Handlingar till mötet i Vänersborg med regionfullmäktige för Västra Götalandsregionen. 14 maj 2013

Transkript

1 Handlingar till mötet i Vänersborg med regionfullmäktige för Västra Götalandsregionen 14 maj 2013

2 Föredragningslista Sammanträdesdatum Regionfullmäktige Sammanträde med regionfullmäktige för Västra Götalandsregionen i sessionssalen, Kommunhuset, Sundsgatan 29, Vänersborg, tisdagen den 14 maj 2013 kl OBS ny tid! Kl Utdelning av Människorättstipendiet 2013 Kl Sammanträdets öppnande 2. Förrättande av upprop samt anmälan om tjänstgörande ersättare 3. Tidpunkt för protokollets justering 4. Val av 2 ledamöter och 1 ersättare (V) att jämte ordföranden justera dagens protokoll 5. Avsägelser och anmälan av nyvalda i regionfullmäktige Dnr RS Frågestund Dnr RS Interpellationer - Heikki Klaavuniemi (SD) om medicinska risker vid släktäktenskap Dnr RS Regional strategi för säkerhetsarbetet i Västra Götalandsregionen Dnr RS Skrivelse till regeringen om beteckningen REGIONFULLMÄKTIGE på valsedlar Dnr RS Motion av Conny Brännberg (KD) om kulturupplevelser för regionens unga Dnr RS POSTADRESS: Regionens hus Vänersborg BESÖKSADRESS: Residenset, Torget TELEFON vx: HEMSIDA: E-POST: regionstyrelsen@vgregion.se

3 11. Motion av Martin Andréasson (M) om ny informationsmiljö i hälso- och sjukvården Dnr RS Motion av Marith Hesse (M) om tydligare samarbete mellan BVC och förskolor Dnr RS Motion av Heikki Klaavuniemi (SD) om kompetenscentrum mot hedersrelaterat våld och förtryck Dnr RS Anmälan av inkomna motioner 15. Anmälningsärenden Dnr RS Valärenden (utdelas vid mötet) Valberedningens förslag till val Dnr RS Ev. fortsättning interpellationer Vänersborg den 29 april 2013 Kjell Nordström Ordförande Samtliga handlingar och beslutsförslag i ovan kungjorda ärenden finns tillgängliga på Regionkansliet, Residenset, Vänersborg, tel

4 Regionfullmäktige Preliminärt program för regionfullmäktiges sammanträde tisdagen den 14 maj 2013 i Vänersborg Tisdagen den 14 maj Tid Program Kaffe och samling/gruppmöte Plenum Gemensam lunch på Folkets Hus (Kungsgatan 15) Vänersborg Utdelning av människorättsstipendium Plenum Något avbrott för gemensam kafferast kommer inte att göras. Däremot finns eftermiddagskaffe i foajén mellan kl OBS! Ingen förtäring i sessionssalen (detta på grund av att om man välter dricka/kaffe kan det slå ut hela elektroniska systemet). Lokaler för partigruppmöte: Nedanstående lokaler i Kommunhuset Vänersborg är bokade för partigruppmöten: S-gruppen lokal 119 M-gruppen MP-gruppen FP-gruppen V-gruppen SD-gruppen lokal 177 D (del av caféterian) lokal 373, plan 3, korridor C lokal 225, plan 2, trapphuset Ovala rummet, plan 3, korridor C lokal 214, plan 2, korridor A C-gruppen lokal 212, plan 2 KD-gruppen lokal 367, plan 3, korridor C

5 Ärende 7

6 Interpellation till Regionfullmäktige Västra Götalandsregionen Medicinska risker vid släktäktenskap. I Sverige är ämnet om de medicinska riskerna vid släktäktenskap mycket känsligt. Det är dåligt med kunskap och information om detta både i samhället i stort och inom sjukvårdsupplysningen. Studier som gjorts ibland annat England och även i vårt grannland Norge, genom det norska folkhälsoinstitutet, visar tydligt att det finns starkt ökade risker för att barnet föds med genetiska missbildningar och sjukdomar samt ökat antal missfall sker. I England konstaterade en barnläkare vid namn Peter Corry redan 1998 en tydlig sådan effekt av kusingifte i Bradford. Peter Corry s arbete och studier har resulterat i att det finns belägg för att det finns ett samband mellan kusingifte och fosterskador. Uppdrag granskning tog upp att kusinäktenskap ger ökad risk för genetiska skador i ett program 18:e Mars 2009, trots det reagerade inte samhället och frågan har inte aktualiserats ytterligare efter det. Den medicinska personalen i Norge, och England är inte rädda att ta upp frågan, trots att frågan ibland kan upplevas som känslig. Sedan mitten av 1800 talet har kusinäktenskap varit lagligt i Sverige och successivt har medvetenheten om riskerna vid kusinäktenskap försvunnit. Det har inte varit så vanligt i Sverige att gifta sig med en kusin och skaffa barn. Men denna trend har vänts och man bör kanske börja informera om riskerna. Mina frågor till HSU ordförande Helén Eliasson är: Vad vet HSU om de medicinska riskerna när kusiner får barn? Hur kan vi bäst förebygga dessa risker? Hur informerar sjukvården i Västra Götalandsregionen om de ökade riskerna för genetiska skador vid kusinäktenskap. Anser du att VGR borde informera ungdomar och blivande föräldrar om riskerna? Heikki Klaavuniemi (SD)

7 Ärende 8

8

9

10

11

12 1(15) Regionkansliet Jan S Svensson Dnr: RS ver. 1.0 Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Regionstyrelsen Innehåll 1. Inledning 2. Utgångspunkter för strategin 2.1. Vision och säkerhetspolicy för säkerhetsarbetet 2.2. Helhetssyn på säkerhetsarbetet 2.3. Säkerhetsprocessen Före Under Efter 2.4. Säkerhetskultur 3. Viktiga säkerhetsfrågor 3.1. Patientsäkerhet 3.2. Krishanteringsförmåga 3.3. Informationssäkerhet Administrativ säkerhet Teknisk säkerhet 3.4. Egendomsskydd 3.5. Ansvar för avtal med extern part 3.6. Fyra utmaningar 4. Sju strategiska mål med styr och måltal Mål 1 Förebyggande arbete inkl klassificering av lokaler Mål 2 Säkerhetsarbete är en ledningsfråga Mål 3 Västfastigheter och fastighetsbunden säkerhet Mål 4 Regionservice och administrativa säkerhetstjänster Mål 5 Risk och krishantering och handlingsplaner Mål 6 Säkerhetskultur och personsäkerhet Mål 7 Rätt och riktig information i rätt tid

13 2(15) 1. Inledning Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter för perioden bygger på utgångspunkter som också är relevanta 2 för perioden Denna uppdaterade regionala strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter är anpassad till senare års lagstiftning 3, föreskrifter från Socialstyrelsen 4 och föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB) 5. I strategin finns som tidigare exempel på aktiviteter och framgångsfaktorer som leder mot sju strategiska mål eller målområden i enlighet med regionens säkerhetspolicy. Till dessa sju målområden finns styr- och måltal som följs upp och redovisas årligen till regionstyrelsen. Strategin är utformad i samverkan med verksamhetsföreträdare och ska vara ett stöd till verksamheter och deras säkerhetsarbete. Utifrån uppställda målområden i säkerhetspolicy beskriver strategin vägen och hur säkerhetsarbetet i regionens verksamheter är tänkt att fungera och bedrivas under perioden Strategin är uppbyggd i två delar. Den första delen, kapitel 1-3, är beskrivande och innehåller avsnitt kring vision, utgångspunkter för strategin, patientsäkerhet, informationssäkerhet, risk- och sårbarhetsanalys och innebörden av säkerhetsprocessen. Den andra delen består av kapitel 4 och innehåller 7 strategiska mål eller målområden med aktiviteter, framgångsfaktorer samt 10 st styr- och måltal. I fortsättningen benämns Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter enbart med begreppet Strategin. När begreppet verksamhet används avses både förvaltning och verksamhet. Med begreppen Västra Götalandsregionen eller regionen avses alltid organisationen. 2. Utgångspunkter för strategin 2.1. Vision och säkerhetspolicy för säkerhetsarbetet Vision och säkerhetspolicy innebär att patienter, studerande, besökande, förtroendevalda, och personal ska vara trygga i regionens lokaler och verksamheter. Människor, egendom och miljö skall på bästa sätt skyddas mot hot och faror som kan innebära olyckor, skador eller förluster. Strategin är en beskrivning av hur säkerhetsarbetet är tänkt att fungera och bedrivas under perioden och samtidigt utgöra en utgångspunkt för den årliga uppföljningen av säkerhetsarbetet och säkerhetsläget i regionens verksamheter Helhetssyn på säkerhetsarbetet Helhetssyn på säkerhetsarbetet innebär en förståelse för att säkerhetsfrågor skär igenom alla verksamhetsområden och påverkar verksamhetsplaneringen. Säkerheten och kvaliteten i 1 Regional strategi för säkerhetsarbetet i Västra Götalandsregionen , dnr RSK , RS och RF inkl prolongering för Lag (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap, Lag (2003:778) om skydd mot olyckor och Säkerhetsskyddslag, SFS 1996:627 3 Patientdatalagen (2008:355), Patientsäkerhetslagen (2010:659) 4 Användning av medicintekniska produkter i hälso- och sjukvården, Socialstyrelsens föreskrifter SOSFS 2008:1 och Informationshantering och journalföring i hälso- och sjukvården, Socialstyrelsens föreskrifter SOSFS 2008:14 och Ledningssystem för systematiskt kvalitetsarbete, Socialstyrelsens föreskrifter SOSFS 2011:9 (ersätter 2005:12) Socialstyrelsens publikation God vård - om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården ISBN: , 5 MSB (Myndigheten för samhällsskydd och beredskap) föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser, MSBFS 2010:6, beslut den 28 september 2010

14 3(15) verksamheternas kärnprocesser är beroende av kvaliteten i regionövergripande service och support från de specialiserade förvaltningarna. Dessa förvaltningar som driftorganisation för IT, Regionservice och Västfastigheter måste vara tydliga i ansvar och vem som gör vad i en verksamhet. Ett bra säkerhetsarbete bygger på att service och support fungerar tillsammans med verksamheternas krav på hur säkerhetsarbetet ska bedrivas. Förutsättningarna för säkerhetsarbetet i Västra Götalandsregionens verksamheter regleras i regiongemensamma dokument som Informationssäkerhetspolicy (2000), Reglemente för informationssäkerhet (2002), Säkerhetspolicy (2008), Ramverk och riktlinjer för säkerhetsarbetet (2008), Säkerhetsstrategi (2008) och Riktlinjer för informationssäkerhet (2009). Till detta kommer anvisningar och instruktioner som fastställts av regiondirektör eller säkerhetsdirektör. På förvaltningsnivå kan det finnas verksamhetsspecifika föreskrifter och instruktioner inom ramen för de regiongemensamma dokumenten Säkerhetsprocessen En ledstjärna för säkerhetsarbetet är ett enhetligt arbetssätt vilket innebär en säkerhetsprocess där säkerhetsarbetet bedrivs i perspektiven före, under och efter en kris eller oönskad händelse. Risk- och sårbarhetsanalyser (RSA) används för att identifiera tänkbara oönskade händelser, bedöma sannolikheten att det ska hända och vilka konsekvenser det kan få om det händer igen. Att registrera avvikelser från det normala, oavsett om dessa kallas allvarliga händelser, tillbud eller incidenter, är centralt i det systematiska säkerhetsarbetet. Se illustration av säkerhetsprocessen, bild 1. SÄKERHETSPROCESS i VGR FÖRE UNDER EFTER Förebyggande/förberedande Akut avhjälpande Lärande/återuppbyggnad Oönskad händelse Förebyggande Riskanalys Riskvärdering Riskreduktion/kontroll Vardagsolycka Ev. åtgärd Avvikelserapport Allvarlig händelse Åtgärda det akuta läget Avvikelserapport Statistikbearbetning Analys av data Återkoppling Orsaksanalys Analys Åtgärd/återkoppling Förberedande Åtg. för att förbereda effektiv insats Utveckla planer Organisera krishanteringsgrupp Övning Kris / Extraordinär händelse Aktivera operativ plan Bedöm läget Aktivera kommunikationsplan Avvecklande/återuppbyggnad Återgång till normal verksamhet Upprätthåll kommunikation Stöd för anställda Utvärdera och dra lärdom Bild 1 Illustration av säkerhetsprocessen i VGR

15 4(15) 2.4. Säkerhetskultur För allt säkerhetsarbete och utveckling av säkerhetsarbetet är förändring av säkerhetskulturen en av de viktigaste säkerhetsfrågorna. Utveckling av säkerhetskulturen handlar om utbildning och att göra personalen medveten om risker. Säkerhetskulturen påverkas av enskilda medarbetares värderingar och beteenden samt de formella och informella regler som finns i organisationen. En god säkerhetskultur innebär ett lärande av fel och misstag. Fokus är att identifiera hur det är, hur vi kan förbättra säkerheten och hur vi förhindra att inträffade oönskade händelser inträffar igen. En god säkerhetskultur innebär att säkerhetsfrågor är en självklar del i det dagliga arbetet och en självklar del i ledningens arbete. Det råder god säkerhetskultur när alla anställda har kunskap och förståelse för risker och dess konsekvenser i den egna verksamheten. En god säkerhetskultur bidrar till ökad förmåga att hantera oönskade händelser som ändå inträffar. Nyckelord i en god säkerhetskultur är flexibilitet, rättvisa, attityder, beteenden, kommunikation, riskmedvetande, dialog, utbildning, transparens och goda arbetsförhållanden. En god säkerhetskultur handlar om att alltid rapportera när något blivit fel En god säkerhetskultur handlar om organisationens och den enskildes förmåga att lära av fel, misstag och av oönskade händelser som inträffat Ett sätt att förbättra säkerhetskulturen är att mäta den, vidta åtgärder och mäta den igen. 3. Viktiga säkerhetsfrågor Utgångspunkt för Västra Götalandsregionens säkerhetsarbete är skydd av personal, skydd av egendom och skydd av information. Patienter, resenärer, besökare, studerande, förtroendevalda och personal ska känna sig trygga och säkra i regionens lokaler och verksamheter 6. Ett systematiskt säkerhetsarbete som leder till ökad säkerhet kräver kompetent och välutbildad personal. Systematiska utbildningsinsatser är viktigt vad gäller hot och våld, brandsäkerhet m.m. inte då bara till personal utan också till de förtroendevalda Patientsäkerhet För sjukvården är arbetet med patientsäkerhet centralt och en nolltolerans 7 för vårdrelaterade skador gäller. I egenskap av vårdgivare upprättar Västra Götalandsregionen årligen en samlad patientsäkerhetsberättelse utifrån bestämmelserna i patientsäkerhetslagen 8 och Socialstyrelsens föreskrift kring Ledningssystem för systematiskt kvalitetsarbete. 9 Syftena med patientsäkerhetsberättelsen är att förstärka vårdgivarens kontroll över patientsäkerhetsarbetet, att underlätta Socialstyrelsens tillsyn över verksamheten samt att tillgodose informationsbehovet hos andra intressenter, exempelvis allmänhet, patienter och patientorganisationer. Regionens samlade patientsäkerhetsberättelse är en sammanfattning av patientsäkerhetsberättelser som upprättas av regionens utförarförvaltningar inom hälso- och sjukvård. I patientsäkerhetsberättelsen redovisas bland annat antal inträffade vårdskador, antal tillfällen när vårdskada kunnat inträffa och aktiviteter för ökad patientsäkerhet. Av patientsäkerhetsberättelsen framgår även hur många händelser som har utretts enligt patientsäkerhetslagen, hur många vårdskador som har bedömts som allvarliga, antal inkomna ärenden till patientnämnderna och hur patientsäkerhetsarbetet i övrigt bedrivs. 6 I enlighet med Policy för säkerhetsarbete i Västra Götalandsregionen , dnr RSK , RS , 33, RF Västra Götalandsregionens budget för 2012, sid 23 8 Patientsäkerhetslagen (2010:659) 3 kap 10 9 Ledningssystem för systematiskt kvalitetsarbete, SOSFS 2011:9 7 kap 2

16 5(15) När det gäller samverkan mellan säkerhetsfrågor och frågor kring patientsäkerhet är strävan att föra samman de mer allmänna säkerhetsfrågorna med det som av tradition betraktats om patientsäkerhetsfrågor även om det inte handlar om medicinsk säkerhet. Det står idag klart att brister inom t.ex. IT-säkerhet, brandskydd, mediaförsörjning i högsta grad även påverkar patientsäkerheten och därför ska dessa områden beaktas integrerat med medicintekniska produkter Krishanteringsförmåga Föreskrift MSBFS 2010:6 från MSB reglerar vad, hur och när regionen ska redovisa risk- och sårbarhetsanalyser (RSA) till MSB. Regionens krishanteringsförmåga ska bedömas utifrån genomförda RSA, genomförda åtgärder inför och vid extraordinära händelser. Utgångspunkten är definitionen av en extraordinär händelse som är;... en sådan händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av en kommun eller ett landsting. 10 Att genomföra RSA är inget mål i sig utan ett medel att identifiera brister och svagheter för att kunna genomföra lämpliga åtgärder och ökar förmågan att driva verksamheten vidare på ett säkert sätt när oönskade händelser inträffar. En utgångspunkt för regionens samlade säkerhetsbedömning är resultat från verksamheternas genomförda RSA kring risker som kan leda till en extraordinär händelse, indikatorer på krishanteringsförmåga och förmåga att motstå allvarliga störningar. Regionkansliet redovisar årligen regionens samlade säkerhetsarbete, säkerhetsläge, krishanteringsförmåga, person- och informationssäkerhetsarbete till regionstyrelsen och lämna rapport vidare till Länsstyrelsen, Socialstyrelsen och MSB Informationssäkerhet Arbetet med informationssäkerhet kräver samverkan mellan olika kompetenser och engagemang från ledning, informationsägare, systemägare, IS/IT-ansvariga, och alla medarbetare. Mål för arbetet med informationssäkerhet är att säkerställa att information i alla dess former, att den finns tillgänglig när den behövs (tillgänglighet), att den är korrekt (riktighet), att obehöriga inte kan få tillgång till den (konfidentialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet). För att nå målen krävs systematiska åtgärder inom områdena administrativ säkerhet och teknisk säkerhet. Begreppet informationssäkerhet i ett åtgärdsperspektiv illustreras i bild 2. informationssäkerhet administrativ säkerhet teknisk säkerhet policy & ramverk rutiner fysisk säkerhet IT-säkerhet övervakning & kontroll revision & uppföljning datasäkerhet kommunikationssäkerhet Bild 2 Illustration av begreppet informationssäkerhet i ett åtgärdsperspektiv 10 Lag (2006:544) om kommuners och landstingsåtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap.

17 6(15) Administrativ säkerhet Administrativ säkerhet omfattar organisation, roller och ansvar samt krav på rutiner och processer. Detta inbegriper hur styrning och uppföljning av informationssäkerheten ska ske; hur ansvar ska fördelas; hur åtkomst till informationen ska regleras; hur rutinerna ska utformas och hur arbetet ska utföras och följas upp. Administrativ säkerhet handlar också om att regionen som demokratiskt styrd organisation inte bara ska följa de lagar som gäller inom det administrativa området utan också stå för öppenhet och transparens för att värna vår demokrati och rätt till yttrandefrihet Teknisk säkerhet Teknisk säkerhet handlar om fysisk säkerhet och IT-säkerhet och omfattar krav på tekniska skyddsåtgärder för informationen och omfattar bl.a. brandskydd, redundans i datahallar och databaser, virusskydd, krypteringsfunktion, övervaktning av kommunikation. Fysisk säkerhet hanteras i huvudsak av Västfastigheter i samverkan med verksamheter och syftar till att skydda den fysiska miljön där information och kommunikationsutrustning finns. Utgångspunkter för den fysiska säkerheten är att förhindra intrång, fördröja intrång och upptäcka intrång. IT-säkerhet ska hanteras av IS/IT- och säkerhetsorganisation i samverkan med verksamheter som kravställer och omfattar åtgärder för att skydda skyddsvärd information i våra system och åtgärder för säker kommunikation och lagring av skyddsvärd information. IT-säkerheten har direkt koppling till patientsäkerheten. I regionen finns ingen strategi för IT-säkerhet. För att stärka IT-säkerheten behövs en särskild IT-säkerhetsstrategi i form av en plan med förslag åtgärder på kort och lång sikt som skyddar vår IT-miljö mot dataintrång och skadlig kod Egendomsskydd En åtgärd för att förhindra rån, stölder och hot är att införa kontantlös kassahantering vilket bör eftersträvas inom regionens verksamheter Ansvar för avtal med extern part Säkerhetskrav ska anges vid upphandling av varor och tjänster och när avtal träffas med leverantörer av varor och tjänster. Den som ingår avtal med extern part ansvarar för att risker relaterade till uppdraget analyseras, att kraven på riskhantering och säkerhet specificeras i avtal och att uppföljning av avtalade skyddsåtgärder genomförs Fyra utmaningar under strategiperioden Att höja IT-säkerheten Att under strategiperioden hantera risker som uppstår när gränserna mellan administrativa IT-system och vårdens informationssystem (som per definition är medicintekniska produkter 11) håller på att suddas ut. Det finns ökade risker när IT-baserade system inte kan kommunicera patientinformation på ett säkert sätt vilket rör patientsäkerheten. Detta är en ledningsfråga. Det finns risker med att integrera vårdsystem, kontrollsystem och 11 Läkemedelsverket, Medicinska informationssystem vägledning för kvalificering och klassificering av programvaror med medicinskt syfte och SOSFS 2008:1 Användning av medicintekniska produkter i hälso- och sjukvården

18 7(15) administrativa system. Gränserna mellan olika IT-baserade system eller SCADA-områden 12 inom sjukvården måste vara tydlig. Att identifiera rutiner/processer som kan automatiseras i perspektiven övervakning, styrning, ledning, beslutsstöd, kontroll, och analys i syfte att öka IT-säkerheten, tryggheten för personal, patienter, elever, besökare, kunder och resenärer. En automatisk process kan exempelvis vara att identifiera intrång i våra nät, effektivisera el- och värmeförbrukning m.m. Att hantera problemet att mindre verksamheter har svårt att upprätthålla kompetens och resurser för att identifiera och formulera sina säkerhetskrav. En problematik för dessa verksamheter är att införa relevanta säkerhetsåtgärder i sin verksamhet, vilket även kan vara fallet för verksamheter med stor geografisk spridning. En lösning kan vara att Regionservice erbjuder enhetliga administrativa säkerhetstjänster. Lämpligen samlas dessa tjänster i något som kan benämnas trygghetscentral och samordnas med exempelvis telefonväxel osv. 12 SCADA = Supervisory, Control and Data Acquisition, MSB, Vägledning till ökad säkerhet i industriella kontrollsystem, ISBN:

19 8(15) 4. Sju strategiska mål med styr- och måltal Regionen har sju strategiska mål för säkerhetsarbetet i regionens verksamheter. De strategiska målen visar vägen mot ökad säkerhet och högre säkerhetsnivå i regionens verksamheter. Till vart och ett av de strategiska målen finns kopplade framgångsfaktorer, aktiviteter, styr- och måltal enligt följande. Framgångsfaktorer för respektive mål beskriver förhållanden som underlättar att nå de strategiska målen. Aktiviteter för respektive mål beskriver vad som bör och kan göras för att nå de strategiska målen. Styr- och måltal för respektive strategiskt mål är utgångspunkt för årlig uppföljning och redovisning till regionstyrelsen. Styr- och måltal på verksamhetsnivå är en fråga för styrelsers, nämnders och bolags handlingsplaner. Mål 1 Förebyggande arbete inkl klassificering av lokaler Mål 2 Säkerhetsarbete är en ledningsfråga Mål 3 Västfastigheter och fastighetsbunden säkerhet Mål 4 Regionservice och administrativa säkerhetstjänster Mål 5 Risk- och krishantering och handlingsplaner Mål 6 Säkerhetskultur och personsäkerhet Mål 7 Rätt och riktig information i rätt tid Mål 1 Att förebygga mänskligt lidande, skador, skadeverkningar och kostnader förorsakade av förluster, kriser och oönskade händelser samt att Västra Götalandsregionens egna och externt hyrda lokaler säkerhetsklassificeras av verksamhet enligt modell som Västfastigheter tillhandahåller Framgångsfaktorer för Mål 1 1. Nämnd/styrelse är ansvarig för att: a. incidenter, inträffade skador och risker för skador rapporteras, analyseras och dokumenteras på ett systematiskt sätt samt att relevanta åtgärder genomförs i verksamhet b. verksamhet definierar skyddsvärden/kritiska funktioner/risker i lokaler som hyrs av Västfastigheter eller i externt hyrda lokaler c. förvaltningschef/vd löpande redovisar till nämnd/styrelse verksamhetens säkerhetsarbete, antalet oönskade händelser/avvikelser och dess kostnader 2. Verksamhet a. genomför händelseanalys när något oönskat har inträffat inkl kostnadsberäkning när större oönskade händelser har inträffat b. har personer som är utbildade i risk- och sårbarhetsanalys och/eller händelseanalys c. genomför säkerhetsklassificering av egna och externt hyrda lokaler enligt modell som Västfastigheter tillhandahåller 3. Västfastigheter ser till att: a. samverkan sker kontinuerligt mellan verksamhet och Västfastigheter angående lokalklassificering och skalskydd b. verksamhet och Västfastigheter avsätter tid och resurser för säkerhetsklassificering av egna och hyrda lokaler c. säkerställa funktionalitet och enhetligt tillvägagångssätt vid tillämpning av modell för säkerhetsklassificering av lokaler

20 Styr- och måltal för Mål 1 1. Andel förvaltningar som har systematisk avvikelsehantering a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % 9(15) 2. Andel förvaltningar som genomför förvaltningsövergripande RSA minst vartannat år och upprättar handlingsplaner för säkerhetshöjande åtgärder a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % 3. Andel förvaltningar som har inlett eller genomfört en säkerhetskartläggning eller arbete med säkerhetsklassificering av verksamhetens lokaler enligt Västfastigheters s.k. zon-modell eller annan modell som Västfastigheter tillhandahåller a. Måltal för 2013 är 25 % b. Måltal för 2014 är 50 % c. Måltal för 2015 är 75 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 1 1. Nämnd/styrelse ska uppdra till förvaltningschef att: a. avsätta resurser för att genomföra uppgifter enligt denna strategi och återrapportera vidtagna åtgärder till nämnd/styrelse regelbundet varje år b. genomföra relevanta övningar och risk- och sårbarhetsanalyser i verksamheten c. säkerställa att avvikelseregistrering bedrivs i alla verksamheter och rapportering av skador, incidenter, avvikelser, oönskade händelser följs upp och rapporteras till nämnd/styrelse regelbundet varje år 2. Västfastigheter ansvarar för: a. framtagning av en användarvänlig och enhetlig modell för säkerhetsklassificering av Västra Götalandsregionens lokaler och externt hyrda lokaler b. att samverkansmöten mellan verksamhet och Västfastigheter angående lokalklassificeringen genomförs

21 Mål 2 Att säkerhetsarbetet i regionens verksamheter blir en ledningsfråga och kopplas till en tydlig beslutsordning i styrelser och nämnder 10(15) Framgångsfaktorer för Mål 2 1. Nämnd/styrelse säkerställer att regionfullmäktiges förväntningar i säkerhetsfrågor uppfylls och att ansvar för säkerhetsfrågorna och den politiska beslutsordningen är tydlig. 2. Risk- och krishanteringsfrågor hanteras integrerat med den löpande verksamhetsplaneringen. Styr- och måltal för Mål 2 1. Andel förvaltningar där ledningen har regelbunden genomgång av säkerhetsfrågorna a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 2 1. Nämnd/styrelse ska a. säkerställa att inventering görs av risker och sårbarheter samt b. att handlingsplan upprättas med förslag på åtgärder som ökar motståndskraften (robustheten) att hantera risker och reducera sårbarheter c. årligen rapportera verksamhetens säkerhetsarbete, säkerhetsläge, genomförda riskoch sårbarhetsanalyser och krishanteringsförmåga till regionstyrelsen 3. Förvaltningschef utser person eller funktion att följa upp aktiviteter, styr- och måltal i denna regionala strategi.

22 Mål 3 Att Västfastigheter ansvarar för fastighetsbunden säkerhet i Västra Götalandsregionens egna lokaler och i externt hyrda lokaler 11(15) Framgångsfaktorer för Mål 3 1. Västfastigheter ansvarar för att: a. disponering av egna resurser sker på sådant sätt att ansvar kan tas för fastighetsbundna säkerhetsanläggningar i regionens verksamheter b. det finns tydliga rutiner avseende beställning, service, felanmälan, åtgärd av fel, återkoppling och uppdatering av IT-system c. det finns en tydlig gränsdragning mellan verksamhetens ansvar och Västfastigheters ansvar vad gäller fastighetsbunden säkerhet Styr- och måltal för Mål 3 1. Andel förvaltningar där Västfastigheter har tagit över ansvar för fastighetsbunden säkerhet a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 3 1. Västfastigheter ska a) kartlägga och tydliggöra, i samarbete med verksamheter, vad som är fastighetsbundna säkerhetsanläggningar för verksamheter i regionens lokaler och i externt hyrda lokaler b) säkerställa de ekonomiska förutsättningarna kopplat till ansvar för fastighetsbunden säkerhet c) utveckla gränsdragningslista mellan Västfastigheter och berörda verksamheter avseende ansvar och innebörd av fastighetsbunden säkerhet

23 Mål 4 12(15) Att Regionservice, på särskilda villkor, tillhandahåller administrativa säkerhetstjänster (ex vis korthantering, vakter, larm, avtalsbevakning, RSA, kameraövervakning, utbildningar m.m.) till verksamheter i regionens lokaler och i externt hyrda lokaler Framgångsfaktorer för Mål 4 1. Servicenämnden har ett särskilt uppdrag att ta fram en handlingsplan med ekonomisk konsekvensbeskrivning vid genomförande av mål Regionservice säkerställer att: a. det råder samstämmighet på förvaltningsledningsnivå vad gäller ansvar, uppgifter och innebörd kring administrativa säkerhetstjänster b. det finns enkla rutiner och tydliga instruktioner för beställning av administrativa säkerhetstjänster Styr- och måltal för Mål 4 1. Andel förvaltningar dit Regionservice levererar och/eller erbjuder administrativa säkerhetstjänster exklusive tjänster som levereras av driftansvarig verksamhet för IS/IT a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 4 1. Regionservice ska i samarbete med verksamhetsansvariga kartlägga behovet av säkerhetstjänster och så långt det är ekonomiskt försvarbart erbjuda administrativa säkerhetstjänster som ex vis korthantering (SITHS), vakter, larm, avtalsbevakning, RSA, kameraövervakning, utbildningar och/eller de tjänster som verksamhet efterfrågar. 2. Servicenämnden fastställer en handlingsplan för erbjudande av administrativa säkerhetstjänster till regionens verksamheter.

24 13(15) Mål 5 Att förvaltningar, var för sig eller i samverkan, etablerar en ändamålsenlig risk- och krishanteringsorganisation och upprättar kontinuitetsplaner som beskriver hur verksamhet ska bedrivas när det oönskade inträffar Framgångsfaktorer för Mål 5 1. Nämnd/styrelse för respektive verksamhet ansvarar för etablering av en ändamålsenlig riskoch krishanteringsorganisation var för sig eller i samverkan. 2. Verksamheter genomför förvaltningsövergripande risk- och sårbarhetsanalyser (RSA) särskilt inom områdena IS/IT och mediaförsörjning (el, vatten och gas) minst vartannat år och resultat från analyserna skrivs in i handlingsplaner med förslag på åtgärder som ökar säkerheten och minskar sårbarheten. Styr- och måltal för Mål 5 1. Andel förvaltningar som har en beslutad handlingsplan för säkerhetsarbetet a. Måltal för 2013 är 75 % b. Måltal för 2014 är 80 % c. Måltal för 2015 är 90 % d. Måltal för 2016 är 100 % 2. Andel förvaltningar som har upprättat kontinuitetsplaner och/eller kris- och beredskapsplaner a. Måltal för 2013 är 25 % b. Måltal för 2014 är 50 % c. Måltal för 2015 är 75 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 5 1. Nämnd/styrelse beslutar om handlingsplan för säkerhetsarbetet med prioriterade säkerhetsaktiviteter 2. Förvaltningschef/VD ansvarar för att: a) identifiera säkerhetsrelaterade brister och svagheter i verksamheten b) åtgärder vidtas som skyddar verksamhetens objekt och grundläggande värden c) plan finns för kontinuerlig drift av verksamheten när IT slutar att fungera eller när annan oönskad händelse inträffar

25 Mål 6 14(15) Att säkerhetskultur och utbildning i patient- och personsäkerhet utvecklas i Västra Götalandsregionens verksamheter Framgångsfaktorer för Mål 6 1. Verksamheten: a. mäter säkerhetskulturen integrerat med medarbetarenkäter b. har ett lärande utifrån händelseanalyser och risk- och sårbarhetsanalyser c. genomför kontinuerliga utbildningsinsatser kring säkerhetskultur och säkerställer att all personal har kunskap om vad som bidrar till en god säkerhetskultur 2. Varje arbetsplats i regionen strävar efter ett öppet och tillåtande psykosocialt klimat där medarbetare vågar och vill rapportera brister och risker i säkerheten samt föreslå åtgärder. Styr- och måltal för Mål 6 1. Andel förvaltningar som utbildar sin personal i personsäkerhet a) Måltal för 2013 är 75 % b) Måltal för 2014 är 80 % c) Måltal för 2015 är 90 % d) Måltal för 2016 är 100 % 2. Andel förvaltningar inom hälso- och sjukvård som utbildar sin personal i patientsäkerhet e) Måltal för 2013 är 50 % f) Måltal för 2014 är 75 % g) Måltal för 2015 är 90 % h) Måltal för 2016 är 100 % 3. Andel förvaltningar som mäter säkerhetskulturen i) Måltal för 2013 är 75 % j) Måltal för 2014 är 80 % k) Måltal för 2015 är 90 % l) Måltal för 2016 är 100 % Aktiviteter för Mål 6 1. Alla medarbetare i regionens verksamheter ska a) ges möjlighet att föreslå åtgärder på hur säkerhetskulturen kan förbättras, få utbildning kring säkerhetskultur och regionala och förvaltningsspecifika säkerhetsregelverk

26 15(15) Mål 7 Att rätt och riktig information når rätt mottagare i rätt tid Framgångsfaktorer för Mål 7 1. Verksamheten som informationsägare: a. bedriver ett strukturerat informationssäkerhetsarbete genom en tydlig kravställning på IT-leverantör och i övrigt tydliga rutiner vid användning av IS/IT-system b. säkerställer egen kompetens för att identifiera och formulera säkerhetskrav genom informationsklassificering och risk- och sårbarhetsanalys i verksamheten c. beaktar, tillsammans med regional inköpsorganisation, krav-, funktions- och säkerhetsspecifikation och riskanalys vid upphandling av IS/IT-system och medicintekniska informationssystem 13 d. mäter tillsammans med driftansvarig för IS/IT regelbundet kvaliteten på leveranser av IT-tjänster med hjälp av exempelvis nyckeltal 2. Verksamheten kartlägger och identifierar vilka IS/IT-system som ska kravställas utifrån det medicinska produktdirektivet (MDD) vilket innebär identifiering av vilka system som a. är CE-märkta b. är egentillverkade c. behöver åtgärdas för att uppfylla kraven i MDD som exempel integrationer mellan Melior och andra system Styr- och måltal för Mål 7 1. Andel förvaltningar som har identifierat och klassificerat skyddsvärd information a. Måltal för 2013 är 50 % b. Måltal för 2014 är 75 % c. Måltal för 2015 är 85 % d. Måltal för 2016 är 100 % 2. Andel förvaltningar som har kända rutiner som kan tillämpas i händelse av IT-avbrott a. Måltal för 2013 är 50 % b. Måltal för 2014 är 75 % c. Måltal för 2015 är 85 % d. Måltal för 2016 är 100 % Aktiviteter för Mål 7 1. Nämnd/styrelse/informationsägare ska a) säkerställa att verksamhetens processer identifieras och informationen klassificeras b) identifiera vilka IS/IT-system som är att betrakta som medicintekniska produkter c) säkerställa att det finns tydliga och kända rutiner som kan tillämpas i händelse av ITavbrott i verksamheten 2. Förvaltningschef/VD/verksamhetschef ska säkerställa att brister, risker, funktionsfel och incidenter/avvikelser som påverkar tillgänglighet, riktighet, insynsskydd och spårbarhet avvikelserapporteras, åtgärdas och följs upp. 3. IS/IT-direktör har i samråd med säkerhetsdirektör ett ansvar att utforma en plan och genomföra åtgärder för utveckling av IT-säkerheten i regionens verksamheter utifrån de krav som verksamheterna har och i övrigt utifrån formulerade säkerhetskrav på IS/IT-system och medicintekniska produkter. 13 se vidare ex.vis SS-EN vid förändringar i IS/IT-miljön, och ISO 20000

27 1(30) RAPPORT Dnr RS Regionservice Jan S Svensson ver 1.0 Synpunkter från nämnder och styrelser till regionstyrelsen på remissförslag till Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Regionstyrelsen

28 2(30) Innehåll 1. Inledning Beredning och bakgrund Remissförslaget Synpunkter på remissförslaget Hälso- och sjukvårdsnämnderna Sahlgrenska universitetssjukhuset NU-sjukvården Södra Älvsborgs sjukhus Skaraborgs sjukhus Kungälvs sjukhus och Frölunda Specialistsjukhus Alingsås lasarett Angereds Närsjukhus Primärvårdsstyrelsen och styrelsen för beställd primärvård Tandvårdsstyrelsen Habilitering och Hälsa Regionutvecklingsnämnden Miljönämnden Naturbruksstyrelsen Göteborgs Botaniska trädgård Västarvet Kultur i Väst Fastighetsnämnden Servicenämnden Kommittén för rättighetsfrågor Patientnämndens kansli Kollektivtrafiknämnden Förvaltningar som redovisat att man inte har några synpunkter Utgångspunkter av förslag till strategi för perioden Sammanfattning och konsekvenser av styrelser och nämnders remissvar Bilaga Remissversion

29 3(30) Nämnder och styrelsers synpunkter på remissförslag till Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Inledning Regionstyrelsen beslutade den 22 maj 2012 ( 114) att ge regiondirektören i uppdrag att, efter remiss till regionens nämnder och styrelser, lämna förslag på regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Denna rapport är i huvudsak en sammanfattning av synpunkter från nämnder och styrelser på bifogat remissförslag (ver 0.20) till Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Processen med en ny samlad regional strategi för säkerhetsarbetet i regionens verksamheter har varit långdragen process. Det goda med utdragna arbete är att säkerhetsfrågor och dess betydelse diskuterats och förankrats i olika sammanhang vilket inneburit ökad säkerhetsmedvetenhet och ökad kunskap kring säkerhetsfrågor och dess betydelse. Den nya strategiperioden är nu Beredning och bakgrund Arbetet med ny regional strategi för perioden påbörjades våren 2011 och bedrevs i en särskild arbetsgrupp som ett projekt inom regionkansliets administrativa avdelning. Utöver personer från regionkansliet medverkade representanter från SU, Primärvården, Habilitering & Hälsa, SkaS, SÄS, Västfastigheter och Regionservice inkl. VGR IT. Säkerhetsdirektör Valter Lindström har varit uppdragsgivare och medverkat i arbetsgruppen och säkerhetsstrateg Jan S Svensson har varit projektledare. Det har också funnits en referensgrupp med 27 personer från olika förvaltningar som haft betydelse vid utformning av remissförslaget. Efter sju (7) arbetsmöten presenterade arbetsgruppen hösten 2011 ett förslag till strategi för perioden Förslaget beskriver hur säkerhetsarbetet är tänkt att fungera under perioden och är uppbyggd runt 7 strategiska mål med tillhörande framgångsfaktorer, aktiviteter och styr- och måltal som årligen följs upp och redovisas till regionstyrelsen. De 7 strategiska målen har stora likheter med strategiska mål för perioden och förslag till förändringar ligger i ändrade och färre framgångsfaktorer, aktiviteter, styr- och måltal för perioden Remissförslaget Viktiga utgångspunkter i förslaget till ny strategi har varit en helhetssyn på säkerhetsarbetet och ett innehåll i strategin som kan vara ett stöd i verksamheternas utveckling av sitt säkerhetsarbete. Efter ytterligare möten med arbetsgruppen och flera avstämningar med säkerhetsdirektören presenterade arbetsgruppen i april 2012 ett remissförslag till säkerhetsdirektören med färre framgångsfaktorer och färre aktiviteter. Regionstyrelsen beslutade den 22 maj 2012 att regiondirektören ska lämna förslag på strategi efter remiss till nämnder och styrelser. Den 9 juni 2012 skickar regionkansliet ut bifogat remissförslag (ver.0.20) till nämnder, styrelser och bolagsstyrelser med svar senast den 30 augusti Efter önskemål förlängdes remisstiden till den 15 oktober och några nämnder och styrelser önskade ytterligare förlängd remisstid till slutet av november 2012.

30 4. Synpunkter på remissförslaget Flertalet nämnder och styrelser har valt att inte ha några synpunkter på remissförslaget. Här följer en sammanställning av inkomna synpunkter till regionstyrelsen från nämnder och styrelser. 4(30) 4.1. Hälso- och sjukvårdsnämnderna Hälso- och sjukvårdsnämnderna (HSN) ställer sig positiva till remissförslaget och ställer sig bakom skrivelse där bland annat följande synpunkter framförs. Det antecknas att samtliga 12 HSN lämnat likalydande remissvar. Synpunkt 1 Remissförslaget är väl genomarbetat, vidare är det värdefullt att det nya förslaget strategi knyter an till den tidigare, vilket därmed skapar en kontinuitet i säkerhetsarbetet inom regionen. Synpunkt 2 under rubrik Administrativ säkerhet, punkt vill nämnderna göra regionstyrelsen uppmärksam på... att regionen som demokratiskt styrd organisation inte bara ska följa de lagar som gäller inom det administrativa området utan också stå för öppenhet och transparens för att värna vår demokrati och rätt till yttrandefrihet. Enligt nämnderna behöver frågan lyftas in i strategin för den kommande perioden eftersom... det finns stor risk att många av de nya hotande extra ordinära situationerna är förtroendekriser. Synpunkt 3 handlar om att nämnderna önskar ett förtydligande av hur regionstyrelsen ser på uppföljning och redovisning av de mål som ställs upp i strategin. Nämnderna och dess kansli är en liten organisation och har en mycket liten roll vid organisering av kriser som kan påverka människor, egendom eller miljö. Att därför lägga samma krav på alla nämnder, styrelser och bolag samt tillhörande förvaltningar oavsett uppdrag verkar inte vara ändamålsenligt. Synpunkt 4 handlar om att några nämnder... påpekar vikten av utbildning om hot och våld, brandsäkerhet m.m. inte bara av personal utan även av de förtroendevalda. Notering. Synpunkt 1 har noterats och synpunkt 2 har integrerats i strategin under rubriken Administrativ säkerhet, punkt Synpunkt 3 har hanterats i skrivelse till nämnder och styrelser dnr RS Anvisningar till nämnder, styrelser och bolag för hur säkerhetsarbete, säkerhetsläge avseende 2012 ska redovisas till regionstyrelsen. Synpunkt 4 har noterats Sahlgrenska universitetssjukhuset Styrelsen för Sahlgrenska universitetssjukhuset (SU) ställer sig bakom remissförslaget och tjänsteutlåtande där bland annat följande synpunkter framförs. Synpunkt 1 SU välkomnar idén om en särskild regiongemensam strategi för IT-säkerheten vilket är en förutsättning för att uppnå mål 7 och stärka IT-säkerheten inom Västra Götalandsregionen. Synpunkt 2 SU välkomnar att Västfastigheter tar fram en regiongemensam modell för säkerhetsklassificering av lokaler. Regional enhetlighet skapar möjligheter att styra utformning av skalskydd och samtidigt ger underlag till konstandseffektiva lösningar och besparingar. Synpunkt 3 SU föreslår att regionen inför begreppen skydd av personal, skydd av egendom och skydd av information under rubriken Viktiga säkerhetsfrågor. Synpunkt 4 handlar om att styrelsen för SU föreslår att texten under rubriken Viktiga säkerhetsfrågor... kompletteras med begreppen skydd av personal, skydd av egendom och skydd av information. Notering. Inledande text under rubriken Viktiga säkerhetsfrågor har anpassats till SU:s synpunkter och förslag.

31 5(30) 4.3. NU-sjukvården NU-sjukvårdens styrelse tillstyrker remissförslaget och har ställt sig bakom de synpunkter som framförs i tjänsteutlåtande där bland annat följande framförs. Synpunkt 1 handlar om att det i Mål 6... formuleringarna går inte att utläsa om patientsäkerhet innefattas i strategins definition av personsäkerhet framgångsfaktorer etc.. Synpunkt 2 kring... bristfälliga arrangemang för informationssäkerhet på vårdgivar- eller koncernnivå. Vi delar därför strategins bedömning (avsnitt 2.2) att säkerhet och kvalitet är beroende av kvaliteten i regionövergripande service. Till detta vill vi lägga att problem visserligen finns i driftorganisationen, men att bristerna i kvalitet och tempo i utveckling och anpassning av IT-system är lika uppenbara som kännbara. Synpunkt 3 om ny IT-organisation. En förhoppning är att den IS/IT-organisation som nu implementeras kan hantera både nödvändiga prioriteringar och bredd i dessa strävanden. Synpunkt 4 handlar om behovet av uppdatering av riktlinjer för informationssäkerhet... så att verksamheterna kan se en helhet i dessa riktlinjer, i den nu aktuella strategin, och i den organisation och arbetsfördelning inom koncernen som nu etableras. Synpunkt 5 handlar om Mål 7. Vid realisering av Mål 7 och finns ett behov av utrymme för överläggning om möjligheter via de tjänster som förutskickas i Mål 4. I Mål 4 tecknas en möjlig väg för förvaltningen att tillgodose ett behov av specialiserade tjänster. Notering. Synpunkt 1 har beaktats genom att Mål 6 kompletterats med begreppet patientsäkerhet. Synpunkter 2-5 har noterats Södra Älvsborgs sjukhus Styrelsen för Södra Älvsborgs sjukhus (SÄS) har som remissvar ställt sig bakom yttrande där bland annat följande synpunkter framförs. Synpunkt 1 handlar om en allmän synpunkt... att strategin i allt väsentligt är bra och relevant. Synpunkt 2 handlar om... att säkerhetsarbetet vid en förvaltning som Södra Älvsborgs sjukhus, jämte arbetet med säkerhetskultur, också innefattar säkerhetsorganisatoriska aspekter. Med det menas att vid en sjukvårdsförvaltning är det av stor vikt att det finns väktare eller liknande som ett stöd dygnet runt till medarbetare. Det skapar en trygghet för alla. Synpunkt 3 Likaså vill förvaltningen peka på att förslaget lyfter upp styrelser och nämnders ansvar för säkerhetsarbetet. Säkerhetsfrågorna blir genom förslaget på ett tydligare vis än idag en del i styrelser och nämnders arbete. Synpunkt 4 är... att förvaltningen anser att det vore lämpligt att frågor som säkerhet/säkerhetskultur istället för att undersökas separat om möjligt bör inkluderas i regionens medarbetarenkät. Synpunkt 5 är att Mål 1 kring förebyggande arbete inklusive lokalklassificering bör delas i två mål eftersom Respektive del är omfattande och de två delarna saknar enligt förvaltningens syn ett naturligt samband. Synpunkt 6 handlar om Mål 1 och Mål 3 och där förvaltningen vill... peka på den osäkerhet som finns när det gäller finansiering. Hur ska aktiviteter som säkerhetsklassificering bekostas? Hur förhåller sig krav på säkerhetsklassificering av lokaler till ny hyresmodell? Förvaltningen vill särskilt peka på kravet att säkerhetsanpassa även externt hyrda lokaler i vilka regionen inte får investera i. Det kan komma att resultera i förhöjda krav på externa hyresvärdar/fastighetsägare med förhöjd hyra som följd.

32 6(30) Synpunkt 7 handlar om Mål 4 där det... anges att regionservice ska erbjuda administrativa säkerhetstjänster. Förvaltningen efterlyser att det precis som idag ska kunna finnas andra lösningar. Ett exempel är att administrativa säkerhetstjänster ska kunna köpas från en extern leverantör om det visar sig vara fördelaktigt verksamhetsmässigt och ekonomiskt. Notering. Hänsyn har tagits till synpunkterna från SÄS. Sypunkterna 1-4 med tillhörande förslag har beaktats. Synpunkt 5 kring utformning av Mål 1 kring förebyggande arbete och lokalklassificering föreslår SÄS delning av detta mål. Uppföljningen av styrmål förändras inte om Mål 1 delas i två mål. Synpunkter 6-7 har noterats Skaraborgs sjukhus Styrelsen för Skaraborgs sjukhus (SkaS) har i skrivelse anfört följande synpunkter. Synpunkt 1 Sammanfattningsvis ställer sig SkaS således bakom remissförslaget. Synpunkt 2 handlar om punkt 3.1 Patientsäkerhet. Det är positivt att dokumentet beskriver nyttan med att se patientsäkerhetsfrågor tillsammans med traditionella säkerhetsfrågor. Detta då det finns starka kopplingar och frågorna måste hanteras mer gemensamt än vad som skett historiskt. Synpunkt 3 handlar om strategins relevans. Remissförslaget Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter är väl förankrat i lagstiftning som tillkommit de senaste åren som påverkar säkerhetsfrågor i vår organisation. Synpunkt 3 handlar om nyttan med remissförslaget... kan även verka som stöd i det lokala säkerhetsarbetet på Skaraborgs sjukhus (SkaS). De mål och aktiviteter som anges stämmer väl överens med redan inslagen linje. Risker som identifierats genom sjukhusövergripande risk- och sårbarhetsanalyser, har även uppmärksammats regionalt och omsatts i relevanta åtgärdsförslag. Notering. Synpunkter 1-4 har noterats Kungälvs sjukhus och Frölunda Specialistsjukhus Styrelsen för Kungälvs sjukhus och Frölunda Specialistsjukhus har som remissvar ställt sig bakom tjänsteutlåtande och där framförs bland annat följande synpunkter. Synpunkt 1 handlar om förslag på redaktionella förändringar på sidan 3 och sidan 4 i remissförslaget. Synpunkt 2 handlar om patientsäkerhet på sidan 5 och texten kring nolltolerans. Begreppet vårdrelaterade skador används i remissförslaget och det påpekas att Den vedertagna beteckningen enligt Patientsäkerhetslagen är vårdskada. Inte minst för att det här omtalas en nolltolerans krävs en definition av vårdrelaterad skada. VGRs beslutade inriktningsmål är att: vårdskadorna i hälso- och sjukvården i regionen ska minska i omfattning och långsiktigt minimeras. Synpunkt 3 handlar om patientsäkerhet på sidan 5 och text kring patientsäkerhetsberättelse. Det andra styckets beskrivelse av patientsäkerhetsberättelsens innehåll är inte riktigt korrekt och på inget vis heltäckande för vad en patientsäkerhetsberättelse ska innehålla. Beskrivning återfinns i Patientsäkerhetslagen 3 kap 10 samt i SOSFS 2011:9 7 kap 2. Syftet med patientsäkerhetsberättelsen är att förstärka vårdgivarens kontroll över patientsäkerhetsarbetet, att underlätta Socialstyrelsens tillsyn över verksamheten samt att tillgodose informationsbehovet hos andra intressenter, exempelvis allmänhet, patienter och patientorganisationer. Stycket bör innehålla en korrekt beskrivelse av berättelsen eller ange syftet med denna. Synpunkt 4 handlar om patientsäkerhet på sidan 5 och det tredje stycket... som har långa meningar som är lite svåra att förstå. En kommentar till den första meningen är att det snarare är ett problem att systemen inte kommunicera med varandra. Mening nummer två är lång och svårförstålig. Med

33 7(30) kunskap inom patientsäkerhet är det en självklarhet att patientsäkerheten har olika komponenter som IT-säkerhet, brandskydd, mediaförsörjning, personalförsörjning, kompetens, lokaler, utrustning osv. Synpunkt 5 handlar om förtydligande av text under punkten 3.3 Informationssäkerhet. Synpunkt 6 handlar om önskemål om vissa förtydligande i text kring Mål 3, Mål 4 och Mål 7. Notering. Strategin har justerats utifrån redaktionella förslag enligt synpunkt 1. Synpunkt 2 har noterats. Synpunkt 3 har beaktats och texten har kompletterats med patientsäkerhetsberättelsens syfte. I strategiförslaget anges exempel på vad som redovisas i patientsäkerhetsberättelsen och en heltäckande beskrivning har aldrig varit aktuellt. Synpunkt 4 handlar om tredje stycket på sidan 5 och om de ökade risker som finns när IT-system inte kan kommunicera med varandra på ett säkert sätt och de ökade risker kan utgöra ett problem med patientsäkerheten. Det finns säkerhetsrisker med att integrera vårdsystem, kontrollsystem och administrativa system. Texten har redigerats. Synpunkt 5 och 6 har beaktats Alingsås lasarett Styrelsen för Alingsås lasarett har som remissvar ställt sig bakom skrivelse från sjukhusledningen och där anges bland annat följande synpunkter. Synpunkt 1 handlar om konstaterande. Vi har svaga säkerhetsområden som behöver utvecklas till att nå en bra och stabil nivå. Bland de risker som påtalats från förvaltningarna återfinns främst den ITrelaterade säkerheten. Synpunkt 2 handlar om att terminologi vad gäller informationssäkerhet bör anpassas till den terminologi som används i PM3. och Innehållet under mål 7 bör anpassas till regionens nya styrmodell inom IS/IT. Synpunkt 3 handlar om Mål 1 som upplevs bestå av två delar. Synpunkt 4 handlar om Mål 1 och en framgångsfaktor. En framgångsfaktor är att redovisa kostnader relaterade till avvikelser. Detta har funnits med i tidigare strategi och upplevs svårt att ta till sig. För att hanteringen ska bli effektivare samt mer korrekt bör en regiongemensam mall för ändamålet tas fram. Synpunkt 5 handlar om Mål 2 och Mål 5 där det noteras att aktiviteterna är snarlika och... att arbetsuppgifterna blir desamma. Synpunkt 6 handlar om Mål 6. Att mäta säkerhetskulturen ingick även i förgående strategi. Medarbetarna i regionens förvaltningar svarar idag på en mängd enkäter. För att minimera antalet bör begreppet patientsäkerhet förtydligas. Begreppen ska beskrivas med avseende på vilka faktorer som är essentiella för det totala patientsäkerhetsbegreppet. Förslagsvis kan den patientsäkerhetskulturenkät, som idag fästs stor avseende vid utvecklas till att omfatta alla delar i patientsäkerhetsarbetet. Synpunkt 7 handlar om Mål 7 Den viktigaste och mest kritiska informationen för förvaltningarna finns i allmänhet i våra regiongemensamma system. Det är därför betydligt effektivare att huvudansvaret för informationsklassning och risk- och sårbarhetsanalys läggs på den nyskapade objektförvaltningsorganisationen. Vidare anförs under Mål 7 att ansvaret för support och service från IS/IT, Regionservice och Västfastigheter måste bli tydligare. Gränsdragning mellan de olika förvaltningarnas ansvar kan behöva tydliggöras. Ett ökat samarbete kan både vara ekonomiskt gynnsamt samt bidra till att likrikta vissa delar inom regionen, vilket ökar tydligheten i regionens vision och därmed patientsäkerheten. Synpunkt 8 handlar om att Alingsås lasarett är en liten förvaltning... vilket gör att ett samarbete med andra förvaltningar är en förutsättning för att uppnå målen.

34 8(30) Notering. Synpunkterna 1-2 har beaktats så långt det är möjligt. Remissförslaget har redan tagit höjd för ny styrmodell inom IS/IT och så långt det varit möjligt till pm3. När riktlinjer och anvisningar för informationssäkerhet revideras kommer ytterligare anpassningar att göras till styrmodell och pm3. Synpunkt 3 och Mål 1 kring förebyggande arbete och lokalklassificering föreslår Alingsås lasarett separat uppföljning av dessa styrmål. En uppdelning av Mål 1 i två separata strategiska mål bedöms inte bidra med något nytt värde. Synpunkt 4-8 har noterats Angereds Närsjukhus Styrelsen för Angereds Närsjukhus har som remissvar ställt sig bakom synpunkter i tjänsteutlåtande från sjukhusledningen där bland annat följande synpunkter framförs. Synpunkt 1 handlar om Mål och som bör... omarbetas till ett tydligare strategiskt mål. Synpunkt 2 handlar om Mål 4 och dess utformning och innehåll vad gäller administrativa säkerhetstjänster. Utbudet av säkerhetstjänster är inte utformat med innehåll och pris och kan inte fastställas på osäkra grunder. Synpunkt 3 handlar om Mål 7. Målområde nummer sju med åtföljande framgångsfaktorer, styr- och måltal bör omarbetas så att målområdet är i enlighet med VGR:s nya förvaltningsmodell. Notering. Synpunkt 1 och önskan om uppdelning av Mål 1 i två separata strategiska mål bedöms inte bidra med något nytt värde. Se även SÄS och Alingsås lasarett. Synpunkt 2 handlar om Mål 4 som har kompletterats med exempel på administrativa säkerhetstjänster. Angående synpunkt 3 och Mål 7 så har remissförslaget redan tagit höjd för ny styrmodell inom IS/IT så långt det har varit möjligt. Ytterligare anpassningar kan göras i anvisningar i anslutning till redovisning av det årliga säkerhetsarbetet Primärvårdsstyrelsen och styrelsen för beställd primärvård Primärvårdsstyrelsen och styrelsen för beställd primärvård har som remissvar ställt sig bakom synpunkter i Tjänsteutlåtande där bland annat följande synpunkter framförs. Synpunkt 1 handlar om Den regionala strategin bör göras tydligare och mindre omfattande. Antalet styrtal bör minska så att det endast finns ett per mål Synpunkt 2 handlar om säkerhetsplattform och att det i strategin bör... finnas en skrivning om en gemensam säkerhetsplattform. En sådan skulle innebära möjligheter att höja säkerhetsnivån generellt, att utnyttja befintliga resurser på ett mer effektivt sätt samt skapa en större tillgänglighet till service och tjänster för alla aktörer inom regionen. Synpunkt 3 handlar om upphandlingar och att det i strategin ska finnas... en skrivning om att säkerhetskrav beaktas vid upphandling, samt vid tecknade av avtal och överenskommelser med leverantörer av varor och tjänster. Synpunkt 4 handlar om kontantlös kassa. I strategin ska finnas en skrivning om att kontantlös kassahantering skall eftersträvas inom regionens verksamheter. Det är en viktig åtgärd för att förhindra rån, stölder och hot. Notering. Synpunkt 1 kring omfattning och innehåll i strategin. Remissförslaget är mindre omfattande än tidigare förslag. Det finns nu endast 10 styr- och måltal kopplat till de sju strategiska målen. Synpunkt 2 kring säkerhetsplattform har beaktats genom ett förtydligande av text under punkt Teknisk säkerhet. Frågan är viktig och bör finnas med i det fortsatta regionövergripande säkerhetsarbetet och kopplas till arbetet med strategi för arbetet med IT-säkerhet. Synpunkt 3 har beaktats och en skrivning kring ansvar vid upphandling och kontantlös kassahantering finns under rubrik Administrativ säkerhet, punkt

35 9(30) Tandvårdsstyrelsen Tandvårdsstyrelsen har godkänt skrivelse Remissvar och ställt sig bakom följande synpunkter. Synpunkt 1 handlar om att Tandvårdsstyrelsen vill framhålla... att man är positiv till strategin som är utformad i samverkan med verksamhetsföreträdare och som ska vara ett stöd till verksamheter och deras säkerhetsarbete. Tandvårdsstyrelsen anser dock att det är svårt att överblicka konsekvenserna av samliga aktiviteter. Tandvårdsstyrelsen vill därför påpeka att en anpassning av nivån på arbetet kan behöva göras utifrån den situation som finns i Folktandvården som är utspridd med ett sort antal mottagningar i hela regionen samt att verksamheten bedrivs till stor del hos externa hyresvärdar. Synpunkt 2 handlar om Mål 3 och att Ansvarsfrågan bör förtydligas vid hyra av lokal hos extern hyresvärd. Folktandvården är konkurrentutsatt och behöver ett regelverk som inte missgynnar oss mot konkurrenterna. Synpunkt 3 handlar om Mål 4 och att aktuella administrativa säkerhetstjänster blir anpassade... så att kostnaderna blir rimliga. Många tjänster kan säkert samutnyttjas med primärvård och ibland med sjukhusen också. Exempel på tjänster som Folktandvården skulle kunna samutnyttja är tjänsteman i beredskap och hantering av passagesystemens kort. Synpunkt 4 handlar om ett förslag kopplat till arbetet med säkerhetskultur i Mål 6. Ett sätt att mäta säkerhetskulturen i förvaltningarna är att frågor läggs in i medarbetarenkäten och rapporter tas ifrån denna. Detta skulle medföra att alla förvaltningar mäts på likartat sätt och kan jämföras med varandra. Notering. Synpunkt 1 har noterats. Synpunkt 2 och ansvarsfrågan kring hyra av lokal bedöms vara Västfastigheters ansvar. Synpunkt 3 och förslaget i synpunkt 4 har noterats Habilitering och Hälsa Styrelsen för Habilitering och Hälsa har som remissvar ställt sig bakom skrivelse där bland annat följande synpunkter framförs. Synpunkt 1 handlar om strategin i ett sammanfattande perspektiv. Sammanfattningsvis anser Styrelsen för Habilitering och Hälsa att strategin är ett bra underlag för säkerhetsarbetet de kommande åren. Synpunkt 2 handlar om strategin i ett helhetsperspektiv. Det är positivt att man lyfter fram komplexiteten i frågorna och belyser hur olika säkerhetsområden går in i varandra. Det krävs alltså ett helhetsperspektiv på säkerheten för att kunna förbättra verksamheten. Synpunkt 3 handlar om uppföljning och IT-säkerheten. Uppföljning av tidigare strategi visar att säkerheten generellt har ökat inom VGR. De områden som har uppnått en bra nivå behöver säkras så att den höga nivån bestå. Svaga säkerhetsområden däremot behöver ökat tryck för att utvecklas till en bra och stabil nivå. Bland de risker som påtalats från förvaltningarna finns främst den IT-relaterade säkerheten. Synpunkt 4 handlar om ansvar och support från driftorganisationen för IS/IT, Regionservice och Västfastigheter. Gränsdragning mellan de tre förvaltningarnas ansvar kan behöva förtydligas. Synpunkt 5 handlar om den årliga säkerhetsredovisningen och att begreppet andel förvaltningar kan... ge en förvrängd bild av verkligheten då det är stor skillnad mellan största och minsta förvaltning inom regionen. I uppföljning och analyser förslås därför att detta belyses och att om möjligt en viktning av förvaltningarna sker.

36 10(30) Synpunkt 6 handlar informationssäkerhet och att... beroenden till andra säkerhetsaspekter lyfts fram i olika sammanhang. Ett ökat IT-beroende såväl inom administration som i medicinsk teknisk utrustning gör verksamheterna allt känsligare både för det som händer i omgivningen och för medvetna sabotage. Synpunkt 7 handlar om Mål 7 och att det inte är effektivt att kräva... att varje enskild förvaltning ska identifiera och formulera säkerhetskrav genom informationsklassificering och risk- sårbarhetsanalys i verksamheten. Notering. Synpunkter och beskrivningar i punkterna 1-3 har noterats. Gällande synpunkt 4 kring service och support och att det krävs en ökad tydlighet i ansvar mellan regionens service- och supportförvaltningar så har texten justerats under punkten 2.2 Helhetssyn på säkerhetsarbetet. Synpunkt 5 kommer att beaktas i redovisning av säkerhetsarbetet och säkerhetsläge i Västra Götalandsregionens verksamheter Synpunkt 6 har noterats och synpunkt 7 har beaktats genom förändring av aktivitet kopplat till Mål Regionutvecklingsnämnden Regionutvecklingsnämnden har i yttranden bland annat anfört följande synpunkter. Synpunkt 1 handlar om att strategins relevans och att den... är främst inriktad mot driftverksamheter. Flera av målen berör dessutom t.ex fastighetsfrågor som inte är aktuella för regionutvecklingsnämnden. Synpunkt 2 handlar om samverkan. För en effektivare verksamhet är det önskvärt med samordning mellan kanslier med liknande verksamheter för att minska den administratia bördan på mindre kanslier. Samordning torde vara möjlig för ett flertal av aktiviteterna som är kopplade till målen inom: Mål 1... Mål 2... och Mål 6. Synpunkt 3 I övrigt är bedömningen att regionutvecklingsnämnden och regionutvecklingssekretariatet framförallt berörs av en förändring i den regionala strategin, gällande klassificering av verksamhetens lokaler (mål 1). Synpunkt 4 Enligt strategin ska verksamheten genomföra en säkerhetsklassificering av egna och externt hyrda lokaler enlig modell som Västfastigheter tillhanda håller. Nämnden har inget att invända mot det nya förslaget. Notering. Synpunkt 1 har noterats. Angående synpunkt 2 så är ökad samordning en viktig fråga och har hanterats i skrivelse till nämnder och styrelser dnr RS Anvisningar till nämnder, styrelser och bolag för hur säkerhetsarbete, säkerhetsläge avseende 2012 ska redovisas till regionstyrelsen. Synpunkt 3-4 har noterats Miljönämnden Miljönämnden har som remissvar ställt sig bakom Tjänsteutlåtande och där framförs bland annat följande synpunkter. Synpunkt 1 Nämnden och miljösekretariatet berörs därför enbart av ett fåtal mål, eller delar av mål, och har sedan tidigare uppfyllt dessa. Synpunkt 2 För en effektivare verksamhet är det önskvärt med en samordning mellan kanslier med liknande verksamheter med ett flertal aktiviteter som är kopplade till målen såsom: Mål 1.., Mål 5.., och Mål 6. Synpunkt 3 Enligt strategin ska verksamheten genomföra en säkerhetsklassificering av egna och extern hyrda lokaler enlig modell som Västfastigheter tillhanda håller. Nämnden har inget att invända mot det nya förslaget. (OBS samma formulering som RN)

37 11(30) Notering. Synpunkt 1 har noterats. Angående synpunkt 2 så är ökad samordning en viktig fråga och har hanterats i skrivelse till nämnder och styrelser dnr RS Anvisningar till nämnder, styrelser och bolag för hur säkerhetsarbete, säkerhetsläge avseende 2012 ska redovisas till regionstyrelsen. Synpunkt 3 har noterats Naturbruksstyrelsen Naturbruksstyrelsen har som remissvar ställt sig bakom PM och där framförs bland annat följande synpunkter. Synpunkt 1 om formulering kring ansvar när elever är på praktik. Det är inom ramen för verksamheten men en formulering som tydligare fångar upp vårt ansvar för deras säkerhet i dessa situationer är önskvärd. Synpunkt 2 handlar om kännedom kring säkerhetsdokument. Det är inte välkänt bland medarbetarna vad skillnaden mellan policy, reglemente, riktlinjer, anvisningar och instruktioner är. Texten skulle vinna på förklaringar om i vilka instanser de olika dokumenten beslutas. Synpunkt 3 handlar om informationssäkerhet och... vad elever och patienter gör bör en formulering klargöra vilken informationsplikt vi har till dem. Synpunkt 4 handlar om användning av IS/IT-system och... den information som lagras på de lagringsmedia (servrar och hårddiskar) som hör dit? Notering. Synpunkt 1 har noterats. Med anledning av synpunkt 2 så har strategin kompletterats med ytterligare förklaringar i form av fotnoter. Synpunkt 3-4 är viktiga och regleras i riktlinjer för informationssäkerhet (2009) och tillhörande anvisningar Göteborgs Botaniska trädgård Förvaltningschefen för Göteborgs Botaniska trädgård har i ett remissvar daterat framfört bland annat följande synpunkter. Synpunkt 1 handlar om viktiga säkerhetsfrågor som främst riktar sig mot hälso- och sjukvården. Botaniska vill påpeka att behoven hos andra förvaltningar kan se annorlunda ut. I stället för sekretess och slutna system har vi ett behov av större öppenhet och ökad interaktion med omvärlden. Självklart är det även för oss angeläget att inte obehöriga kan komma åt information. Men idag upplever vi att det är ett större problem att anställda/besökare/nyttjare/samarbetspartners som behöver information inte kan komma åt den, pga driftstörningar eller restriktioner. Synpunkt 2 om säkerhetsklassning av lokaler. Botaniska vill framhålla att all regional verksamhet inte sker inomhus, utan en säker utomhusmiljö är minst lika viktigt och också här har Västfastigheter ett ansvar när det gäller väghållning och dagvattenhantering. Det bör därför vara lika intressant att säkerhetsklassa även utomhusmiljöer. Notering. Synpunkter 1-2 har noterats Västarvet Styrelsen för Västarvet ställer sig bakom remissförslaget och har framfört följande synpunkt. Synpunkt 1 Styrelsen för Västarvet anser att förslaget är gediget och på ett tydligt sätt lägger fast riktningen för säkerhetsarbetet. Västarvet ställer sig bakom förslaget. Notering. Synpunkten har noterats.

38 12(30) Kultur i Väst Styrelsen för Kultur i Väst ställer sig bakom remissförslaget och framför följande synpunkt. Synpunkt 1 Styrelsen för Kultur i Väst anser att förslaget är välformulerat och har inga ytterligare kommentarer. Notering. Synpunkten har noterats Fastighetsnämnden Fastighetsnämnden har som remissvar ställt sig bakom skrivelse (Remissvar) där bland annat följande synpunkter framförs. Synpunkt 1 Övergripande anser nämnden att det är till stor nytta för Västra Götalandsregionen att fortsätta den inslagna linjen med en regional, tidsbestämd och målsatt säkerhetsstrategi. Synpunkt 2 Dokumentstrukturen är tydlig med indelning i beskrivning och efterföljande mål. Det är fördelaktigt att man i den beskrivande texten anger behovet av helhetssyn och gemensam säkerhetsprocess. Nämnden ser dock ett behov av att övergripande beskriva den riskhanteringsprocess och avvikelsehanteringsprocess som anges som viktiga i texten. Synpunkt 3 Flertalet styr- och måltal är i remissförslaget av kvantitativ art. Önskvärt gällande dessa är en kvalitativ inriktning där man mer mäter effekten av genomförda aktiviteter än som idag då man endast redovisar att man gjort dem. Nämnden inser svårigheten och arbetsinsatsen kring sådan styr- och måltal men ser ändå nyttan klart överväga detta. Synpunkt 4 om utbildning och övning till förtroendevalda. Ingen strategisk aktivitet stödjer denna formulering. Kommer man centralt i regionen ta fram denna typ av utbildning? Synpunkt 5 om IT-säkerhet och att brandskydd påverkar patientsäkerheten. Det får anses att det, ur ett kontinuitetsperspektiv behövs ett betydligt mer övergripande grepp. Man måste tydliggöra beroenden mellan regionens olika processer för att ta fram relevanta krav och behov kring den allmänna säkerheten och mediaförsörjning. Inga mål eller aktiviteter ser till detta behov fullt ut. Synpunkt 6 om den fysiska säkerheten punkt och att det krävs en omformulering för att... den saknar redogörelse för hur viktig den organisatoriska säkerheten (brukarens säkerhetsarbete) är för att upprätthålla det fysiska skyddet. För det andra är det en överdriven formulering att säga att Västfastigheter i huvudsak hanterar det fysiska skyddet. Förenklat kan man säga att fysisk skydd kan delas upp i två delar; konstruktionsskydd och tekniskt skydd. Då vi idag har ett stort antal verksamheter som hyr in sig hos externa fastighetsägare där Västfastigheter har liten eller ingen möjlighet att påverka konstruktionsskyddet och påverkansmöjligheterna gällande det tekniska skyddet endast ligger inom ramen för tecknade avtal enligt Mål 3 i den gamla strategin så är formuleringen olycklig och ger en felaktig helhetsbild. Tilläggas bör också att fysiskt skydd som helhetsbegrepp inte bara hanterar skalskyddet utan även t.ex det byggnadstekniska brandskyddet Synpunkt 7 handlar om förslag på omformuleringar av framgångsfaktorer och aktiviteter. Synpunkt 8 handlar om att Mål 3 och Västfastigheters ansvar bör utgå... i sin helhet då detta numera är ett taktisk pågående arbete och inte ett strategiskt mål. Notering. Synpunkter 1-2 har noterat. Synpunkterna 3-8 är viktiga i det fortsatta arbetet och har noterats beaktats så lång det varit möjligt i det nya förslaget till strategi.

39 13(30) Servicenämnden Servicenämnden har beslutat... föreslår regionkansliet lämna följande förslag till regionstyrelsen : Säkerhetsstrategiska avdelningen ges i uppdrag att utreda mål 4 och dess innebörd. Begreppet administrativa säkerhetstjänster ska vara tydligt definierat och det ska finnas en tydlig viljeinriktning på regional nivå, innan Regionservice kan erbjuda dessa tjänster. Servicenämnden har också som remissvar ställt sig bakom Tjänsteutlåtande där bland annat följande synpunkter framförs. Synpunkt 1 Den nya säkerhetsstrategin skiljer sig inte nämnvärt från föregående. Endast mål 4, är direkt riktat mot Regionservice. Målet är inte tillräckligt formulerat och definierat. Synpunkt 2 handlar om mål 4 och... att Regionservice på särskilda villkor tillhandahåller administrativa säkerhetstjänster till verksamheter i regionens lokaler och i externt hyrda lokaler. Målet är otydligt. Några synpunkter på övriga mål finns inte. Notering. Förslag från Servicenämnden till regionstyrelsen kan med fördel lämnas direkt till regionstyrelsen. Oavsett så har säkerhetsstrategisk avdelning upphört per den 1 september Synpunkt 1-2 har beaktats och målet kompletterats med exempel på vad som kan vara en administrativ säkerhetstjänst Kommittén för rättighetsfrågor Kommittén för rättighetsfrågor har som remissvar ställt sig bakom skrivelse där bland annat följande synpunkter framförs. Synpunkt 1 handlar om koppling säkerhetsarbete och mänskliga rättigheter. Kommittén för rättighetsfrågor ser en koppling mellan säkerhetsarbetet och mänskliga rättigheter bland annat genom Västra Götalandsregionens ansvar att respektera, skydda och uppfylla de mänskliga rättigheterna. Av den anledningen anser kommittén att visionen (avsnitt 2.1) bör ha följande lydelse; Vision och säkerhetspolicy innebär att patienter, studerande, besökande, förtroendevalda och personal ska vara trygga i regionens lokaler och verksamheter. Människor, egendom, rättigheter och miljö ska på bästa sätt skyddas mot hot och faror som kan innebära olyckor, skador, kränkningar eller förluster. Strategin är en vägbeskrivning i detta arbete. Synpunkt 2 handlar om kopplingar mellan säkerhets- och rättighetsarbetet och återfinns under rubriken Säkerhetsprocessen. Där konstateras att, En kris kännetecknas av att betydande värden står på spel eller hotas, ur ett rättighetsperspektiv bör demokrati och mänskliga rättigheter vara sådana värden. Även säkerhetskulturen bör kopplas till mänskliga rättigheter genom att värderingar och attityder bör vara grundade i jämlikhet, icke-diskriminering, delaktighet, ansvarighet och rättsäkerhet. Synpunkt 2 handlar om Mål 6 och säkerhetskultur. Enheten för rättighetsfrågor håller på att planera en utbildning i mänskliga rättigheter vilken kan bidra till en god säkerhetskultur. Utbildningen tar bland annat upp frågor om attityder, värderingar och om hur olika konventioner relaterar till Västra Götalandsregionens verksamheter. Exempelvis att var och en har rätt till liv, frihet och personlig säkerhet (Artikel 3, FN:s deklaration om de mänskliga rättigheterna) eller att konventionsstaterna till det yttersta av sin förmåga säkerställa barnets överlevnad och utveckling (FN:s konvention om barnets rättigheter). Synpunkt 3 handlar om ett inkluderande språkbruk. Ur ett rättighetsperspektiv kan det vara problematiskt att beskriva patienter som objekt (avsnitt 2.2). Dels på grund av begreppets innebörd där objektet blir föremål för olika insatser och välvilja. Inom rättighetsområdet har exempelvis handikapp- och patientorganisationer slagits för rätten till självidentifikation och rätten att utforma livet på egna villkor. Dels ur ett säkerhetsperspektiv där det egna ansvaret tonas ned genom objektifiering av patienter, elever, besökare, personal etc. Av den anledningen föreslår kommittén

40 14(30) följande skrivning; Säkerhetsfrågor kan beaktas var för sig eller i ett s.k. objektperspektiv vilket ökar komplexiteten. En säkerhetsbedömning kan därför behöva bygga på hänsyn till säkerheten inom flera olika områden typ, miljö, brand, IT, administration, juridik och inom området person- och rättssäkerhet. Synpunkt 4 kring säkerhet och tillgänglighet. Ett patientsäkerhetsproblem är hur informationssystemen är anpassade efter personer med skyddad identitet och papperslösa eller gömda personer. Det kan handla om både administrativ och teknisk säkerhet. Beroende på ursprungsland finns det i dag ett omfattande spionage mot asylsökande och flyktingar vilket är viktigt när man hanterar olika informationssystem. I första hand bör mål tre kompletteras med framgångsfaktorer gällande tillgänglighet. Fastighetsbundna säkerhetsanläggningar bör vara utformade med hög grad av tillgänglighet så att dessa även fungerar för personer med såväl funktionsnedsättning som barn och äldre. Notering. Synpunkter 1-2 har noterat. Synpunkt 3 och intressant alternativ text till avsnitt 2.2 har noterats Aktuell text kring objektperspektiv m.m i avsnitt 2.2 har tagits bort. Synpunkt 4 har noterats Patientnämndens kansli Patientnämndernas kansli har som remissvar ställt sig bakom Tjänsteutlåtande där bland annat följande synpunkter framförs. Det noteras att de olika patientnämnderna, PNB, PNU, PNM och PNG har inkommit med ett gemensamt svar. Synpunkt 1 att Patientnämnden (PN)... ställer sig positiv till innehållet i Remissförslag ver. 020, såsom beskrivna utgångspunkter, viktiga säkerhetsfrågor samt de sju strategiska målen. Synpunkt 2 om patientsäkerhet som en viktig säkerhetsfråga. Utifrån PN patientfokus och uppdrag med att bidra till hög patientsäkerhet, ser vi säkerhetsområdet som mycket viktigt. PN tycker att patientsäkerhet bör på ett tydligare sätt återfinnas i de strategiska målen. Synpunkt 3 om att det i patientsäkerhetsberättelse även redovisas... antal inkomna ärenden till Patientnämnderna i VGR. Synpunkt 4 handlar om att PN vänder sig mot att alla i Mål 5 ska avkrävas en ändamålsenlig riskoch krishanteringsorganisation. Notering. Synpunkter 1-2 har noterat och text kring patientsäkerhet har kompletterar enligt synpunkt 3. Angående synpunkt 4 så har ordet alla tagits bort i Mål 5 och ett förtydligande anges i skrivelse till nämnder och styrelser dnr RS Anvisningar till nämnder, styrelser och bolag för hur säkerhetsarbete, säkerhetsläge avseende 2012 ska redovisas till regionstyrelsen Kollektivtrafiknämnden Kollektivtrafiknämnden har som remissvar ställt sig bakom Tjänsteutlåtande och har beslutat... anta liggande remissförslag till Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Förvaltningar som redovisat att man inte har några synpunkter Följande förvaltningar har inkommit med remissvar men har inga synpunkter på remissförslaget. Kulturnämnden Grebbestad folkhögskola Film i Väst

41 15(30) 5. Utgångspunkter av förslag till strategi för perioden Utöver redaktionella justeringar har bifogat remissförslag ver 0.20 justerats med hänsyn till synpunkter i remissvar från nämnder och styrelser. Förslaget till strategi är likt remissförslaget uppbyggd runt 7 strategiska mål med tillhörande framgångsfaktorer, aktiviteter och 10 styr- och måltal som kan följas upp och redovisas till regionstyrelsen. 6. Sammanfattning och konsekvenser av styrelser och nämnders remissvar Följande sammanfattning är en blandning av synpunkter och förslag till åtgärder som kommit fram under remisstiden. IT-säkerhet är en komplex verksamhet med utvecklingspotential och flera remissvar och händelser under hösten 2012 visar på behovet av åtgärder som ökar IT-säkerheten. Strategin för perioden innebär möjlighet till utveckling av säkerheten inom följande områden. IT-säkerheten dvs skyddet i våra IT-system bör förstärkas för att förhindra ytterligare intrång och skadlig kod. I regionen finns ingen strategi för IT-säkerhet. För att stärka IT-säkerheten behövs en särskild IT-säkerhetsstrategi i form av en plan med förslag på åtgärder på kort och lång sikt som skyddar vår IT-miljö mot dataintrång och skadlig kod. Åtgärder som förhindrar rån, stölder och hot. Kontantlös kassahantering bör eftersträvas inom regionens verksamheter. Säkerhetskrav ska anges vid upphandling av varor och tjänster och när avtal träffas med leverantörer av varor och tjänster. Det finns ökade risker när IT-baserade system inte kan kommunicera patientinformation på ett säkert sätt vilket rör patientsäkerheten. Det finns risker och utmaningar med att integrera vårdsystem, kontrollsystem och administrativa system. Gränserna mellan olika IT-baserade system eller SCADA-områden 1 inom sjukvården måste vara tydlig och hållas tekniskt åtskilda. Se vidare Socialstyrelsens föreskrift SOSFS 2008:1 Användning av medicintekniska produkter i hälso- och sjukvården och Läkemedelsverkets skrift kring Medicinska informationssystem. 2) Det medicintekniska produktregelverket, MDD, utgår från ett patientsäkerhetsperspektiv vid användandet av medicintekniska produkter (MTP). Medicintekniska produkter spänner över allt från plåster till röntgenutrustning 3. Under åren har det skett en förskjutning när det gäller patientskador beroende på MTP. Vårdens informationssystem t.ex. journalsystem står för en allt större del av incidenter där patienten riskerar att komma till skada. Utifrån detta har läkemedelsverket sett det som lämpligt att även integrera dessa under detta regelverk. IT-säkerheten kan öka genom identifiering av rutiner/processer i regionens verksamheter som kan automatiseras i perspektiven övervakning, styrning, ledning, beslutsstöd, kontroll och analys. Utöver ökad IT-säkerheten kan också tryggheten för personal, patienter, elever, besökare, kunder och resenärer öka. En automatisk process kan exempelvis vara att identifiera intrång i våra nät. Automatiska processer kan också effektivisera regionens mediaförsörjning exempelvis vad gäller el- och värmeförbrukning. 1 SCADA = Supervisory, Control and Data Acquisition, MSB, Vägledning till ökad säkerhet i industriella kontrollsystem, ISBN: Läkemedelsverket, Medicinska informationssystem vägledning för kvalificering och klassificering av programvaror med medicinskt syfte och SOSFS 2008:1 Användning av medicintekniska produkter i hälso- och sjukvården 3 Lagen om medicintekniska produkter 1993:584

42 16(30) Mindre förvaltningar eller verksamheter har svårt att upprätthålla kompetens och resurser för att identifiera och formulera sina säkerhetskrav. En problematik för dessa verksamheter är att införa relevanta säkerhetsåtgärder i sin verksamhet, vilket även kan vara fallet för verksamheter med stor geografisk spridning. En lösning kan vara att Regionservice erbjuder enhetliga administrativa säkerhetstjänster. Lämpligen samlas dessa tjänster i något som kan benämnas trygghetscentral och samordnas med exempelvis telefonväxeln. En annan lösning kan vara ökad samverkan mellan olika förvaltningar. Exempel på samverkanskluster finns i skrivelse till regionens nämnder, styrelser och bolag, dnr RS Anvisning till nämnder, styrelser och bolag för hur säkerhetsarbete, säkerhetsläge och krishanteringsförmåga avseende 2012 ska redovisas till regionstyrelsen. Regionala och enhetliga redovisningsprinciper för verksamheter som redovisar kostnader för oönskade händelser Fördjupad samverkan mellan olika säkerhetsområden som exempelvis patientsäkerhet och IT-säkerhet Öka säkerheten vid läkemedelshantering inkl. beställningar i Pascal Utformning av regionalt stöd till verksamheter som ska klassificera sina informationstillgångar Klassificering av lokaler utifrån risk och vad som är skyddsvärt efter modell som Västfastigheter tagit fram Kontinuitetsplaner som bygger på genomförda risk- och sårbarhetsanalyser (RSA) Åtgärder för skydd av skyddsvärda uppgifter i våra IT-system Åtgärder för kommunikation (krypteringslösningar) av skyddsvärda uppgifter Åtgärder för säker lagring av skyddsvärda uppgifter Utbildningsinsatser inom områdena personsäkerhet och patientsäkerhet 7. Bilaga Remissversion 0.20

43 17(30) Regionkansliet Jan S Svensson Dnr: RS ver Remissförslag till nämnder och styrelser Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter Innehåll 1. Inledning 2. Utgångspunkter för strategin 2.1. Vision och säkerhetspolicy för säkerhetsarbetet 2.2. Helhetssyn på säkerhetsarbetet 2.3. Säkerhetsprocessen Före Under Efter 2.4. Säkerhetskultur 3. Viktiga säkerhetsfrågor 3.1. Patientsäkerhet 3.2. Krishanteringsförmåga 3.3. Informationssäkerhet Administrativ säkerhet Teknisk säkerhet 4. Sju strategiska mål med styr och måltal Mål 1 Förebyggande arbete inkl klassificering av lokaler Mål 2 Säkerhetsarbete är en ledningsfråga Mål 3 Västfastigheter och fastighetsbunden säkerhet Mål 4 Regionservice och administrativa säkerhetstjänster Mål 5 Risk och krishantering och handlingsplaner Mål 6 Säkerhetskultur och personsäkerhet Mål 7 Rätt och riktig information i rätt tid

44 18(30) 1. Inledning Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter för perioden bygger på utgångspunkter som också är relevanta 5 för perioden Denna uppdaterade regionala strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter är anpassad till senare års lagstiftning 6, föreskrifter från Socialstyrelsen 7 och föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB) 8. I strategin finns som tidigare exempel på aktiviteter och framgångsfaktorer som leder mot sju strategiska mål eller målområden i enlighet med regionens säkerhetspolicy. Till dessa sju målområden finns styr- och måltal som följs upp och redovisas årligen till regionstyrelsen. Strategin är utformad i samverkan med verksamhetsföreträdare och ska vara ett stöd till verksamheter och deras säkerhetsarbete. Utifrån uppställda målområden i säkerhetspolicy beskriver strategin vägen och hur säkerhetsarbetet i regionens verksamheter är tänkt att fungera och bedrivas under perioden Strategin är uppbyggd i två delar. Den första delen, kapitel 1-3, är beskrivande och innehåller avsnitt kring vision, utgångspunkter för strategin, patientsäkerhet, informationssäkerhet, risk- och sårbarhetsanalys och innebörden av säkerhetsprocessen. Den andra delen består av kapitel 4 och innehåller 7 strategiska mål eller målområden med aktiviteter, framgångsfaktorer samt 12 st styr- och måltal. I fortsättningen benämns Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter enbart med begreppet Strategin. När begreppet verksamhet används avses både förvaltning och verksamhet. Med begreppen Västra Götalandsregionen eller regionen avses alltid organisationen 2. Utgångspunkter för strategin 2.1. Vision och säkerhetspolicy för säkerhetsarbetet Vision och säkerhetspolicy innebär att patienter, studerande, besökande, förtroendevalda, och personal ska vara trygga i regionens lokaler och verksamheter. Människor, egendom och miljö skall på bästa sätt skyddas mot hot och faror som kan innebära olyckor, skador eller förluster. Strategin är en vägbeskrivning i detta arbete Helhetssyn på säkerhetsarbetet Helhetssyn på säkerhetsarbetet innebär en förståelse för att säkerhetsfrågor skär igenom alla verksamhetsområden och påverkar verksamhetsplaneringen. Säkerhetsfrågor kan beaktas var för sig eller i ett samlat s.k. objektperspektiv vilket ökar komplexiteten. Om objektet är en patient, 4 Regional strategi för säkerhetsarbetet i Västra Götalandsregionen , dnr RSK , RS och RF Lag (2006:544) om kommuners och landstingsåtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap, Lag (2003:778) om skydd mot olyckor och Säkerhetsskyddslag, SFS 1996:627 6 Patientdatalagen (2008:355), Patientsäkerhetslagen (2010:659) 7 Användning av medicintekniska produkter i hälso- och sjukvården, Socialstyrelsens föreskrifter SOSFS 2008:1 och Informationshantering och journalföring i hälso- och sjukvården, Socialstyrelsens föreskrifter SOSFS 2008:14 och Ledningssystem för systematiskt kvalitetsarbete, Socialstyrelsens föreskrifter SOSFS 2011:9 (ersätter 2005:12) Socialstyrelsens publikation God vård - om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården ISBN: , 8 MSB (Myndigheten för samhällsskydd och beredskap) föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser, MSBFS 2010:6, beslut den 28 september 2010

45 elev, besökare, personal eller politiker kan en säkerhetsbedömning bygga på hänsyn till säkerheten inom flera olika områden typ, miljö, brand, IT, administration, juridik och inom området person- och rättssäkerhet. Säkerheten och kvaliteten i verksamheternas kärnprocesser är beroende av kvaliteten i regionövergripande service och support från driftorganisation för IT, Regionservice och Västfastigheter. Ett systematiskt säkerhetsarbete bygger på att denna service och support fungerar tillsammans med verksamheternas egna krav på hur säkerhetsarbetet ska bedrivas. 19(30) Det regiongemensamma säkerhetsarbetet regleras i säkerhetspolicy, reglemente, riktlinjer, anvisningar och instruktioner. På förvaltningsnivå kan det finnas verksamhetsspecifika föreskrifter och instruktioner. I sjukvården kan allt säkerhetsarbete betraktas som direkt eller indirekt patientsäkerhetsarbete Säkerhetsprocessen En ledstjärna för säkerhetsarbetet är ett enhetligt arbetssätt vilket innebär en säkerhetsprocess där säkerhetsarbetet bedrivs i perspektiven före, under och efter en kris eller oönskad händelse. Riskoch sårbarhetsanalyser (RSA) används för att identifiera tänkbara oönskade händelser, bedöma sannolikheten att det ska hända och vilka konsekvenser det kan få om det händer igen. Att registrera avvikelser från det normala, oavsett om dessa kallas allvarliga händelser, tillbud eller incidenter, är centralt i det systematiska säkerhetsarbetet. Se illustration av säkerhetsprocessen, bild 1 SÄKERHETSPROCESS i VGR FÖRE UNDER EFTER Förebyggande/förberedande Akut avhjälpande Lärande/återuppbyggnad Oönskad händelse Förebyggande Riskanalys Riskvärdering Riskreduktion/kontroll Vardagsolycka Ev. åtgärd Avvikelserapport Allvarlig händelse Åtgärda det akuta läget Avvikelserapport Statistikbearbetning Analys av data Återkoppling Orsaksanalys Analys Åtgärd/återkoppling Förberedande Åtg. för att förbereda effektiv insats Utveckla planer Organisera krishanteringsgrupp Övning Kris / Extraordinär händelse Aktivera operativ plan Bedöm läget Aktivera kommunikationsplan Avvecklande/återuppbyggnad Återgång till normal verksamhet Upprätthåll kommunikation Stöd för anställda Utvärdera och dra lärdom Bild 1 Illustration av säkerhetsprocessen i VGR

46 20(30) Före Förebyggande säkerhetsarbete innebär riskanalys, riskvärdering och riskreduktion/kontroll av risker. En riskanalys är utgångspunkt i arbetet att förebygga, prioritera och åtgärda orsaker till identifierade risker. I det förberedande arbetet ska åtgärder vidtas som möjliggör en effektiv insats när det oönskade inträffar. Det handlar om att upprätta relevanta handlingsplaner, etablera en risk- och krishanteringsgrupp och genomföra övningar. Verksamheter ska ha en risk- och krishanteringsorganisation som samordnar RSA-arbete med övrigt förebyggande arbete som utförs i enlighet med lagen om skydd mot olyckor 9 och föreskrift från MSB 10. Förtroendevalda och personal ska regelbundet få sådan utbildning och övning som behövs för att kunna lösa sina uppgifter när oönskade händelser inträffar Under När en kris, oönskad händelse eller en svår påfrestning inträffar handlar det om åtgärder för att hantera den akuta situationen Vid en kris bedöms situationen av en krishanteringsgrupp och en operativ krishanterings- och kriskommunikationsplan aktiveras. En kris kännetecknas av att betydande värden står på spel eller hotas, begränsad tid står till förfogande och omständigheterna präglas av betydande osäkerhet Efter Analys av inträffade händelser är grunden för ett lärande vilket i sin tur ger förutsättningar att genomföra åtgärder som förbättrar säkerheten. Åtgärder i efterspelet till en kris eller svår påfrestning handlar om återuppbyggnad, återgång till normal verksamhet, upprätthålla kommunikationen, stöd för anställda, utvärdera vad som hända och lära av vad som hände Säkerhetskultur Säkerhetskulturen påverkas av enskilda medarbetares värderingar och beteenden samt de formella och informella regler som finns i organisationen. En god säkerhetskultur innebär en icke bestraffande kultur och ett lärande av fel och misstag. Fokus är att identifiera hur det är, hur vi kan förbättra säkerheten och hur vi förhindra att inträffade oönskade händelser inträffar igen. En god säkerhetskultur innebär att säkerhetsperspektivet är en självklar del i det dagliga arbetet och en självklar del i ledningens arbete. Det råder god säkerhetskultur när alla anställda har kunskap och förståelse för risker och dess konsekvenser i den egna verksamheten. En god säkerhetskultur bidrar till ökad förmåga att hantera oönskade händelser som ändå inträffar. Nyckelord i en god säkerhetskultur är flexibilitet, rättvisa, attityder, beteenden, kommunikation, riskmedvetande och goda arbetsförhållanden. En god säkerhetskultur handlar om att alltid rapportera när något blivit fel En god säkerhetskultur handlar om organisationens och den enskildes förmåga att lära av fel, misstag och av oönskade händelser som inträffat Ett sätt att förbättra säkerhetskulturen är att mäta den, vidta åtgärder och mäta den igen. 9 Lag om skydd mot olyckor, SFS 2003: MSB (Myndigheten för samhällskydd och beredskap) föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser, MSBFS 2010:6, beslut den 28 september 2010

47 21(30) 3. Viktiga säkerhetsfrågor 3.1. Patientsäkerhet För sjukvården är arbetet med patientsäkerhet centralt och en nolltolerans 11 för vårdrelaterade skador gäller. I egenskap av vårdgivare upprättar Västra Götalandsregionen en årlig samlad patientsäkerhetsberättelse utifrån bestämmelserna i patientsäkerhetslagen 12 och Socialstyrelsens föreskrift kring Ledningssystem för systematiskt kvalitetsarbete. Regionens samlade patientsäkerhetsberättelse är en sammanfattning av patientsäkerhetsberättelser som upprättas av regionens utförarförvaltningar inom hälso- och sjukvård. I patientsäkerhetsberättelsen redovisas bland antal inträffade vårdskador, antal tillfällen när vårdskada kunnat inträffa och aktiviteter för ökad patientsäkerhet. Av patientsäkerhetsberättelsen framgår hur många händelser som har utretts enligt patientsäkerhetslagen, hur många vårdskador som har bedömts som allvarliga och hur patientsäkerhetsarbetet i övrigt bedrivs. En stor del av de informationssystem som används inom vården är per definition medicintekniska produkter 13 som kan utgöra ett patientsäkerhetsproblem och särskilt vad gäller kommunikationen mellan olika system. När det gäller samverkan mellan säkerhetsfrågor och frågor kring patientsäkerhet är strävan att föra samman de mer allmänna säkerhetsfrågorna med det som av tradition betraktats om patientsäkerhetsfrågor även om det inte handlar om medicinsk säkerhet. Det står ju idag klart att brister inom t.ex. IT-säkerhet, brandskydd, mediaförsörjning i högsta grad även påverkar patientsäkerheten och därför bör dessa områden beaktas integrerat med medicintekniska produkter Krishanteringsförmåga Föreskrift MSBFS 2010:6 från MSB reglerar vad, hur och när regionen ska redovisa risk- och sårbarhetsanalyser till MSB. Regionens krishanteringsförmåga ska bedömas utifrån genomförda RSA, genomförda åtgärder inför och vid extraordinära händelser. Utgångspunkten är definitionen av en extraordinär händelse som är;... en sådan händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av en kommun eller ett landsting. Att genomföra en risk- och sårbarhetsanalys är inget mål i sig utan ett medel för att identifiera brister och svagheter för att kunna genomföra lämpliga åtgärder som ökar robustheten att motstå oönskade händelser och ökar förmågan att driva verksamheten vidare på ett säkert sätt när oönskade händelser inträffar. En utgångspunkt för regionens samlade säkerhetsbedömning är resultat från verksamheternas genomförda RSA kring risker som kan leda till en extraordinär händelse, indikatorer på krishanteringsförmåga och förmåga att motstå allvarliga störningar. Regionkansliet redovisar årligen regionens samlade säkerhetsarbete, säkerhetsläge, krishanteringsförmåga, person- och informationssäkerhetsarbete till regionstyrelsen och lämna rapport vidare till Länsstyrelsen, Socialstyrelsen och MSB. 11 Västra Götalandsregionens budget för 2012, sid Patientsäkerhetslagen (2010:659) gäller från den 1 januari Läkemedelsverket

48 22(30) 3.3. Informationssäkerhet Arbetet med informationssäkerhet är komplext och kräver samverkan mellan olika kompetenser och engagemang från ledning, informationsägare, systemägare, IS/IT-ansvariga, och alla medarbetare. Informationssäkerhet 14 innebär skydd av information mot olika slags hot. Ett konstruktivt informationssäkerhetsarbete innebär att säkerställa att information i alla dess former, finns tillgänglig när den behövs (tillgänglighet), att den är korrekt (riktighet), att obehöriga inte kan få tillgång till den (konfidentialitet) och att händelser i informations-behandlingen kan spåras (spårbarhet). Begreppet informationssäkerhet kan beskrivas i två huvudområden, teknisk och administrativ säkerhet och illustreras i bild 2 informationssäkerhet administrativ säkerhet teknisk säkerhet policy & ramverk rutiner fysisk säkerhet IT-säkerhet övervakning & kontroll revision & uppföljning datasäkerhet kommunikationssäkerhet Bild 2 Illustration av begreppet informationssäkerhet Administrativ säkerhet Administrativ säkerhet innebär ett säkerställande av regler, rutiner, processer och system som kontrollerar och följer upp att regler och rutiner följs dvs en kvalitetsgranskning. Intern kontroll, revision och riktlinjer för informationssäkerhet ingår 15 i den administrativa säkerheten Teknisk säkerhet Teknisk säkerhet handlar om fysisk säkerhet och IT-säkerhet. Fysisk säkerhet eller skalskyddet hanteras i huvudsak av Västfastigheter och syftar till att skydda den fysiska miljön där information och kommunikationsutrustning finns. IT-säkerhet hanteras i huvudsak av IS/IT organisationen i Västra Götalandsregionen och omfattar åtgärder för att skydda information som finns i våra IT-system och hur den kommuniceras. IT-säkerhet är ett gemensamt ansvarsområde för IT-säkerhetsansvariga och verksamhetsansvariga och ska vara ett stöd och bidra till utveckling av verksamheten. ITsäkerheten har idag en direkt koppling till patientsäkerheten och för att stärka IT-säkerheten i vår IT-miljö under strategiperioden behövs en särskild IT-säkerhetsstrategi. 14 Informationssäkerhet innebär säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (även ansvarighet och oavvislighet) - SIS HB Riktlinjer för informationssäkerhet i Västra Götalandsregionens verksamheter ver 1.0, Beslut RS

49 23(30) 4. Sju strategiska mål med styr- och måltal Regionen har sju strategiska mål för säkerhetsarbetet i regionens verksamheter. De strategiska målen visar vägen mot ökad säkerhet och högre säkerhetsnivå i regionens verksamheter. Till vart och ett av de strategiska målen finns kopplade framgångsfaktorer, aktiviteter styr- och måltal enligt följande. Framgångsfaktorer för respektive mål beskriver förhållanden som underlättar att nå de strategiska målen. Aktiviteter för respektive mål beskriver vad som bör och kan göras för att nå de strategiska målen. Styr- och måltal för respektive strategiskt mål är utgångspunkt för årlig uppföljning och redovisning till regionstyrelsen. Styr- och måltal på verksamhetsnivå är en fråga för styrelsers, nämnders och bolags handlingsplaner. Mål 1 Förebyggande arbete inkl klassificering av lokaler Mål 2 Säkerhetsarbete är en ledningsfråga Mål 3 Västfastigheter och fastighetsbunden säkerhet Mål 4 Regionservice och administrativa säkerhetstjänster Mål 5 Risk- och krishantering och handlingsplaner Mål 6 Säkerhetskultur och personsäkerhet Mål 7 Rätt och riktig information i rätt tid Mål 1 Att förebygga mänskligt lidande, skador, skadeverkningar och kostnader förorsakade av förluster, kriser och oönskade händelser samt att Västra Götalandsregionens egna och externt hyrda lokaler säkerhetsklassificeras enligt modell som Västfastigheter tillhandahåller Framgångsfaktorer för Mål 1 1. Nämnd/styrelse är ansvarig för att: a. incidenter, inträffade skador och risker för skador rapporteras, analyseras och dokumenteras på ett systematiskt sätt samt att relevanta åtgärder genomförs i verksamhet b. verksamhet definierar skyddsvärden/kritiska funktioner/risker i lokaler som hyrs av Västfastigheter eller i externt hyrda lokaler c. förvaltningschef/vd löpande redovisar till nämnd/styrelse verksamhetens säkerhetsarbete, antalet oönskade händelser/avvikelser och dess kostnader 2. Verksamhet a. genomför händelseanalys när något oönskat har inträffat inkl kostnadsberäkning när större oönskade händelser har inträffat b. har personer som är utbildade i risk- och sårbarhetsanalys och/eller händelseanalys c. genomför säkerhetsklassificering av egna och externt hyrda lokaler enligt modell som Västfastigheter tillhandahåller

50 24(30) 3. Västfastigheter ser till att: a. samverkan sker kontinuerligt mellan verksamhet och Västfastigheter angående lokalklassificering och skalskydd b. verksamhet och Västfastigheter avsätter tid och resurser för säkerhetsklassificering av egna och hyrda lokaler c. säkerställa funktionalitet och enhetligt tillvägagångssätt vid tillämpning av modell för säkerhetsklassificering av lokaler Styr- och måltal för Mål 1 1. Andel förvaltningar som har systematisk avvikelsehantering a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % 2. Andel förvaltningar som genomför förvaltningsövergripande RSA minst vartannat år och upprättar handlingsplaner för säkerhetshöjande åtgärder a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % 3. Andel förvaltningar som har inlett eller genomfört en säkerhetskartläggning eller arbete med säkerhetsklassificering av verksamhetens lokaler enligt Västfastigheters s.k. zon-modell eller annan modell som Västfastigheter tillhandahåller a. Måltal för 2012 är 25 % b. Måltal för 2013 är 50 % c. Måltal för 2014 är 75 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 1 1. Nämnd/styrelse ska uppdra till förvaltningschef att: a. avsätta resurser för att genomföra uppgifter enligt denna strategi och återrapportera vidtagna åtgärder till nämnd/styrelse regelbundet varje år b. genomföra relevanta övningar och risk- och sårbarhetsanalyser i verksamheten c. säkerställa att avvikelseregistrering bedrivs i alla verksamheter och rapportering av skador, incidenter, avvikelser, oönskade händelser följs upp och rapporteras till nämnd/styrelse regelbundet varje år 2. Västfastigheter ansvarar för: a. framtagning av en användarvänlig och enhetlig modell för säkerhetsklassificering av Västra Götalandsregionens lokaler och externt hyrda lokaler b. att samverkansmöten mellan verksamhet och Västfastigheter angående lokalklassificeringen genomförs

51 25(30) Mål 2 Att säkerhetsarbetet i regionens verksamheter blir en ledningsfråga och kopplas till en tydlig beslutsordning i styrelser och nämnder Framgångsfaktorer för Mål 2 1. Nämnd/styrelse säkerställer att regionfullmäktiges förväntningar i säkerhetsfrågor kan uppfyllas och att ansvar för säkerhetsfrågorna och den politiska beslutsordningen är tydlig 2. Risk- och krishanteringsfrågor hanteras integrerat med den löpande verksamhetsplaneringen Styr- och måltal för Mål 2 1. Andel förvaltningar som har regelbunden ledningsgenomgång av säkerhetsfrågorna a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 2 1. Nämnd/styrelse ska a. säkerställa att inventering görs av risker och sårbarheter samt b. att handlingsplan upprättas med förslag på åtgärder som ökar motståndskraften (robustheten) att hantera risker och reducera sårbarheter c. årligen rapportera verksamhetens säkerhetsarbete, säkerhetsläge, genomförda riskoch sårbarhetsanalyser och krishanteringsförmåga till regionstyrelsen 3. Förvaltningschef utser person eller funktion att följa upp aktiviteter, styr- och måltal i denna regionala strategi

52 26(30) Mål 3 Att Västfastigheter ansvarar för fastighetsbunden säkerhet i Västra Götalandsregionens egna lokaler och i externt hyrda lokaler Framgångsfaktorer för Mål 3 1. Västfastigheter ansvarar för att: a. disponering av egna resurser sker på sådant sätt att ansvar kan tas för fastighetsbundna säkerhetsanläggningar i regionens verksamheter b. det finns tydliga rutiner avseende beställning, service, felanmälan, åtgärd av fel, återkoppling och uppdatering av IT-system c. det finns en tydlig gränsdragning mellan verksamhetens ansvar och Västfastigheter ansvar vad gäller fastighetsbunden säkerhet Styr- och måltal för Mål 3 1. Andel förvaltningar där Västfastigheter har tagit över ansvar för fastighetsbunden säkerhet a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 3 1. Västfastigheter ska a) kartlägga och tydliggöra, i samarbete med verksamheter, vad som är fastighetsbundna säkerhetsanläggningar för verksamheter i regionens lokaler och i externt hyrda lokaler b) säkerställa de ekonomiska förutsättningarna kopplat till ansvar för fastighetsbunden säkerhet c) utveckla gränsdragningslista mellan Västfastigheter och berörda verksamheter avseende ansvar och innebörd av fastighetsbunden säkerhet

53 27(30) Mål 4 Att Regionservice, på särskilda villkor, tillhandahåller administrativa säkerhetstjänster till verksamheter i regionens lokaler och i externt hyrda lokaler Framgångsfaktorer för Mål 4 1. Servicenämnden har ett särskilt uppdrag att ta fram en handlingsplan med ekonomisk konsekvensbeskrivning vid genomförande av mål 4 2. Regionservice säkerställer att: a. det råder samstämmighet på förvaltningsledningsnivå vad gäller ansvar, uppgifter och innebörd kring administrativa säkerhetstjänster b. det finns enkla rutiner och tydliga instruktioner för beställning av administrativa säkerhetstjänster Styr- och måltal för Mål 4 1. Andel förvaltningar dit Regionservice levererar och/eller erbjuder administrativa säkerhetstjänster exklusive tjänster som levereras av driftansvarig verksamhet för IS/IT a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 4 1. Servicenämnden fastställer en handlingsplan för erbjudande av administrativa säkerhetstjänster till regionens verksamheter 2. Regionservice ska i samarbete med verksamhetsansvariga kartlägga behovet av säkerhetstjänster och erbjuda administrativa säkerhetstjänster

54 28(30) Mål 5 Att alla förvaltningar etablerar en ändamålsenlig risk- och krishanteringsorganisation och upprättar handlingsplaner för att uppnå en relevant säkerhetsnivå Framgångsfaktorer för Mål 5 1. Nämnd/styrelse för respektive verksamhet ansvarar för etablering av en ändamålsenlig riskoch krishanteringsorganisation 2. Verksamheter genomför förvaltningsövergripande risk- och sårbarhetsanalyser särskilt inom områdena IS/IT och mediaförsörjning (el, vatten och gas) minst vartannat år och resultat från analyserna skrivs in i handlingsplaner med förslag på åtgärder som ökar säkerheten och/eller minskar sårbarheten Styr- och måltal för Mål 5 1. Andel förvaltningar som har en beslutad handlingsplan för säkerhetsarbetet a. Måltal för 2012 är 75 % b. Måltal för 2013 är 80 % c. Måltal för 2014 är 90 % d. Måltal för 2015 är 100 % 2. Andel förvaltningar som har upprättat kontinuitetsplaner och/eller kris- och beredskapsplaner a. Måltal för 2012 är 25 % b. Måltal för 2013 är 50 % c. Måltal för 2014 är 75 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 5 1. Nämnd/styrelse beslutar om handlingsplan för säkerhetsarbetet med prioriterade säkerhetsaktiviteter 2. Förvaltningschef/VD ansvarar för att: a. identifiera brister och svagheter i verksamheten b. åtgärder vidtas som skyddar verksamhetens identifierade skyddsvärda objekt och grundläggande värden c. plan finns för kontinuerlig drift av verksamheten när IT slutar att fungera eller när annan oönskad händelse inträffar

55 29(30) Mål 6 Att säkerhetskultur och utbildning i personsäkerhet utvecklas i Västra Götalandsregionens verksamheter Framgångsfaktorer för Mål 6 1. Verksamheten: a. mäter säkerhetskulturen integrerat med medarbetarenkäter b. har ett lärande utifrån händelseanalyser och risk- och sårbarhetsanalyser c. genomför kontinuerliga utbildningsinsatser kring säkerhetskultur och säkerställer att all personal har kunskap om vad som bidrar till en god säkerhetskultur 2. Varje arbetsplats i regionen stävar efter ett öppet och tillåtande psykosocialt klimat där medarbetare vågar och vill rapportera brister och risker i säkerheten samt föreslå åtgärder Styr- och måltal för Mål 6 1. Andel förvaltningar som utbildar sin personal i personsäkerhet a) Måltal för 2012 är 75 % b) Måltal för 2013 är 80 % c) Måltal för 2014 är 90 % d) Måltal för 2015 är 100 % 2. Andel förvaltningar som mäter säkerhetskulturen e) Måltal för 2012 är 75 % f) Måltal för 2013 är 80 % g) Måltal för 2014 är 90 % h) Måltal för 2015 är 100 % Aktiviteter för Mål 6 1. Alla medarbetare i regionens verksamheter ska a) ges möjlighet att föreslå åtgärder på hur säkerhetskulturen kan förbättras b) få utbildning kring säkerhetskultur och regionala och förvaltningsspecifika säkerhetsregelverk

56 30(30) Mål 7 Att rätt och riktig information når rätt mottagare i rätt tid Framgångsfaktorer för Mål 7 1. Verksamheten: a. har en tydlig ansvarsfördelning, dokumenterade och kända rutiner vid användning av IS/IT-system b. har kompetens att identifiera och formulera säkerhetskrav genom informationsklassificering och risk- och sårbarhetsanalys i verksamheten c. beaktar krav-, funktions- och säkerhetsspecifikation och riskanalys vid upphandling av IS/IT-system och medicintekniska informationssystem 16 d. mäter tillsammans med driftansvarig för IS/IT mäter regelbundet kvaliteten på leveranser av IT-tjänster med hjälp av ex vis nyckeltal 2. Verksamheten kartlägger och identifiera vilka IS/IT-system som ska kravställas utifrån det medicinska produktdirektivet (MDD) vilket innebär identifiering av vilka system som a. är CE-märkta b. är egentillverkade c. behöver åtgärdas för att uppfylla kraven i MDD som exempel integrationer mellan Melior och andra system Styr- och måltal för Mål 7 1. Andel förvaltningar som har identifierat och klassificerat skyddsvärd information a. Måltal för 2012 är 50 % b. Måltal för 2013 är 75 % c. Måltal för 2014 är 85 % d. Måltal för 2015 är 100 % 2. Andel förvaltningar som har kända rutiner som kan tillämpas i händelse av IT-avbrott a. Måltal för 2012 är 50 % b. Måltal för 2013 är 75 % c. Måltal för 2014 är 85 % d. Måltal för 2015 är 100 % Aktiviteter för Mål 7 1. Nämnd/styrelse/informationsägare ska a) säkerställa att verksamhetens processer identifieras och informationen klassificeras b) identifiera vilka IS/IT-system som är att betrakta som medicintekniska produkter c) säkerställa att det finns tydliga och kända rutiner som kan tillämpas i händelse av ITavbrott i verksamheten 2. Förvaltningschef/VD/verksamhetschef ska säkerställa att brister, risker, funktionsfel och incidenter/avvikelser som påverkar tillgänglighet, riktighet, insynsskydd och spårbarhet avvikelserapporteras, åtgärdas och följs upp 3. IS/IT-direktör ska utifrån verksamhetens klassificering och formulerade säkerhetskrav på IS/IT-system och medicintekniska produkter utforma en plan och genomföra åtgärder för utveckling av teknisk säkerhet 16 se vidare ex.vis SS-EN vid förändringar i IS/IT-miljön, och ISO 20000

57 Ärende 9

58

59

60

61

62

63

64 Ärende 10

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94 Ärende 11

95

96

97

98

99

100

101

102

103

104

105

106 Ärende 12

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122 Ärende 13

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138 Ärende 14

139 Ärende 15

140 Tjänsteutlåtande Datum Diarienummer RS RS Kansli Handläggare Elisabet Ericson Anmälningsärenden Granskningsrapporter från revisorskollegiet Granskning av regionens hantering av immateriella tillgångar Dnr RS Länk till rapporten: POSTADRESS: Regionens Hus Vänersborg BESÖKSADRESS: Residenset, Torget Vänersborg TELEFON: HEMSIDA: E-POST:

141

142

143 Granskning av regionens hantering av immateriella tillgångar Dnr: Rev Genomförd av: KPMG Behandlad av Revisorskollegiet den 27 mars 2013