UiO:

Ny rapport med krass kritikk av klinikken

Store svakheter i rutiner og i oppfølging av lover og regler, heter det i internrevisjonens rapport om driften av klinikken på Psykologisk institutt.
Kluges Advokatfirma AS sin rapport om klinikkdriften ved Psykologisk institutt ble offentliggjort på et allmøte. I dag foreligger rapporten fra Internrevisjonen. Den er like hard i sin kritikk av klinikkdriften.
(Foto: Ola Sæther)

Kluges Advokatfirma AS sin rapport om klinikkdriften ved Psykologisk institutt ble offentliggjort på et allmøte. I dag foreligger rapporten fra Internrevisjonen. Den er like hard i sin kritikk av klinikkdriften. Foto: Ola Sæther

Helhetlig styring og kontroll ved virksomheten har ikke vært tilfredsstillende. Det er hovedkonklusjonen i internrevisjonens rapport om klinikkdriften ved Psykologisk institutt. Det er betydelige svakheter i internkontrollrutiner og etterlevelse av lover og regler, avdekker rapporten som ble klar tirsdag formiddag, skriver Uniforum.

Ikke kontroll på sensitive data

Internrevisjonen legger fram sin rapport om klinikkdriften ved Psykologisk institutt til universitetsstyret i dag. Det skjer en uke etter at rapporten fra Kluges Advokatfirma AS ble offentliggjort på UiOs nettsider og på et allmøte på Psykologisk institutt, Rapporten fra Internrevisjonen ble også bestilt av universitetsdirektør Gunn-Elin Aa. Bjørneboe etter at klinikkdriften ved Psykologisk institutt ble stengt på dagen 10. oktober etter at det var kommet meldinger om at klinikken trolig ikke ble drevet etter gjeldende lover og forskrifter.

I rapporten fra Internrevisjonen går det fram at det har vært betydelige svakheter i internkontrollrutiner og i etterlevelse av lover og regler. Det har ikke vært kontroll på hvem som har tilgang til personsensitive data. Journaler og helseregistre har vært åpne for betydelig flere enn det krav i lov og forskrifter tillater. Risikoen for uautorisert tilgang har eksponert pasienter og UiO for uønskede hendelser innen personvern. Det er iverksatt strakstiltak på området, heter det i rapporten som først ble lagt ut på UiOs nettsider klokka 10.16 i formiddag. 

Les hele rapporten fra Enhet for intern revisjon her

Mangel på helhetlig kontroll

I pressemeldingen som er lagt ut på UiOs nettsider, går det fram at det på  rapporteringstidspunktet ikke er avklart om det er krav til konsesjon fra Datatilsynet vedrørende behandling av sensitive personopplysninger i undervisningsvirksomheten. Det pågår et betydelig arbeid med å etablere rutiner og lukke svakheter. Tiltakene har ulik kompleksitet og omfang, heter det.

Årsakene til svakhetene skyldes etter vår vurdering mangel på helhetlig intern kontroll, ikke tydelige roller og ansvar og mangelfull kontrollbevissthet. Risikovurderinger er ikke utført og det er heller ikke stilt krav til det, heter det i pressemeldingen.

Anbefaler flere tiltak

I rapporten anbefaler Internrevisjonen flere tiltak, ifølge Uniforum:

Ett av dem er at Enheten for helse, miljø, sikkerhet og beredskap (HMSB)  skal yte ytterligere bistand for å gjøre vurderinger av sikkerheten og beredskapen.  Dessuten skal det vurderes bistand fra Eiendomsavdelingen for praktisk og sikker innretning av klinikk. Det blir også anbefalt å styrke både administrativ kapasitet og kompetansen om internkontroll og sikkerhet for ansatte og studenter.

Internrevisjonen anbefaler også at det blir satt i gang risikovurderinger en til to ganger i året eller oftere ved behov. I hele styringslinjen blir det anbefalt at roller og ansvar må tydeliggjøres.  Hjemmesiden og Facebooksiden til Psykologisk institutt bør uttrykkelig opplyse om at personsensitive opplysninger ikke må sender via e-post.

En annen anbefaling er at det blir innført en rutine slik at instituttet flere ganger i året gjennomgår autorisasjoner, tilganger og logger.  Dessuten anbefaler rapporten at det skal følges opp at alle studenter leverer politiattest før behandling av pasienter. I tillegg må det kontrolleres at alle taushetserklæringer er innhentet fra alle før pasientbehandling.

Det er også nødvendig for instituttet å avklare med Datatilsynet om det er krav for bruk av personsensitive data fra helseregistre og journaler eller om det er tilstrekkelig med forutgående samtykke.

Strengere kontroll med minnepinner

Det er også et eget punkt om minnepinner. Der anbefaler rapporten at instituttet må følge opp observerte avvik for minnepinner som ikke har kryptering og undersøke årsaker.  Internrevisjonen anbefaler dessuten at det blir fulgt opp at rutiner for bruk av krypterte minnepinner og passord etterleves. Minnepinner uten passord må innleveres med en gang for å etablere nødvendig beskyttelse, heter det.

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

NTNU vil ha to nasjonale aviser

Nasjonalt avissamarbeid står på dagsorden når rektorar frå dei fem største universiteta i Noreg møtes til såkalla U5-møte i Trondheim i dag.

NTNU til topps i omdømmemåling

NTNU topper en ny undersøkelse om utvalgte virksomheter i offentlig sektor.

Olsen avmystifiserer omstridt U5-gruppe

UiB-rektor Dag Rune Olsen forteller gjerne hva de skal snakke om, men når toppene for «de fem gamle universitetene» i Norge møtes i Trondheim, er det bak lukkede dører.

Ytring:

Et steg nærmere Nordens beste studieby?

Trondheim kommune lover å stille med 7,5 millioner kroner til å rassikre Nidelva, gitt at NTNU også bidrar med penger. De pengene må komme raskt, skriver inn- og utgående styreledere i StudbyTrondheim.