1 Säkerhetsredovisning 2013 Hälso och sjukvård Lång ver. 1.0 2014-03-10 Frågor och svar på säkerhetsenkät från 11 verksamheter i Västra Götalandsregionens Hälso- och sjukvård
Jan 01, 2016
1
Säkerhetsredovisning 2013 Hälso och sjukvård
Lång ver. 1.0
2014-03-10
Frågor och svar på säkerhetsenkät från 11 verksamheter i Västra Götalandsregionens
Hälso- och sjukvård
Innehåll
SammanfattningUtgångspunkter
Del 1 InledningDel 2 Sju strategisk mål med 12 frågor och svar inkl. indexDel 3 KrishanteringsförmågaDel 4 Regionövergripande och gemensamma riskerDel 5 PersonsäkerhetDel 6 InformationssäkerhetDel 7 Säkerhet i övrigt
Hanteringsordning:•Redovisning av säkerhetsarbetet finns nu med i årsredovisning•Rapport och TU till RS •PP 1 - denna pp med frågor och svar kring inom hälso- och sjukvård •PP 2 – pp med frågor och svar från alla 45 verksamheter och bolag
Sammanfattning
Samlad bild1.Samlad bild är att säkerhetsläget i huvudsak är stabilt men det finns utvecklingspotential2.45 förvaltningar och bolag - alla har besvarat webbenkät I EsMaker3.11 verksamheter inom hälso- och sjukvård har 43 536 personer – 85,2 % av personalen4.34 verksamheter – 14,8 % av all personal I VGR
Planer1.2013 är planernas och strategiernas med bl.a. regional säkerhetsstrategi, handlingsplan för informationssäkerhet, IT-säkerhetsstrategi och IS/IT-strategi2.Problem med IT och IT-säkerhet kvarstår men åtgärder har vidtagits under 20133.Handlingsplan för informationssäkerhet och åtgärder enligt denna plan fortsätter 2014
RSA och Intresset1.Fler RSA än tidigare år2.Intresset för administrativa säkerhetstjänster har ökat 3.Intresset och förståelsen för säkerhetsfrågor har ökat
Systematiskt arbete och IT1.Systematiskt säkerhetsarbetet inom hälso- och sjukvård och det finns utvecklingspotential för andra verksamheter 2.IT-säkerheten har ökat med bl.a. SSO, projekt kring säker identitetshantering, säkrare nät, etablerat process för larmhantering för IT-system3.Investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare
Sammanfattning forts.
Informationssäkerhet (enl. Handlingsplan)1.Åtgärder som stödjer nationellt arbete inom vård och omsorg2.Åtgärder som förstärker ägar- och verksamhetsstyrning genom nya riktlinjer för informationssäkerhet, dvs revidering av LIS3.Utbildningsinsatser för tekniker, särskild högskolebaserad utbildning och interaktiv utbildning informationssäkerhet för hälso- och sjukvård4.Åtgärder som stärker säkerhetskulturen
Annat1.Ökad samverkan mellan förvaltning har identifierats – folkhögskolorna och egen förvaltning 45 förvaltningar och bolag - alla har besvarat webbenkät I EsMaker2.Fler verksamheter har inrättat lokal TiB-funktion3.Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningar
Starka säkerhetsområden1.Avvikelsehantering och upprättandet av handlingsplaner2.Rutiner som kan tillämpas vid IT-avbrott
Svaga säkerhetsområden1.Arbetet med kontinuitetsplaner, klassificering av information och lokaler 2.Regelbunden genomgång av säkerhetsfrågor av verksamhetsledning3.Övningsverksamhet kring operativ ledning av kris- och katastrofer4.Identifiering av rutiner som effektiviseras och/eller automatiseras
Utgångspunkter
•Nämnder, styrelser och bolagsstyrelser ska årligen redovisa sitt säkerhetsarbete till Regionstyrelsen och i respektive årsredovisning enligt Regionfullmäktiges beslut den 22 april 2008, dnr RSK 636-2006.
•Utgångspunkt för redovisningen är Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016 fastställd av Regionfullmäktige den 14 maj 2013, dnr RS 572-2011.
•Förvaltningschef, säkerhetschef/motsvarande eller av förvaltningschef utsedd kontaktperson ansvarar för att svar och bedömningar i frågeformuläret ger en rättvisande bild av förvaltningens säkerhetsarbete och säkerhetsläge under 2013.
6
Antal personer har medverkat och påverkat svar i denna rapport/enkät
Namn Antal %
A. 1 person 0 0
B. 2-4 personer 3 27,3
C. 5-10 personer 4 36,4
D. 11-20 personer 2 18,2
E. 21-50 personer 2 18,2
F. 51-100 personer 0 0
G. fler än 100 personer 0 0
Total 11 100
DEL 1 Inledning
7
Verksamheter och ansvarig tjänsteman för enkätsvar
1. Habilitering & Hälsa, Else-Marie Ljungberg
2. Angereds Närsjukhus, Gun-Britt Westberg
3. Närhälsan, Bengt Hansson
4. Folktandvården, Bent Petersen
5. Skaraborgs sjukhus, Lena Brodén
6. Sahlgrenska Universitetssjukhuset, Thomas Karlsson
7. Södra Älvsborgs sjukhus, Jan-Ola Höglund
8. Frölunda specialistsjukhus, Agneta Xenos Mattsson
9. Kungälvs sjukhus, Jussi Taipale
10. Alingsås lasarett Lill Valestrand
11. NU-sjukvården, Mattias Hagelberg
Svarsfrekvens alla frågor
100% (11/11)
8
Svar i denna rapport/enkät har tagits fram
Namn Antal %
A. Nej, inte i samråd med andra förvaltningar
11 100
B. Ja, i samråd med andra förvaltningar
0 0
Total 11 100
9
Svar i denna rapport/enkät har redovisats till nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. Nej 4 36,4
B. Ja 7 63,6
Total 11 100
10
Svar i denna rapport/enkät kommer att redovisas till nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. Nej 0 0
B. Ja 4 36,4
C. Har redovisat ja enligt tidigare fråga
7 63,6
Total 11 100
11
Mål 1 - Avvikelser i förvaltningens verksamheter hanteras på ett systematiskt sätt
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 2 18,2
D. 4 8 72,7
E. 5 - Stämmer helt 1 9,1
Total 11 100
DEL 2 Sju strategiska mål med 12 frågor och svar inkl index
12
Mål 1 - Arbetet med att säkerhetsklassificera lokaler har påbörjats
Namn Antal %
A. 1 - Stämmer inte alls 1 9,1
B. 2 4 36,4
C. 3 2 18,2
D. 4 1 9,1
E. 5 - Stämmer helt 3 27,3
Total 11 100
13
Mål 2 - Ledningen har regelbunden genomgång av säkerhetsfrågor
Namn Antal %
A. 1 - Stämmer inte alls 1 9,1
B. 2 0 0
C. 3 7 63,6
D. 4 3 27,3
E. 5 - Stämmer helt 0 0
Total 11 100
14
Mål 3 - Västfastigheter har tagit över ansvar för fastighetsbundna säkerhetsanläggningar
Namn Antal %
A. 1 - Stämmer inte alls 2 18,2
B. 2 2 18,2
C. 3 1 9,1
D. 4 2 18,2
E. 5 - Stämmer helt 4 36,4
Total 11 100
15
Mål 3 - Det finns behov av administrativa säkerhetstjänster som ex vis hantering av tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning
Namn Antal %
A. 1 - Stämmer inte alls 2 18,2
B. 2 0 0
C. 3 1 9,1
D. 4 4 36,4
E. 5 - Stämmer helt 4 36,4
Total 11 100
16
Mål 4 - Det finns behov av följande säkerhetstjänster
Namn Antal %
A. Hantering av tjänstekort 6 54,5
B. Hantering av larm 6 54,5
C. Administration av passagesystem
6 54,5
D. Hjälp med vakthållning (ex vis ordningsvakter)
6 54,5
E. Hantering av kameraövervakning
5 45,5
F. Hjälp med avtal och avtalsbevakning säkerhetstjänster
7 63,6
G. Annat 3 27,3
Total 39 354,5
Kompletterande säkerhetsutbildningar
FSS har tecknat avtal med Västfastigheter och andra leverantörer
Beror på samordningsvinster och ekonomisk påverkan
G. Annat
17
Mål 5 - Handlingsplan för säkerhetsarbetet finns och är fastställd av nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 1 9,1
D. 4 3 27,3
E. 5 - Stämmer helt 6 54,5
Total 11 100
18
Mål 5 - Kontinuitetsplan eller kris- och beredskapsplan finns och är fastställd av nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. 1 - Stämmer inte alls 2 18,2
B. 2 1 9,1
C. 3 2 18,2
D. 4 1 9,1
E. 5 - Stämmer helt 5 45,5
Total 11 100
19
Mål 6 - Anställda i förvaltningen får utbildning i personsäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 5 45,5
D. 4 2 18,2
E. 5 - Stämmer helt 3 27,3
Total 11 100
20
Mål 7 - De viktigaste processerna och informationsmängderna är identifierade
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 4 36,4
D. 4 7 63,6
E. 5 - Stämmer helt 0 0
Total 11 100
21
Mål 7 - Förvaltningens skyddsvärda information har klassificerats
Namn Antal %
A. 1 - Stämmer inte alls 1 9,1
B. 2 1 9,1
C. 3 5 45,5
D. 4 3 27,3
E. 5 - Stämmer helt 1 9,1
Total 11 100
22
Mål 7 - Skyddsvärd information lagras och kommuniceras internt och extern (via ex vis e-post) på ett säkert och tillfredsställande sätt
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 5 45,5
D. 4 6 54,5
E. 5 - Stämmer helt 0 0
Total 11 100
23
Mål 7 - Det finns rutiner som kan tillämpas vid IT-avbrott
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 3 27,3
D. 4 5 45,5
E. 5 - Stämmer helt 3 27,3
Total 11 100
24
Hälso- och sjukvård
Index utifrån 12 svar kopplat till 7 strategiska mål
Not. Genomsnittligt index = 3,58
25
Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra krishanteringsförmågan?
Namn Antal %
A. Nej 5 45,5
B. Ja och antalet RSA vs krishanteringsförmåga som har genomförts är
6 54,5
Total 11 100
8 st RSA vara 1 st inom mediaförsörjning
1 st sjukhusövergripande RSA med fokus på social oro och 16 st mer specifikt verksamhetsknutna (vårdmetoder, lokalförändringar, MT, organisationsförändringar)
DEL 3 Krishanteringsförmåga
Antal RSA som har genomförts är:
26
Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra informationssäkerheten?
Namn Antal %
A. Nej 6 54,5
B. Ja och antalet RSA vs informationssäkerheten som har genomförts är
5 45,5
Total 11 100
14 st
Handlingsplaner. Riktlinjer avseende kommunikation med tydlig ansvarsfördelning.
Antal RSA som har genomförts är:
27
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat krishanteringsförmågan?
Namn Antal %
A. Nej 3 27,3
B. Ja och exempel på åtgärder är
8 72,7
Total 11 100
Exempel på ätgärder är:1. Utbildningsinsaster för medarbetare och chefer, utveckling av rutiner/riktlinjer, sektionering av lokaler i samband med ombyggnation eller vid händelse samt utökade larm funktioner.
2. Utbildning och övningar (brandskydd, personsäkerhet, katastrofmedicin mm) säkerhetsanpassningar i lokaler i samband med ombyggnationer och flyttar.
3. Åtgärdsplaner verksamheter, ändrad organisation bl.a. införskaffat RKK samordnare och RKK ombud.4. Handlingsplan vid elavbrott.
5. Stabsövningar och larmövningar har genomförts.
28
Exempel på åtgärder – fortsättning
6. Utbildning inom katastrofövning.9. Framtagande av systematiskt brandskyddsarbete (SBA) och brandutbildning.10. Planering för sommarsituationen 2013.12. Uppdatering av det systematiska brandskyddsarbetet (SBA).17. Katastrofmedicinska utbildningar i syfte att öka personalens kompetens.18. Kontinuerliga utbildningar och övningar i saneringsenheten på NÄL med fokus på saneringsmetodik och personlig skyddsutrustning. Dessa övningar har medfört en förbättring av åtgärdskort för saneringsarbetet.20. CBRNE-nätverk i Fyrbodal och i NU-sjukvården, som utvecklar och förbättrar arbetet inom området farliga ämnen.21. Regional temadag i smittskydd/B-händelser.22. Deltagande i samrådsgrupp för sjöräddning i SAR-område Skagerack där sjöräddningsenheter och landbaserade blåljusorganisationer samverkar och övar. SAR = Search and Rescue.23. Krisledningsövning/seminarium oktober 2013 genomfördes av PKMC med stöd av MSB. Målet var att öka och stärka samverkan mellan olika myndigheter i krisstödsarbetet.24. Medverkande från NU-sjukvården var PKL, Säkerhet och beredskap och informatör.25. Ökad krishanteringsförmåga mellan PKMC och sjukhusområdena vid exempelvis vädervarningar och vårdplatsbrist via gemensamma telefonkonferenser.26. Funktionen NU-TiB har en central roll i krishanteringsförmågan.27. Scenarioövningar och stabsövningar har genomförts med alla medarbetare i TIB-funktionen.
19. Samverkansövningar med Högskolan Väst i form av 3ns övningar med deltagare från räddningstjänst, polis, ambulanssjukvård och enheten för säkerhet och beredskap.13. Utveckling av åtgärdskort för tjänsteman i beredskap (TIB.)14. Utveckling, Uppdatering av kris och katastrofplan. 15. Utbildning i kris och katastrof.16. Arbete pågår med att förtydliga åtgärdskorten per avdelning.11. Brandutbildning, SBA.7. Nya funktioner och rutiner för medicinska larm. 8. Händelseanalys IT.
29
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat informationssäkerheten?
Namn Antal %
A. Nej 3 27,3
B. Ja och exempel på åtgärder är
8 72,7
Total 11 100
Exempel på åtgärder är:1.Reviderat riktlinjer för loggranskning och tilldelning av behörigheter.2.Bildat en dataintrångsgrupp som ska vara en stödjande funktion till chefer vid informationssäkerhetsincidenter.
3.Säkerställa att vi följer PuL när det gäller våra kvalitetsregister.4.Säkerställt trygg lagring av data på servernivå.5.Vi ska se över personberoendet angående systemadministration inom förvaltningen
30
Exempel på åtgärder – en fortsättning:
6. RSA inför teknikbyte vid 1177 (SVR) Förändringar genomfördes under våren för att säkra kommunikationerna.
9. Reservtelefon extern om IP-telefonin går ner, revisioner ute i verksamheterna har påbörjats10. Loggranskningsrutiner har förbättras
11. Styrdokument för loggning och loggranskning, utbildning nyanställd personal samt AT läkare
12. Riskanalys för riskminimering vid migrering till IP-telefoni.13. Införande av Windows 7 som förutsättning för säker IT-basmiljö samt testarbeten för att klara övergången.
15. Obligatorisk säkerhetsutbildning/ fysisk säkerhet, ges två gånger per år. Mer än hälften av medarbetarna har tagit del av utbildningen.
18. SIHTS-kort inloggning till vissa system, KIV och KLARA19. Översyn av behörighetshanteringen i journalsystemet Melior. 20. Loggningsgranskning utförs i verksamheten21. Genomgång av Informationssäkerhet för sjuksköterskestudenter.22. Användare måste identifiera med tjänstekort i samband med lösenordsbyte23. Nya regionala rutiner för behörighetsbeställning
16. Översyn av behörigheter samt arbete som pågår kring uppdatering av behörighetstilldelning.17. Pågående arbete av uppdatering av rutiner för loggranskning för alla system som innehåller patientinformation14. Nya och reviderade dokument kring informationssäkerhet.7. RSA av införandet av Asynja-Visph gav förändringar/utveckling av utbildning, rutiner, införanderutin och teknik.8. RSA av konverting av gamla data.
31
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat säkerheten i övrigt?
Namn Antal %
A. Nej 1 9,1
B. Ja, och exempel på åtgärder är
10 90,9
Total 11 100
Exempel på åtgärder är:1. Inventering av teknisk säkerhet är påbörjad.
2. Utbildningar för medarbetare och chefer pågår kontinuerligt inom brand, person och patientsäkerhet.3. Rollbeskrivningar, förtydligande av ansvar, befogenheter och mandat.4. Planering av riskanalys inom informationssäkerhet pågår.
32
Exempel på åtgärder – en fortsättning:
5. Gemensam utveckling av riktlinjer för fysisk och teknisk säkerhet men FTV och HH. 6. Avtal slutet med VF angående stöd i säkerhetsteknik.
7. Avtal Västfastigheter
8. Riktlinjer för fysiskt och tekniskt skydd9. Utbildning av personal i riskanalyser, skalskydd har setts över, övervakningskameror i entréer, fler väktare under helger, lokala åtgärdskort framtagna, säkerhetsutbildning, överfallslarm på akutmottagningarna
10. Utbildning våld och hot, Brandskyddsutbildningar.
11. Allmän säkerhetsutbildning till nyanställda12. Tillsammans med SP reviderat Regionens brandskyddstandard (högre krav inom Psykiatrin).13. Larmövervakning
14. Elrevision15. Ny brandlarmscentral16. Uppgraderad ventilation17. Brandtätningar18. Utökat antal kortläsare i dörrmiljön för ökad säkerhet i skalskydd samt ökad spårbarhet.
19. Kontinuerligt SBA i verksamheten.20. Kontinuerliga skyddsronder.21. Utökning av passage för att säkra upp tillgängligheten till lokaler.
22. Framtagande av "Säkerhetshandbok" som ska vara till hjälp för alla medarbetare.23. Genomgång och diskussion kring inträffade händelser.
33
STRATEGISK LEDNING
Förvaltningen har handlingsplaner för systematiskt säkerhetsarbete och tydliga roller och tydligt ansvar för säkerhetsarbetet Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 2 18,2
C. 3 3 27,3
D. 4 - Stämmer helt 6 54,5
Total 11 100
34
SAMVERKAN MED ANDRA AKTÖRER
Förvaltningen samverkar med andra förvaltningar, kommuner, polis, räddningstjänst m.fl
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 6 54,5
D. 4 - Stämmer helt 5 45,5
Total 11 100
35
EXTERN INFORMATION / KOMMUNIKATION
Förvaltningen samverkar i externa nätverk och med andra landsting
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 3 27,3
C. 3 4 36,4
D. 4 - Stämmer helt 4 36,4
Total 11 100
36
INTERN INFORMATION / KOMMUNIKATION
Förvaltningen samverkar i interna nätverk och med andra aktörer inom VGR
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 3 27,3
D. 4 - Stämmer helt 8 72,7
Total 11 100
37
OPERATIV LEDNING
Förvaltingen genomför övningar inom området kris- och katastrofledning
Namn Antal %
A. 1 - Stämmer inte alls 3 27,3
B. 2 3 27,3
C. 3 3 27,3
D. 4 - Stämmer helt 2 18,2
Total 11 100
38
Regionövergripande och regiongemensamma risker som behöver hanteras över förvaltnings- och bolagsgränser inom VGR
Namn Antal %
A. Inget behöver hanteras 1 9,1
B. Följande behöver hanteras 10 90,9
Total 11 100
Följande behöver hanteras:1. Gemensamma regler för regionens lokaler, ex miniminivå för säkerheten. 2. Önskemål om förvaltningsövergripande trygghetscentral eller liknande för stöd i att hantera oönskade händelser.
3. Hur ska informationssäkerhetsarbetet med tillhörande roller, ansvar, befogenheter och mandat gå tillväga i linje med styrmodell IS/IT framledes? Förtydliganden krävs. Exempelvis: Vem är ytterst informationsägare i regiongemensamma objekt t. ex Melior?
DEL 4 Regionövergripande och gemensamma risker
39
Följande behöver hanteras– en fortsättning:
4. Telefoni och datakommunikation/infrastruktur.
5. Kravställning av nationella applikationer, (Pascal, DOS, , 1177. säkerhetstjänster gällande SITHS-kort), ordination och leveranser av läkemedell.6. Brister i informationssäkerhet, gemensam klassning av information som hanteras i regiongemensamma IT-system, medieförsörjning (el, tele, IT, vatten, avlopp mm) och andra försörjningsflöden (livsmedel, tvätt, läkemedel mm)
7. Evakueringsmöjligheter vid större incidenter som påverkar större delar av ett eller flera sjukhus eller andra förvaltningars lokaler.8. Regional översyn av Västfastigheter och VGR-ITs förmåga att hantera och utveckla och hantera säkerhetssystemen inom den rättspsykiatriska vården utifrån SOSFS 2006:9, IT krasch backup system behöver etableras, organiserad brottslighet, rutiner vid IT och telefonstopp, störningar i försörjningssystem.
9. Regionala vårdsystem
10. Regionala informationssystem11. Regionala säkerhetssystem (Kameraövervaknings), Läkemedelsförsörjning12. FSS kommer att samverka med PKMC om uppdatering av kris- och katastrofplan
13. Risker inom IS/IT-området, ex nät, serverdrift, klientutskick.15. Fortsatt bristande förtroende och osäkerhet för IT-organisation och ny IS/IT-styrmodell. Det upplevs som att roller och ansvar är otydliga samt styrning av implementering av nya system hanteras.16. Avsaknad av delaktighet från regionens verksamheter vid kravställning kan och gör att lösningar tas fram för snabbt innan verksamhetsbehovet är kartlagt.
14. Risker vid kemolycka.
40
Följande behöver hanteras– en fortsättning:
17. Vid införande av nya system eller vid uppgradering där förändringen är betydlig, saknas möjlighet till utbildning av medarbetare. ”Learning by doing” tar mkt energi och tid för en redan ansträngd verksamhet/förvaltning.
18. Att IT-system/applikationer ej är kompatibla med andra IT-system, exempelvis journalsystemen. Det skapr frustration och ger kvalitetsbristkostnader (att öppna fler fönster samt dubbeldokumentation). 19. Den ökande hot- och våldssituation, speciellt på våra akut- och psykiatriska mottagningar även IVA upplever ökad hot och våld.20. Spridning av sekretessbelagd information på nätet, via mail mm.21. Ökad användning av sociala medier 22. Nya och gamla IT-system, som vid implementering och uppdatering ej följer lagkraven. 23. Införande av nya system utan driftsättningscheck mellan verksamhet och IT.24. Att reservnummer ej samordnas regionalt eller nationellt.25. Att inte se oss som en vårdgivare med vad det innebär.26. Öka vårt samarbete kring rutiner/riktlinjer som gällerför alla förvaltningar speciellt inom Häls- och sjukvård.
27. Viktigt att patienter/personal/besökare mm känner igen sig och behandlas lika oberoende var man befinner sig.
28. Att vi på allvar tar till oss att vi är en region och arbetar med leanfilosofin.
29. Tydliggöra närhälsans samordnings- och ledningsansvar mot sjukhusen vid inträffad allvarlig händelse. Samma krav gäller för offentlig och privat verksamhet.
41
Ny styrmodell och förvaltningsmodell (pm3) för IS/IT har bidragit till ökad effektivisering och tydlighet inom säkerhetsområdet vad gäller roller och ansvar
Namn Antal %
A. 1 - Stämmer inte alls 3 27,3
B. 2 7 63,6
C. 3 0 0
D. 4 - Stämmer helt 1 9,1
Total 11 100
Typ av händelse Antal
2013 2012 2011
Registrerade inträffade händelser 707 597 612
hot & våld
Registrerade polisanmälningar 32 36 20
hot & våld
Registrerade arbetsskador 156 139 146
relaterade till hot & våld
Registrerade arbetsskadeanmälningar 111 115 87
på grund av hot & våld
DEL 5Personsäkerhet
43
Befintliga personsäkerhetsutbildningar (regional eller lokala utbildningar) är ett bra stöd i arbetet med personsäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 5 45,5
D. 4 - Stämmer helt 5 45,5
Total 11 100
44
Andel av personalen som har fått någon form av säkerhetsutbildning
Namn Antal %
A. Ca 0-9 % av personalen har fått utbildning
1 9,1
B. Ca 10-19 % av personalen har fått utbildning
1 9,1
C. Ca 20-29 % av personalen har fått utbildning
1 9,1
D. Ca 30-39 % av personalen har fått utbildning
4 36,4
E. Ca 40-49 % av personalen har fått utbildning
0 0
F. Ca 50-59 % av personalen har fått utbildning
0 0
G. Ca 60-69 % av personalen har fått utbildning
1 9,1
H. Ca 70-79 % av personalen har fått utbildning
1 9,1
I. Ca 80-89 % av personalen har fått utbildning
1 9,1
J. Ca 90-99 % av personalen har fått utbildning
1 9,1
K. 100 % av personalen har fått utbildning
0 0
Total 11 100
45
Säkerhetsarbetet i VGR styrs av ett regelverk som består av policy, strategi, riktlinjer, mål, anvisningar, instruktioner och beskrivningar. Detta regelverk behöver utvecklas.
Namn Antal %
A. 1 - Stämmer inte alls 1 9,1
B. 2 0 0
C. 3 8 72,7
D. 4 - Stämmer helt 2 18,2
Total 11 100
DEL 6 Informationssäkerhet
46
Ange exempel på hjälp/stöd som skulle underlätta det egna/lokala säkerhetsarbetet och som borde a) utvecklas, b) förtydligas eller c) avvecklas.
Namn Antal %
A. a) Följande behöver utvecklas
10 90,9
B. b) Följande behöver förtydligas
1 9,1
C. c) Följande kan avvecklas 0 0
D. Inget behöver utvecklas, förtydligas eller avvecklas
0 0
E. Frågan är inte relevant för min förvaltning
0 0
Total 11 100
47
Exempel på hjälp och stöd i det lokala säkerhetsarbetet:
1. Bättre kontroll på in- och utpassering (med tjänste-id) och att alla har tjänsteid synligt för kontroll av att bara behörig personal finns i våra lokaler.
2. Vi har väldigt mycket KA-konton och avvikande datorer vilket gör VGR-nät sårbart och mer okontrollerat. Verksamhetens behov kan idag inte fyllas om de inte är administratörer på dessa datorer. Man behöver utveckla möjligheten att individanpassa en PC utan att man behöver vara admin.
3. Det finns många tekniska brister man kan fixa men kommunikation och information till medarbetare skulle avhjälpa många risker som beror på den mänskliga faktorn.4. Samverkan mellan förvaltningar
5. Regional samordning av reservnummer.
6. Säker mail för kanslig information, även webmail, så att de flsta användare kan nyttja tjänsten.7. Webutbildningar inom alla säkerhetsoråden för chefer och medarbetare.8. Alternativ till analog fax.9. Reservnummerhanteringen
10. Säkra kort till journalinloggning11. Styrmodellen PM3 vilket inbegriper beslutsvägar, roller och mandat. Ej tydligt för verksamheten. I övrigt krävs specifika risk- och sårbarhetsanalyser för att kunna svara på frågan.
12. Löpande utbildning för IT frågor
13. Gemensamt operativet arbete, ex. tolkning av regelverk
14. Kris- och katastrofplanen15. Roller och ansvar för säkerhetsarbetet
16. SLA (Service lavel agreement) för viktiga IS/IT-system. Krypteringsfunktion för säker kommunikation. Säker autentisiering utifrån PDL. Informationssäkerhetskompetens inom Objekten (enl styrmodell för IS/IT).
17. Förtydligande av VGR ITs process för säkerställande av att säkerhetskopierad information är korrekt och fullständig och går att återläsa. På vilken nivå kan VGR ITs övervaka IS/IT-system och på vilken nivå sker övervakning idag.
48
18. IT-resurser- med den föränderlighet inom IT som finns inom VGR/våra förvaltningar så krävs it-resurser(support) för att hantera "krångel". Idag försvinner ”den egna supporten/kunskapen” till It-förvaltning för att arbeta regionalt. Detta försvårar arbetet på ”hemmaplan” och det tar lång tid för att åtgärda ”krångel”. 21. Ökat samarbete och samsyn mellan våra förvaltningar speciellt inom vårdgivaren där övergripande riktlinjer/broschyrer mm bör tas fram gemensamt. Viktigt att både patienter och medarbetare känner igen sig och behandlas på samma sätt.
25. Öka samverkan mellan våra förvaltningar och speciellt mellan hälsa-och sjukvårdsförvaltningar.26. Hur vi ska utföra säkerhetsklassning av lokaler med hjälp av Västfastigheters mall samt VF engagemang i mål 3. Genomgång av mall för säkerhetsklassning. Finns den och är den beslutad?
22. Stöd och hjälp vid genomförande av RSA och /eller rutin för hur vi kan hjälpa och stödja varandra över förvaltningsgränserna.´
23. Kommunikation och information om nya avta som skrivs. Viktigt även att berörda parter får lämna synpunkter. Exempel: Västfastigheters övertag av parkeringsverksamheten i VGR
24. Följande behöver förtydligas: Vad gäller för förvaltningar som lämnar ifrån sig kompetens till objekten, objektspecialister, samordnad objektspecialister. Hanteringen och förutsättningar borde vara kommunicerat innan start. För små förvaltningar är det sårbart att förlora kompetens utan ersättning. Att anställa en ersättare, som oftast är en förutsättning för att klara uppdraget resulterar i dubbla kostnader för förvaltningen.
19. Samordning av reservnummer regionalt. 20. Säkra upp mailfunktionen för att kunna hantera sekretessbelagd information som skickas över nätet.
27. Utbildning behövs till nyanställd och redan anställd personal
28. Följande behöver förtydligas: Utbildningsmaterial/manualer behöver göras mer tillgängligt på intranätet.
49
Regler, råd och anvisningar för hur säkerhetsarbetet ska bedrivas är komplexa och omfattande och behöver förenklas.
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 5 45,5
D. 4 - Stämmer helt 5 45,5
Total 11 100
50
Mål 7 - arbetet med informationssäkerhet är att säkerställa att information finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte har tillgång till den (konfidentialitet) och att den kan spåras. Innebörd och konsekvenser av dessa mål är kända för all personal.
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 7 63,6
D. 4 - Stämmer helt 3 27,3
Total 11 100
51
IT-säkerheten har förbättrats under 2013.
Namn Antal %
A. Nej, IT-säkerheten har inte förbättrats
3 27,3
B. Ja, IT-säkerheten har förbättrats bland annat genom följande åtgärder
8 72,7
Total 11 100
52
7. Genom användandet at Tjänste-Id i IS/IT-system
8. Ökad möjlighet till att använda SITHS-korten samt uppdatering av Windows 7 och mail (outlook) stärker IT-säkerheten.
9. Alingsås lasarett följer de beslut som tas i regionen och utför inga systemutvecklingar på ”egen hand”
10. Trots att IT-säkerheten har förbättrats till en viss del men större delen, upplever medarbetare att IT-säkerheten ej har förbättrats. System införs utan möjligheter till utbildning. Systemen ej kompatibla vilket skapar frustration och tär på IT-säkerheten och medarbetare. 11. Säkrare lösenordsbyte på VGR IT12. VGR IT ansvarar för den tekniska säkerheten.
IT-säkerheten har förbättrats bland annat genom följande åtgärder:
1. se svar fråga 23 + 24
2. Låsning av journalanteckningar efter 14 dagar
3. Controlling inom verksamheterna, flexibla manuella rutiner har etablerats
4. Utbildningsinsatser för nyanställda, nya chefer, AT-ST läkare.
5. Nya system har tagits i bruk.6. Förstärkning på personalsidan.
53
Personalen behöver utbildning i informationssäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 3 27,3
D. 4 - Stämmer helt 8 72,7
Total 11 100
54
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Policy, riktlinjer och anvisningar
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 5 45,5
D. 4 1 9,1
E. 5 0 0
F. 6 5 45,5
Total 11 100
55
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Rutiner och instruktioner
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 0 0
D. 4 2 18,2
E. 5 3 27,3
F. 6 6 54,5
Total 11 100
56
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Övervakning och kontroll
Namn Antal %
A. 1 0 0
B. 2 2 18,2
C. 3 4 36,4
D. 4 3 27,3
E. 5 2 18,2
F. 6 0 0
Total 11 100
57
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Revision och uppföljning
Namn Antal %
A. 1 0 0
B. 2 1 9,1
C. 3 4 36,4
D. 4 3 27,3
E. 5 2 18,2
F. 6 1 9,1
Total 11 100
58
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om säkerhetskultur
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 0 0
D. 4 1 9,1
E. 5 2 18,2
F. 6 8 72,7
Total 11 100
59
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om administrativ säkerhet
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 2 18,2
D. 4 2 18,2
E. 5 3 27,3
F. 6 4 36,4
Total 11 100
60
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om fysisk säkerhet
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 1 9,1
D. 4 6 54,5
E. 5 2 18,2
F. 6 2 18,2
Total 11 100
61
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
IT-säkerhet och hur vi kommunicera information på ett säkert sätt
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 1 9,1
D. 4 1 9,1
E. 5 3 27,3
F. 6 6 54,5
Total 11 100
62
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
IT-säkerhet och hur vi skyddar informationen på ett säkert sätt
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 1 9,1
D. 4 0 0
E. 5 3 27,3
F. 6 7 63,6
Total 11 100
63
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om IT-säkerhet
Namn Antal %
A. 1 0 0
B. 2 0 0
C. 3 1 9,1
D. 4 2 18,2
E. 5 3 27,3
F. 6 5 45,5
Total 11 100
64
Det finns god följsamhet kring regler för spärr av vårddokumentation.
Namn Antal %
A. 1 - Stämmer inte alls 1 9,1
B. 2 2 18,2
C. 3 4 36,4
D. 4 - Stämmer helt 4 36,4
Total 11 100
65
Det finns god följsamhet kring regler och hantering av behörigheter
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 1 9,1
C. 3 6 54,5
D. 4 - Stämmer helt 4 36,4
Total 11 100
66
Det finns problem att kommunicera skyddsvärd information på ett säkert sätt
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 4 36,4
C. 3 6 54,5
D. 4 - Stämmer helt 1 9,1
Total 11 100
67
Om vårdskador - dvs undvikbara skador
Namn Antal %
A. Antal vårdskador har minskat
5 45,5
B. Antal tillfällen när "vårdskada kunnat inträffa" har minskat
2 18,2
C. Antal vårdskador har ökat 6 54,5
D. Antal tillfällen när "vårdskada kunna inträffa" har öka
2 18,2
Total 15 136,4
DEL 7 Säkerhet i övrigt
68
Övriga synpunkter och kommentarer på säkerhetsarbetet och säkerhetsläget 2013.
Namn Antal %
A. Kommentar säkerhetsarbetet
5 45,5
B. Kommentat säkerhetsläget 4 36,4
C. Inga synpunkter eller kommentarer
5 45,5
Total 14 127,3
Övriga synpunkter på säkerhetsläget och säkerhetsarbetet 2013:1. Vår förvaltning har få anställda och förväntas leva upp till samma krav som de större. De åtgärder vi vidtar och åläggs oss tar längre tid att införa eller utföra i kalendertid än de förvaltningar som drar nytta av skalfördelar i termer av högre bemanning, resurser etc. Detta bör beaktas i samverkan med mindre förvaltningar.
2. Det pågår flera aktiviteter för att uppnå ett strukturerat informationssäkerhetsarbete.
3. Regional årsredovisning bör ha betydligt mindre antal frågor.
4. Integritesfrågor ökar liksom hot och våldssituationer. Ställer högre krav på en grunläggande säkerhet i våra lokaler.
69
Övriga synpunkter på säkerhetsläget och säkerhetsarbetet 2013:
5. Generellt sett upplevs intresset för säkerhetsfrågor ha ökat. Verksamheterna efterfrågar i ökad omfattning utbildningar, råd och stöd från B&S. Antalet handlagda ärenden för lokal TiB uppgick under 2013 till 403, varav den enskilt största kategorin rörde IT/tele/teknik. På SkaS arbetar vi aktivt för att integrera patientsäkerhetsfrågor och andra säkerhetsfrågor med varandra.
6. Viktigt att komma vidare med Västfastigheters övertagande av fastighetsbundna säkerhetsanläggningar. En stor del av informationssäkerhetsarbetet kommer att bedrivas i Objekten vilket innebär att kompetens och tid behöver finnas för dessa frågor.
7. Det pågår dagligen arbete med att stärka säkerheten på sjukhuset. Förbättrad kommunikation, utveckling av intranätet, utbildningar, händelseanalyser, olika projekt som syftar till att förbättra vården mm 8. Vi ser att det är svårt för verksamheterna idag att få tid eller ta tid från den operativa verksamheten för övningar eller benchmarking där vi kan dela erfarenheter mellan varandra. Det är även svårt för medarbetare att komma till informationsmöten/utbildningar eller dialogmöten där säkerhetsfrågor kan lyftas. Verksamheten prioriterar det operativa arbetet. Det ställs allt större krav på att utföra vård till minskade resurser som tär på medarbetarna vilket i förlängningen ger minskatakt utrymme för utveckling. 9. Trots pressat läge så pågår ett ständigt arbete med att förbättra och öka förståelsen för säkerheten.10. Hur vi ska bedriva säkerhetsarbetet beskrivs i sjukhusets verksamhetsmål.
11. Medarbetarna upplever säkerhetsläget relativt gott, men det finns en osäkerhet kring hur vi kan hanterar kriser då vi inte har åtkomst till patientinformationsystem, telefoni. Idag ser vi att krångel med system väcker frustration och det blir stora fördröjningar i patientarbetet. Exempel vid införande av Windows 7 som sammanföll med el- incidenten som drabbade SU, även påverkade patientadministrativt system för AL med resultat att patienterna fick vänta och kunde ej registreras. Det innebar även merarbete för en redan pressad verksamhet.
12. Idag förlitar vi oss på att tekniken ska fungera och ge oss tid över till ökad patientvård, men det har visat sig att ju fler system vi måste använda desto mindre patientvård upplever vi att vi kan klara av.
Viktigt att vi ser implementering av IS/IT-system som en verksamhetsutveckling vilket bör/ska och måste planeras i god tid.13. Förvaltningen har i dagsläget svårt att se vilka arbetsuppgifter som ska utföras lokalt på förvaltningen resp. regionalt.
70
Den regionala säkerhetsstrategin för perioden 2013-2016 är ett stöd i arbetet med säkerhetsfrågor.
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 0 0
C. 3 6 54,5
D. 4 - Stämmer helt 5 45,5
Total 11 100
71
Granskningar, skyddsåtgärder av större betydelse, riskanalyser och förbättringsåtgärder som har vidtagits men inte redovisats tidigare.
Namn Antal %
A. Inget ytterligare att redovisa
3 27,3
B. Ex på ytterligare granskningar är
5 45,5
C. Ex på ytterligare skyddsåtgärder är
1 9,1
D. Ex på ytterligare riskanalyser är
5 45,5
E. Ex på ytterligare förbättringsåtgärder är
3 27,3
Total 17 154,5
Åtgärder m.m. som inte redovisats tidigare:1. Riskanalyser i samband med större omorganisation (patientperspektiv, HR-perspektiv och samverkansperspektiv). Riskanalyserna sammanställs och utmynnar i gemensam handlingsplan.
2. Patientsäkerhetsmätning, där resultatet analyseras och åtgärder vidtas.
3. Säkerhetsanalys av lokaler, säkerhetsanalys av vissa patienter tex kriminella gäng
4. Säkerhetsanalys av lokaler, farliga patienter
5. Ordningsvakter, kameraövervakning
72
Åtgärder m.m. som inte redovisats tidigare - fortsättning:
6. Markörbaserad journalgranskning
7. Införandet av SBAR8. Riskanalyser multiresistenta bakterier.9. Gröna korset10. Sjukhusledning och samtliga chefer genomfört utbildning LEAN, optimerade akuta somatiska flöden.SÄS förbättringsarbete;
11. Införande och arbete med styrtavlor och förbättringstavlor m.m.12. Strukturell journalgranskning, 20 journaler/månad
13. Sterilprocess, Kemikalier: Klorhexidin, formalin
14.Framtagande av åtgärdskort enligt H-MIMMS på akutmottagningen. 15. Framtagande av åtgärdskort för kemolyckor eller andra CBRN-händelser.
16. Behörighetstilldelning- följsamhet till behörighetsstyrningen (RSK 771-2008)
17. Kartläggning av de system som används vid sjukhuset.18. Vid basgranskning av revisionen har visat sig att det finns förbättringspotential för hur styrelsen behandlar frågor avseende IT-säkerhetlöpande under året och säkerställa att regionens policy/riktlinjer för informationssäkerhet efterlevs av verksamheterna D.nr AL32-201319. Fem risk- och konsekvensanalyser geonomfördes under 2013.- Konsekvensanalyserna gällde olika former av omorganisationer risker och möjligheter belystes utifrån patient- verksamhet-, medarbetar- och ekonomiperspektivet.
20. Fem händelseanlyser har genomförts under 2013 där vårdskada inträffat. Uppföljning av åtgärdsförslagen gjordes 6-7 månader efter geonomgång av rapport. 21. Förslag till nytt arbetssätt kring hantering och återkoppling av avvikelser är framtaget och kommer att testas inom ett klinikområde våren 2014 med utvärdering till hösten.
22. Riskanalyser har genomförts vid större verksamhetsförändringar
73
Arbete har påbörjats att identifiera rutiner som kan effektiviseras och/eller automatiseras i perspektiven övervakning, styrning, ledning, beslutsstöd, kontroll och analys i syfte att öka IT-säkerheten och tryggheten för patienter och personal.
Namn Antal %
A. 1 - Stämmer inte alls 2 18,2
B. 2 3 27,3
C. 3 3 27,3
D. 4 - Stämmer helt 3 27,3
Total 11 100