I rapporten står att Region Skåne inte har ”säkerställt medborgarens integritet då patientinformation i journalsystem endast delvis är skyddade mot obehöriga”.

Revisorerna menar att informationssäkerhetsarbetet inte är ”i nivå med de krav som ställs i lag och i interna styrdokument”. I rapporten konstateras även att regionen bara delvis har ett tillräckligt skydd för sina databaser och system.

– Vi tar den här kritiken på väldigt stort allvar. Vi har känt till den länge. Med tanke på det har vi arbetat frenetiskt både på strategisk, taktisk och operativ nivå för att ta fram en plan för hur vi ska åtgärda de här bitarna så snabbt som möjligt, säger Boris Berberovic, informationssäkerhetschef på Region Skåne, till SVT Nyheter Skåne.

Oklara skyddsbehov

Enligt rapporten saknas det dessutom en samlad bild av vilka skyddsbehov som finns för Region Skånes informationstillgångar ”då informationsklassning och riskbedömning inte genomförts i tillräcklig omfattning”.

Vems ansvar är det att skåningarnas patientuppgifter inte är helt skyddade just nu?

– Det är svårt för mig att säga vems ansvar det är. Det står i rapporten att det inte är jättetydligt. Hur man ska tydliggöra det här ansvaret, är något jag tar med mig i arbetet framåt, säger Region Skånes informationssäkerhetschef Boris Berberovic, till SVT.

Senast den 28 mars nästa år ska Region Skåne lämna in vilka åtgärder som utförts samt vilka som planeras.

Informationssäkerhetschefen tillträdde sin tjänst på Region Skåne i slutet av augusti i år. Han har som mål att samtliga brister ska vara åtgärdade inom ett år.