Søk

Innhald

11. Helse- og omsorgsdepartementet

Helse- og omsorgsdepartementet (HOD) har det overordnede ansvaret for at befolkningen får gode og likeverdige helse- og omsorgstjenester.

Ifølge budsjettforslaget for 2022 er regjeringens mål at alle skal ha likeverdig tilgang til helse- og omsorgstjenester av god kvalitet uansett hvor i landet de bor. Regjeringen vil fremme god helse og livskvalitet i befolkningen og redusere sosiale forskjeller i helse.

Sentrale mål for regjeringen er å

  • redusere unødvendig og ikke-medisinsk begrunnet venting for pasienten

  • fremme kommunenes evne til omstilling og kvalitetsforbedring i den kommunale helse- og omsorgstjenesten

  • prioritere psykisk helsevern og rusfeltet med satsing på forebygging, tidlig innsats og bedre behandling

  • øke tilgjengeligheten og kapasiteten samt styrke kvaliteten i helse- og omsorgstjenesten

  • sikre god folkehelse som fremmer gode liv og helse gjennom livsløpet.

11.1 Konklusjoner for Helse- og omsorgsdepartementet

11.1.1 Sammendrag

  • Statsregnskapet for Helse- og omsorgsdepartementet er i det vesentlige riktig avlagt og presentert.

  • Alle årsregnskapene, med unntak av regnskapet for Folkehelseinstituttet, er riktig avlagt.

  • Riksrevisjonen har ny sak om

    • behandlingen av person- og helseopplysninger i helseregistre – kritikkverdig.

  • Riksrevisjonen har fulgt opp tidligere sak om

    • omorganisering av anskaffelsesområdet under Helse- og omsorgsdepartementet – saken avsluttes.

11.1.2 Komiteens merknader

Komiteen viser til Dokument 1 (2023–2024) kapittel 11 om Helse- og omsorgsdepartementet.

Komiteen merker seg at statsregnskapet for Helse- og omsorgsdepartementet i det vesentlige er riktig avlagt og presentert.

Komiteen tar til etterretning at Helse- og omsorgsdepartementet har gitt tilfredsstillende forklaringer på alle poster der regnskapet avviker vesentlig fra bevilgningen.

Komiteen tar til etterretning at ubrukte midler fra 2022 på departementets ansvarsområde ble overført i samsvar med bevilgningsreglementets bestemmelser.

Komiteen merker seg at Riksrevisjonen har gjennomført revisjon av 14 årsregnskap på departementets ansvarsområde, og at alle årsregnskapene for departementet og underliggende virksomheter utenom Folkehelseinstituttet (FHI) er riktig avlagt.

Komiteen merker seg at årsregnskapet for FHI inneholder vesentlige feil og mangler. Komiteen merker seg at Riksrevisjonen har funnet at FHI ikke har vært i stand til å legge fram tilstrekkelig og hensiktsmessig dokumentasjon for vesentlige forhold knyttet til årsregnskapet for 2022. Grunnlaget for denne konklusjonen er svakheter knyttet til dokumentasjon og prisfastsetting av varelager, og en fordring FHI har mot Folkhälsomyndigheten som det ikke har vært mulig å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for. Videre er saldoen på konto for preliminær gjeld svært usikker som følge av betydelige svakheter i internkontrollrutiner og manglende dokumentasjon. Til slutt har Riksrevisjonen identifisert betydelige svakheter og mangler i virksomhetens rutiner for intern kontroll og løpende oppfølging av avvik knyttet til håndtering og bokføring av bidragsprosjekter. Riksrevisjonen har etter dette konkludert med at de ikke kan uttale seg om regnskapet til Folkehelseinstituttet for 2022. Komiteen merker seg at statsråden ser alvorlig på Riksrevisjonens konklusjon. Komiteen tar til etterretning at statsråden skriver at FHI presiserer at avvik ikke er knyttet til antall doser, men verdifastsettelsen av dosene. Statsråden skriver videre at FHI har hentet inn konsulentbistand med mål om å korrigere tidligere feil. FHI skriver også at de vil styrke internkontrollen. Departementet vil følge opp saken videre i etatsstyringsdialogen med instituttet. Komiteen deler statsrådens vurdering av at dette er alvorlig, og ber departementet følge saken tett videre.

11.2 Person- og helseopplysninger i helseregistre behandles ikke i tilstrekkelig grad i henhold til kravene i helseregisterloven og personopplysningsloven

11.2.1 Konklusjoner

Konklusjon

Person- og helseopplysninger i helseregistre behandles ikke i tilstrekkelig grad i henhold til kravene i helseregisterloven og personopplysningsloven.

  • Helsedirektoratet, Folkehelseinstituttet og Statens legemiddelverk har ikke oversikt over sikkerhetsarbeidet som gjøres hos driftsleverandørene, og jobber ikke systematisk med risiko og tiltak.

  • Viktige informasjonssikkerhetstiltak hos driftsleverandørene er ikke implementert eller fungerer ikke etter hensikten.

  • Helsedirektoratet og Folkehelseinstituttet overholder ikke lovpålagte frister for tilgjengeliggjøring av helseopplysninger.

Ansvarlig departement: Helse- og omsorgsdepartementet.

11.2.2 Overordnet vurdering

Riksrevisjonen mener det er kritikkverdig at person- og helseopplysninger i helseregistre ikke i tilstrekkelig grad behandles i henhold til kravene til informasjonssikkerhet og personvern i helseregisterloven og personopplysningsloven. Det er også kritikkverdig at helseopplysninger ikke blir gjort tilgjengelige for forskere innen lovpålagte frister.

11.2.3 Utdyping av konklusjoner

11.2.3.1 Sammendrag

Målet med revisjonen har vært å kontrollere om person- og helseopplysninger i lovbestemte helseregistre underlagt Helse- og omsorgsdepartementet behandles i henhold til kravene til informasjonssikkerhet, personvern og tilgjengeliggjøring i helseregisterloven og personopplysningsloven.

I henhold til helseregisterloven kan til sammen elleve offentlige helseregistre behandle opplysninger som navn, fødselsnummer eller andre personidentifiserende kjennetegn uten samtykke fra den registrerte. Ni av disse helseregistrene er underlagt Helse- og omsorgsdepartementet.

Folkehelseinstituttet, Helsedirektoratet og Statens legemiddelverk er dataansvarlige for de lovbestemte helseregistrene underlagt Helse- og omsorgsdepartementet, og er ansvarlige for å overholde personvernprinsippene og regelverket på området.

Folkehelseinstituttet og Helsedirektoratet har inngått avtale med Norsk helsenett om drift av infrastrukturen for helseregistrene som omfattes av revisjonen. Statens legemiddelverk har inngått en databehandleravtale med Advania for drift av IT-systemene, men denne er overdratt til Norsk Helsenett per 1. januar 2017. Norsk helsenett er dermed databehandler for personopplysningene i alle helseregistrene som omfattes av revisjonen.

Riksrevisjonen har valgt ut helseregistrene ut fra hvor mye sensitive data de inneholder, antallet utleveringer av helseopplysninger og resultatene fra risikovurderinger og vurderinger av personvernkonsekvenser. Riksrevisjonen har vurdert innspill fra Datatilsynet og virksomhetenes egne internrevisjoner. Sammen med de utvalgte registrene inkluderes alle virksomhetene underlagt Helse- og omsorgsdepartementet som er dataansvarlig for helseregistre.

Formålet med helseregistrene er å samle helseopplysninger, slik at disse kan brukes til blant annet kvalitetsforbedring, forebyggende arbeid, beredskap, analyser og forskning. Helseregistrene som er del av revisjonen, gir informasjon om blant annet smittsomme sykdommer, bivirkninger av legemidler, dødsårsaker og helse- og omsorgstjenester.

Både helseregisterloven og personopplysningsloven stiller krav til hvordan virksomhetene skal håndtere person- og helseopplysninger i helseregistrene. Personopplysningene skal behandles i samsvar med prinsippene i personvernforordningen (GDPR).

11.2.3.2 Komiteens merknader

Komiteen viser til Dokument 1 (2023–2024) kapittel 11.3.

Komiteen viser til at målet med revisjonen har vært å kontrollere om person- og helseopplysninger i lovbestemte helseregistre underlagt Helse- og omsorgsdepartementet behandles i henhold til kravene til informasjonssikkerhet, personvern og tilgjengeliggjøring i helseregisterloven og personopplysningsloven.

Komiteen viser til Riksrevisjonens konklusjoner:

«Person- og helseopplysninger i helseregistre behandles ikke i tilstrekkelig grad i henhold til kravene i helseregisterloven og personopplysningsloven.

  • Helsedirektoratet, Folkehelseinstituttet og Statens legemiddelverk har ikke oversikt over sikkerhetsarbeidet som gjøres hos driftsleverandørene, og jobber ikke systematisk med risiko og tiltak.

  • Viktige informasjonssikkerhetstiltak hos driftsleverandørene er ikke implementert eller fungerer ikke etter hensikten.

  • Helsedirektoratet og Folkehelseinstituttet overholder ikke lovpålagte frister for tilgjengeliggjøring av helseopplysninger.»

Komiteen stiller seg bak Riksrevisjonens konklusjoner.

Komiteen viser til Riksrevisjonens kritikk:

«Riksrevisjonen mener det er kritikkverdig at person- og helseopplysninger i helseregistre ikke i tilstrekkelig grad behandles i henhold til kravene til informasjonssikkerhet og personvern i helseregisterloven og personopplysningsloven. Det er også kritikkverdig at helseopplysninger ikke blir gjort tilgjengelige for forskere innen lovpålagte frister»

Komiteen stiller seg bak denne kritikken.

Komiteen viser til at Riksrevisjonen anbefaler Helse- og omsorgsdepartementet å følge opp at virksomhetene i rollen som dataansvarlig vier større oppmerksomhet til sikkerhetstiltak som skal gjennomføres av driftsleverandør. Komiteen stiller seg bak denne anbefalingen.

11.3 Oppfølging av omorganisering av anskaffelsesområdet i virksomheter under Helse- og omsorgsdepartementet

11.3.1 Sammendrag

Konklusjon

Riksrevisjonen avslutter saken.

Riksrevisjonen mener det har blitt gjort forbedringer på anskaffelsesområdet. I tillegg vil målet med tjenestemodellen i Norsk helsenett SF bli evaluert i 2023.

Ansvarlig departement: Helse- og omsorgsdepartementet.

11.3.2 Komiteens merknader

Komiteen tar til etterretning at Riksrevisjonen avslutter saken om oppfølging av omorganisering av anskaffelsesområdet i virksomheter under Helse- og omsorgsdepartementet.

Førre kapittel
Neste kapittel