Internrevisjonens rapport om klinikkdrift ved Psykologisk institutt

Internrevisjonen leverer i dag sin rapport om klinikkdriften ved Psykologisk institutt til Universitetsstyret. Rapporten konkluderer blant annet med at helhetlig styring og kontroll ved virksomheten ikke har vært tilfredsstillende, og at det er betydelige svakheter i internkontrollrutiner og i etterlevelse av lover og regler. 

Les hele rapporten fra Enhet for intern revisjon her

Overordnet vurdering

Helhetlig styring og kontroll ved virksomheten har ikke vært tilfredsstillende. Det er betydelige svakheter i internkontrollrutiner og etterlevelse av lover og regler. Det har ikke vært kontroll på hvem som har tilgang til personsensitive data. Journaler og helseregistre har vært åpne for betydelig flere enn det krav i lov og forskrifter tillater. Risikoen for uautorisert tilgang har eksponert pasienter og UiO for uønskede hendelser innen personvern. Det er iverksatt strakstiltak på området.


Det er på rapporteringstidspunktet ikke avklart om det er krav til konsesjon fra Datatilsynet vedrørende behandling av sensitive personopplysninger i undervisningsvirksomheten.


Det pågår et betydelig arbeid med å etablere rutiner og lukke svakheter. Tiltakene har ulik kompleksitet og omfang.


Årsakene til svakhetene skyldes etter vår vurdering mangel på helhetlig intern kontroll, ikke tydelige roller og ansvar og mangelfull kontrollbevissthet. Risikovurderinger er ikke utført og det er heller ikke stilt krav til det.

Publisert 24. okt. 2017 10:16 - Sist endret 24. okt. 2017 10:50