Internrevisjonen med hard kritikk av klinikkdriften på Psykologisk institutt

Helhetlig styring og kontroll ved virksomheten har ikke vært tilfredsstillende. Det er hovedkonklusjonen i internrevisjonens rapport om klinikkdriften ved Psykologisk institutt. Det er betydelige svakheter i internkontrollrutiner og etterlevelse av lover og regler, avdekker rapporten som ble klar i formiddag.

HARD KRITIKK: Kluges Advokatfirma AS sin rapport om klinikkdriften ved Psykologisk institutt ble offentliggjort på et allmøte. I dag foreligger rapporten fra Internrevisjonen. Den er like hard i sin kritikk av klinikkdriften som rapporten fra Kluges Advokatfirma AS.

Foto: Ola Sæther

Internrevisjonen legger fram sin rapport om klinikkdriften ved Psykologisk institutt til universitetsstyret i dag. Det skjer en uke etter at rapporten fra Kluges Advokatfirma AS ble offentliggjort på UiOs nettsider og på et allmøte på Psykologisk institutt, Rapporten fra Internrevisjonen ble også bestilt av universitetsdirektør Gunn-Elin Aa. Bjørneboe etter at klinikkdriften ved Psykologisk institutt ble stengt på dagen 10. oktober etter at det var kommet meldinger om at klinikken trolig ikke ble drevet etter gjeldende lover og forskrifter.

I rapporten fra Internrevisjonen går det fram at det har vært betydelige svakheter i internkontrollrutiner og i etterlevelse av lover og regler. Det har ikke vært kontroll på hvem som har tilgang til personsensitive data. Journaler og helseregistre har vært åpne for betydelig flere enn det krav i lov og forskrifter tillater. Risikoen for uautorisert tilgang har eksponert pasienter og UiO for uønskede hendelser innen personvern. Det er iverksatt strakstiltak på området, heter det i rapporten som først ble lagt ut på UiOs nettsider klokka 10.16 i formiddag. 

Mangel på helhetlig kontroll

I pressemeldingen som er lagt ut på UiOs nettsider, går det fram at det på  rapporteringstidspunktet ikke avklart om det er krav til konsesjon fra Datatilsynet vedrørende behandling av sensitive personopplysninger i undervisningsvirksomheten. Det pågår et betydelig arbeid med å etablere rutiner og lukke svakheter. iltakene har ulik kompleksitet og omfang, heter det.

Årsakene til svakhetene skyldes etter vår vurdering mangel på helhetlig intern kontroll, ikke tydelige roller og ansvar og mangelfull kontrollbevissthet. Risikovurderinger er ikke utført og det er heller ikke stilt krav til det.

Anbefaler flere tiltak

I rapporten anbefaler Internrevisjonen flere tiltak:

Ett av dem er at Enheten for helse, miljø, sikkerhet og beredskap (HMSB)  skal yte ytterligere bistand for å gjøre vurderinger av sikkerheten og beredskapen.  Dessuten skal det vurderes bistand fra Eiendomsavdelingen for praktisk og sikker innretning av klinikk. Det blir også anbefalt å styrke både administrativ kapasitet og kompetansen om internkontroll og sikkerhet for ansatte og studenter.

Internrevisjonen anbefaler også at det blir satt i gang risikovurderinger en til to ganger i året eller oftere ved behov.  I hele styringslinjen blir det anbefalt at roller og ansvar må tydeliggjøres.  Hjemmesiden og Facebooksiden til Psykologisk institutt bør uttrykkelig opplyse om at personsensitive opplysninger ikke må sender via e-post.

En annen anbefaling er at det blir innført en rutine slik at instituttet flere ganger i året gjennomgår autorisasjoner, tilganger og logger.  Dessuten anbefaler rapporten at det skal følges opp at alle studenter leverer politiattest før behandling av pasienter. I tillegg må det kontrolleres at alle taushetserklæringer er innhentet fra alle før pasientbehandling.

Det er også nødvendig for instituttet å avklare med Datatilsynet om det er krav for bruk av personsensitive data fra helseregistre og journaler eller om det er tilstrekkelig med forutgående samtykke.

Strengere kontroll med minnepinner

Det er også et eget punkt om minnepinner. Der anbefaler rapporten at instituttet må følge opp observerte avvik for minnepinner som ikke har kryptering og undersøke årsaker.  Internrevisjonen anbefaler dessuten at det blir fulgt opp at rutiner for bruk av krypterte minnepinner og passord etterleves. Minnepinner uten passord må innleveres med en gang for å etablere nødvendig beskyttelse, heter det.

Emneord: Universitetspolitikk, Psykologi, Studentsaker Av Martin Toft
Publisert 24. okt. 2017 12:09 - Sist endra 24. okt. 2017 12:10

Det er mye engstelse og frykt i systemet, noe internkontrollens rapport viser til det fulle. Vi ser en overdreven kontroll i rapporten som signaliserer at klinikken er full av psykologiske farer og skjær som de tror PSI er ute av stand til å mestre. Derfor ropes det ut om politirapport, risikovurderinger, kontinuerlige kontroller og sikring som om klinikken var en krigsarena.

Eir har forstått at kravene til politiattest i helsepersonelloven, «først og fremst er nødvendig for behandling av barn,» men kontrollørene er betalt for å kontrollere, så da internrevisjonen sist sjekket listene 17.10, var det mange som ikke hadde levert attest.  Altså; til tross for Eirs forståelse, skal PSI «følge opp at alle studenter leverer politiattest før behandling av voksne pasienter.

 «4 av 75 minnepenner hadde ikke kryptering», leser vi. Det innebærer en stor risiko, og risikoen knytter seg også til at «minnepinner er små, lette å ta med seg, lette å miste/glemme eller enkle å stjele.» De er så små at de nærmest unnslipper kontrollørene. For i ifølge internkontrollørene skal enhver «hendelse som truer virksomhetens mål identifiseres, prioriteres og tiltakssettes»

Derfor må rollene ved PSI «tydeliggjøres i hele styringslinja», slik at de kan videreutvikle et tilfredsstillende internkontrollsystem slik kontrollørene her bedriver, for det kan ikke psykologene på dette tidspunkt.  Nei, det krever langt  «mer kapasitet og kompetanse enn de PSI har for øyeblikket, og om ikke PSI skjerper seg «vil flere risikoer kunne oppstå» poengterer de.

Blant annet kommer taushetsplikten «ikke så veldig tydelig frem i informasjonsarket med etiske retningslinjer», sier kontrollørene «Det bør vurderes å fremheve dette mer», understreker de.

Internrevisjonen avslutter med å si at deres formål er» å fremme og beskytte UiOs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsiktI tilfelle

Heidi Stakset

heist@webid.uio.no - 24. okt. 2017 19:03
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere