Et stigende offentligt fokus på informationssikkerhed. Skrappere lovgivningskrav og en ny EU-persondataforordning. Et alvorligt trusselsbillede for it-angreb, senest eksemplificeret ved blandt andet WannaCry-ormen, som ramte det engelske sundhedsvæsen.
Offentlige myndigheder står over for et stort arbejde med at sikre, at danskernes data både er tilgængelige og godt beskyttet. Det gælder også de danske regioner, som blandt andet har ansvaret for sygehusvæsenet.
I februar i år fik Region Hovedstaden udarbejdet en Risk Assessment-rapport fra KMD. Rapporten bygger på analyser af regionens modenhed inden for informationssikkerhed. I det arbejde har KMD brugt standarderne ISO27001 og PAS555 (Cyber Security Risk Governance and Management) som ramme.
Rapporten er lavet i samarbejde med regionen, blandt andet i form af workshops, og kommer med en række anbefalinger og prioriteringer af de aktiviteter, som regionen kan vælge at sætte i gang for at højne it-sikkerhedsniveauet. Vi har talt med Thor Hvidbak, sektionschef for Systemoptimering & Informationssikkerhed i Center for It, Medico og Telefoni i Region Hovedstaden.
Hvorfor er informationssikkerhed et højt prioriteret område for jer som region?
”Vi er nogle af dem, som i vores it-systemer behandler flest følsomme data fra borgere, så det er helt åbenlyst et område, der bør have en meget prominent rolle i vores aktiviteter – og jeg ser her en positiv bevægelse i retning af stigende strategisk bevågenhed, ikke kun grundet forordningen. Vores arbejde skal tage hensyn til, at det skal være nemt – særligt for klinikerne i til tider kritiske arbejdssituationer – at kunne tilgå data. Det betyder, at der er behov for enkel og hurtig adgang, ofte også på tværs af organisatoriske skel. Kombinationen af et stort, heterogent systemlandskab og de forretningsmæssige behov for fleksibilitet og tilgængelighed giver tilsammen nogle helt særlige rammevilkår for vores arbejde med informationssikkerhed. Vi er ofte nødt til at finde alternativer til at lukke ned og skærme af, og her bliver medarbejdernes egen forståelse for, hvordan de bør omgås data, en vigtig komponent. Ud over sygehusdriften som det primære har Region Hovedstaden også store forskningsmiljøer, hvor der i sagens natur behandles patientdata, hvilket vi skal håndtere og regulere. På begge områder er det afgørende, at borgerne fortsat kan have tillid til regionens håndtering af deres data. Endvidere er det på de interne linjer tilsvarende afgørende, at klinikere, forskere og andre medarbejdere kan have fuld tillid til datas integritet.”