Sussa samverkan påbörjade 2016 en upphandling för ett vårdinformationssystem som skulle börja användas flera år senare i en värld med förändrad hotbild, lagstiftning och medvetenhet om informationssäkerhet.

Upphandling av informationssäkerhet ställer speciella krav av två skäl. Dels finns en stor mängd lagkrav som skall uppfyllas och dels är det ett område där omvärlden förändras i hög takt. Vi fick hantera krav från upphandlingen som visade sig inaktuella redan vid acceptanstest och vi håller på att hantera förändrad lagstiftning (NIS2) som börjar tillämpas mitt under vår driftstart. Utöver detta förändras Sveriges säkerhetssituation på ett sätt som inte gick att förutse 2016. Vi skickar med några erfarenheter till er som skall göra framtida upphandlingar.

Moderna vårdinformationssystem är mycket stora och projekten för att införa dem blir av naturliga skäl stora och långa. Informationssäkerhet och dataskydd är två av flertalet områden som behöver omhändertas. Båda ses ibland som perifera i förhållande till de direkta behoven från vårdverksamheten. Ledningens intresse på både kund- och leverantörssidan var initialt i vårt projekt inte där det borde vara men det har förändrats och säkerhetsarbetet följs nu upp från högsta nivå. Vi går in på betydelsen av ledningens engagemang.

Juridiken kring vårdinformationssystem är komplex. Sussas situation blir ytterligare komplicerad då ambitionen är att vi ska agera som en enda kund mot leverantören, samtidigt som alla våra nio regioner har det faktiska juridiska ansvaret. Detta tillsammans med att samverkan i sig tar sin tid har varit utmanande. Vi beskriver de juridiska utmaningarna och hur vi tänker kring dem.

Slutligen vill vi också dela med oss av lärdomar från den stora förmånen vi har i Sussa, vi kan samla kompetens från nio regioner och dela den. I hela samhället råder en brist på informationssäkerhetskompetens och våra regioner är inte undantagna, men tillsammans blir vi starka, även när det gäller informationssäkerhet.