Med tanke på den stora mängden data som regionen behandlar och dess känsliga karaktär, anses informationssäkerheten för låg.

– Det brister i den strategiska styrningen och kontrollen. Man har inte sjösatt en organisation där man resurssatt det som behövts, man saknar vissa styrande dokument, man har inte koll på om personal får utbildning, och man gör ingen strategisk uppföljning på central nivå, säger Richard Norberg som är Region Västerbottens revisionsdirektör, till Läkartidningen.

Vid tidigare granskningar har regionens revisorer noterat att det inte funnits något systematiskt arbete med riskanalyser eller tester för hackerattacker i verksamheterna. Dessutom har det heller inte funnits en tillräcklig fysisk säkerhet i serverhallarna.

Regionens revisorer ger politikerna ett antal rekommendationer, bland annat att säkerställa en tydlig ansvarsfördelning för informations- och IT-säkerhet, att etablera tydliga processer för att identifiera risker, säkerställa uppföljning och kontroll, och att se till att medarbetarna får tillräcklig utbildning.