Rammeverk for organisasjonsutvikling - KITHs

TEMAHEFTE NR 4
Rammeverk for
organisasjonsutvikling
TEMASERIE
SIKKER INFORMASJONSBEHANDLING
I HELSEVESENET

Rammeverk for
organisasjonsutvikling
Sammendrag.
Temaheftets utgangspunkt er at arbeidet med sikker informasjonsbehandling
generelt bør innrettes som et kontinuerlig endrings- og
forbedringsarbeid.
Temaheftet beskriver en oppfatning av nåsituasjonen for helseinstitusjonene
m.h.t sikker informasjonsbehandling. Hovedfokuset er institusjonenes
organisatoriske evne og kapasitet til å forstå og håndtere totaliteten
av overordnede hensyn, eksterne krav og interne interesser. I kapittel 3
utdypes dette med en oversikt over hvilke normer og verdispørsmål som
ligger i bunnen av problemstillingene. Med dette angripes også myten
om at sikker informasjonsbehandling er et rendyrket teknisk/administrativt
spørsmål.
De 3 første kapitlenes rolle er å problematisere temaet sikker informasjonsbehandling
slik at leserne er forberedt på kompleksiteten og bredden,
men forhåpentligvis uten å virke avskrekkende. Det er ikke dette
temaheftets mål å angi en "resept" på en ny og bedre tilstand m.h.t sikker
informasjonsbehandling, selv om mange av de svakhetene vi påpeker i
prinsippet kan "snus" og oppfattes i en slik retning.
Realisering av sikker informasjonsbehandling er en langsiktig prosess, og
det er viktig å komme i gang. En ambisjon med dette temaheftet er å bidra
til en bedre selvinnsikt m.h.t sikker informasjonsbehandling, og at
dette vil avlede en erkjennelse av et endringsbehov i helseinstitusjonene.
Kapitlene 4 - 7 beskriver derfor et rammeverk for gjennomføring av en
organisatorisk og strategisk endringsprosess for etablering og vedlikehold av
sikker informasjonsbehandling. Rammeverket er lagt opp med tanke på å
ta i bruk metoder og prinsipper for organisasjonsutvikling (OU).
Temahefte 4 er på ingen måte ment som en fasit, verken for å avdekke
nåtilstanden eller m.h.t rammen rundt de nødvendige endringsprosessene.
Ambisjonen er at våre beskrivelser og forslag skal lokke eller utfordre
helseinstitusjoner til å gå dypere inn i og beskrive sin egen situasjon, samt
definere premissene for sitt eget endringsarbeid. Diskusjonen vil antakelig
være mest gjenkjennelig for større helseinstitusjoner, men de fleste
momentene vil etter vår mening i stor grad også være relevante for mindre
virksomheter.

Forord
Temaserien "Sikker informasjonsbehandling i helsesektoren" utgis som
en del av Sosial- og helsedepartementets program Helsevesenets Generelle
Kravspesifikasjoner" (HGK).
Målet med temaserien er å sette opp et rammeverk som kan benyttes for
å etablere og vedlikeholde sikker informasjonsbehandling i alle deler av
helsevesenet i Norge. Vårt utgangspunkt er at sikker informasjonsbehandling
er en nødvendighet for å drive en forsvarlig helsetjeneste, men
også at sikker informasjonsbehandling er en forutsetning og katalysator for
at IT skal bidra til mer effektive og kvalitativt bedre helsetjenester og -
virksomheter. For å oppnå dette, må arbeidet med å realisere sikker informasjonsbehandling
i den enkelte virksomhet gis en hensiktsmessig organisatorisk
forankring og fokusering.
KITH bygger opp og tar mål av seg til å inneha en høy faglig kompetanse
på dette området, både på nasjonalt og internasjonalt nivå. KITH vil i
samråd med helsemyndigheter, helseinstitusjoner og Datatilsynet gjennomføre
konkrete prosjekter innen området, og gjennom ulike tiltak informere
helsevesenet om utviklingen innen dette feltet. Temaserien er et
viktig ledd i denne informasjons- og kunnskapsoverføringen.
I temahefte 4 vil vi bl.a presentere noen hovedsynspunkter på nåtilstanden
i norske helseinstitusjoner m.h.t arbeidet med å etablere og vedlikeholde
sikker informasjonsbehandling. Temaheftet peker videre på behovet
for at alle helseinstitusjoner gjør opp status på området, definerer sitt
endringsbehov og velger endringsstrategi med utgangspunkt i egen situasjon
og egne ressurser. I forhold til foregående temahefter er dette heftet
mer rettet mot å understøtte mer dyptpløyende "selvransakelsesprosesser"
enn det som strengt tatt er nødvendig for å etterleve en regelorientert
sikkerhetsfilosofi. Temaheftet er derfor spesielt myntet på ledere
og beslutningstakere i virksomheter med høyt ambisjonsnivå m.h.t sikker
informasjonsbehandling, men også på personer med ansvar for å planlegge,
iverksette og gjennomføre endringsprosesser med dette for øye.
Situasjonsbeskrivelsene i dette heftet reflekterer formodentlig vår oppfatning
av at arbeidet med sikker informasjonsbehandling alt for ofte er
både fragmentert og marginalisert. Vi ser et behov for en relativt radikal
endring av fokus og tilnærmingsmåte, og anbefaler derfor (å vurdere) å
innrette sikkerhetsarbeidet som en systematisk organisasjonsutviklingsprosess
(OU-prosess).
Hefte nr 4 er skrevet av seniorkonsulent Tor Olav Grøtan ved KITH.
Medisinsk sikkerhetsansvarlig Einar Hannisdal ved Det Norske Radiumhospital,
direktør Kjell A. Grøtting ved Vestfold sentralsykehus, IT-sjef

Terje D. Sætervik ved Aker sykehus og IT-konsulent Tone Imerslund i
Bærum kommune har alle bidratt med nyttige kommentarer, innspill og
synspunkter underveis. Konsulent Bjarte Aksnes og sjefskonsulent Kenneth
R. Iversen ved KITH har kvalitetssikret heftet og bidratt med nyttige
innspill og kommentarer. Sjefskonsulent Kenneth R. Iversen er redaktør
for temaserien.
Trondheim 30.6.97
Kenneth R. Iversen

Innhold

INNLEDNING 1
Den grunnleggende utfordringen 1
Rammebetingelser i endring 2
Egenutvikling og samarbeid 4
DAGENS SITUASJON I HELSEINSTITUSJONENE 7
Helsepersonellets situasjon 7
Helseinstitusjonenes situasjon 8
Helseinstitusjonenes utfordring 10
Finnes det mer lettvinte alternativer ? 11
SIKKERHET, VERDIER OG NORMER 13
Sikkerhet som verdispørsmål 13
Grunnleggende motsetninger 15
Informasjonsarbeider eller helsearbeider ? 17
Valgets kval 17
Helseinstitusjoners utfordring 19
Kravspesifikasjoner for sikkerhet 19
Hvem kjenner seg igjen ? 20
ET HENSIKTSMESSIG FUNDAMENT 21
Grunnleggende momenter 21
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING 25
Endring som uttalt mål 25
En strategisk tilnærmingsmåte 27
En (mulig) overordnet sikkerhetsstrategi 29
Rammeverk for OU-basert sikkerhet 32
Koordinering med annet planarbeid 34
OU OG SIKKERHET I PRAKSIS 35
Hvordan komme i gang 35
SIKKERHETS-ORGANISASJONEN 37
Den faste sikkerhetsorganisasjonen 37
Læringsorientert organisering 39
På vei mot "informasjonsbedriften" 40

GOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGO
TOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTO
BUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBU
TTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTO
NGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTON
GOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOT
OBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTO
BUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBU
TTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTT
ONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTON
GOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOT
OBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOB
UTTONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTT
ONGOTOBUTTONGOTOBUTTONGOTOBUTTONGOTOBUTTO
NGOTOBUTTONGOTOBUTTONGOTOBUTTON

RAMMEVERK FOR OU
Innledning
De grunnleggende utfordringene knyttet til sikker informasjonsbehandling
er i seg selv argument nok for å fokusere på
organisatoriske forhold. Samtidig pågår det en kontinuerlig
endring i bl.a de teknologiske rammebetingelsene, og dette
forsterker behovet for en løpende endring og omstilling. For å
møte disse utfordringene må helseinstitusjonene bygge opp
egen kompetanse, men også søke å utveksle erfaringer og metoder
med hverandre.
Den grunnleggende utfordringen
Et strukturert og systematisk arbeid for etablering og vedlikehold av sikker
informasjonsbehandling bør ha to hovedfokus:
•= Å velge og beskrive mål for sikker informasjonsbehandling slik at disse reflekterer
og understøtter institusjonens samlede behov, ansvar og forpliktelser
på en legitim, forsvarlig og balansert måte.
•= Å gjennomføre tiltak og etablere virkemidler som kan oppfylle og realisere
disse målsettingene gjennom et effektivt samspill mellom teknologi,
brukere og organisasjon (informasjonssikkerhet).
Det er ytterst viktig å unngå at teknologiaspektene overfokuseres eller på
annen måte dominerer vurderingene og beslutningene. Sikker informasjonsbehandling
kan heller ikke administreres inn gjennom hierarkisk kontroll
i form av administrative forordninger, rigide kontrollrutiner (med
den mistenkeliggjøring dette kan innebære), standardiserte prosedyrer e.l.
Fullverdig og effektiv realisering av sikker informasjonsbehandling kan
bare oppnås i inngrep med en helseinstitusjons grunnleggende virkemåte
(modus operandi) i omgangen med og anvendelsen av informasjon. Det må
utvikles en positivt ladet kontakt og inngrep med den enkelte bruker av sensitiv
eller kritisk informasjon, på en måte som innebærer en mest mulig
positiv forventning knyttet til sikker informasjonsbehandling. Ledelse, styring
og påvirkning av en slik informasjonssikkerhet kan av samme grunn ikke
være ensidig basert på handlingskontroll eller resultatkontroll, men må i
stor grad baseres på forstandig og langsiktig utøvelse av premisskontroll.
1
Kapittel

Krav og forventninger i
kontinuerlig utvikling
Informasjon som
gjenbrukbar ressurs
INNLEDNING
De fleste helseinstitusjoner har formodentlig en lang vei å gå for å realisere
et slikt ambisjonsnivå. En organisatorisk omstillingsprosess er ikke til å
unngå hvis man skal høste fordelene av sikker informasjonsbehandling.
En slik informasjonssikkerhet (i betydningen "verktøykasse") må i seg
selv være omstillingsorientert (fordi betingelsene kan endres hele tiden),
og være i kontinuerlig beredskap for forbedring og videreføring både når
det gjelder de gjeldende mål og den gjeldende praksis.
Rammebetingelser i endring
Arbeid med sikker informasjonsbehandling i helseinstitusjoner må også ta
høyde for at de sikkerhetsmessige rammebetingelsene for helsesektoren
er i stadig endring og utvikling. Bruken av informasjon endrer karakter og
omfang, og de tekniske mulighetene løper vanligvis klart foran de velfunderte
behovene, reglene og normene.
Grensene for hva som er mulig og ønskelig flyttes stadig, og det er en
tendens til at disse grensene automatisk endrer oppfatningene av rammene
for en legitim og forsvarlig virksomhet. Dette gjelder både internt i helseinstitusjonene,
men også i relasjonene mellom helseinstitusjonene.
Helsevesenet har blitt mer og mer informasjonsintensivt, og det er en stadig
større interesse for pasientopplysninger. Denne informasjonen er ofte
følsom eller sensitiv, og er i tillegg ofte kritisk for både presisjonen og
effektiviteten i pasientbehandlingen og utøvelsen av helsetjenestene i sin
alminnelighet.
En gjennomgående trend er at økt kunnskap blant helsepersonellet når
det gjelder informasjonsteknologiens anvendelighet, avleder stadig flere
legitime krav om tilgang på informasjon. Dette setter ofte de eksisterende
sikkerhetsordningene på betydelig prøve.
Begrepet sikker (og forsvarlig) informasjonsbehandling rommer derfor
allerede i dagens situasjon krav og forventninger om både tilgjengelighet,
kvalitet og konfidensialitet, og disse er knyttet til mange ulike aktiviteter og
arbeidsområder, ikke bare de kliniske.
Helsesektoren er påvirket av de samme megatrender som samfunnet forøvrig.
Informasjonsteknologi, nettverk, standardisering av informasjonsgrunnlag
og kodesystemer legger grunnlaget for integrerte, samhandlende
informasjonssystemer. Dette fører til at kommunikasjon, deling og gjenbruk av
informasjon blir en mer eller mindre selvfølgelig forventning. Informasjon
er altså blitt en ettertraktet og etterspurt ressurs som kan tjene mange
ulike formål både innen og mellom institusjoner og aktører i helsevesenet,
og dette skaper i seg selv incitamenter for endring og utvikling. Begreper
som informasjonsressursforvaltning (IRF) og datavarehus 1 står som eks-
1 Eng: "data warehousing"
2

"Information overflow" ?
"Omlafting" ?
INNLEDNING
ponenter for denne utviklingen. Det er verken trivielt eller uproblematisk
å ta inn f.eks sensitiv pasientinformasjon i et slikt perspektiv. EU's personverndirektiv
(1995) legger f.eks klare føringer for at personrelatert
og/eller personsensitiv informasjon som er samlet inn til ett formål, ikke
uten videre kan brukes til et annet formål 2.
Samtidig er det åpenbart at IRF-perspektivet representerer nye måter å
strukturere informasjonsflyt på, noe som ikke minst vil komme den enkelte
pasient til gode gjennom mer effektive og pålitelige rutiner og behandlingskjeder.
I den grad en bedre forvaltning av informasjonsressursene
vil minske sannsynligheten for tilfeldig eller ukontrollert informasjonsflyt,
er dette i seg selv et viktig bidrag til sikker informasjonsbehandling.
Det er ikke lenge siden informasjon var en knapphetsfaktor som var ressurskrevende
å frembringe, tolke, lagre og overføre, og som man følgelig
rasjonerte mengden og bruken av. IT-utviklingen bringer oss inn i en virkelighet
med en tilsynelatende overflod av informasjon. Mens man i dag
tørster etter mer informasjon, vil man i morgen kanskje etterspørre velorganisert,
relevant, god nok, eller best mulig informasjon. En slik utvikling vil
fremtvinge tilbud og etterspørsel etter tjenester for informasjonsmegling,
filtrering og tilrettelegging (for andre). Dette vil rokke ved etablerte maktstrukturer,
avlede nye roller og samhandlingsformer, og derigjennom initiere
behov for nye, reviderte sikkerhetskrav og -løsninger.
"Omlafting" eller "Business Process Reengineering" (BPR) har vært mye
omtalt de senere år. BPR innebærer at "radikal endring" av en virksomhets
rutiner og organisering blir et mål i seg selv. Nøkkelen til den nye
organiseringen, med omfattende bruk av IT, er ofte nettopp informasjonsgrunnlaget
og muligheten for informasjonsflyt.
En slik omlafting medfører at forutsetningene for sikker informasjonsbehandling
endres radikalt. Et sentralt spørsmål er om det da blir enda vanskeligere
å komme i posisjon for å ivareta sikker informasjonsbehandling,
eller om det er mulig å få en "flying start" ved å gå aktivt inn tidlig i slike
prosesser. Etter vår mening må det reises kritiske spørsmål om sikker informasjonsbehandling
kan ivaretas under slike omstendigheter, eller om
en mindre dramatisk og mer trinnvis utvikling er mer forsvarlig. Vi heller
mest til det sistnevnte alternativet 3.
Ved etablering av nye sykehusorganisasjoner 4 utvikles det nye organisasjonsstrukturer
der "design" av selve informasjonsflyten og forutsetninger
om omfattende bruk av IT kan være sentrale virkemidler, uten at det
nødvendigvis kan kalles "omlafting". Dramatiske omlaftingsprosesser har
ellers ikke vært gjennomført ved norske helseinstitusjoner, men kanskje er
2 Det kreves at en legitim autoritet (f.eks helsemyndighetene eller lovverket) eksplisitt og legalt
autoriserer sammenhengen mellom ulike formål.
3 Når det gjelder allerede eksisterende og operative institusjoner og virksomheter
4 F. eks Nytt Rikshospital eller RIT2000
3

Teknologien som
premissleverandør
Organisatoriske forhold
må stå i fokus
Noen må gå foran
Noen har startet, andre
venter
INNLEDNING
det bare et tidsspørsmål før utsiktene til effektivisering og rasjonalisering
får overtaket på motforestillingene og tradisjonene.
Vi ser altså allerede nå konturene av og eksempler på en utvikling der informasjonsteknologien
ikke bare er et verktøy for å løse definerte problemer
eller å forbedre eksisterende løsninger. Teknologiens muligheter vil
i seg selv gi betydelige føringer, premisser og rammebetingelser for organiseringen
og utøvelsen av helsetjenestene. Selv om det er mer enn fristende
å søke tilflukt i forestillingen om at teknologien i seg selv er verdinøytral,
og at det er vår anvendelse av den som eventuelt skaper risikoforhold
og uønskede virkninger, er det kanskje likevel en overforenkling å tro at
utviklingen er helt og fullt "under kontroll". Vår hang til å reprodusere de
"gode svar" i effektivitetens navn - i betydningen gjenbruk og økonomi -
kan lede oss på ville veier hvis det ikke eksisterer tilstrekkelig rom for å
stille kritiske spørsmål om hvorfor.
Dynamikken beskrevet i det foregående er i seg selv et tungt argument
for at arbeidet med sikker informasjonsbehandling må organiseres med tanke
på kontinuerlig vurdering, endring og tilpasning mellom teknologi og organisasjon.
Brukernes holdninger, kultur og etablerte praksis er alltid den mest kritiske faktoren.
En ting er å innføre nye IT-systemer, noe helt annet er å endre arbeidsmetoder,
holdninger og organisasjonskulturer. Vi vil derfor advare
sterkt mot å gjennomføre dramatiske endringer uten å tenke sikker informasjonsbehandling,
i den (feilaktige) tro at man med et enkelt håndgrep
i etterkant kan "sikre" den nye situasjonen.
Egenutvikling og samarbeid
Egenutvikling av kjernekompetanse og gjennomføring av endringsarbeid
m.h.t sikker informasjonsbehandling er etter vår mening den eneste farbare
vei for helseinstitusjonene. Det er i helseinstitusjonenes daglige arbeidsprosesser
skoen trykker i form av kryssende interesser, og det er helseinstitusjonene
som er best egnet til å utdype problemene og skissere de
mulige løsningene. Det er også de som skal høste gevinstene av sikker
informasjonsbehandling.
Utviklingsprosesser med sikte på informasjonssikkerhet kan naturlig nok
ikke omfatte hele helsesektoren på en gang. Det er naturlig å tenke seg at
enkelte helseinstitusjoner tar et selvstendig ansvar og går foran. Institusjonen
må i slike sammenhenger bygge broer og forene ulike interesser,
men også å skjære igjennom og foreta valg og prioriteringer når dette er
nødvendig. Erfaringene må så komme andre til gode, ikke minst myndighetene
som i neste omgang kan avkreves bedre regelverk og tilsynsordninger.
Det ligger betydelig påvirkningskraft i å demonstrere og argumentere
for en god praksis.
Noen helseinstitusjoner har allerede startet en prosess med å skaffe seg
oversikt over egen sikkerhetsstatus og utvikle og håndheve en sikkerhets-
4

Felles konsepter bør
være et mål
En felles agenda
INNLEDNING
policy. Andre ønsker kanskje å gjøre det samme, men har ikke kommet i
gang i mangel av en hensiktsmessig metodikk, eller fordi de ikke har prioritert
disse problemstillingene på en slik måte at institusjonens praksis kan
materialiseres i en offisiell policy eller andre tiltak.
Enhver helseinstitusjon må håndtere sine sikkerhetsspørsmål ut fra egne
behov og forutsetninger. Ressurstilgangen og problemstillingenes kompleksitet
tilsier likevel et behov for at helsesektoren definerer en felles
agenda for disse spørsmålene og at det blir utviklet konsepter og fremgangsmåter
som understøtter lokale behov og forutsetninger, men som i
tillegg gir grunnlag for overføring og utveksling av erfaringer.
Dette temaheftet tar mål av seg til å etablere en agenda for sikkerhetsorienterte
endringsprosesser i helseinstitusjonene, bl.a ved å dra nytte av de erfaringer
som allerede er gjort på dette området. Vi tror imidlertid ikke at det er
mulig å standardisere slike prosesser i en slik grad at dette temaheftet (m.fl.)
kan definere en "mal" som kan tas i bruk direkte eller ukritisk. Vi tror heller
ikke at sikkerhetsopplegg kan kopieres direkte mellom helseinstitusjoner.
Med "agenda" mener vi her en felles fremgangsmåte som gjør det mulig
for en helseinstitusjon å ivareta sine sikkerhetsbehov utfra sine forutsetninger,
men på en måte som gjør det mulig å utveksle erfaringer mellom
helseinstitusjoner som er aktive innen dette feltet. KITHs ambisjon er å
aktivt initiere, observere og følge slike utviklingsprosesser, tilgjengeliggjøre
erfaringer, resultater, konsepter og prinsipper etter hvert som de fremkommer,
og på grunnlag av dette forsøke å normere prosessene så langt
det er mulig og hensiktsmessig.
5

INNLEDNING
6

Sikkerhet som kultur og
tradisjon i
helsesektoren
Sikkerheten er allerede
satt på prøve
Helsepersonellet har
mange ulike hatter
RAMMEVERK FOR OU
Dagens situasjon i
helseinstitusjonene
Vi vil i dette kapitlet gi til kjenne vår oppfatning av helseinstitusjoners
sikkerhetsmessige nåtilstand og rammebetingelser,
med hovedvekt på institusjonenes evne til å organisere og
samordne sine aktiviteter på dette området. Hensikten er at
denne framstillingen skal hjelpe - og kanskje provosere - helseinstitusjoner
til å ta fatt i, analysere og beskrive sin egen
oppfatning av status for sikker informasjonsbehandling i egen
virksomhet.
Helsepersonellets situasjon
Helsepersonell har lange og livskraftige tradisjoner m.h.t å skjerme og
beskytte sensitive personopplysninger, dvs å ivareta opplysningenes konfidensialitet.
Disse tradisjonene er en viktig del av kulturen i helsesektoren
og har vært en bærebjelke for pasientenes og samfunnets tillit til helsetjenestene.
Tradisjonene har vært forankret bl.a i helselovgivningen, et fortrolig pasient-lege
forhold og etiske normer for helsepersonellet (leger har f.eks
vært pålagt og tatt et personlig ansvar for sine arkiver og journaler, og
påtatt seg rollen som garantist overfor pasientene). Disse tradisjonene ble
utviklet lenge før IT (slik vi kjenner den i dag) spilte noen vesentlig rolle i
helseinstitusjonene.
Mange vil nok hevde at en lengre periode med innføring av elektronisk
databehandling (EDB) og det vi i dag kaller informasjonsteknologi (IT)
har utsatt den opprinnelige konstruksjonen for betydelige påkjenninger.
Edb-vegring og teknologisk fremmedgjøring har i ikke ubetydelig grad
rokket ved selve grunnlaget for den tilliten som har eksistert. En rekke
eksempler på vegringsatferd, skjødesløshet eller manglende årvåkenhet
når IT er blitt innført for å erstatte manuelle systemer har nok etter manges
mening bidratt til en viss forvitring av den etablerte tilliten. Det er
heller ikke vanskelig å finne eksempler på at tradisjonelle, papirbaserte
metoder for informasjonsbehandling har åpenbare sikkerhetsmessige
svakheter når de skaleres opp i store og sammensatte helseinstitusjoner,
f.eks når det gjelder håndteringen av papirbaserte pasientjournaler på sykehus.
Helseinstitusjonene og helsesektoren får dessuten mer karakter av å være
en produksjonsbedrift og "konsern". Helsepersonellets rolle i forhold til
7
Kapittel

Enkeltaktører eller -
grupper kan ikke gi
noen garanti
Figur Figur 1
Situasjons-
Situasjons
beskrivelse
beskrivelse
Forventninger til
helsepersonellet
DAGENS SITUASJON I HELSEINSTITUSJONENE
pasientene er blitt mer kompleks 5. Helsepersonellet er på samme tid både
gode hjelpere for sine medmennesker, de er ansatte i en (eller flere) helsebedrifter,
de har profesjonelle interesser, og de kan i tillegg ha relasjoner
til eksterne parter med helt andre interesser, f.eks forsikringsselskaper.
Det er helt klart urimelig og uhensiktsmessig å fortsatt legge et tungt ansvar
for informasjonssikkerheten på helseprofesjonenes skuldre alene.
Den nære og tette pasient-lege relasjonen er utspilt som hovedfundament
for informasjonssikkerhet. Behandlende helsepersonell (informasjonsforvalterne
i regelverkets øyne) har på langt nær noen total "råderett"
over de informasjonsressursene de skaper og disponerer, og har heller
ikke fysisk kontroll over IT-ressursene og de risikofaktorene informasjonen
utsettes for. Teknologene kan heller ikke overta dette ansvaret, men
de kan gi viktige bidrag gjennom å utarbeide hensiktsmessige konsepter
og arkitekturer for IT-sikkerhet, dog basert på de behov som er definert
og den virkelighet som foreligger i virksomheten.
Helseinstitusjonenes situasjon
Figur 1 nedenfor illustrerer vår oppfatning av helseinstitusjonenes sikkerhetsmessige
situasjon.
8
Helsepolitiske
mål og føringer
uklare normer og
verdigrunnlag
Ledelse, administrasjon
IT ansvar
Helhetlig
perspektiv,
ansvar, policy,
og organisering ??
Helsepersonellet (og medhjelpere)
Eksisterende (tekniske)
løsninger og svar (på
andre problemer ?)
løsninger på jakt
etter behov ?
Utilstrekkelig helselovgivning, personvernlovgivning.
Fragmentert tilsyn
I utgangspunktet gir ikke helselovgivningen noen særlig spesifikke retningslinjer
for sikker informasjonsbehandling, utover bestemmelsen om
forsvarlig virksomhet. Lovgivningen identifiserer likevel et klart informasjons-
5 Selv om pasientene kanskje ikke alltid ser dette like tydelig

Forventninger til
ledelsen
Ledelsesvakuum ?
IT-ansvaret
Fragmentarisk tilsyn og
kontroll
DAGENS SITUASJON I HELSEINSTITUSJONENE
ansvar (ansvar tillagt det helsepersonellet som anvender informasjonen),
og gir noen føringer for hvordan informasjonen skal anvendes, f.eks gjennom
Journalforskriften. Personvernlovgivningen med tilhørende regelverk
utpeker også helsepersonellet som forvaltere av sikkerheten 6, men gir
også visse føringer for IT-sikkerheten.
Samtidig gir helsemyndighetene føringer for bl.a utvikling og samordning av
helseinstitusjonene, føringer som har direkte innvirkning på virksomhetenes
behov for sikker informasjonsbehandling. Denne typen føringer rettes
først og fremst mot virksomhetenes ledelse. Isolert sett er dette et positivt
trekk, da ledelsen etter vår mening bør ha et overordnet ansvar for sikker
informasjonsbehandling. Problemet er imidlertid at det er svært vanskelig
å se noen tilfredsstillende sammenheng mellom forventningene til hhv
ledelsen og helsepersonellet, i form av et felles verdigrunnlag og normer
som ledelsen kan bruke som verktøy for å etablere sammenheng og balanse
mellom ulike interesser.
Det er lite kontroversielt å påstå at en gjennomsnittlig sykehusleder (direktør)
har et lite tilfredsstillende inngrep med både informasjonsteknologien,
informasjonsflyten og informasjonsavhengigheten i en helseinstitusjon,
for ikke å snakke om informasjonssikkerheten. Det ser heller ikke ut
til å eksistere betydelige juridiske momenter som kan gi incitamenter for å
endre på dette.
De fleste helseinstitusjoner har en (mer eller mindre uttalt) IT-strategi
som tilsier mest mulig satsing på "åpne" og allment utbredte teknologier,
arkitekturer og standarder. De færreste av disse teknologiene har en klart
definert sikkerhetsarkitektur, og sikkerhetsløsningene er i altfor stor grad
basert på ad hoc løsninger og improvisasjoner, uten tilstrekkelig forankring
i risikoanalyse og risikostyring. De ansvarlige for de tekniske sikkerhetsløsningene
(IT-sikkerhet, datasikkerhet) er derfor i utgangspunktet
henvist til å finne en utvei i andres svar og løsninger. Dette skjer uten at
institusjonens egne, spesifikke behov er eksplisitt utredet eller uttrykt fra
ledelsens eller informasjonsbrukernes side på en tilfredsstillende måte.
Faren er klart til stede for at man reproduserer "gode" svar og løsninger 7
som strengt tatt ikke er tilstrekkelig forankret i faktiske behov. Dette gir
et heller dårlig utgangspunkt med tanke på å kunne tilpasse anskaffet sikkerhetsteknologi
til nye og fremtidige situasjoner, behov og erkjennelser.
I tillegg utøves det ikke noe (offentlig) tilsyn som fokuserer på helheten i
informasjonsbehandlingen sett fra helseinstitusjonens synspunkt. Det tilsynet
som utøves i forhold til informasjonssystemers "sikkerhet" er relativt entydig
forankret i en personvernbegrunnelse. Selv om Datatilsynet legger til
grunn en tolkning av helselovgivningen i sine regelverk og sin tilsynsvirksomhet,
er det temmelig urealistisk å forvente at denne skal fange opp alle
relevante behov og nyanser, sett fra helseinstitusjonene. Det hadde slik
6 I dette tilfellet i betydningen personvern.
7 Et kommersielt sikkerhetsprodukt er ikke sjelden en "løsning på jakt etter et behov".
9

Hva er problemet ?
DAGENS SITUASJON I HELSEINSTITUSJONENE
sett ikke vært unaturlig om det også ble utøvd et sikkerhetsmessig tilsyn
forankret i en helsejuridisk begrunnelse (eller helst; et harmonisert regelverk
og tilsyn), men dette er ikke tilfelle i dag. Den personvernbegrunnede tilsynsvirksomheten
henvender seg dessuten ofte - noe paradoksalt - til de
ansvarlige for IT-sikkerheten.
Vår påstand er at problemene er av både ekstern og intern karakter. Det
eksterne problemet er at de samlede behov, krav og forventninger til sikker
informasjonsbehandling i en helseinstitusjon ikke er verken uttalt, balansert,
veldefinert eller entydig. Det finnes ingen samordnende myndigheter
eller juridiske rammeverk som uten videre kan foreskrive nøkkelen
til et balansert eller nyansert sett av krav til sikker informasjonsbehandling.
Dette belyses nærmere i kapittel 3.
Fra et internt synspunkt er problemet organisatorisk; Det er tre forskjellige
(jfr figur 1) grupperinger av aktører som, på en eller annen måte, har et
ansvar eller en rolle i forhold til sikker informasjonsbehandling i institusjonen.
De er reelt sett gjensidig avhengige av hverandre for å oppfylle
krav og forventninger som er rettet mot dem, men de er (vanligvis) sørgelig
lite koordinert 8, og de vil dessuten finne svært liten hjelp eller støtte i
lover og regelverk. Dette rammer ikke bare aktørenes individuelle mulighet
til å håndtere de delaspektene som de i.h.t den foreliggende situasjonen
kan måtte stå til ansvar for. Det kanskje alvorligste er at manglende
koordinering hindrer dem i å utvikle og fremme sikker informasjonsbehandling
til virksomhetens, pasientenes og omgivelsenes beste.
Vi tillater oss altså å fremme den påstand at det som hovedregel ikke finnes
en helhetlig eller hensiktsmessig 9 organisering av arbeidet med å etablere
og vedlikeholde sikker informasjonsbehandling ved landets helseinstitusjoner,
selv om det finnes hederlige unntak. Dette er først og fremst et
spørsmål om intern organisering, kompetanse og ledelse 10, men er selvsagt
i vesentlig grad også et produkt av de ytre rammebetingelsene.
Helseinstitusjonenes utfordring
Vår grunnleggende påstand er altså at helseinstitusjoner flest mangler helhetlig
perspektiv, ansvar, roller, beslutningsstrukturer, policyer og organisering for å
ivareta og høste fordelene av sikker informasjonsbehandling. Videre er det
vår påstand at det foreligger et klart potensiale for bedre sikkerhet gjennom
å styrke den interne organiseringen, selv om de eksterne problemstillingene
vil vedvare ennå en tid.
8 Vi presiserer at påstanden er avgrenset til dette aktuelle området!!.
9 I forhold til det ambisjonsnivået vi mener bør legges til grunn.
10 Som ikke berører bare sikkerhetsspørsmålet, men også institusjonens evne, organisering og
kompetanse m.h.t å utnytte informasjonsteknologi på en effektiv måte.
10
10

Ansvaret er betydelig
Vente og se ?
Skal
helsemyndighetene
løse flokene ?
DAGENS SITUASJON I HELSEINSTITUSJONENE
En helseinstitusjon står overfor en endeløs rekke av utfordringer, og informasjonssikkerhet
har vanskelige kår i kampen om knappe ressurser i
en travel hverdag. Vi tror imidlertid at de betydelige risikomomentene
knyttet til manglende informasjonssikkerhet, og ikke minst de betydelige
genvinstene knyttet til det motsatte, ikke kan ignoreres særlig lenge. Utfordringene
vil dukke opp igjen og igjen både i form av interne problemstillinger,
eksterne relasjoner og forholdet til regelverk og tilsynsorganer.
Problemene kan heller ikke pareres med mer avansert IT eller rigide kontrollregimer
som mistenkeliggjør (og derved hemmer) informasjonsbrukerne.
Gitt at en helseinstitusjon aksepterer denne påstanden og erkjenner
at problemstillingen må ivaretas, vil den imidlertid stå overfor krevende
valg og utfordringer.
Veien mot sikker informasjonsbehandling vil kreve en del tunge tak. Hver
enkelt virksomhet må velge sin vei og sitt ambisjonsnivå, alt etter de rådende
forutsetningene. Vi ser det imidlertid som et mål at denne temaserien
skal bidra til at slike vurderinger og avveininger blir tatt på et felles
grunnlag for helsesektoren.
Helsesektoren må også være seg sitt ansvar bevisst. Det å ta seg den frihet
å definere "hensiktsmessige, balanserte og nyanserte" normer og kriterier
for sikker informasjonsbehandling på egne premisser, må forutsette at
man har den nødvendige respekt og ydmykhet overfor de intensjoner som
tross alt ligger i lover og regelverk, og at man ikke utnytter situasjonen til
å "pulverisere" ansvaret for helheten, eller for hensyn man ikke finner
interessante for egen del.
Finnes det mer lettvinte alternativer ?
Å vente og se er etter vår mening ikke noe brukbart alternativ. I fraværet
av mer helhetlige tilsynsordninger og regelverk kan resultatet bli at f.eks
viktige og relevante hensyn og interesser, f.eks fra et klinisk synspunkt,
taper terreng 11.
Det er heller ikke noe alternativ å vente på at helsemyndighetene - f.eks
Statens helsetilsyn - i løpet av kort tid kommer på banen med en tilsynsvirksomhet
med et mer helhetlig, balansert og nyansert fokus. Selv om en
slik utvikling er både ønskelig og på sikt sannsynlig 12, vil et slikt opplegg
ikke kunne etableres uten videre. Et mer balansert og nyansert regelverk
og tilsynsfokus vil trolig heller ikke være mulig uten at helseinstitusjonene
bringer til torgs sine synspunkter, kompetanse og erfaringer.
11 Merk at dette utsagnet ikke bare er en kritikk av Datatilsynets tilsynsvirksomhet. Kritikken rammer
ikke minst den helseinstitusjon som unnlater å etablere den tilstrekkelige motvekt, og som
derved unnlater å bidra til utviklingen av balanserte og nyanserte sikkerhetskrav.
12 Jfr også Sosial- og Helsedepartementets handlingsplan "Mer helse for hver bIT", 1997-2000
11
11

Kompetente ITleverandører
?
DAGENS SITUASJON I HELSEINSTITUSJONENE
Selv om ulike former for "outsourcing" i økende grad tas i bruk vil det
være både uklokt og utilstrekkelig å overlate sikkerhetsproblematikken i
sin helhet til IT-leverandørene. Selv om det ikke har vært uvanlig å la ITleverandørene
utarbeide sikkerhetskrav basert på f.eks Datatilsynets regelverk,
vil slike tolkninger aldri kunne forankres i den samme problemforståelse
og kompetanse som helseinstitusjonene selv kan utvikle og disponere.
For små helsevirksomheter, f. eks legekontorer, vil denne problemstillingen
dog bli noe annerledes.
12
12

Glem forestillingen om
"verdinøytal" sikkerhet!
RAMMEVERK FOR OU
Sikkerhet, verdier
og normer
Et tradisjonelt syn på informasjonssikkerhet som et spørsmål
om teknisk og administrativ "know-how" skjuler viktige problemstillinger.
Sikker informasjonsbehandling fordrer også en
"know-why" kompetanse i forhold til hvilke interesser og
hensyn som skal ivaretas. En slik kompetanse må forankres i
kjernevirksomheten, institusjonens organisering og dens interne
og eksterne rammebetingelser. Mens "know-how" (til
en viss grad) kan innhentes eksternt og kommersielt, må
"know-why" i større grad være basert på helsevesenets og institusjonenes
egne ressurser og kompetanse.
Vi våger den påstand at helsesektorens utfordringer m.h.t sikker informasjonsbehandling
er unike. Når sikkerhetskrav skal utformes vil en helseinstitusjonen
uvergelig bevege seg inn i et minefelt av kryssende interesser
og hensyn. Etter vår mening er det urealistisk å tro at svarene på disse
utfordringene i sin helhet kan hentes fra andre sektorer. Vi skal derfor
forsøke å tegne et kart over dette minefeltet, og med dette forhåpentligvis
bidra til øke bevisstheten om "nåtilstanden" i helseinstitusjonene.
Sikkerhet som verdispørsmål
Begrepene konfidensialitet, kvalitet og tilgjengelighet fremstår tradisjonelt
gjennom sikkerhetslitteraturen som tilsynelatende verdinøytrale konsepter
og målsettinger, som "alle" kan enes om. De fleste anstrengelser for å
konkretisere disse begrepene og gi dem substans i forhold til et gitt informasjonssystem
og et gitt bruksområde, f.eks i et sykehus, vil imidlertid
avdekke en annen virkelighet. Floraen av (interne og eksterne) interesser,
motiver og hensikter som skal fanges opp er komplisert og omfattende,
og verken pasientenes, helsepersonellets eller andre aktørers posisjoner og
interesser er åpenbare eller entydige. Figur 2 antyder noen av de interessene
og motivene som kan være aktuelle.
13
13
Kapittel

Figur Figur 2
Know Know-how Know Know how og
og
Know Know-why
Know Know why
Sikkerhetskrav må ha
forankring
Hvordan tolke,
prioritere og forene ?
SIKKERHET, VERDIER OG NORMER
Lover, regelverk, motiver og
interesser (fragmentert)
Personvern
Helselovgivning
Pasientsikkerhet
Kvalitetssikring
Pasientrettigheter
Styring, koordinering
N ettverk, samhandling
Spesialisering, funksjonsdeling
Økonomi, refusjonsordninger
Klinisk forskning, epidemiologi,
samfunnsmedisin,,
Arbeidsmiljø
.............
14
14
“Know-why”
TOLKE
PRIORITERE
FOREN E
“Know-how”
Konfidensialitet
Kvalitet (integritet)
Tilgjengelighet
Figur 2. Ulike interesser og motiver som motivasjon for sikkerhetskrav
Kravene til sikker informasjonsbehandling er derfor i prinsippet meningsløse
uten at de har en klar forankring og motivasjon. Med en stadig
tiltakende informasjonsintensitet og -avhengighet blir det stadig flere hensyn
og interesser som avleder krav eller forventninger om "sikker" informasjonsbehandling
i helsevesenet. De ulike kravene og forventningene er
i dag dessverre ikke - i noen vesentlig grad - harmoniserte eller sammenfallende.
"Know-why" kompetanse er altså nødvendig for å være i stand til å tolke,
prioritere og (i størst mulig grad) forene ulike hensyn og interesser. Det er
imidlertid viktig å velge rett perspektiv for å kunne gjennomføre dette.
For det første er det viktig å erkjenne at det ikke er mulig å se dette som
et isolert, teknisk problem der en kan beregne en "optimal" kombinasjon
eller dosering av hhv konfidensialitet, kvalitet og tilgjengelighet. En rendyrket
regel-orientert fremgangsmåte vil også møte betydelige problemer
pga at lov- og regelverk er ufullstendig og fragmentert. De eksisterende
juridiske rammeverkene er ikke spesielt velegnet med tanke på å tolke de
stadig nye problemene og utfordringene som kommer opp. En kvalitetsorientert
tilnærming der en søker å ivareta alle "relevante" hensyn på en
best mulig måte vil ha større sjanse til å finne løsninger. Det ligger et betydelig
potensiale i å gå inn i sammenhengene mellom de ulike informasjonsprosessene
i virksomheten, og være åpen for fleksible kompromisser.
Men heller ikke en kvalitetsorientering kan unngå å måtte forholde
seg til de verdispørsmål og etiske utfordringer som ligger innbakt i floraen av
ulike perspektiv, hensyn og interesser.

Aktive verdivalg
En motvekt til
teknisk/økonomisk
rasjonalitet ?
Helsesektorens
dilemma
Dualiteten i legeetikken
SIKKERHET, VERDIER OG NORMER
Vi skal ikke gå detaljert inn på de ulike momentene i figur 2, men vil søke
å belyse noen av de viktigste aspektene. Diskusjonen vil være basert på en
erkjennelse av at konkretiserte sikkerhetsmål generelt sett ikke er verdinøytrale.
De innebærer derimot svært ofte aktive verdivalg.
Grunnleggende motsetninger
En oppstilling av aktuelle og relevante interesser og motiver i og rundt
helsesektoren avtegner en grunnleggende motsetning mellom to hovedstrømninger.
På den ene siden har vi normative, langsiktige og ikkekvantifiserbare
verdier (f.eks personvernet i sin alminnelighet, et fortrolig
lege-pasient forhold, pasientsikkerhet m.m). På andre siden har vi samfunnets
kontinuerlige anstrengelser for å oppnå funksjonell, økonomisk
og kapasitetsmessig uttelling for teknologiens iboende muligheter. Satt på
spissen kan dette formuleres som en drakamp mellom normative, ikke
kvantifiserbare og humanistiske verdier på den ene siden, og på den andre
siden en (tilsynelatende umettelig) teknisk og økonomisk rasjonalitet som
ikke skiller særlig skarpt mellom mål og virkemidler. Den åpenbare spissformuleringen
til tross, motsetningsforholdet i seg selv kan vanskelig avvises
eller ignoreres i det "informasjonssamfunnet" som nå vokser fram,
ikke minst i helsesektoren.
Innenfor helsesektoren rives aktørene i stor grad mellom disse hovedstrømningene,
men er uten mulighet til å velge bort den ene eller andre
siden. Det er på den ene siden en relativt intuitiv kobling mellom helsetjenester
og humanistiske tradisjoner og verdier. Samtidig produseres
helsetjenestene i en hverdag preget av ressursknapphet og (helse-) politiske
beslutningsprosesser. I en virkelighet med stadig større og udekkede
behov vil leverandørene av helsetjenester naturlig tiltrekkes av muligheten
for bedre, mer effektive og presise informasjonstjenester som kommer
oss "alle" til gode.
Legeetikken kan være en eksponent for sektorens dilemma på dette området.
Hensynet til pasientsikkerhet og personvern er en sentral del av
legeutdannelsen og det holdningssettet som knyttes til legerollen. Legene
er kanskje de nærmeste til å se mulighetene knyttet til informasjonens tilgjengelighet
og kvalitet. De kan dermed argumentere med autoritet for de
helsefaglige konsekvensene av dette, og dessuten gjøre dette med støtte i
helselovgivningen.
Samtidig har legene (og annet helsepersonell) vært "garantister" for personvernet,
bl.a gjennom taushetsplikten. Likevel vil legeetikkens risikovurderinger
m.h.t personvern være knyttet opp mot pasientsikkerheten, dvs de
helsemessige konsekvensene for pasienten. Legenes konkrete vurderinger
vil dessuten være basert på strenge, selvpålagte atferdskodekser, som f.eks
et innarbeidet og "selvfølgelig" forhold til taushetsplikt.
15
15

Det problematiske
personvernet
Er personvernet
helsefarlig ?
Hvem taler pasientenes
sak ?
Ikke bare hensynet til
enkeltindivider
SIKKERHET, VERDIER OG NORMER
Men for en ekstern kontrollmyndighet, som f.eks Datatilsynet, kan det
være vanskelig å akseptere at f.eks legeetikken løser alle problemer. Datatilsynets
risikovurderinger vil for det første ta utgangspunkt i et mer rendyrket
personvernbegrep som ikke legger like avgjørende vekt på helse-
og sykdomsperspektivet. Datatilsynet vil dessuten basere sine risikovurderinger
på mer alminnelige (og mer kritiske) antagelser om tillit til menneskelig
årvåkenhet, og verdien av selvpålagte begrensinger.
Hensynet til personvernet er da også den fremste eksponenten for betegnelsen
"normative, ikke-kvantifiserbare verdier". Datatilsynet, som forvalter
av personvernlovgivningen, utgir seg ikke for å være opptatt av
verken behandlingsresultat, økonomi eller ressursforbruk i helsesektoren.
Men Datatilsynet har heller ingen interesse av å hindre helsepersonell i å
få effektiv tilgang til nødvendig informasjon. Det er nok heller de mer
generelle risikomomentene som oppstår i kjølvannet av en mer omfattende
informasjonsdeling og informasjonsspredning - og spesielt den økede
eksponeringen mot uvedkommende og den tilhørende risikoen for f.eks
datadrevne angrep (virus etc) eller utilsiktet utlevering av sensitiv informasjon
- som er Datatilsynets viktigste grunnlag for bekymring.
Likevel vil noen aktører i debatten - med helt andre (men antakelig med
gode og velmente) motiver og interesser som utgangspunkt - fra tid til
annen bli fristet til å ta i bruk en retorikk som fremstiller personvernet som en
trussel mot folks helse, og kanskje antyde at Datatilsynet er for mye opptatt
av individets personlige integritet, på bekostning av liv og helse. Slike retoriske
øvelser fremført i kampens hete bringer oss ikke nærmere verken
enighet, konsensus eller en høyere form for forståelse for problemstillingene.
Få eller ingen innen helsesektoren vil nemlig gå så langt som å forkaste
behovet for personvern i sin alminnelighet, jfr f.eks legeetikken.
Hva mener så (den potensielle) pasienten? Enkeltindividet kan i liten grad
forvente spesiell behandling av "sin" informasjon. Pasienten er i det alt
vesentlige avhengig av at andre ivaretar hans eller hennes interesser. Pasientombudsordningen
har selvsagt et visst potensiale, men tradisjonelt sett
er det helsepersonellets "hjelper"-rolle som har fungert på vegne av pasientenes
interesser. Men i dagens virkelighet har - som vi tidligere har
nevnt - helsepersonellet mange og ulike hatter. Det er derfor et visst behov
for at helseinstitusjonene som sådan synliggjør overfor pasientene at sikker
informasjonsbehandling er et prioritert område.
Det er i den senere tid lagt betydelig politisk vekt på utvidete pasientrettigheter,
og den enkelte pasient vil etterhvert få større innflytelse over
behandlingen av sin egen, personlige informasjon. Et slikt innsyn og
kontroll blir likevel utilstrekkelig når vi tar i betrakting den økende forekomsten
av (og viljen til å bruke) f.eks genetisk informasjon (som berører
en hel biologisk/genetisk linje) og psykiatrisk informasjon. Både genetiske
og psykiatriske opplysninger er i mange tilfeller vesentlig mer sensitive og
stigmatiserende enn de fleste andre helseopplysninger (psykiatriske opp-
16
16

Schizofrenien på lur
SIKKERHET, VERDIER OG NORMER
lysninger omfatter ikke bare enkeltpersoner men også familier, personlige
relasjoner, sosiale nettverk m.m).
Informasjonsarbeider eller
helsearbeider ? 13
Litt provokatorisk kan det også stilles kritiske spørsmål om hvorvidt informasjonssikkerhet
er entydig positivt. Utgangspunktet for et slikt
spørsmål er at innføring og anvendelse av IT i sin alminnelighet innebærer
en datafaglig tilnærming som representerer en ambisjon om å kunne
kartlegge, måle og formalisere - og i størst mulig grad forenkle - hele saksområder.
Tekniske spørsmål og IT-avledete hensyn kan derfor komme til å dominere
andre aspekter. Konsekvensen kan bli at mange blir styrt inn i en
rolle som "informasjonsarbeidere" som må holde seg innen et forhåndsdefinert
mønster som er definert av andre (utenforstående), mens de
egentlig ser seg selv som helsearbeidere.
Den faren vi ønsker å peke på her er at tradisjonell sikkerhetstenkning
(IT-sikkerhet, datasikkerhet) i stor grad kan være med og forsterke slike
uheldige virkninger. I arbeidet med informasjonssikkerhet må vi derfor
aktivt søke å unngå å føre et teknisk språk som kan komme til å undervurdere
eller ignorere sentrale interesser for de som primært ønsker å se
seg selv som helsearbeidere.
Likevel er det slik at helsearbeidere også er informasjonsarbeidere.
Informasjonsarbeid en viktig (og ressurskrevende) del av helsearbeiderens
hverdag og faglige ansvar. Helsearbeideren må derfor også kunne identifisere
seg med rollen som informasjonsarbeider og utnytte de muligheter
teknologien gir, og ikke minst være med og ta ansvar for sikkerheten.
Valgets kval
Helsevesenet står med dette overfor vanskelige valg. Hensynet til personvernet
og bekymringen for et stadig mer gjennomsiktig samfunn der den
enkeltes private sfære skrumper inn fra flere hold, bekymrer antakelig
svært mange, og ikke bare Datatilsynet. Slik sett er det sannsynligvis mange
privatpersoner og profesjonelle aktører i helsektoren som vil bære
frem en betydelig skepsis, og kanskje også et ønske om strenge restriksjoner
eller "føre var" prinsipper m.h.t informasjonsbruken i helseinstitusjonene.
Det mangler da heller ikke på verken (skrekk)historier eller historiefortellere
som kan gi næring til en slik skepsis.
13 Problemstillingen er lånt fra et foredrag av Dag Wiese Schartum, Avd. for forvaltningsinformatikk,
UiO
17
17

Samfunnskontrakt ?
Teknologi og etikk
SIKKERHET, VERDIER OG NORMER
Skepsis er oftest regnet som en sunn egenskap, men hvis den utvikler seg
til en fobi kan man risikere å beskjære sin handlingsfrihet i betydelig grad.
På samme måte vil det også være slik at når muligheten for å bli en virkelig
pasient kommer nært nok, vil kanskje de fleste bli mer opptatt av at behandlingsapparatet
er best mulig forberedt m.h.t informasjon om både
pasienten og den aktuelle sykdommen. Samtidig har de fleste forståelse
for den politiske målsettingen om "mer helse for hver krone".
Ulike synsvinkler og utgangspunkt vil kunne føre til høyst forskjellige
konklusjoner på konkrete problemstillinger knyttet til håndtering av pasientopplysninger.
En og samme person vil kunne være en smule
schizofren og "enig med siste taler". Sammenligningen med bilføreren
som fra tid til annen også er fotgjenger er ikke ueffen. Mange av oss møter
oss selv jevnlig i døren gjennom konfliktsituasjoner i trafikken, men
uten å reflektere noe videre over det.
På viktige områder i samfunnslivet som ikke kan reguleres gjennom lover
og regelverk, snakker man om en "samfunnskontrakt" når det foreligger
en bredt akseptert balanse og etablert praksis i skjæringspunktene mellom
ulike mål og interesser, og mellom de styrende og de styrte. En slik samfunnskontrakt
kan være et akseptert bytteforhold mellom helsevesenets tilgang
til og bruk av pasientopplysninger 14 på den ene side, og ytelser fra
offentlige helsetjenester på den annen side. En slik "kontrakt" foreligger i
dag bare i form av en (velvillig) beskrivelse av den utvikling som har
skjedd. De tilløp til gjensidig forståelse som er etablert omkring slike
spørsmål så langt er imidlertid temmelig utilstrekkelige for de utfordringer
som helsesektoren vil møte i forhold til IT-utviklingen og utviklingen av
"informasjonssamfunnet".
Det er derfor viktig at helsesektoren ikke opptrer som en "teknologisk
kjempe og etisk pygme. Det er dog heller ikke noe aktuelt alternativ å innta
rollen som (etisk kjempe og) teknologisk pygme. Bruk av IT er kommet
for å bli, og det er bred enighet om å utnytte muligheten til noe positivt.
I forbindelse med den nødvendige utviklingen av normer for sikker informasjonsbehandling
kan vi bli nødt til å forholde oss til en samfunnsutvikling
der lov- og regelverk uvergelig vil opparbeide et visst etterslep,
og bli underlagt en betydelig revisjon i etterkant av en faktisk utvikling. I lys av
dette bør helsesektoren som helhet ta mål av seg til utvikle en informasjonsetikk
som den faktiske utviklingen kan vurderes mot, og som kan gi visse
rammer for de valg som til enhver tid gjøres. En viktig forutsetning for
dette er at helseinstitusjonene står trygt og stødig på egne ben når det
gjelder både praksis og holdninger knyttet til sikker informasjonsbehandling.
14 F.eks til styring, planlegging, forskning og kvalitetssikring
18
18

Utvikle og stå for egne
tolkninger og valg
Omforente løsninger er
mulige
Eksempel på praksis
SIKKERHET, VERDIER OG NORMER
Helseinstitusjoners utfordring
En helseinstitusjon som ønsker å ta behovet for sikker informasjonsbehandling
på alvor, må først og fremst erkjenne at ethvert valg av normer
eller standarder for sikker informasjonsbehandling vil kreve en prioritering
i forhold til en totalitet av motiver, verdier og interesser. En helseinstitusjon
må likevel - på grunnlag av en samlet vurdering - definere sitt
eget ståsted og sin egen tolkning av de ulike føringer som foreligger, for
så å argumentere ut fra dette i forhold til de respektive myndigheter, tilsynsorganer
og andre interessenter. I en situasjon der tilsyns- og godkjenningsordninger
for IT-basert informasjonsbehandling ikke avspeiler
et helhetsperspektiv, er det ikke mindre nødvendig at helseinstitusjonene
selv utvikler et balansert og nyansert helhetsperspektiv.
Samtidig må vi poengtere at det ikke på noen måte er umulig å forene
ulike hensyn. Gjennom en god dialog og kommunikasjon, velvillig tolkning,
forhandlinger, pragmatisme og kompromissvilje - noe som er en
sentral del av hverdagen i andre spørsmål og på andre "politiske" arenaer
i helsesektoren - bør det i stor grad være mulig å finne frem til løsninger i
forståelse med både ulike tilsynsmyndigheter, eksterne og interne interessenter.
Men hvis f.eks en helseinstitusjon derimot demonstrerer åpenbar
ignoranse eller manglende interesse for å ta problemstillingene på alvor,
er det lite sannsynlig at myndigheter og kontrollorganer vil se noe stort
poeng i å opptre på en smidig måte i forhold til sine forvaltningsansvar.
Kravspesifikasjoner for sikkerhet
Krav om konfidensialitet, kvalitet og tilgjengelighet til informasjon skal i
utgangspunktet inngå som del av en overordnet kravspesifikasjon til et
IT-system. Vi vil her bruke noe plass på å synliggjøre hvordan en utilstrekkelig
forankret sikkerhetstenkning ofte, og på en uheldig måte, kan
manifestere seg gjennom kravspesifikasjoner til IT-systemer, og hvilke
konsekvenser dette kan ha.
Fra et IT-synspunkt (d.v.s med tanke på realisering) skal en god kravspesifikasjon
tilstrebe stringens, konsistens, klarhet og verifiserbarhet. En
kravspesifikasjon for sikkerhet bør ideelt sett inngå som en integrert del av en
helhetlig, funksjonell kravspesifikasjon for et gitt informasjonssystem (eller
spesifikt for et IT-system). Kravspesifikasjonen bør gi konkrete normer
eller standarder for sikker informasjonsbehandling innen et saksområde.
Praksis er imidlertid ofte - men feilaktig - at kravspesifikasjonene
innfører et (kunstig) skille mellom funksjonskrav og sikkerhetskrav. De
såkalte sikkerhetskravene kommer ofte til slutt, og da gjerne i form av et
generelt krav om at "Datatilsynets krav til sikkerhet skal tilfredsstilles".
Såkalte funksjonskrav i en slik kravspesifikasjon vil i realiteten skjule krav
eller forventninger til sikker informasjonsbehandling. Begrepet "sikker-
19
19

Negativ synergi, dårlig
PR
Er det så ille ?
"Know-why" gir
spillerom
SIKKERHET, VERDIER OG NORMER
het" blir da samtidig redusert til å være entydig assosiert med én eneste
(av flere relevante) innfallsvinkler og begrunnelser for sikker informasjonsbehandling.
Gjennom en slik kravspesifikasjon er det skapt forventninger om et ferdig,
operativt system som brukerne er tilfredse med, men også til Datatilsynets
godkjenning av "sikkerheten". Selv om det ikke er verken tiltenkt
på forhånd eller bevisst, vil ikke alle forventningene bli innfridd. Den
påfølgende "konklusjonen" kan bli at forventningene til funksjonalitet
ikke kunne innfris, og at "sikkerheten" var årsaken til dette. Et slikt forløp
vil underbygge og forsterke et negativt ladet bilde av både personvernet og
sikkerheten generelt; Sikkerhet blir noe negativt som det ikke er verdt å
bruke ressurser på (den hindrer positiv funksjonalitet), og personvernet (
identifisert med Datatilsynet) blir "årsak til elendigheten".
Hvem kjenner seg igjen ?
Eksemplet ovenfor er satt på spissen og ikke nødvendigvis representativt
verken for det store gross av kravspesifikasjoner eller for dialog mellom
helseinstitusjoner og Datatilsynet. Vi har likevel dekning for å hevde at
det er mulig å gjenkjenne dette prinsipielle forløpet i flere faktiske eksempler,
og at eksemplet er symptomatisk for hvor endimensjonalt sikkerhetsspørsmålet
i praksis kan bli vurdert og håndtert.
Målet for en helseinstitusjon bør selvfølgelig være å gjøre det ovenstående
eksemplet grundig til skamme. Et slikt mål forutsetter imidlertid etter vår
mening en kompetanse utover en teknisk og administrativ "know-how".
Det forutsettes også betydelig en "know-why" kompetanse i form av bevissthet
og kunnskap omkring motivasjonen for, og konsekvensene av
sikker informasjonsbehandling. Etablering av en slik kompetanse bør
kunne resultere i et vesentlig større armslag og spillerom til å dekke reelle
(egendefinerte) sikkerhetsbehov, slik at den aktuelle virksomheten unngår
å bli prisgitt rammebetingelser som reflekterer smalere interesseområder
enn det som en helseinstitusjon i realiteten kan og må forholde seg til.
20
20

Oversikt over
informasjonsressursen
e og anvendelsen av
dem
Det kan stilles sterkere
krav enn de formelle
regelverkene
Informasjonssikkerhet
er komplekst samspill
RAMMEVERK FOR OU
Et hensiktsmessig
fundament
Vår påstand er at helseinstitusjoner som oftest mangler et helhetlig
og organisatorisk sikkerhetsfundament. Et slikt fundament
bør ideelt gjøre virksomheten i stand til å sammenholde
ulike føringer og slik sett definere og ta ansvar for egne sikkerhetsbehov.
Informasjon må forstås og håndteres som en
ressurs med avgjørende betydning for kjerneprosessene, ikke
som et avgrenset eller underordnet fenomen som kun kan forstås
innen en snever teknologisk ramme.
Vi vil her antyde noen "minimumskrav" til et nytt, organisatorisk sikkerhetsfundament,
i forhold til det som mangelfullt i dag, jfr kapittel 2 og 3.
Grunnleggende momenter
Sikker informasjonsbehandling bør ideelt være forankret i en tilstrekkelig
forståelse av pasientinformasjonens rolle og betydning, både for pasienten og for
virksomheten, slik at det kan stilles meningsfulle krav om konfidensialitet,
kvalitet og tilgjengelighet rettet mot de informasjonsressursene som er i
bruk. Det er åpenbart at en slik forståelse ikke kan etableres over natten,
og det er heller ikke nødvendig med en dyp og altomfattende "infostruktur"
for å oppnå positive resultater. Hovedpoenget er at virksomheten
aktivt må søke å sammenfatte, koordinere og utvikle den kunnskapen som
faktisk finnes i virksomheten og som på mange måter er "kodet inn i" de
daglige arbeidsprosessene og rutinene, men som (vanligvis) ikke er sammenfattet,
og heller ikke inngår som del av virksomhetsplanleggingen.
For mange virksomheter vil det dessuten være både nødvendig og riktig å
identifisere egne sikkerhetsbehov og -krav som på ulike områder går lenger
enn det som de formelle regelverkene krever. En sikkerhetsbevisst og
verdistyrt virksomhet må være beredt til å legge inn mer ressurser enn
strengt tatt (formelt sett) nødvendig, også i form av selvpålagte begrensninger
- men så kan også gevinstene bli desto større!
IT-utviklingen bringer med seg nye og komplekse trusselscenarier, men
gir samtidig betydelige muligheter for å etablere mekanismer og tjenester
som ivaretar eller understøtter sikker informasjonsbehandling på en effek-
21
21
Kapittel

Organisering er
nøkkelen
Å etablere et helhetlig
ansvar
Helsepersonellet må ut
på banen
Kompetansekrav
ET HENSIKTSMESSIG FUNDAMENT
tiv og hensiktsmessig måte. Et nytt sikkerhetsfundament må derfor innebære
at organisasjonen som helhet innretter og dyktiggjør seg på en måte
som ikke er snevert begrenset til teknologien, men som fokuserer på samspillet
mellom organisasjon, mennesker og teknologi. Disse elementene
må innrettes i et effektivt og fornuftig samspill, og det må innføres ansvarsområder
og organiseringer som legger til rette for dette.
Til syvende og sist er det ikke verken enkeltgrupper, profesjoner, helsemyndigheter,
eller for den saks skyld Datatilsynet, som kan ta dette ansvaret
alene. Det nye hovedfundamentet bør være en bevisst, helhetlig og samordnet
innsats innad i helseinstitusjonene. Fundamentet bør konstrueres med hjelp av
mange ulike ressurser og former for kompetanse innad i institusjonene,
"limt sammen" gjennom en hensiktsmessig organisering av arbeidet. Et
målrettet arbeid med sikker informasjonsbehandling innebærer å ta aktivt
stilling til de ulike forventningene og problemstillingene som foreligger,
og la konkrete valg materialiseres i form av sikkerhetsteknologi (ITsikkerhet),
sikkerhetspolicyer, sikkerhetsstrategier og sikkerhetsorganisering.
Ekstern assistanse (konsulenter) bør ideelt bare tillates innen rammene
av gjeldende policy, etc.
En overordnet forutsetning for å lykkes med dette er at det etableres et
helhetlig og overordnet ansvar for sikkerheten. Det naturlige utgangspunktet
er etter vår mening å la dette springe ut fra øverste administrative
nivå. Dette er imidlertid ikke trivielt. En sykehusdirektør er på mange vis
mer en "megler" på en politisk arena, enn en "sjef" over en hierarkisk og
autoritetstro organisasjon. Et helhetlig ansvar kan derfor ikke ene og alene
baseres på å frata noen aktører eller grupper makt og myndighet og
samle dette på "toppen". Basisen for et helhetlig ansvar må være å etablere
arenaer og prosesser for forpliktende og motiverende samarbeid. For at f.eks en sykehusledelse
skal akseptere en slik problemstilling og utfordring, er det
dessuten helt avgjørende å unngå at problemstillingene eller budskapet
"drukner" i IT terminologi.
En helhetlig organisering fjerner ikke på noen måte behovet for at de ulike
gruppene av helsepersonell utvikler sine eksisterende ferdigheter kompetanse
og etikk på dette området. Helsepersonellet må delta aktivt og
stille krav i arbeidet, bl.a for bidra til å unngå overforenklinger og andre
fallgruver som teknologien alltid vil bringe med seg. Ikke minst må de
være helsefaglige "garantister" for at løsninger og konsepter som innføres
reelt sett øker sikkerheten for og tilliten til helsetjenestene.
Vi har tidligere pekt på at sikkerhetsspørsmålet forutsetter en kompetanse
som er både "know-how" og "know-why" orientert. En helseinstitusjon
har behov for
•= helsefaglig "know-why" som kan identifisere og balansere ulike behov for
og krav til sikker informasjonsbehandling med utgangspunkt i informasjonsressursenes
betydning for kjerneprosessene, og en
22
22

Satse på egne krefter
Figur Figur 3
Sats Sats på på egne gne
krefter krefter og
og
ressurser
ressurser
Langsiktige prosesser,
bredt engasjement og
deltakelse
ET HENSIKTSMESSIG FUNDAMENT
•= sosioteknisk 15 "know-how" som kan håndtere det dynamiske samspillet
mellom "sikker" teknologi, informasjonsbrukere, arbeidsprosesser og
virksomhetens generelle organisering.
Oppbygging av den nødvendige kompetanse og organisering forutsetter
at en helseinstitusjon satser på egne krefter. Dette er forsøkt illustrert i
figur 3 under.
23
23
analyse
opplæring
og tilrettelegging
eksterne rammebetingelser
søking og
læring
endret
holding
og atferd
Et viktig virkemiddel for sikker informasjonsbehandling vil være organisasjonsutviklingsprosesser
som etablerer den nødvendige organisering, herunder
hensiktsmessige ansvar og beslutningstrukturer, men som også skaper
arenaer for samarbeid og utvikling. Slike prosesser må legge grunnlaget
for langsiktige forbedringsprosesser med bred deltakelse, som kan ha klare
paralleller til det generelle kvalitetssikringsarbeidet som allerede er
etablert i mange helseinstitusjoner. Spesielt på brukersiden er det viktig at
kompetansen bygges trinn for trinn, med involvering og deltakelse som
læringsgrunnlag.
15 Med dette menes bl.a et systemperspektiv som omfatter både de tekniske systemene og de sosiale
systemene som anvender disse, med spesiell vekt på samspillet og dynamikken mellom dem.

ET HENSIKTSMESSIG FUNDAMENT
24
24

Nåtilstand og
måltilstand
(idealtilstand)
RAMMEVERK FOR OU
Et rammeverk for
organisasjonsutvikling
Vi presenterer her et strategisk rammeverk for sikkerhetsorientert
organisasjonsutvikling. Rammeverket er fokusert på
styrt utvikling og strategisk læring, men gir også spillerom for
brukerstyrte, mer autonome endrings- og læringsprosesser.
En slik tilnærmingsmåte krever imidlertid at virksomheten
etablerer en akseptert og "objektiv" oppfatning m.h.t sin sikkerhetsmessige
nåtilstand. Det er også en forutsetning at det
identifiseres mål som utviklingsprosessen skal sikte mot. Samtidig
må det være slik at oppfatningen av målene i seg selv er i
kontinuerlig utvikling, som et resultat av selve endringsprosessen.
Med organisasjonsutviklingsprosess (OU-prosess) menes en systematisk
og kontinuerlig organisasjonsutvikling som gjennomføres mest mulig integrert
med de daglige arbeidsprosessene, og ikke er organisert som et
teknisk orientert og strengt avgrenset prosjekt.
En beslutning om å innrette sikkerhetsarbeidet som en OU-prosess er
med dette ikke nødvendigvis formalisert som et eget, isolert prosjekt.
Metodene og aktivitetene bør først og fremst til uttrykk gjennom de sikkerhetsmessige
policyer, strategier og øvrige organisatoriske grep som tas,
og være en integrert del av det daglige forbedringsarbeidet i virksomheten.
Endring som uttalt mål
Den grunnleggende forutsetningen for en sikkerhetsorientert OU-prosess
er at virksomheten etablerer en autoritativ oppfatning av sin sikkerhetsmessige
nåtilstand. Dette kan f.eks oppnås gjennom en (kritisk) gjennomgang
av de foregående kapitlene i dette temaheftet, men vi vil ikke på noen
måte utelukke at hensikten kan oppnås med andre metoder.
Det er også nødvendig at virksomheten har identifisert noen klare endringsbehov
på basis av nåtilstanden. Dette initielle endringsbehovet må
være kimen til utviklingen av en visjon for en ønsket måltilstand ("idealtilstand
"), og som må videreutvikles som en del av endringsprosessen.
25
25
Kapittel

Figur Figur 4
Endring Endring som som mål
mål
Fokus for
sikkerhetsarbeidet
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
Vi utelukker ikke på noen måte at en helsevirksomhet kan være i stand til
å definere sin måltilstand relativt konkret allerede på et tidlig tidspunkt.
Det vi ønsker å poengtere er at rammeverket tillater at måltilstanden kan
(videre)utvikles som en del av endringsprosessen, og da spesielt på basis
av at endringsprosessen vil bringe med seg en stadig dypere forståelse av nåtilstanden,
og derigjennom identifisere nye endringsbehov eller betinge en revidering
av tidligere definerte endringsbehov.
NÅTILSTAND
26
26
Forvaltning og
forbedring
(Trinnvis)
Organisatorisk endring
ØNSKET
(MÅL-)TILSTAND
Figur 4 indikerer for det første at utviklingen mot måltilstanden må skje
trinnvis. Videre må beskrivelsen av både nåtilstanden og den ønskede
måltilstanden må romme en bevissthet om både målene for sikker informasjonsbehandling
og den måten de er tenkt realisert på i form av informasjonssikkerhet.
Dessuten bør sikkerhetsarbeidet ha to (relativt) uavhengige fokus. Det
ene er forvaltning av nåsituasjonen (nåtilstanden). Det andre er den organisatoriske
endringsprosessen i retning av den ønskede måltilstanden. Figuren uttrykker
dessuten en erkjennelse av at denne endringsprosessen må skje
trinnvis, dvs at den ønskede tilstanden ikke kan nås med en "quick-fix"
eller et skippertak.
Beskrivelsen av nåtilstanden kan bl.a omfatte
•= En identifikasjon av de informasjonsressursene som skal beskyttes, og
prinsippene for hvordan de skal beskyttes.
•= Hvilket ansvar og hvilke forventninger informasjonsbrukerne stilles
overfor. Gjeldende rutiner og prosedyrer i forbindelse med dette.
•= Systemvise sikkerhetspolicyer, opplæringstiltak, støtteapparat m.m
•= Gjeldende organisering, ansvar og roller.
•= Hvilken IT-støtte (IT-sikkerhet) som foreligger eller kan påregnes.
Beskrivelsen av måltilstanden kan f.eks omfatte

Sikkerhetstrategi
Iterasjon og læring
Figur Figur 5
Strategibegrepet
Strategibegrepet
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
•= En identifikasjon av de informasjonsressursene som bør beskyttes.
•= Prinsippene for hvordan de bør beskyttes i ulike sammenhenger.
•= Begrunnelsene for dette, forankret i en klart definert regelorientering,
kvalitetsorientering eller verdiorientering
•= Sammenhengen mellom de ulike informasjonsressursene i.h.t en overordnet
infostruktur og virksomhetsplan.
•= Hvordan sikkerhetsarbeidet skal organiseres og drives.
I denne sammenhengen finner vi det ikke hensiktsmessig å legge altfor
faste rammer for hvordan måltilstanden skal beskrives, da dette temaheftet
er mest konsentrert om rammene for selve OU-prosessene. Temahefte
5 vil derimot være fokusert på å hjelpe helseinstitusjoner til å definere
sin måltilstand.
En strategisk tilnærmingsmåte
I en OU-orientert sikkerhetsfilosofi spiller sikkerhetsstrategien en viktig rolle.
Med sikkerhetsstrategi menes en plan og visjon for hvordan nåtilstanden
skal endres til måltilstanden, basert på de ressurser og muligheter som
realistisk sett foreligger i den aktuelle virksomheten.
Det blir derfor viktig å anvende et strategibegrep som ikke skaper urealistiske
forventninger om at endringsprosessen skal være styrt og planlagt i
minste detalj, eller at strategien skal følges slavisk. Figur 5 under indikerer
en strategidefinisjon som vektlegger at en strategi aldri er bedre enn virkeligheten
tillater den å være, og at strategien i stor grad blir til underveis i
endringsprosessen.
27
27
Planlagt
strategi
Overlagt strategi
Ikke -realisert
strategi
Strategisk læring
Framvoksende
strategi
Realisert
strategi

Strategiprosessen
Figur Figur Figur 6
Strategiutvikling
Strategiutvikling
Overordnet
sikkerhetsstrategi
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
Med et slikt strategibegrep vil strategien utvikles trinn for trinn, og tillate
strategisk læring i møtet mellom plan og realitet. Strategisk læring kommer
imidlertid ikke av seg selv, det kreves også en organisering som understøtter
dette aktivt.
En sikkerhetsstrategi for sikker informasjonsbehandling er med dette ikke
en enkel eller kortsiktig handlingsplan for planlagt og styrt endring. Strategiarbeidet
må i seg selv innrettes som en kontinuerlig utviklingsprosess der
økt innsikt og kompetanse, nye rammebetingelser og ikke minst erfaringene
fra selve endringsarbeidet (iverksettingen av strategien) er viktige ingredienser.
Prosessen må innrettes slik at styrt og planlagt endring kan
suppleres av ikke-planlagt endring, d.v.s endring basert på erkjennelse og
kunnskap som oppstår i løpet av prosessen. En slik strategiprosess er indikert
i figur 6 under. Denne figuren antyder også at oppfatningen av
både nåtilstand og måltilstand vil kunne endres underveis.
28
28
Nåtilstand
Endringsprosess
Planlagt(e) strategi(er)
Strategiutvikling
Ønsket
tilstand
En slik strategiprosess må imidlertid gis noen overordnede føringer. Med
overordnet sikkerhetsstrategi menes:
•= Autoritative oppfatninger og beskrivelser av nåtilstand og måltilstand,
herunder en erklæring m.h.t i hvilken grad sikker informasjonsbehandling
i virksomheten skal være regelstyrt, kvalitetsorientert eller verdiorientert.
•= En planlagt utvikling og framdrift i tråd med virksomhetens ressurser
og muligheter.
•= Overordnede ideer og prinsipper for styring av utviklingen, f.eks premissene
for hvordan endringer skal iverksettes, måles, kontrolleres og
evalueres.

Hovedtrekk
Figur Figur 7
Overordnet
Overordnet
sikkerhetsstrategi
sikkerhetsstrategi
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
En slik overordnet sikkerhetsstrategi må være en sentral del av en overordnet
sikkerhetspolicy for en helseinstitusjon, jfr temahefte 2.
I et slikt perspektiv blir planleggingsprosessen minst like viktig som selve
planen, og en konkret plan (strategi) vil på en måte fungere som annonsering
og symbol for planleggingsprosessen 16. En kontinuerlig strategiprosess
gjennomført på slike premisser bør kunne utvikle seg til et spennende
verksted for sikkerhetstenkning og -utvikling.
En (mulig) overordnet
sikkerhetsstrategi
Vi vil i det følgende presentere en skisse til en overordnet sikkerhetsstrategi.
Selv om denne er relativt generell tror vi at hovedtrekkene som skisseres
kan anvendes av mange helseinstitusjoner og -virksomheter.
Vårt forslag til overordnet sikkerhetsstrategi har 2 hovedfaser, jfr figur 7
under. I fase 1 etableres det et fast grep om "nåtilstanden", og man er mer
orientert mot å sikre en forsvarlig håndtering av denne enn å skue fremover
mot en "ønsketilstand" som man (kanskje) ikke ennå aner konturene
av. Viktige stikkord vil være å utvikle egen kompetanse og definere en
grunnleggende, overordnet sikkerhetspolicy som innebærer den nødvendige
innstramming av rutiner og prinsipper på sikkerhetsområdet. Etablering
av et organisatorisk fundament i form av ansvar, myndighet, roller og
beslutningsstruktur vil være noe av det viktigste å ta fatt i.
29
29
Egen kompetanse, grunnleggende policy
Innstramming av av rutiner og og prinsipper
Ansvar og og beslutningsstrukturer
Informasjonssikkerhet et kvalitetsaspekt
Langsiktig samarbeid og utvikling
Arenaer og prosesser
Visjon: “Den lærende organisasjonen”
16 «Plans are nothing, planning is everything», gammelt jungelord.
Fase 1
Fase 2

Fase 1: En strammere
struktur
Innstramming og
juridisk ryggdekning
Grov inndeling av
informasjonsressurser
Positive og negative
reaksjoner må
forventes
Fase 2 : Forventninger
må følges opp
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
I fase 2 vil virksomheten begynne å orientere seg mer fremover og søke å
definere "ønsketilstanden" i sin fulle bredde. I denne fasen vil informasjonsbrukerne
i større grad involveres i diskusjoner og beslutninger, og
det vil bli lagt vekt på å skape arenaer og prosesser som kan legge grunnlaget
for langsiktig og bredt samarbeid og utvikling. Det kan også legges
opp til at brukerne overtar mer av styringen med selve endringsprosessene.
Samordning og samarbeid med beslektede aktiviteter, f.eks kvalitetssikring
og internkontroll vil også bli mer og mer fremtredende i løpet av
denne fasen.
Første skritt er altså å finne ut hvor man står og identifisere de viktigste
endringsbehovene. Både nåtilstanden og de foreliggende rammebetingelsene
for arbeidet med sikker informasjonsbehandling må kartlegges og
dokumenteres. Dokumentasjonen må forankres i en overordnet sikkerhetspolicy
(jfr temahefte 2) som fanger opp og verdsetter de mest verdifulle
og kritiske aspektene ved eksisterende praksis. Den overordnede
policyen må også omfatte en beskrivelse av behovene for forbedring, retningslinjer
som brukerne kan forholde seg til i forhold til dette, og en
konkret strategi i form av en tiltaksplan for å iverksette de viktigste forbedringene.
Hensikten er å etablere en strammere struktur i form av tydelige
ansvar og retningslinjer.
I innstrammingsfasen bør det også innhentes eller gjennomføres en overordnet
risikovurdering, som bakgrunn for at de nødvendige innskjerpinger
av rutiner, prosedyrer og ansvarsforhold, osv gjennomføres. Dette gir
også en juridisk ryggdekning i forhold til gjeldende regelverk, noe som er
et viktig nok poeng i seg selv, jfr Statens helsetilsyns krav om å sikre forsvarlig
praksis.
Det bør dessuten etableres oversikt over de viktigste informasjonsressursene
som trenger beskyttelse. Spesielt for regionsykehus eller ulike spesialsykehus
kan det være hensiktsmessig å skille mellom de sentrale og
gjennomgripende systemene som f.eks pasientadministrative systemer på
den ene siden, og ulike forskningsregistre og andre spesialregistre på den
andre siden.
Det er slett ikke usannsynlig at en i innstrammingsfasen vil møte både
negative og positive reaksjoner. Mange enkeltpersoner eller grupper kan
med utgangspunkt i sine tradisjoner og sin kultur være bekymret for sikkerhetsspørsmålet
og kan over lengre tid ha etterlyst initiativ og ansvarlige
utspill. Disse vil antakelig hilse ethvert initiativ velkommen, og må ikke
skuffes! På den annen side kan innføring av et slikt endringsprogram berøre
manges arbeidssituasjon i betydelig og uventet grad, noe som kan
skape grunnlag for negative reaksjoner (endringsmotstand).
Når det første skrittet er tatt har institusjonen og de sikkerhetsansvarlige
formodentlig "strammet grepet", skapt oppmerksomhet og forventning
og etablert et sett av spilleregler som informasjonsbrukerne og andre kan
forholde seg til. Det kan imidlertid tas for gitt at en slik "ny orden" vil
30
30

Fase 3: Den lærende
organisasjonen
Sikkerhetsperspektiver
i utvikling
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
vise seg å være beheftet med vesentlige mangler og svakheter, og at brukernes
daglige virkelighet og behov vil utfordre den i løpet av relativt kort
tid. For å unngå at de oppnådde gevinstene forvitrer eller kommer i miskreditt
må neste skritt derfor være en tydelig oppstart på en langsiktig og
kontinuerlig forbedringsprosess, der en sentral del av metodikken blir å etablere
arenaer der ballen kan spilles over til brukerne.
Det er derfor nærliggende å foreslå at en slik overordnet sikkerhetsstrategi
bør ha den lærende organisasjonen som visjon. Vi har allerede i det foregående
introdusert strategisk læring som en sentral del av strategiutviklingsprosessen.
I en lærende organisasjon er det like mye de "vanlige" informasjonsbrukerne
som er innovatører, ikke bare de (få) som er ansvarlige for og leder sikkerhetsarbeidet.
Dette optimale utviklingsnivået er en kontinuerlig og i stor
grad brukerdrevet forbedringsprosess. Visjonen om den lærende organisasjonen
som uopphørlig og uten avhengighet av styring og kontroll etterprøver og
utvikler sikkerhetsmessig praksis kan nok fortone seg som uoppnåelig.
Etter vår mening er den et oppnåelig mål - eller i det minste en hensiktsmessig
visjon - hvis et sosioteknisk sikkerhetsperspektiv legges til grunn.
En lærende organisasjon er et resultat av en langsiktig og målrettet prosess,
og ikke et resultat av en lettvint aksjon eller et skippertak. Dette temaet
vil bli nærmere behandlet i et påfølgende temahefte (nr 5).
Vi vil til slutt peke på at en overordnet sikkerhetsstrategi som skissert i
det foregående (jfr figur 7) innebærer en markant utvidelse av perspektivene
for sikkerhetsarbeidet. D.v.s at perspektivene som ligger til grunn
for både (krav til) sikker informasjonsbehandling og tiltak for informasjonssikkerhet
vil måtte utvides i takt med den overordnede sikkerhetsstrategien.
I innstrammingsfasen vil en være mest opptatt av å sikre utvalgt informasjon
og utvalgte systemer, og en vil først og fremst basere informasjonssikkerheten
på typiske kontrollregimer. Dette reflekterer et relativt snevert
(og tradisjonelt) perspektiv.
Etter hvert vil kravene til sikker informasjonsbehandling omfatte større
deler av den totale informasjonsmengden, og i økende grad reflektere at
informasjonen er en (felles) ressurs, ikke et fysisk avgrenset fenomen.
Samtidig vil kontrollregimene få mindre betydning etter hvert som det
utvikles kunnskap og holdninger blant brukerne som gjør det mulig å
overlate mye ansvar, også for selve endringsarbeidet, til dem. Et slikt utviklingstrinn
reflekterer et mer utvidet (og utradisjonelt) perspektiv, der
sikkerhetsarbeidet drives av mer moderne prinsipper for styring og ledelse,
og der sikker informasjonsbehandling er knyttet til virksomhetens vitale
og strategiske interesser i en helt annen grad, jfr figur 8 nedenfor.
Parallelt med denne utviklingen vil virksomheten kunne utvikle sin sikkerhetspolicy
og -strategi fra å være regelorientert, til å bli kvalitets- eller
verdiorientert.
31
31

Figur Figur 8
Perspekt
Perspektivutvidelse
Perspekt
Perspekt ivutvidelse
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
32
32
Sikre utvalgt informasjon og systemer
FASE 1
Innstramming
SIKKER INFORMASJONSBEHANDLING
FASE 2
Samarbeid og
utvikling
Kontrollperspektiv (handlingskontroll)
INFORMASJONSSIKKERHET
“Informasjon som ressurs”
Lærende
organisasjon
Atferds- og læringsperspektiv
(premisskontroll)
Det er en allmenn oppfatning og forventning at helsesektoren skal bli en
sentral del av det som kalles informasjonssamfunnet. Dette kan bare skje ved
at den enkelte helseinstitusjon kan påberope seg å være en "informasjonsbedrift".
I lys av figur 8 vil vi påpeke at selv om sikkerhetsarbeidet nødvendigvis
må startes som en avgrenset aktivitet basert på tradisjonelle perspektiver,
vil en overordnet sikkerhetsstrategi av den typen som vi foreslår (jfr fig 7)
yte vesentlige bidrag til at virksomheten/institusjonen kan utvikle seg til å bli
en seriøs og slagkraftig "kunnskaps- og informasjonsbedrift".
Temahefte 5 vil for øvrig går dypere inn i temaet perspektiver på sikker
informasjonsbehandling.
Rammeverk for OU-basert sikkerhet
Vi vil på bakgrunn av det foregående introdusere et overordnet rammeverk
for sikkerhetsorientert OU, jfr figur 9 under.

Figur Figur 9
Rammeverk Rammeverk for for OU
OU
Hovedmomenter
Sikkerhetspolicyen som
manifest og visjon
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
33
33
Forvaltning
Nåtilstand
Endringsprosess
Planlagt strategi
Organisering og strategiutvikling
Overordnet sikkerhetspolicy
Ansvarlig sikkerhetsorganisasjon
Ønsket
tilstand
A C
B
Hovedmomentene er som følger:
1. Strategiutviklingsprosessen er iterativ og læringsorientert, og pågår hele
tiden.
2. Både strategiutvikling og gjennomføring av endringsprosesser krever
en hensiktsmessig organisering som er tilpasset den faktiske situasjonen,
og som følgelig må endres dynamisk.
3. Det må etableres en overordnet sikkerhetspolicy som både A) beskriver
nåtilstanden og forvaltningen av denne (herunder systemvise sikkerhetspolicyer,
opplæringstiltak, støtteapparat m.m), B) beskriver måltilstanden
samt C) definerer rammebetingelsene og føringene for strategiprosessen
17. På samme måte som strategiarbeidet må sikkerhetspolicyen
som helhet pågå kontinuerlig som en "evigvarende" prosess, underlagt
jevnlige og kritiske revisjoner som sikrer en løpende forbedring.
4. Det etableres en ansvarlig sikkerhetsorganisasjon som rapporterer til virksomhetens
øverste ansvarlige, som er ansvarlig for å organisere og drive
frem både endringsarbeidet og policyutviklingen.
Den overordnede sikkerhetspolicyens rolle blir dermed til enhver tid å
fungere som et manifest over gjeldende retningslinjer for sikker informasjonsbehandling
(nåtilstanden), visjonene for forbedring (måltilstanden)
og ikke minst legge premissene for endringsprosessen og strategiarbeidet. Sikkerhetspolicyen
skal ikke være verken uforanderlig eller vaklende, men skal
stake ut kursen fremover og i seg selv være under jevnlig revisjon.
17 D.v.s overordnet sikkerhetsstrategi.

Forholdet til ITstrategien
ET RAMMEVERK FOR ORGANISASJONSUTVIKLING
Koordinering med annet planarbeid
Et organisert sikkerhetsarbeid i.h.t et rammeverk som beskrevet i det foregående
må ha en tilstrekkelig ledelsesforankring og støtte (legitimitet) i
virksomheten.
En OU-prosess i.h.t et slikt rammeverk bør (ideelt sett) også være forankret
i virksomhetsplanleggingen, og hvis mulig i mer spesifikke plandokumenter
som f.eks omhandler og beskriver virksomhetens informasjonsmessige
infrastruktur ("infostruktur"). Et slikt utgangspunkt styrker sjansene
for å få reell og synlig uttelling for sikker informasjonsebehandling i
forhold til de daglige arbeidsprosessene. Det betyr også at man ikke behøver
å vente til en "passende" ulykke, presseoppslag eller hendelse inntreffer,
for å legitimere satsingen på sikker informasjonsbehandling.
Videre bør en overordnet sikkerhetspolicy være koordinert med en (eventuelt)
gjeldende IT-strategi, slik at sikkerhetspolicyens krav og forventninger
til IT-sikkerhet kan samordnes og kommuniseres på en hensiktsmessig
måte. Relasjonen mellom sikkerhetspolicyen og IT-strategien vil
være relativt kompleks, og koordineringen mellom dem en utfordring i
seg selv.
For det første er det et viktig poeng at en policy for sikker informasjonsbehandling
18 er overordnet IT-sikkerheten, som kun er et hjelpemiddel
for å realisere målene. For det andre vil en helsevirksomhet være klart
tjent med at IT-sikkerheten etableres innen rammen av en overordnet ITstrategi.
IT-sikkerheten bør altså være en integrert del av eksisterende og
planlagte IT-anskaffelser, standarder, arkitekturer m.m (som normalt er
IT-sjefens domene og ansvar).
Den overordnede sikkerhetspolicyen kan imidlertid ikke være direkte styrende
for IT-strategien. Det bør derfor etableres organisatoriske ordninger
som tillater at den overordnede sikkerhetspolicyen kan gi de nødvendige
føringer og innspill til IT-strategiarbeidet. Poenget er ikke å innføre
unødvendige hindringer og ulemper for planlegging og gjennomføring av
IT-strategien. På den annen side vil en slik kopling være relativt verdiløs
hvis den ikke medfører konsekvenser for IT-planleggingen. Poenget med
det hele er å sørge for at planleggingen av sikker informasjonsbehandling
inntar en naturlig plass som premissgiver for IT-strategien og oppgavene
IT skal ivareta i virksomheten, slik at sikkerhet ikke blir et tema som blir
vurdert helt til slutt når de grunnleggende valgene og strategiene m.h.t IT
allerede er fastlagt.
18 Overordnet sikkerhetspolicy
34
34

Langsiktig perspektiv
RAMMEVERK FOR OU
OU og sikkerhet i
praksis
Vi tror at mange helseinstitusjoner allerede har konkludert,
eller etter en nærmere vurdering vil konkludere med at sikkerhetsnivået
er utilfredsstillende eller uklart. Vi tror også at
de fleste institusjoner vil ha betenkeligheter med å ignorere
problemstillingene og i realiteten ønsker å styrke sikkerheten i
sin informasjonsbehandling, både av hensyn til egen virksomhet,
pasientene og samfunnets øvrige forventninger. Vi tror
også at forklaringen på den tilsynelatende passiviteten på dette
området er at det ikke foreligger noen kjent eller bredt akseptert
måte å nærme seg problemstillingen på. Vi vil derfor
forsøke å skissere en praktisk fremgangsmåte i lys av rammeverket
i foregående kapittel.
Dette temaheftet har så langt vært utpreget problematiserende, med sikte
på å avdekke problemstillinger og utfordringer i størst mulig bredde.
Spørsmålet mange selvfølgelig vil stille seg er om det er mulig å møte utfordringene
uten å strande i et hav av kompliserte oppgaver og urealistiske
ressursbehov. Ikke minst er det nødvendig å kunne ta fatt i sikkerheten
selv om en del forutsetninger, som f.eks IT-strategi eller infostruktur, ennå
ikke er på plass.
Veien ut av denne labyrinten ligger i erkjennelsen av at alle problemer
ikke kan løses på en gang, og at veien mot sikker informasjonsbehandling
er en skrittvis, kontinuerlig og langsiktig forbedringsprosess. Det vil
være mulig å starte et fornuftig, avgrenset utviklingsarbeid i.h.t det gitte
rammeverket, og så samordne dette med øvrige planaktiviteter når tiden
er moden.
Fundamentet for våre anbefalinger er å legge opp til en overordnet sikkerhetsstrategi
i to (tre) hovedfaser, jfr forrige kapittel.
Hvordan komme i gang
Oppstarting og gjennomføring av en OU-prosess for sikker informasjonsbehandling
i en helseinstitusjon kan baseres på følgende skjema:
1. Det gjennomføres et forprosjekt som går gjennom de sentrale problemstillingene
i.h.t relevant litteratur (herunder temahefter) og erfaring, og
35
35
Kapittel

Støtte fra andre hefter
temaserien
Forprosjektfasen er
viktig
OU OG SIKKERHET I PRAKSIS
36
36
som definerer en tiltakssplan for det videre arbeidet. Prosessen må være
forankret hos ledelsen, som må stille seg bak tiltaksplanen.
2. Gjennom tiltaksplanen defineres tiltak for å høyne det sikkerhetsmessige
bevissthetsnivået og kompetansen gjennom f.eks å identifisere relevante
informasjonsressurser og gjennomføre risikovurderinger i forhold
til dette, basert på den IT-sikkerhet som er tilgjengelig. Det utarbeides
en foreløpig overordnet sikkerhetspolicy som reflekterer nåtilstand,
en ønsket måltilstand, ansvarsområder, beslutningsstrukturer
samt en overordnet sikkerhetsstrategi.
3. Den overordnede sikkerhetsstrategien beskriver en innstrammingsfase,
jfr forrige kapittel, og det etableres en sikkerhetsorganisasjon for å håndtere
denne (jfr neste kapittel). Det utarbeides systemvise sikkerhetspolicyer
og nødvendige opplæringstiltak.
4. Etter en forhåndsbestemt periode gjennomføres det en hovedrevisjon
av sikkerhetspolicyen. Denne revisjonen innebærer at man først av alt
oppdaterer status på andre planområder, f.eks IT-strategi, for deretter å
oppdatere risikoanalyser m.m, og til slutt sikkerhetspolicyen.
5. Parallelt med dette arbeides det med å konkretisere og utdype den ønskede
måltilstanden (Temahefte 5 kan brukes som støtte for dette).
6. Når forholdene ligger til rette, innføres neste fase i den overordnede
sikkerhetsstrategien, og sikkerhetsorganiseringen endres også med tanke
på dette.
7. Hovedrevisjoner gjennomføres periodisk eller ved behov p.g.a endringer
i ytre omstendigheter.
Temahefte nr 2 kan brukes som mal for utvikling av overordnet sikkerhetspolicy.
Temahefte nr 3 kan brukes som mal for utarbeidelse av systemvise
sikkerhetspolicyer. Temahefte 5 er spesielt innrettet som støtte
for å formulere en ambisiøs måltilstand. Et planlagt Temahefte 6 vil være
spesielt rettet mot å organisere et kvalitetsorientert sikkerhetsarbeid, dvs å
integrere sikkerhetsarbeidet i eksisterende systemer for kvalitetssikring og
internkontroll.
En slik utviklingsprosess bør ikke iverksettes uten at organisasjonen og de
berørte ledelsesfunksjonene er "modne" for dette. Det vil derfor være av
aller største viktighet at ledelsen involveres direkte og aktivt i forprosjektfasen,
og at den resulterende tiltaksplanen legitimeres gjennom synlig og
reell støtte fra ledelsen.

Egne krefter og
ressurser må utnyttes
RAMMEVERK FOR OU
Sikkerhetsorganisasjonen
En sikkerhetsorganisasjon er en betegnelse på det organisatoriske
apparatet (mål, roller ansvar, oppgaver og beslutningsstruktur)
som forvalter og styrer arbeidet med sikker informasjonsbehandling.
Denne faste strukturen vil etablere og styre
en mer dynamisk, prosjektorientert og fleksibel organisering
av ulike aktiviteter og prosesser knyttet til en vedtatt utviklingsstrategi.
Sikkerhetsorganisasjonen må også koordinere
sine aktiviteter med andre planleggingsområder i virksomheten,
og dessuten etablere et hensiktsmessig samspill med systemer
og rutiner for kvalitetssikring og internkontroll.
Ressurssituasjonen og de formidable forventningene til helsesektoren tilsier
at arbeidet med informasjonssikkerhet ikke kan tildeles uendelige ressurser
eller gis uforbeholdne prioriteringer. Det er samtidig sikkert at informasjonssikkerheten
ikke kan bedres med penger og ressurser alene -
hensiktsmessig organisering vil være vel så viktig!
Det er like fullt viktig å holde fast ved at sikker informasjonsbehandling
er en investering som gir avkastning både for virksomheten, pasientene,
helsepersonellet, helsesektoren og samfunnet forøvrig. Det er derfor
mange grunner til å poengtere at arbeidet med sikker informasjonsbehandling
må integreres med kjerneaktivitetene og det generelle kvalitetssikringsarbeidet
i helseinstitusjonene, og at ansvar og gjennomføring av
dette bare i avgrenset grad kan overlates til eksterne krefter.
Den faste sikkerhetsorganisasjonen 19
Sikkerhetsarbeidet må drives av en fast og oversiktlig sikkerhetsorganisasjon
som garanterer for kontinuitet og stabilitet, men som samtidig ivaretar
et utviklingsansvar. Denne sikkerhetsorganisasjonens viktigste oppgaver
vil være å:
19 Den faste sikkerhetsorganisasjonen etableres f.eks i "Fase 1" i den overordnede sikkerhetsstrategien
vi skisserte i et foregående kapittel.
37
37
Kapittel

Figur Figur 10
10
Fase Fase 1
1
organisasjon
organisasjon
organisasjon 20
Ansvarsområder
SIKKERHETS-ORGANISASJONEN
1. Utvikle og forvalte de til enhver tid rådende policyer, strategier, strukturelle
tiltak og ansvarsområder, herunder driftsansvar for de etablerte
ordningene.
2. Drive frem arbeidet med å utvikle sikkerhetsmessig kompetanse og
sosioteknisk samspill, og styre strategiutviklingsprosessen
3. Drive frem og styre en kontinuerlig organiseringsprosess tilpasset strategiarbeidet
og endringsprosesser som planlegges gjennom dette.
38
38
Sikkerhetsutvalg (SU)
Avdelingsansvar Registeransvar
Virksomhetsansvarlig (Direktør)
Sikkerhetsansvarlig (SA)
BRUKERANSVAR
Ansvar for
“gjennomgripende”
systemer, f.eks PAS
IT-sikkerhetsansvar
Den faste sikkerhetsorganisasjonen er illustrert i figur 10 over. Den innebærer
at en sikkerhetsansvarlig (SA) har et overordnet ansvar og myndighet
på vegne av virksomhetsansvarlig (direktøren), og slik sett er overordnet
de ulike linjeansvarene. Med linjeansvar menes f.eks avdelingsansvar samt
ansvar for ulike "registre" og tverrgående systemer som f.eks journal(arkiv).
SA har i tillegg overordnet myndighet i forhold til et nærmere
bestemt ansvar for IT-sikkerheten. Informasjonsbrukernes ansvar må også
være formulert, og inngå som en del av det totale ansvarsbildet. Brukeransvaret
er underordnet de ulike linjeansvarene, men vil også kunne bli
konfrontert med det overordnede sikkerhetsansvaret, f.eks gjennom inspeksjoner
og kontroller.
Når det gjelder ansvaret for IT-sikkerheten må det gjøres en nøye grenseoppgang.
Det er en fordel hvis IT-ansvaret i sin alminnelighet er strukturert
f.eks m.h.t brukeransvar, systemeieransvar, systemforvaltning, drift
o.l. Ulike aspekter ved sikkerheten kan da ivaretas gjennom disse rollene.
Det er likevel nødvendig med et eget IT-sikkerhetsansvar, ikke minst som
20 Det presiseres at vi her snakker som større helsevirksomheter, f.eks sykehus.

Sikkerhetsutvalget har
flere funksjoner
Sikkerhetsansvarlig
Ressurser
Organisasjon vs
organisering
Kontinurlig
organiseringsprosess
SIKKERHETS-ORGANISASJONEN
bindeledd mellom sikkerhetsorganisasjonen og det mer generelle ITansvaret.
Sikkerhetsutvalget skal være bredt sammensatt og ha en rådgivende rolle
overfor SA. Det bør også ha en samordnende funksjon i forhold til andre
ansvarsområder, f.eks, IT-sjef, kvalitetssjef, HMS-sjef. I tillegg må sikkerhetsutvalget
ha en betydelig brukerrepresentasjon. Sikkerhetsutvalget
må være en arena for meningsbrytning og diskusjon, og ikke for sandpåstrøing.
I mange virksomheter vil det være et naturlig utgangspunkt å forankre
ledelsen av sikkerhetsorganisasjonen (SA) i helsefaglig, f.eks medisinsk
kompetanse knyttet til kjernevirksomheten. Den nødvendige autoriteten
for denne rollen kan skapes med hjelp av virksomhetens internkontrollsystem
(ved at roller, ansvarsområder, rapporteringsordninger, plikter og
sanksjonsmuligheter nedfelles i internkontrolldokumenter).
Bemanning av sikkerhetsorganisasjonen må i det vesentligste skje gjennom
å avsette kapasitet til nye ansvarsområder, gjennom eksisterende stillinger
og personell. Dette er også spesielt viktig med tanke på å sikre tilstrekkelige
ressurser i forhold til forprosjekt/etableringsprosjekt.
Denne faste sikkerhetsorganisasjonen kan knyttes til "fase 1" i en overordnet
sikkerhetsstrategi, jfr kap 5. Hovedoppgaven er å etablere klare
ansvar og roller, og gi disse den nødvendige autoritet og legitimitet.
Læringsorientert organisering
En fast sikkerhetsorganisasjon etablert i en innstrammingsfase, bør så
snart som mulig begynne et utviklingsarbeid i retning av mer kvalitetsorienterte
arbeidsformer. En slik sikkerhetsorganisasjonen er nært knyttet til
fase 2 og 3 i den overordnede sikkerhetsstrategien foreslått i kap. 5.
Det vil da bli nødvendig å skille klart mellom sikkerhetsorganisasjon og sikkerhetsorganisering
. Sistnevnte springer ut fra den faste sikkerhetsorganisasjonen,
og ivaretar spesielle oppgaver i strategi- og endringsarbeidet.
Gjennom sikkerhetsorganiseringen drar man nye aktører aktivt inn i sikkerhetsarbeidet,
da gjerne på prosjektbasis.
Den sikkerhetsmessige organiseringen er spesielt viktig med tanke på
etablering av kontinuerlig forbedringsprosesser, som må baseres på et
nettverk av kompetente og interesserte informasjonsbrukere. Disse etablerer
arenaer og prosesser som både kan utføre og effektivisere planlagt
endring, men også skape ny innsikt som kan resultere i autonom endring
og forbedring. En slik organisering er ikke statisk, og vi snakker egentlig
om kontinuerlig organiseringsprosess 21.
21 Et forslag til konkretisering av denne organiseringsprosessen finnes i Temahefte 5.
39
39

Samordning
Figur Figur Figur 11
11
Fase Fase 2 2 organisering
organisering
SIKKERHETS-ORGANISASJONEN
En spesielt viktig oppgave i dette kan være å organisere effektiv utnyttelse
(metodisk, ressursmessig) av etablerte kvalitetssystemer og internkontrollsystemer
i virksomheten 22.
Figur 11 under illustrerer at den løpende sikkerhetsorganiseringen er underlagt
den faste sikkerhetsorganisasjonen, at etablerte kvalitetssystemer
kan inngå i eller understøtte organiseringen av forbedringsprosesser, og
dessuten at et etablert internkontrollsystem kan brukes til å påse at sikkerhetsarbeidet
gjennomføres i.h.t vedtatte planer og intensjoner
Merk dessuten at gjennom en slik utvikling vil sikkerhetsarbeidet gradvis
bevege seg fra et kontrollperspektiv til et atferds- og læringsperspektiv, jfr
forslaget til overordnet sikkerhetsstrategi i kap 5.
40
40
FAST
SIKKERHETS-
ORGANISASJON
(etablert i Fase 1)
ORGANISERING
AV
ENDRINGSARBEID
INTERNKONTROLL
SYSTEMER FOR
KVALITETSSIKRING
På vei mot "informasjonsbedriften"
På noe lengre sikt bør det være et mål å utvikle arbeidet med sikker informasjonsbehandling
så langt at sikkerhetskravene er forankret i en solid
forståelse av arbeidsprosessene (informasjonsprosessene) i virksomheten,
og i en helhetlig IT-strategi. Dette krever at sikkerhetsarbeidet og sikkerhetsorganisasjonen
forankres i en overordnet struktur som har et overordnet
ansvar for informasjonsprosessene. Dette overordnede ansvaret
kan ikke løsrives eller ses isolert fra ansvaret for kjerneprosessene i virksomheten.
22 Dette vil bli konkretisert og utdypet i (et planlagt) Temahefte 6

Figur Figur Figur 12 12 Sikkerhet Sikkerhet i i
i
informasjons-
informasjons
bedriften
bedriften
SIKKERHETS-ORGANISASJONEN
Et slikt overordnet ansvar eksisterer ikke i særlig grad i helseinstitusjonene
i dag. Vi mener likevel at innføring slike ansvar og strukturer vil være
avgjørende for helsevirksomhetenes evne til å få full uttelling for informasjonsteknologien
i sin alminnelighet 23, og vil derfor avslutningsvis antyde
hvordan sikkerhetsorganisasjonen vil kunne forholde seg til dette.
En slik overordnet struktur 24 må være like mye orientert mot problemåpning
som mot problemløsning, og må knyttes nært opp til virksomhetsplanleggingen
i sin fulle bredde. Sikkerhetsorganisasjonen bør likevel bestå etter
det mønster vi har beskrevet i det foregående. En sentral del av den nye
strukturen må være å etablere et "nettverk" eller møteplass, der f.eks sikkerhetsansvarlig,
IT-sjef, HMS-sjef, kvalitetssjef, m.fl samarbeider og koordinerer
sine aktiviteter m.h.t sikker informasjonsbehandling, ITstrategi,
informasjonsressursforvaltning (IRF) m.m. I tillegg må brukerne
(helsepersonellet) ha en betydelig representasjon i denne strukturen.
En slik overordnet struktur må ha en koordinerende funksjon og virkemåte
i virksomheten, men må også innebære et klart definert ansvar på
vegne av og overfor virksomhetsansvarlig (direktør). Innføring av en slik
overordnet struktur vil da kunne innebære at SA ikke lenger rapporter til
virksomhetsansvarlig, men til den ansvarlige for "informasjonsprosessene".
Dette er forsøkt illustrert i figur 12.
41
41
DIREKTØR
SA
Sikkerhetsorganisasjon
og organisering
IRF
ansvar
Ansvarlig for
“informasjonsprosesser”,
“informasjonsstrategi”
Kvalitets
ansvar
HMS
ansvar
IT
ansvar
En strategisk og organisatorisk utvikling av arbeidet med sikker informasjonsbehandling
som vi har skissert i dette temaheftet ville ideelt sett ha
størst (og mest umiddelbar) virkning i en allerede etablert "informasjonsbedrift"
som skissert i figur 12 ovenfor. De aller fleste helsevirksomheter
oppfyller imidlertid ikke kriteriene for denne - ennå!
23 Se også KITHs "Håndbok for IT-strategi".
24 "Avdeling for informasjonsprosesser" ?

SIKKERHETS-ORGANISASJONEN
Vi mener imidlertid at en sikkerhetsorientert OU-prosess uansett kan forsvares.
En slik prosess vil kunne påskynde utviklingen av f.eks både informasjonsmessig
infrastruktur (infostruktur) og IT-strategi. Vår ærbødige
påstand er derfor at sikker informasjonsbehandling er en forutsetning for
"informasjonsbedriften". Gjennomføring av utviklingsprosesser for sikker
informasjonsbehandling vil derfor fremme og påskynde fremveksten av
slike organisasjoner i helsesektoren.
42
42