Analyskommissionens slutrapport avseende driftstoppen som drabbade TakeCare den 11 juni och den 18 juni 2013



Relevanta dokument
BESLUT. Avdelning öst Lars Asteborg Karolinska Universitetssjukhuset Chefläkaren STOCKHOLM

Anmälan enligt Lex Maria om problem med journalsystemet Take Care vid Karolinska Universitetssjukhuset i Stockholm, dnr K

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Testbädd för IT inom hälso- och sjukvård NordicMedTest. I samverkan för skapandet av nationellt testcenter för vårdinformationsystem

Framtidens vårdinformationsmiljö SLL

Allmänna riktlinjer för e-tjänsten Journalen

Förstudie: Övergripande granskning av ITdriften

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Elektroniskt högkostnadsskydd och frikort

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Allmänna riktlinjer för e-tjänsten Journal via nätet

NPÖ konsument över Internet/Kunskapsöversikt NPÖ. Lars Törnblom/ Marita OlssonNarving Sveriges kommuner och landsting

Strömavbrottet påsken 2007 vid Karolinska sjukhuset Huddinge. KAMEDO-rapport 93

23 Svar på skrivelse från Jonas Lindberg (V) om journalsystemet på Capio S:t Görans sjukhus HSN

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

RUTIN FÖR DRIFTSÄTTNING

Strömavbrottet påsken 2007 vid Karolinska sjukhuset Huddinge. KAMEDO-rapport 93

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Stockholms läns landsting 1 (4)

ELVIS & SURF Test version 5.0

att Modell för samverkan mellan Stockholms läns landsting och pensionärsorganisationer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Journal via nätet - Beskrivning och tjänstespecifika villkor

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Incident SIL

1 Landstingsstyrelsens förvaltning. Strategisk IT i SLL. Vad ska vi vara för vem och vad ska vi göra för dem?

Nämnden beslöt att begära skriftlig återföring i ärendet senast den 1 oktober 2014.

Hur tar jag företaget till en trygg IT-miljö i molnet?

Avtal LK 09-0

Vårdgivares anslutning till NPÖ Introduktion för Verksamhetschefer och Införandeansvariga

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Framtidens vårdinformationsmiljö September 2018

Cosmic: Reservrutin vid driftstopp

Arbetsplatstjänsten / SUA

Övergripande granskning av IT-driften - förstudie

Allmänna villkor. för Mina meddelanden. Bilaga 4 Servicenivåer (SLA) version 1.0 (Gäller fr.o.m )

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Halland förfrågan angående valfrihetssystem

Framtidsplan för hälso- och sjukvården

Palliativ vård, uppföljning. Landstinget i Halland. Revisionsrapport. Mars Christel Eriksson, certifierad kommunal revisor

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Elektroniskt högkostnadsskydd och frikort

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser)

Återföring. Remisshantering

Landstingets styrning och kontroll av ITavbrottsplaner

Fallstudie WM-data Public Partner/ Danderyds Sjukhus 1,2 miljoner e-recept och laboratoriesvar genom landstingets stora meddelandetjänst

Sammanhållen journalföring information till dig som möter patienter

(Formuläret ifylls och med tabbpilarna förflyttas Du till nästa/föregående fält.)

Öppnade av principärendet

Framtidens vårdinformationsmiljö. September 2018

Beredningen för integritetsfrågor

PM 2015:127 RVI (Dnr /2015)

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Tekniskt driftdokumentation & krishantering v.1.0

TJÄNSTEBESKRIVNING APPLIKATIONSDRIFT

Elektroniskt högkostnadsskydd och frikort

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

6 Yttrande över Remiss Gemensam upphandling av telefoni för Region Stockholm HSN

Patientdatalagen (PdL) och Informationssäkerhet

Frågor och svar om Journal via nätet i SLL

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Bilaga 1. Definitioner

Förnyad certifiering av driftleverantörerna av Ladok

Strategisk informatik Informationsmöte

LS Uppföljning av vilka åtgärder som vidtagits med anledning av den nya lagstiftningen om minoriteter och minoritetsspråk

Återföring: Principärende rörande vård av patienter med cancersjukdom

Datum Dnr Strategi - Begränsa beroendet av bemanningsföretag

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

1. SLUTSATSER OCH REKOMMENDATIONER UTGÅNGSPUNKTER FÖR GRANSKNINGEN...2

Informationssäkerhetspolicy för Vetlanda kommun

Nationell patientöversikt en lösning som ökar patientsäkerheten

Hur ser tidsplanen ut för införandet i Region Halland?

Generella IT-kontroller uppföljning av granskning genomförd 2012

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

HUR MAN LYCKAS MED BYOD

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Avtal om Kundens användning av

Studerandens möjligheter att ta del av och använda patientuppgifter

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy inom Stockholms läns landsting

E-fakturaprojektet inom SLL 2005

Hur får vi fart på informationsutbytet i vård och omsorg?

Granskning av behörigheter till journalsystemet

Uppföljningsrapport IT-revision 2013

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Revisionsrapport. IT-revision Solna Stad ecompanion

Projektdirektiv. Hälso- och sjukvårdsförvaltningen [Nämnd/Förvaltning/alternativt blank] Teknisk anslutning av TakeCare till Journalen via nätet

Icke funktionella krav

Virtuell Server Tjänstebeskrivning

Strategi för systematisk uppföljning och granskning av hälso- och sjukvården i Stockholms läns landsting

IIII Patientnämnden STOCKHOLMS LÄNS LANDSTING

Samordning och styrning av läkares specialiseringstjänstgöring

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Specifikt ägardirektiv Karolinska Universitetssjukhuset

Ekonomistyrningsverket. Granskning av upphandlade e-handelstjänster

Granskning av landstingets hantering av personuppgifter

Vårdgivares anslutning till NPÖ Introduktion för Verksamhetschefer och Införandeansvariga

att inleda upphandling av kärnsystem inom ramen för 3R-Framtidens vårdinformationsmiljö

Transkript:

Bilaga 1. 1 (7) Landstingsstyrelsens förvaltning 13-10-11 Version 1.0 Analyskommissionens slutrapport avseende driftstoppen som drabbade TakeCare den 11 juni och den 18 juni 2013 Inledning TakeCare drabbades av två driftstopp den 11 juni och den 18 juni 2013. Stoppen orsakade stora problem för vårdgivarnas verksamheter. På uppdrag av Landstingsdirektören och Centrum Samverkan TakeCare (CSTC) tillsattes en analyskommission i direkt anslutning till driftstoppen i syfte att klarlägga vad som orsakade händelserna och utforma ett förslag till kortsiktig och långsiktig åtgärdsplan. En första och övergripande delrapport distribuerades i början av juli. Efter vidare analys kan vi nu validera de slutsatserna i denna slutrapport. Slutrapportens syfte är att belysa vad som orsakade de båda driftstoppen och beskriva planerade och redan påbörjade åtgärder. Analyskommissionens arbete har letts av Susanne Bayard, IT-direktör i SLL. Rapporten kommer att lämnas till Landstingsdirektören och till styrelsen för Samverkan TakeCare (STC). Sammanfattning Den 11 juni och den 18 juni 2013 stannade TakeCare utan förvarning och utan att några larm utlösts. Återställningsarbetet tog sex respektive fem timmar. Driftavbrotten innebar att verksamheterna tvingades använda reservrutiner under tiden avbrotten pågick. Den direkta orsaken till driftstoppen, ett fel i operativsystemet AIX, åtgärdades redan samma kväll för det andra stoppet, den 18 juni. Chefläkarna med en representant från varje vårdgivare som använder TakeCare i Stockholm har gemensamt anmält driftavbrotten enligt lex Maria. Vid datum för denna rapports slutförande har inga anmälningar om patientskador inkommit.

2 (7) På analyskommissionens rekommendationer har ett åtgärdsprogram utarbetats av Centrum Samverkan TakeCare och detta program är under genomförande på uppdrag av Styrelsen för Samverkan TakeCare. Bakgrund TakeCare är det mest använda journalsystemet inom Stockholms Läns Landsting, SLL. Centrum Samverkan TakeCare (CSTC), som linjemässigt är organiserat inom Karolinska Universitetssjukhuset, är formell beställare av systemet. Förvaltningen av systemet sköts gemensamt inom Samverkan TakeCare under ledning av CSTC. Samverkan TakeCare är en frivillig sammanslutning av de cirka 125 vårdgivare som använder TakeCare-systemet för journalföring och informationsstöd för vårdprocesser. De största vårdgivarna inom SLL är Karolinska Universitetssjukhuset, Stockholms Läns Sjukvårdsområde (SLSO), Södersjukhuset, Danderyds sjukhus, Södertälje Sjukhus och S:t Eriks Ögonsjukhus. Privata vårdgivare i Stockholms län och sjukvården på Gotland använder också systemet och är med i Samverkan TakeCare. De berörda vårdgivarna har ca 40 000 anställda. Samverkan TakeCare leds av en styrelse sammansatt av representanter från SLL-ägda vårdgivare där en av sjukhusdirektörerna är ordförande. Journalsystemet TakeCare erbjuder en effektiv möjlighet för informationsöverföring mellan vårdgivarna; sammanhållen journalföring. Denna möjlighet ställer krav på säkerhetslösningar som är inbyggda i systemet för att skydda patientens integritet. Med åren har TakeCare utvecklats och kompletterats med fler och fler funktioner för att stödja vårdens många olika arbetsprocesser. Integrationer har byggts till andra system som t.ex. för remiss- och svarshantering mot laboratoriesystem. Det finns även flera kringsystem för separata funktioner som t.ex. bildhantering och integrationer i realtid. Kort sagt utgör TakeCare med kringsystem en komplex IT-miljö som hanterar stora mängder journalinformation. Som produkt ägs och levereras TakeCare av företaget CompuGroup Medical Sweden AB (CGM). Driften av systemet sköts av SLL:s interna IT-avdelning SLL IT. Översiktlig systembeskrivning Systemet är hårdvarumässigt redundant med servrar placerade i två separata och geografiskt åtskilda datorhallar. Serverplattformen bygger på IBM 750 och AIX. Produktionen drivs i en primärserver och den andra är

3 (7) att betrakta som sekundär. Med en server i vardera datorhall sker växling mellan de två siterna manuellt varje månad nattetid under servicefönster och då byts sekundär respektive primärserver logiskt med varandra. All registrering av data sker samtidigt i båda installationerna i löpande produktion. Genom att växelvis flytta produktionen mellan servrarna säkerställs att varje miljö alltid fungerar. Med två miljöer finns en reservmiljö i stand by läge om den andra skulle fallera. Mjukvarulösningen TakeCare är snabb men samtidigt mycket känslig när stopp sker på ett okontrollerat sätt. Den ordinarie processen att återläsa senaste säkerhetskopia/backup och aktuella transaktionsloggar kräver många manuella steg och tar tid. För att förkorta tiden för återläsning har leverantören av TakeCare utvecklat en separat lösning kallad Warm Spare. Denna lösning är snabbare eftersom den vid ett eventuellt driftsavbrott redan har läst på flera transaktionsloggar. Händelserna Driftstoppet Incidenterna den 11 juni 2013 och den 18 juni 2013 började båda med att den aktuella primära produktionsservern startade om utan föregående varning. Arbetet på SLL IT påbörjades omedelbart enligt incidentrutinerna. Automatiska meddelanden gick ut via mail och sms till Incidentmanager och driftoperatör i beredskap. Om program och operativsystem stannar utan förvarning skapas s.k. minnesdumpar. De innehåller begränsad men användbar information om varför processer plötsligt slutat fungera, och de är viktiga för felsökning. Det är i princip bara leverantören av programvaran som kan läsa och tolka dessa minnesdumpar. Vid driftavbrottet den 11 juni skapades ingen minnesdump vilket försvårade felsökningen avsevärt. Efter rekommendation från datorleverantören IBM ändrade SLL IT ett antal parametrar i dump-funktionen. Syftet var att få bättre analysmaterial om felet skulle uppstå på nytt. Vid avbrottet den 18 juni erhölls en komplett minnesdump som skickades till IBM för analys. Analyserna visade att driftavbrottet berodde på ett programfel i serverplattformen AIX. IBM rekommenderar åtgärder och ger instruktioner om detta. SLL IT följde omedelbart IBMs rekommendationer och redan på kvällen den 18 juni åtgärdades felet. Den akuta risken för ett nytt stopp av denna karaktär bedöms i och med åtgärden nu vara minimal. Med största sannolikhet berodde driftstoppet den 11 juni 2013 på samma fel, men detta har inte kunnat verifieras. Läskopian Den s.k. läskopian, d.v.s. den ordinarie reservlösningen för att kunna läsa journaler under driftavbrott aktiverades vid avbrotten. Inledningsvis var

4 (7) det långa svarstider på läskopian. Detta vållade stor frustration i verksamheterna. Först efter att läskopian kompletterats med både mer minne- och processorkapacitet blev svarstiderna acceptabla igen. De långa svarstiderna berodde på för låg kapacitet i den underliggande tekniska miljön. Åtkomsten till läskopian försvårades också av att rutinerna hos flera vårdgivare för att uppdatera de specifika läskopie-klienterna inte skötts. När servern har för hög last och svarstiderna är mycket långa kan det ta mycket lång tid (mer än 30 min) att uppdatera en klient. Detta gjorde det svårt för vårdgivarna att logga in i läskopian eftersom klienten uppdaterar sig innan den låter användaren logga in. Återställningsarbetet Återläsningslösningen Warm Spare användes vid båda driftstoppen. Beslutet att använda Warm Spare innebar att tiden för återstart kunde reduceras till sex respektive fem timmar 1. Det har tagits flera initiativ under åren för att förkorta återställningstiderna. Åtgärder har bedrivits i olika form, både i projektoch förvaltningsform. Målsättningen har varit att uppnå en återställningstid av TakeCare på maximalt två timmar, men den har ännu inte kunnat infrias. Processer och organisation SLL IT sköter driften av TakeCare och använder ITIL som metod och praxis. Det finns en ordinarie Incident Manager (IM) på heltid och fem ställföreträdande personer som kan ta över när ordinarie inte är på plats. Motsvarande organisation finns för Problem Manager (PM). Det finns en prioritetsordning på incidenter: Prio4, Prio3, Prio2 och Prio1. Kommissionen konstaterar att alla involverade parter gjorde betydande och bra insatser medan incidenterna pågick. Men utifrån genomförda intervjuer framkommer det att det fanns oklarheter i relationerna mellan parterna d.v.s. CSTC, CGM och SLL IT. Dock påverkade inte detta återstartstiden. CSTC är formell beställare av TakeCare och CGM är leverantör. Det är till exempel oklart hur och under vilka villkor som SLL IT som driftorganisation kan åberopa resurser hos CGM i samband med driftstopp och incidenter och vice versa. Effekter i vården Chefläkarna från Danderyds sjukhus, Södersjukhuset, S:t Eriks ögonsjukhus, Södertälje sjukhus, Karolinska Universitetssjukhuset, Stockholms sjukhem, Stockholms Läns Sjukvårdsområde (SLSO), Aleris Healthcare samt Gotland har gemensamt anmält driftavbrotten enligt lex Maria. 1 Vid driftstoppet 2008 fanns inte Warm Spare lösningen. Då tog det upp till 25 timmar att återstarta TakeCare.

5 (7) Vid avbrott finns rutiner i vården för manuellt arbete, d.v.s journalanteckningar dikteras eller förs på papper för att senare skrivas in. Prover och svar till laboratorier hanteras också via pappersremisser och fax. Det har framkommit att informationen till användarna i verksamheterna varierade i kvalitet under pågående driftavbrott. Flera användare har heller inte vetat var de skall söka aktuell information beträffande driftstörningarna. Något som ligger inom varje vårdgivares ansvarsområde. Rekommendationer Analyskommissionen lämnade i juni en delrapport med följande preliminära rekommendationer och förslag på åtgärder: Omgående testa och implementera aktuell felrättning från leverantör. Omgående kvalitetssäkra läskopian så att adekvat prestanda erhålls samt genomför ett informationsprogram till vårdgivarna som tydligt anger deras ansvar och vilka rutiner som ska användas för att läskopian ska fungera som avsett. Utred parallellt möjligheten att ta fram en reservlösning för att kunna diktera och skriva journalanteckningar vid driftavbrott. Omgående förbättra lösningen för att återläsa och starta om TakeCare vad gäller funktioner, rutiner och implementering, i syfte att förkorta återställningstiden vid driftsstopp. Prioritera arbetet för att säkerställa en stabil drift för TakeCare, inklusive kontinuitetsplanering och återstartsfunktioner, framför arbete med eventuell nyutveckling. Tillsätt resurser för att etablera en ändamålsenlig testmiljö där fullskaliga tester kan göras inför driftsättning. Därmed kan kvalitetssäkrade leveranser erhållas på ett annat sätt än idag. Utarbeta en bredare krisplan och öva rutiner för att vid en eventuell händelse ha en organisation där alla vet vilka roller och ansvar man har. Genomför täta säkerhetsgranskningar i enlighet med gällande riktlinjer för informationssäkerhet för att åstadkomma en ökad kvalitet i leveransen. Det pågår idag ett arbete gällande förutsättningarna för en framtida teknisk plattform som möter behoven i framtidens hälso- och sjukvård. I detta arbete bör såväl funktionell som icke-funktionell kravställning ingå. Funktionella krav beskriver funktionaliteten hos det önskade systemet som oftast består av något slags beräkning och resultat, given specifikt indata. Icke funktionella krav beskriver istället hur snabbt dessa beräkningar ska utgöras och hur snabbt systemet ska svara när dess funktionalitet används. Åtgärdsprogram Med rekommendationerna ifrån delrapporten som grund har styrelsen för samverkan TakeCare beslutat om ett åtgärdsprogram för att säkerställa

6 (7) driftsäkerhet och kontinuitet i verksamheterna vid eventuella avbrott. Åtgärderna innebär att drift- och förvaltningsbudgeten för TakeCare ökar med cirka 10 miljoner kronor per år. Åtgärdsprogrammet för säkerställande av driftsäkerhet ska klarlägga och tydliggöra roller, arbetsuppgifter och ansvarsförhållanden i samarbetet mellan vårdgivarna, CSTC, SLL IT, CGM, och övriga leverantörer. Med utgångspunkt i klarlagda roller, arbetsuppgifter och ansvarsförhållanden ska åtgärdsprogrammet också säkerställa: att vårdgivarnas kontinuitetsplaner är samordnade och övade i samverkan med CSTC. Status: Pågår att CGM levererar en väldokumenterad och driftbar TakeCare-produkt. Fokus ska vara åtgärder som möjliggör återställningstid 2 timmar och minimerad dataförlust vid haveri och överenskommen säkerhets- och kostnadsnivå. Status: Pågår att SLL IT kan verifiera leveranser från CGM ur driftbarhetsperspektiv genom att nya resurser/kompetenser tillförs till SLL IT för att bland annat granska och testa i fullskalig miljö innan produktionssättning Status: Pågår att driften på SLL IT är stabil, genom att förstärka resurserna inom Applikationsdrift. Status: Pågår att läskopian har tillräcklig kapacitet och tillgänglighet. Status: Pågår att pågående arbete med att förbättra informationssäkerheten i TakeCare verkställs. Status: Pågår Åtgärdsprogrammet som leds av CSTC kommer att pågå året ut och avslutas med en praktisk övning under första kvartalet 2014. De mest akuta åtgärderna såsom att läskopian har tillräcklig kapacitet och tillgänglighet kommer vara slutförd i mitten av oktober. Slutord Verksamhetsstödet och nyttan är hög i ett stort län som Stockholm genom att majoriteten av vårdgivarna arbetar i ett gemensamt journalsystem. Detta gynnar patienterna i hög grad med snabbare administrativ hantering av vårdprocesser. Dessutom kan, i enlighet med gällande lagkrav, information som är kritisk rörande patienten göras tillgänglig mellan vårdgivarna på ett effektivt sätt. Analyskommissionen konstaterar att driftavbrotten i huvudsak orsakades av brister i tekniken. Gällande katastrofplan hos CTSC och rutiner på SLL IT vid avbrott i TakeCare tillämpades och fungerade. De tekniska och processmässiga brister som behöver åtgärdas enligt ovan åtgärdsplan kommer att kräva investeringar som i sin tur leder till en högre kostnad för de Vårdgivare som medverkar i Samverkan TakeCare. Styrelsen för Samverkan TakeCare har godkänt ökade kostnader för kortsiktiga förbättringsåtgärder för att säkerställa tillgängligheten till det gemensamma journalsystemet.

7 (7) Långsiktiga åtgärder kan komma att kräva än mer investeringar beroende på leverantörens rekommenderade driftmiljö som skall vara klar under hösten samt prognoser på nya tillämpningar och nyttjandegrupper som tillkommer med nationella och regionala IT-initiativ kopplat till ehälsostrategin. Nu prioriteras en stabil driftmiljö före andra ändringar i systemet. Det projekt som initierats i samverkan med Västra Götalandsregionen och Region Skåne avseende Framtidens vårdinformationssystem bör om möjligt accelereras.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss