Publisert i %1$s Tema

Gransker IT-svikten

Både Direktoratet for e-helse og Datatilsynet gransker nå den såkalte IT-skandalen i Helse Sør-Øst. Konklusjonene vil foreligge senere i høst.

Skribent person Ester Nordland   date_range Publisert 16.10.2017

I mai avslørte NRK at en rekke IT-arbeidere i Asia og Øst-Europa hadde tilgang og utvidete rettigheter til datasystemet til Helse Sør-Øst. Saken har siden rullet i en rekke medier, blant annet i Dagens Medisin og Fagbladet.

– Det som har skjedd lå i kortene, sier Svein Øverland, ansattevalgt styremedlem i Helse Sør-Øst og konserntillitsvalgt for LO-forbundene i Helse-Sør-Øst. Han sier at både tillitsvalgte og fagfolk, advarte mot at it-driften skulle outsources, men at de ikke ble lyttet til. Da saken kom opp i styret i september 2016 ble det i følge Øverland bedyret at de som skulle drifte it-infrastrukturen fra utlandet ikke skulle ha tilgang til pasientopplysninger og informasjon på serverne og nettverket.

Separate granskinger

PricewaterhouseCoopers (PwC) har kritisert Helse Sør-Øst for mangelfull og for dårlig it-sikkerhet. PwC har vist til at 122 it-arbeidere i Bulgaria, Malaysia og India hadde helt eller delvis tilgang til sensitive pasientopplysninger.

Både Datatilsynet og Direktoratet for e-helse jobber nå med separate granskinger. Datatilsynet vil verken forskuttere når deres konklusjoner vil foreligge, eller hvilke reaksjoner som kan bli aktuelle.

– Vi skal vurdere lovligheten av prosjektet og se på de risikovurderinger, som ble gjort i forkant av kontraktsinngåelsen. sier direktør Bjørn Erik Thon til Journalen. – Vi må også se på tilganger til data, og hvem som har sett hva. Som PWC brakte på det rene, har noen vært inne og sett på pasientdata. Det er gjort i forbindelse med jobben og ikke nødvendigvis noe ulovlig, sier han.

Det har vært hevdet at Datatilsynet har vært for passive i saken, noe Thon tilbakeviser. – Vi var de første som tok opp spørsmålet om personvern og lagring i utenlandske skytjenester. Da de første oppslagene om dette kom opp, hadde vi en serie møter med Helse Sør-Øst sammen med Nasjonal sikkerhetsmyndighet og Finanstilsynet, sier han.

– Må ikke være et problem

Einar Lunde, avdelingsdirektør for nett i Nasjonal kommunikasjonsmyndighet mener at outsourcing ikke nødvendigvis behøver å være et problem. Men han sier at norske ledere ofte har for lite kompetanse på IKT, og derfor er for raske til å sette vekk tjenestene. – En tjenesteutsetting være beheftet med stor grad av risiko, dersom man ikke har orden i eget hus – det være seg tilgangsstyring, rettighetskontroll eller kontroll på hvilke data man har lagret.

Gisle Hannemyr, forsker ved Institutt for informatikk, ved Universitetet i Oslo peker på at helsedataene i utgangspunktet var godt sikret mot hackere gjennom en trygg brannmur. Men outsourcingen førte til at det var slått et kjempehull i muren.

Hans Martin Aase, avdelingsleder i Fagforbundet sier til Journalen at de som drifter systemene må sikkerhetsklareres i Norge, selv om de arbeider i utlandet.

Rapport 1. november

Avdelingsdirektør Robert Nystuen i Direktoratet for e-helse skriver at direktoratet har fått i oppdrag å levere en rapport til Helse- og omsorgsdepartementet den 1. november om informasjonssikkerhet ved bruk av underleverandører i helse- og omsorgssektoren. ■

Del gjerne!

Legg inn en kommentar