Samlet risikovurdering av pasientreiseområdet 2015

Saksframlegg
Referanse
Saksgang:
Styre
Styret Helseforetakenes senter for pasientreiser ANS
Møtedato
21/10/2015
SAK NR 54-2015
Samlet risikovurdering av pasientreiseområdet 2015
Forslag til vedtak:
1. Styret tar fremlagte risikovurdering til etterretning.
2. Styret tar til etterretning at det er initiert tiltak for å redusere risikobildet og forutsetter
systematisk oppfølging av disse tiltakene, samt at underliggende risikoer følges opp iht
ansvarsområde ved de berørte virksomheter.
3. Styret tar plan for videre arbeid med samlede risikovurderinger for pasientreiseområdet
til etterretning.
Skien 13. oktober 2015
Marit Kobro
Administrerende direktør
Side
1 av 5
1. Administrerende direktørs anbefalinger / konklusjon
I styresak 41-2014 vedtok styret at det skal gjennomføres en årlig risikovurdering av
pasientreiseområdet på høsten med behandling i styret i Pasientreiser ANS i oktober parallelt med
selskapets ordinære, halvårlige risikovurdering. Den gjennomførte risikovurderingen for 2015
viser at ingen områder er vurdert å være kritiske og hjemmehørende i rød sone i risikomatrisen.
Det er imidlertid anført i alt fem områder i gul sone, hvor det er behov for tiltak. Det er en
reduksjon av risikonivået fra 2014.
Egen tiltaksliste er utarbeidet i tilknytning til risikovurderingen. Det vurderes at anførte tiltak vil
bidra til å redusere risikobildet. En klar forutsetning for at det samlede risikobildet skal reduseres
er at alle parter følger opp de underliggende risikoene i gul og rød sone med målrettede tiltak
innen sine respektive ansvarsområder. Tiltakene vil bli fulgt opp suksessivt fremover. Det legges
opp til en mellomrapportering av resultatene av oppfølgingen våren 2016 og endelig rapportering
i forbindelse med ny risikovurdering. Ny risikovurdering for pasientreiseområdet skal etter planen
legges frem for styret høsten 2016 i forbindelse med den halvårlige risikovurderingen i
Pasientreiser ANS. Mal for risikoprosess 2016 vil justeres noe for å heve kvalitet på innhold og
oppfølging ytterligere.
Administrerende direktør anbefaler at styret tar foreliggende risikovurdering, tiltak og plan for
videre arbeid til etterretning.
2. Faktabeskrivelse:
2.1 Hva saken gjelder
I styresak 41-2014 ble et akkumulert risikobilde av hele pasientreiseområdet presentert for
første gang. Arbeidet var et resultat av oppfølging av tiltak etter internrevisjonrapport 1/2013
om tverrgående prosesser mellom helseforetak med pasientreisekontor og Helseforetakenes
senter for pasientreiser ANS. I styresaken vedtok styret at det skal gjennomføres en årlig
risikovurdering av pasientreiseområdet på høsten med behandling i styret i Pasientreiser ANS i
oktober. Dette skal skje parallelt med selskapets ordinære, halvårlige risikovurdering.
Foreliggende sak beskriver gjennomføring, resultater, plan for oppfølging og videre arbeid med
nasjonale risikovurderinger av pasientreiseområdet 2015.
2.2 Prosess og gjennomføring 2015
Samarbeidsforum (SF) og Pasientreiser ANS ble enige om prosess og milepælsplan høsten 2015.
Nærmere detaljer fremgår av vedlegg til saken. Det har vært bred forankring og involvering av
pasientreisekontorene i prosessen gjennom SF. Hovedpunktene i prosessen har vært:
 Prosess og milepæler besluttes i SF (november 2014)
 Malverk uformes av Pasientreiser ANS og behandles i SF (november 2014)
 Aktuelle risikoområder kartlegges og legges inn i mal (juni 2015)
 19 risikoområder vurderes ved alle pasientreisekontor og Pasientreiser ANS (juniaugust 2015)
 Risikoene akkumuleres av Pasientreiser ANS og behandles i SF (september 2015)
 Endelig, omforent, risikomatrise med tiltak ferdigstilles og behandles i styret i
Pasientreiser ANS (oktober 2015)
Metodikk og mal for risikovurderingen er basert på samme mal som anvendes i Pasientreiser
ANS, ved HF-ene og RHF-ene. Det er kun gjort mindre justeringer i mal for 2015 fra mal for
2014, og det er de samme risikoområdene som er vurdert.
For å kunne gjennomføre en risikovurdering er det grunnleggende at risiko blir vurdert opp mot
et felles målbilde. I og med at det ikke eksisterer noe omforent målbilde for pasientreiseområdet
har man måttet etablere et annet vurderingsgrunnlag. Risikoområdene som er vurdert tar derfor
utgangspunkt i relevante krav i lover, forskrifter og avtaler. Disse inneholder ufravikelige krav
Side
2 av 5
og vil derfor utgjøre et minimum av hvilke områder som bør risikovurderes. Samarbeidsforum
har i tillegg bestemt at økonomiske misligheter skal vurderes særskilt.
For å få en mest mulig lik vurdering av sannsynlighet og konsekvens, ble det på forhånd definert
fem nivåer for sannsynlighet og konsekvens (akseptkriterier). Lik vurdering av områdene er en
forutsetning for en god akkumulering av risikoene. Akkumuleringen foregikk også på lik måte
ved at Pasientreiser ANS utformet en felles ”kalkulator” for å samle risikopunktene til et felles
risikobilde. Gjennomsnittsberegning er brukt som metode for å oppsummere risikoene.
2.3 Kvalitetsforbedring 2015
Tilbakemeldinger fra prosessen med risikovurderingene for 2014 var at mange syntes det var
utfordrende å fastsette verdiene for sannsynlighet og konsekvens for de ulike risikoområdene.
Malverk og gjennomføring av en risikovurdering har derfor vært et tema ved alle
gjennomgangene av internkontroll ved pasientreisekontorene 1. halvår 2015, kfr sak 36-2015.
Formålet var å øke kompetansen om risikovurderinger, sikre mer lik og riktig plassering av
risiko på tvers av PRK og Pasientreiser ANS, samt sikre videre oppfølging av tiltakene i etterkant.
2.4 Oppfølging av risikovurdering fra 2014
I 2014 ble 19 risikopunkter samlet i fem hovedpunkter. Det har i etterkant blitt gitt
tilbakemelding fra en del pasientreisekontor på at dette har vært utfordrende, da det har vært
vanskelig å forstå sammenheng mellom risikoer og valgte tiltak. Oppfølgingen har derfor vært
varierende for tiltakene som skulle følges opp av pasientreisekontorene.
Alle tiltak med oppfølgingsansvar lagt til Pasientreiser ANS er gjennomført i samsvar med
tiltaksplan.
2.4 Resultater av risikovurderingen
Det har som i 2014 blitt vurdert totalt 19 risikopunkter. I 2015 besluttet Samarbeidsforum å
presentere de enkelte risikopunktene for seg. Endringen er gjort for å konkretisere
utfordringene, synliggjøre kobling mellom risiko og tiltak, samt å sikre god oppfølging av disse i
linjen. Risikovurderingene som er gjennomført ved de ulike pasientreisekontorene og i
Pasientreiser ANS viser stor variasjon i vurderingene av sannsynlighet og konsekvens. Det kan
være en vanlig utfordring i et tidlig modningsnivå at en ikke benytter skalaen på en
god/fullverdig måte, men dette bør endre seg i takt med modning og kompetansenivået på slike
prosesser. Årets risikovurdering viser at skalaen i større grad er tatt i bruk, men at det fortsatt
er stor variasjon på regionalt og lokalt nivå. Dette reflekteres likevel ikke særskilt i akkumulert
versjon, da flere fortsatt gjennomgående vurderer risikoene lave, slik at snittverdiene av
risikoene blir lavere når de akkumuleres.
I den akkumulerte risikomatrisen er risikoområder som har havnet i gult beskrevet, mens
grønne vurderes som ivaretatte og er ikke beskrevet ytterligere. Det er ingen områder som er
vurdert i rød sone i den akkumulerte risikovurderingen. Det akkumulerte risikobildet for
pasientreiseområdet vurderes samlet sett å være moderat (gult) og redusert fra 2014. Det er
fem områder som blir beskrevet i vedlagte risikomatrise:

Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull kontroll av
systemtilganger er vurdert i gul sone i den akkumulerte risikovurderingen. Risikoen er
hevet fra forrige vurdering ved at konsekvensen er økt. Dette skyldes trolig ikke noen
konkrete hendelser, men en tilpassing til akseptkriteriene. Det er etablert en rekke tiltak,
både tekniske og prosessuelle, for å redusere risikoen. Disse tiltakene vil videreføres i
tillegg til implementering av nye vedtatte nasjonale rutiner og oppfølging gjennom ny
rapportløsning i RADAR.
Side
3 av 5

Risiko for personopplysninger på avveie som følge av at personopplysninger blir utlevert
til feil eller uautoriserte personer er vurdert som moderat i den akkumulerte
risikovurderingen. Transportører identifiseres i denne sammenheng som den største
risikoen, og etablerte og nye planlagte tiltak skal gjennom økt kompetanseheving
redusere risikoen.

Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap
hos rekvirenter er vurdert i gul sone i den akkumulerte risikovurderingen. Risikoen er
redusert fra forrige vurdering ved at konsekvensen er redusert. Det er etablert en rekke
tiltak for å sikre at rekvirenter i primær- og spesialisthelsetjenesten har nødvendig
kompetanse om regelverk og systemene knyttet til rekvirering av pasienttransport.
Dette har til nå vært utført på forskjellig måte ved de ulike pasientreisekontorene. Et nytt
tiltak er et nasjonalt e-læringskurs om e-rekvirering som bidrar til en felles opplæring
knyttet til lovverk og bruk av systemet.

Risikoene for feil håndtering av personopplysninger som følge av manglende/mangelfull
oppfølging og opplæring av underleverandør og deres eventuelle underleverandør(er)
er vurdert i gul sone i den akkumulerte risikovurderingen. Disse risikoene er til dels
overlappende med tidligere omtalte risikopunkter og vil ha tilsvarende oppfølging. Et
tiltak som kommer i tillegg vil være en oppfølging av bruk av personopplysninger i
systemet fra Pasientreiser ANS sin side. Dette skal sikre at bruken er i samsvar
bestemmelsene i regelverket og i databehandleravtalene. Det vil også bli vurdert
tekniske endringer for å begrense bruk av personopplysninger om det vurderes som
nødvendig. I 2014 var også avtale vurdert i gul sone. Implementerte tiltak har fungert
etter hensikten og sannsynligheten er derfor vurdert som redusert.
2.5 Tiltak og oppfølging
I vedlagte akkumulerte risikovurdering beskrives gjennomførte tiltak og nye tiltak.
Gjennomførte tiltak er ikke nødvendigvis tiltak som alle PRK/Pasientreiser ANS har
gjennomført, men danner til sammen et bilde av hvilke typer iverksatte tiltak som en del av
PRK/Pasientreiser ANS har implementert. Under nye tiltak beskrives tiltak som er av nasjonal
karakter og som er egnet for felles oppfølging iht gitt ansvar og frister.
I tillegg til de nasjonale tiltakene skal tiltak og oppfølging av de underliggende risikoene skje i
linjen iht ansvar plassert hos det enkelte PRK som har meldt dette inn. Eksempelvis må det
enkelte foretak følge opp egne risikoer i rødt og gult selv om det aktuelle området skulle
fremkomme i grønn sone akkumulert. Områder i rødt krever strakstiltak og skal prioriteres. For
områder i gult bør det iverksettes tiltak med plan for oppfølging. Områder i grønt ansees som
godt ivaretatt og krever ikke ytterligere tiltak.
2.6 Videre arbeid med samlede risikovurderinger for pasientreiseområdet
Det legges opp til en årlig risikovurdering av pasientreiseområdet på høsten med behandling i
styret i Pasientreiser ANS i oktober parallelt med selskapets ordinære, halvårlige
risikovurdering. Fremdriftsplanen for arbeidet skal utarbeides i samarbeid med SF. Det er
planlagt en justering av prosess og innhold i risikovurderingen for 2016. Dette skal sikre større
eierskap til innhold og oppfølging i SF og linjen.
Det legges opp til en mellomrapportering av resultatene av oppfølgingsarbeidet i forbindelse
selskapets rapportering av risiko våren 2016. Endelig rapportering av oppfølgingsarbeidet fra
risikovurdering vil skje i forbindelse med ny risikovurdering. Neste risikovurdering av
pasientreiseområdet er planlagt presentert for styret i oktober 2016.
Side
4 av 5
3. Administrerende direktørs vurderinger
3.1 Risikovurderinger og prosess
Gjennomføring av risikovurderinger kan være utfordrende fordi det er ønskelig med en
fagkompetanse og forståelse som krever erfaring og gjentakelse for å bygge opp. Det har vært
gjennomført opplæring og forankring med pasientreisekontorene i hele prosessen, både
gjennom SF og fra fagspesialister i Pasientreiser ANS. Det har også blitt etablert felles
akseptkriterier for å bidra til et mest mulig felles grunnlag for vurdering av sannsynlighet og
konsekvens av risikoene på tvers av PRK/Pasientreiser ANS.
Resultatene viser at skalaen for sannsynlighet og konsekvens er brukt i større grad enn tidligere.
Samtidig er det fremdeles flere som systematisk vurderer risikoer lavt, selv om det er kjent at
det skjer hendelser som tilsier at sannsynligheten burde ligge høyere. Det kan også være en
utfordring at ikke alle følger opp gitte frister eller fyller inn planlagte/nye tiltak. Det gjør det
vanskeligere å finne målrettede og gode felles tiltak. Det anses som positivt at det er økt
oppmerksomhet og økt bevissthetsnivå rundt temaet hos de involverte, noe som kan medføre at
tiltakene får større prioritering og effekt.
3.2 Konklusjon
Årets risikovurdering av pasientreiseområdet viser et samlet risikobilde som er moderat (gult).
Det er gjennomført en rekke tiltak som har medvirket tilat risikobildet er redusert. Flere av de
nye tiltakene er allerede igangsatt og de anviste tiltakene vurderes å ville bidra til fortsatt
reduksjon av risikobildet etter gjennomføring.
En klar forutsetning for at det samlede risikobildet skal reduseres er at alle parter følger opp de
underliggende risikoene som er i gul og rød sone med målrettede tiltak innen sine respektive
ansvarsområder.
Trykte vedlegg:
 Akkumulert risikovurdering for pasientreiseområdet 2015 inkl tiltaksoversikt
Utrykt vedlegg:
 Prosesskart, milepælsplan og akseptkriterier for risikovurderingsprosessen 2015
 Underliggende risikovurderinger med beskrivelse av tiltak per HF og Pasientreiser ANS
 ”Kalkulator” som er brukt til å akkumulere risikopunktene med grunnlagsdata
Side
5 av 5