Revisorerna konstaterar att det strukturerade riskarbetet påbörjades för sent och att konsekvens- och lämplighetsbedömning fastställdes efter att journalsystemet driftsatts.
– Det är synnerligen viktigt att beslut gällande riskanalyser, lämplighetsbedömningar och liknande dokumenteras skriftligt, säger Bjarne Hald, förtroendevald revisor.
Kritiseras på flera punkter
Revisorerna framför kritik även på en rad andra punkter, bland annat var test- och granskningsresultatet inte tillfredsställande innan drift.
De har lämnat fyra rekommendationsåtgärder (se faktaruta).
– Vår bedömning är att regionstyrelsen inte säkerställt att implementering av nytt vårdinformationssystem skett i enlighet med gällande lagstiftning och på ett ändamålsenligt sätt, konstaterar Krister Hammarbergh.
Regionrådet: Tvingades till snabbt beslut
Regionrådet Anders Öberg (S) säger att man hade velat vänta längre med införandet, men att man var tvungen att hänga med andra regioner.
– När vi klev på mandatperioden insåg vi att själva införandeprojektet inte fått tillräckligt med resurser.
Läkare har velat se åtgärder från regionen då de poängterat att införandet av Cosmic fortsätter att ta tid från patienterna och vården i Norrbotten.
ÅTGÄRDERNA REVISORERNA VILL SE
- Säkerställa att de höga risker som inte kunnat reduceras innan driftsättning, följs upp och åtgärdas.
- Säkerställa att slutgiltiga beslut avseende beslut om driftsättning, fastställande av riskanalyser, lämplighetsbedömning och liknande motiveras skriftligt.
- Säkerställa att de handlingsplaner (inklusive ytterligare tester och fortsatta externa granskningar av leverantören) som överlämnas från projektet till förvaltningen av vårdinformationssystemet genomförs.
- Säkerställa att riskanalyser avseende informationssäkerhet, konsekvensbedömningar avseende dataskydd samt lämplighetsbedömningar avseende sekretess, påbörjas i ett tillräckligt tidigt skede i framtida upphandlingar och införanden av IT-system och -tjänster.
Källa: Region Norrbottens revisorer