Informasjonssikkerhetsledelse og klinisk arbeidsflyt i helsesektoren : en case-studie ved Sørlandet sykehus HF (SSHF)

Abstract

Masteroppgavenomhandlerinformasjonssikkerhet og informasjonssikkerhetsledelse(ISM)i en kontekst av helsesektoren, med problemstilling:“Konflikter mellom informasjonssikkerhetsledelseog arbeidsflyt i norsk helsesektor”.Bakgrunn og motivasjon for oppgaven varinnledningsvisbasertpå interesse for feltet informasjonssikkerhet.Det ønsket vi åforske på gjennom helsesektoren, ettersom dette er enåpenbarsamfunnskritiskfunksjon med svært sensitive persondatasom må beskyttes. Dette førte videre til at vikontaktet Sørlandet sykehus Helseforetak (SSHF) med forespørsel om å foretadatainnsamling.Denne masterutredningen omtales derforsom en case-studie ved SSHF.Denne studienavgrenses til informasjonssikkerhetsledelse i norsk offentlig helsesektor hvor viutelukkende samler data ved SSHF sominstans. Innenfor instansen har vi igjen avgrenset oss til å samle data ved to avdelinger, henholdsvis avdeling for teknologi og e-helse (TEH), samtintensiv enhet(IE). I sammenheng med kvalitativt intervju består respondentene avsentrale ledere ved TEH oget utvalg helsepersonell fra IE v/Kristiansand. Forskningsstrategien vår har bestått av det vi kaller kombinerte metoder;ien kombinasjon av kvalitativ og kvantitativ forskningsmetodikk. Vi har vurdert det som hensiktsmessig å først legge et empirisk grunnlag gjennom kvalitativ datainnsamling under intervjuer og dokumentasjon, for så å deretter kunne samle inn mer beviselige kvantitative data gjennom et anonymt spørreskjema. Til utforming av spørreundersøkelse og distribuering av spørreskjema har vi brukt SurveyXact. Under datainnsamling forforskningslitteratur har vi utarbeideten egen litteraturstudie som har somen del avinnledende forskning til masteroppgaven. I denne litteraturstudien fokuserte vi på å innhente teori fra empiriske studier, fagfellevurderte forskningsartikler og anerkjente tidsskrifter innenfagfeltetinformasjonssystemer, med fokus på informasjonssikkerhetsledelse i helsesektor.Vi utarbeideten konseptmatrise med fokus på arbeidsflyt, samt hvilke praksiser for informasjonssikkerhet organisasjoner følger, med fokus på formell, uformell og teknisk sikkerhetspraksis. Herunder var opplæring av ansatte, formelle retningslinjer, kultur, tillit, EPJ-systemer og tilgangsstyring de underliggende konseptene vi valgte å fokusere på i litteraturen.Vi fikk tidlige indikasjoner gjennom forskningslitteraturog forstudier på at blant annettilgangsstyring og autentisering kan være en viktig faktor, som deriblant kan føre til interessekonflikter mellom hensyn tilinformasjonssikkerheten og arbeidsflyten til de ansatte. Somartikkelen«The authentication dilemma» av Wiercioch, Teufel & Teufel (2018)påpeker: «Several studies have shown that users consciously refrain from using security measures because they rate practicability higher than security[...]From a user's perspective, the cost of strong passwords outweighs the potential benefits or protection from potential attack»(Wiercioch, Teufel & Teufel, 2018, s. 278).Et av våre hovedfunn bygger på at det foreligger 96 % enighet om at det er mer positivt enn negativt med elektronisk rapportering, både for behandling av pasient og sikring av pasientdata. På grunnlag av dette kan vi med høy sannsynlighet konkludere at EPJ-systemet er kommet for å bli i organisasjonen, og at «DIPS» gjør en god jobb med å understøtte klinikernes arbeidsprosesser. Videre viser resultater fra undersøkelsen til 78 % enighet om at responstiden for arbeidsstasjoner i mer eller mindre grad er iiidårlig. Respons fra intervjuer med klinikere indikerer at arbeidsstasjonene med dårlig responstid opptar store deler av arbeidsdagen for enkelte.Resultatene fra spørreundersøkelsen viser at 65 % av respondentene opplever at de må logge ut andre fra EPJ-systemene flere ganger i uken, mens 85 % av respondentene opplever å måtte logge ut andre fra arbeidsstasjoner flere ganger i uken. Majoriteten av klinikere i undersøkelsen er fornøyd med kvaliteten på opplæringen innen informasjonssikkerhet. Utredningenhar som formål åbidra med å fylle et tomrom innen forskingslitteraturen når det kommer tilforvaltning av teknologi ogsikring av informasjoni helsesektor.