Revisionsrapporten har genomförts av KPMG på uppdrag av Region Skånes revisorer.

Revisorerna underkänner regionen vad gäller att se till att patientinformationen i journalsystemet skyddas. Berörd personal utbildas inte heller tillräckligt inom informationssäkerhet, till exempel lagring och hur känsliga uppgifter om patienter bör hanteras.

När det gäller att skydda databaser, system och molntjänster anser dock revisorerna att arbetet delvis är tillräckligt.

Det finns rutiner för incidenthantering men det saknas en tydlig beskrivning av ansvar, processer och eskaleringsvägar i händelse av olika incidenttyper.

Computer Sweden skriver att det saknas en samlad bild av vilka skyddsbehov region Skåne har, eftersom det inte genomförts informationsklassning och riskbedömning i tillräcklig omfattning.

Region Skåne menar att det som framkommit i revisionen till stor del är kända brister.

”Vi ser mycket allvarligt på de brister som har identifierats och ser fram emot att ta nästa steg i det arbetet. Nu ska rapporten först till regionstyrelsen”, skriver Boris Berberovic, chef för informationssäkerhet i Region Skåne i en kommentar till Computer Sweden.