Finansudvalget 2017-18
SB 4 3
Offentligt
1878289_0001.png
Rigsrevisionens notat om beretning om
3 regioners beskyttelse af
adgangen til it-systemer
og sundhedsdata
April 2018
Statsrevisorerne beretning SB4/2017 - Bilag 3: Rigsrevisionens notat af 4. april 2018
1878289_0002.png
NOTAT TIL STATSREVISORERNE, JF. RIGSREVISORLOVENS § 18, STK. 4
1
Vedrører:
Statsrevisorernes beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-
systemer og sundhedsdata
Sundhedsministerens redegørelse af 5. marts 2018
4. april 2018
RN 1504/18
1. Rigsrevisionen vurderer i dette notat de initiativer, som sundhedsministeren har iværksat
og vil iværksætte som følge af Statsrevisorernes bemærkninger og beretningens konklusio-
ner.
Sagsforløb for en større
undersøgelse
Beretning
KONKLUSION
Sundhedsministeren kvitterer i sin redegørelse for, at beretningen sætter fokus på en
helt central sikkerhedsdagsorden. Ministeren oplyser, at Rigsrevisionens beretning
indeholder en alvorlig kritik af de 3 regioners beskyttelse af adgangen til it-systemer
og sundhedsdata, som de 3 regioner har iværksat tiltag for at imødekomme.
Sundhedsministeren er enig i, at de grundlæggende tiltag mod hackerangreb og be-
skyttelse af adgangen til it-systemer og sundhedsdata bør prioriteres højt i alle lan-
dets regioner. Ministeren udtrykker endvidere en klar forventning om, at regionerne
fortsat vil arbejde aktivt og systematisk med at beskytte adgange til it-systemer og
sundhedsdata for at forebygge hackerangreb.
Rigsrevisionen finder Sundhedsministerens og regionernes tiltag tilfredsstillende og
vurderer, at denne sag kan afsluttes, idet Rigsrevisionen også fremover – gennem
årsrevisionens it-revision – vil have fokus på it-sikkerhed i regionerne, herunder be-
skyttelse af adgangen til it-systemer og sundhedsdata.
Rigsrevisionen baserer konklusionen på følgende:
Sundhedsministeren oplyser, at alle 3 regioner har iværksat tiltag, der retter op
på store dele af kritikpunkterne i beretningen.
Sundheds- og Ældreministeriet udarbejder i regi af den nationale strategi for cy-
ber- og informationssikkerhed og i samarbejde med Danske regioner og KL en
sektorspecifik sikkerhedsstrategi for sundhedssektoren. Strategien skal styrke
arbejdet med cyber- og informationssikkerhed på tværs af sektoren med henblik
på at forudsige, forebygge, opdage og håndtere cyberangreb.
Ministerredegørelse
§ 18, stk. 4-notat
Eventuelt
fortsat(te) notat(er)
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
på www.rigsrevisionen.dk
Statsrevisorerne beretning SB4/2017 - Bilag 3: Rigsrevisionens notat af 4. april 2018
1878289_0003.png
2
I.
Baggrund
2. Rigsrevisionen afgav i november 2017 en beretning om 3 regioners beskyttelse af ad-
gangen til it-systemer og sundhedsdata. Beretningen handlede om, hvad Region Syddan-
mark, Region Midtjylland og Region Hovedstaden gør for at beskytte adgangen til it-syste-
mer, der indeholder sundhedsdata om borgerne. Regionerne har ansvaret for at beskytte
sundhedsdata, der indeholder følsomme persondata om borgernes helbred. Regionerne
skal sikre, at disse data er fortrolige, men også at de er tilgængelige og pålidelige, så pati-
enter kan få den rette behandling til den rette tid. Formålet med beretningen var at vurdere,
om de 3 regioner havde en tilfredsstillende beskyttelse af adgangen til it-systemer og data,
der sikrede fortroligheden, tilgængeligheden og pålideligheden af borgernes sundheds-
data.
3. Da Statsrevisorerne behandlede beretningen, bemærkede de, at de 3 regioners beskyt-
telse af adgangen til it-systemer og sundhedsdata ikke var tilfredsstillende, og at der her-
med er en risiko for, at følsomme og fortrolige persondata kommer i hænderne på uved-
kommende eller ikke er pålidelige og tilgængelige, når der er brug for dem.
4. Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II.
Gennemgang af sundhedsministerens redegørelse og regionernes udtalelser
Sundhedsministerens overvejelser i forhold til beretningens indhold og konklusioner
5. Sundhedsministeren oplyser, at det øgede it-trusselsniveau mod sundhedssektoren un-
derstreger, at modstandsdygtighed og styrket sikkerhed er afgørende for, at sundhedsvæ-
senet kan opretholde sin funktionalitet og beskytte borgernes sundhedsoplysninger.
Sundhedsministeren oplyser endvidere, at ministeren deler Rigsrevisionens vurdering af,
at de grundlæggende tiltag mod hackerangreb og beskyttelse af adgangen til it-systemer
og sundhedsdata bør prioriteres højt i alle landets regioner.
Sundhedsministerens overvejelser i forhold til regionernes udtalelser
6. Sundhedsministeren oplyser, at regionsrådenes udtalelser vidner om, at alle 3 regioner
arbejder med at forbedre deres sikkerhed, og at alle 3 regioner har iværksat tiltag, der ret-
ter op på store dele af kritikpunkterne. Det er ministerens forventning, at regionerne dels
imødekommer Rigsrevisionens kritikpunkter, dels fremadrettet arbejder med at sikre be-
skyttelsen af adgangen til it-systemer og sundhedsdata, i takt med at trusselsbilledet og
teknologien udvikler sig over tid. Ministeren har dog noteret sig, at regionerne på nogle
områder har oplyst, at de forventer at imødekomme kritikken i løbet af 2018 uden en nær-
mere præcisering af tidspunktet for forbedringen.
Rigsrevisionen har gennemgået regionsrådenes udtalelser og er enig med sundhedsmini-
steren i, at regionerne har taget kritikken til sig og iværksat passende tiltag. En del af tilta-
gene fremgår allerede i beretningen. Det er Rigsrevisionens opfattelse, at visse tiltag kan
være omfattende og komplicerede at implementere. Rigsrevisionen forventer dog på bag-
grund af regionsrådenes udtalelser, at alle tiltag i overvejende grad er implementeret se-
nest med udgangen af 2018.
Statsrevisorerne beretning SB4/2017 - Bilag 3: Rigsrevisionens notat af 4. april 2018
1878289_0004.png
3
Sundhedsministerens tiltag
7. Det fremgår af sundhedsministerens redegørelse, at det er ministerens vurdering, at be-
retningens konklusioner tydeliggør et behov for en systematisk indsats for at hæve niveau-
et for beskyttelse af adgange til it-systemer og sundhedsdata i regionerne.
Sundhedsministeren oplyser, at regeringen snart offentliggør en ny national strategi for cy-
ber- og informationssikkerhed. Det vil fremgå af strategien, at særligt udsatte sektorer, her-
under sundhedssektoren, skal udarbejde en sektorspecifik cyber- og informationssikkerheds-
strategi. Strategien udarbejdes bl.a. i et samarbejde mellem Sundheds- og Ældreministeriet,
Danske Regioner og KL. Formålet med strategien for sundhedssektoren er at sikre et for-
svarligt informationssikkerhedsmæssigt beredskab samt at styrke og ensrette arbejdet med
cyber- og informationssikkerhed på tværs af sektoren for at forudsige, forebygge, opdage og
håndtere cyberangreb.
Sundhedsministeren oplyser endvidere, at der ved implementeringen af EU-direktivet om
net- og informationssystemer i sundhedssektoren bl.a. vil blive stillet krav om, at operatø-
rer af væsentlige tjenester – som regionerne forventes at være – træffer passende sikker-
hedsforanstaltninger, der står mål med risikoen. Ministeren oplyser, at Sundhedsdatasty-
relsen i den forbindelse får en statslig tilsynsfunktion, der skal sikre, at operatørerne har et
passende sikkerhedsniveau.
Endelig nævner sundhedsministeren, at regeringen i samarbejde med Danske Regioner
og KL har udarbejdet
Strategi for digital sundhed 2018-2022.
Strategien omhandler bl.a.
modernisering af it-sikkerhedsstandarder i sundhedsvæsenet, ligesom der er etableret et
politisk cyberforum, hvor parterne kan drøfte og sætte retning for håndtering af udfordrin-
ger knyttet til bl.a. cybersikkerhed.
Rigsrevisionen finder det positivt, at sundhedsministeren med en række forskellige tiltag
har fokus på at styrke beskyttelsen af adgangen til it-systemer og sundhedsdata. It-sikker-
hed er ikke statisk, og det er derfor vigtigt med et vedholdende fokus på området.
8. Rigsrevisionen finder sundhedsministerens redegørelse og regionernes tiltag tilfredsstil-
lende. Rigsrevisionen vurderer derfor, at denne sag kan afsluttes. Rigsrevisionen vil dog
også fremover have fokus på it-sikkerhed i regionerne, bl.a. ved løbende at gennemføre it-
revisioner på udvalgte områder i regionerne.
Lone Strøm