Regionrevisorerna har granskat hur it-säkerheten följs upp hos de privata aktörer som utför vård för regionens räkning. Och de är inte nöjda.

Det handlar om över 2 000 externa vårdgivare, som inte omfattas av regionens styrsystem när det gäller informationssäkerhet. I stället regleras it-säkerheten i upphandlingar och avtalsvillkor.

Krav och uppföljning

Men avtalen behöver bli tydligare, anser revisorerna. De bör tydligt specificera vilka informationssäkerhetskrav som ställs på vårdgivaren, skriver de.

Dessutom borde man kräva att vårdgivarna redovisar sitt informationssäkerhetsarbete redan vid upphandlingen.

Men regionen måste också kontrollera att vårdgivarna lever upp till kraven. Som det är nu sker det inte någon systematisk uppföljnin. Det betyder att nämnden inte vet om avtalskraven inom området följs.

Patientdata läckte ut

Ett exempel som anförs är 1177-läckan 2019, där patientdata låg öppet på en underleverantörs server.

Men redan innan dess, 2018, riktades kritik mot regionen för bristande uppföljning, enligt Nyhetsbyrån Siren. Sedan dess har en modell för uppföljning av it-frågor tagits fram, men hittills har bara punktinsatser gjorts, uppger de.