformand
Bilag:
Udtalelse vedr. Statsrevisorenes beretning nr. 4/2017 om 3
regioners beskyttelse af adgangen til it-systemer og
sundhedsdata
 Statsrevisorerne beretning SB4/2017 - Bilag 2: Ministerredegørelse
1864938_0002.png
Regionshuset
Viborg
It-stab
Skottenborg 26
Postboks 21
DK-8800 Viborg
Tel. +45 7841 0000
[email protected]
www.rm.dk
Sundheds- og Ældreministeriet
Att: Sundhedsministeren
Holbergsgade 6
1057 København K
Udtalelse vedr. Statsrevisorernes beretning nr. 4/2017 om 3
regioners beskyttelse af adgangen til it-systemer og
sundhedsdata
I forlængelse af Sundheds- og Ældreministeriets henvendelse af 4.
januar 2018 hvor blandt andet Regionsrådet i Region Midtjylland jf. §
18, stk. 3 i lov om revision af statens regnskaber m.v. anmodes om
en udtalelse til brug for ministerredegørelsen vedr. Statsrevisorernes
beretning nr. 4/2017 om 3 regioners beskyttelse af adgange til it-
systemer og sundhedsdata fremsendes hermed de ønskede
bemærkninger. Det skal dog bemærkes, at sagen ikke har været
behandlet af Regionsrådet. Nærværende besvarelse forudsætter
Regionsrådets godkendelse, hvilket forventeligt afgives, når sagen
behandles den 31. januar 2018.
Generelt
I Region Midtjylland arbejdes der til stadighed med at minimere
risikoen for, at følsomme og fortrolige persondata kommer i
hænderne på uvedkommende eller ikke er pålidelige og tilgængelige,
når der er brug for dem.
It-sikkerheden vurderes løbende blandt andet gennem inddragelse af
input fra såvel interne som eksterne analyser. Der foretages løbende
risikovurderinger, interne kontroller og sikkerhedsvurderinger,
ligesom udviklingen i de lovgivningsmæssige rammer følges nøje.
Revisionsrapporter anvendes proaktivt i arbejdet, herunder også de
opmærksomhedspunkter, som Rigsrevisionens beretning identificerer.
Arbejdet med Informationssikkerhed i regionen sker i et
helhedsorienteret perspektiv. Der er udarbejdet en "Handleplan for
Informationssikkerhed", som er et flerårigt projekt med en lang
række initiativer som adresserer forhold i lovgivning, politikker,
analyser og revisionsrapporter. Flere af handleplanens initiativer
adresserer opmærksomhederne i Rigsrevisionens beretning.
Specifikke forhold
Specifikt i relation til de anførte bemærkninger skal Region
Midtjylland bemærke flg.:
Dato 15-01-2018
Sagsbehandler Jan Kristian Rømer
[email protected]
Tel. +4551258361
Sagsnr. 1-16-4-32-17
Side 1
 Statsrevisorerne beretning SB4/2017 - Bilag 2: Ministerredegørelse
1864938_0003.png
Ad kritik vedr. grundlæggende sikringstiltag mod
hackerangreb
Region Midtjylland har afsluttet migrering af ny platform "Fælles
It-Platform" med udfasning af XP-enheder i Regionen. Dataudtræk
pr. 8. januar 2018 viser, at der i en periode på 14 dage forud
herfor er blevet registreret 983 aktive XP-enheder. Enhederne
beskyttes med alternative sikkerhedsforanstaltninger.
I forhold til at begrænse muligheden for at downloade
programmer skal anføres, at Region Midtjylland ikke har indført
begrænset mulighed for download af programmer, men derimod
har implementeret teknologi, som sikrer, at kun godkendte
programmer kan afvikles.
Side 2
Ad kritik vedr. styring og kontrol af medarbejdere med
privilegerede rettigheder
Region Midtjylland har udbedret de anførte forhold omkring
tilgang til internettet for privilegerede brugere herunder
udarbejdet manglende politikker og implementeret kontrol af
brugerrettigheder.
Ad kritik vedr. logning af konti med privilegerede
rettigheder
Region Midtjylland viderefører igangværende logningsprojekter
som anført i Region Midtjyllands "Handleplan for
Informationssikkerhed".
Til orientering er Region Midtjyllands tidligere fremsendte
bemærkninger til Rigsrevisionens udkast til beretningen vedlagt som
bilag.
Med venlig hilsen
Anders Kühnau
Regionsrådsformand
Bilag:
Bemærkninger fra Region Midtjylland til Rigsrevisionens
udkast "Beretning om 3 regioners beskyttelse af adgangen til
it-systemer og sundhedsdata"