Hopp til innhold

Andre sykehus skeptiske til Helse Sør-Østs omstridte skyløsning

De andre store helseforetakene går ikke på amerikansk sky med pasientdata fra sykehusene, slik som Helse Sør-Øst gjør. Usikkerheten om personvern og IT-sikkerhet er for stor, mener de.

St Olavs hospital, Trondheim

IT-SIKKERHET I FOKUS: I Helse Midt vil ikke ledelsen legge ut helsedata på sky. Det vil de ikke gjøre før forholdene rundt EU og USA om utlevering av pasientdata er avklart.

Foto: NTB

Verken Helse Nord, Helse Midt-Norge eller Helse Vest har planer om å legge ut sensitive pasientdata fra sine sykehus på amerikansk skytjeneste, det viser en gjennomgang NRK har gjort hos helseforetakene.

– Foreløpig har Helse Midt-Norge valgt en restriktiv tilnærming med tanke på å bruke sky for tjenester som håndterer pasientdata før disse forholdene rundt Schrems er avklart. Vi opplever at det er usikkerhet både til bruken av sky og til fortolkningen av lovverket rundt sky, sier IKT-sjef Per Olav Skjesol i Helse Midt-Norge.

De fleste internasjonale skytjenester er amerikanske. Utfordringen med å benytte sky er at Europa og USA ikke har en avtale om utlevering av data. Dette ble tydelig etter den såkalte Schremsdommen i 2020.

Dette betyr at amerikanske myndigheter kan kreve innsyn i norske pasienters helsedata, når disse er lagret i amerikanskeid sky.

Les også Dine pasientdata skal sendes til amerikansk sky – Datatilsynet advarer

Bildet viser innkjørselen til Ullevål sykehus. Bildet er tatt på kvelden og en ambulanse kjører ut fra sykehuset.

Frykt for utlevering

– Vi er redde for at uvedkommende som ikke skal ha tilgang til pasientdata, får tilgang til våre pasienters helseinformasjon. Vi er veldig opptatt av at våre pasienter skal kjenne seg trygge. Våre pasienter må føle seg sikre på at vi forvalter deres helseinformasjon på en god måte. Vi er fortsatt ikke trygge på at det er en tilfredsstillende risiko knyttet til sky, sier Skjesol i Helse Midt-Norge.

Men landets største helseforetak Helse Sør- Øst er av en annen oppfatning når det gjelder risikoen.

Her har styret og ledelsen bestemt seg for å legge pasientdata ut på en amerikanskeid sky.

Øyvind Grinde, IT-sikkerhetsleder og Terje Rootwelt, administrerende direktør Helse Sør Øst

INGEN RISIKO: Informasjonssikkerhetsleder Øyvind Grinde og administrerende direktør Terje Rootwelt i Helse Sør-Øst mener det er liten risiko for at amerikansk etterretning skal kreve utlevert helsedata fra norske pasienter.

Foto: Anne Cecilie Remen / NRK

– Vi har gjort grundig rede for hvordan vi har gjennomgått sikkerheten i løsningen, blant annet i vår kommunikasjon med Datatilsynet, påpeker teknologidirektør Rune Simensen i en epost til NRK:

Datatilsynet har gitt landets største helseforetak veiledning om tiltak, og avventer nå hva helseforetaket gjør for å beskytte norske pasientdata.

Tidligere har administrerende direktør Terje Rootwelt uttalt følgende til NRK:

– Vi har sett på det amerikanske lovverket. Våre jurister har vurdert at det er ingen grunn til at de skulle ville ha informasjon om helsedata, og det har aldri skjedd tidligere. Da mener vi at det i praksis ikke vil være en mulighet for det, sier Rootwelt.

Når det gjelder andre regioners vurderinger, ønsker ikke Helse Sør-Øst ikke å kommentere på dette. Det må de selv svare på, understreker Simensen.

Les også Datatilsynet roper varsko om it-sikkerhet på sykehusene

Datatilsynet ledelse
seksjonssjef Camilla Nervik og direktør Line Coll

Helse Vest har samme system som Helse Sør-Øst Helselogistikk nå innfører, men heller ikke her er pasientinformasjon i systemet lagt ut på sky.

– Løsningen er installert på server- og lagringsløsninger i Helse Vest IKT sine datahaller. Helse Vest benytter således ikke skyløsninger for dette formålet, forteller Erik M. Hansen, direktør for e-helse i Helse Vest.

En slik løsning kunne også Helse Sør-Øst ha valgt, og de ville da ha sluppet utfordringene med personvern og IT-sikkerhet. Problemet er at Helselogistikk skal brukes på de nye sykehusene Radiumhospitalet og på Drammen nye sykehus, og etterhvert på alle andre sykehusene i helseforetaket.

Elisabet Haugsbø, visepresident Tekna

SKEPTISK: Elisabet Haugsbø, visepresident i Tekna er bekymret for at Helse Sør-Øst velger en annen løsning enn de andre helseforetakene.

Foto: Mikkel Moe / Tekna

Også i Helse Nord er ledelsen tilbakeholden med bruk av sky. Her bruker man en norsk skyløsning med et norsk selskap.

Men i frykt av å få problemer med den amerikanske lovgivning og de europeiske reglene har man valgt å ha et lukket system som ikke deler informasjon.

– Ingen komponenter i løsningen blir eksponert for utenlandske aktører. Vi har vært opptatt av å kunne gå i produksjon uten ytterligere forsinkelser knyttet til nye juridiske utredninger. Derfor valgte vi en løsning som ikke kunne kommunisere, slik at vi kom i konflikt med Schrems2- dommen. sier programleder for IT, Bengt Flygel Nilsfors i Helse Nord.

Les også Krever at regjeringen griper inn mot pasientdata i amerikansk sky

FsCvXrxTk7M

Advarer

I Tekna, som organiserer ingeniører og IT-eksperter, er ledelsen bekymret for det som nå skjer med pasientdata.

– Det er en problematisk å bruke amerikansk sky til å lagre sensitive pasientdata. Man står i fare for at tredjeparts land, altså USA, kan få innsyn i de data man har på den amerikanske skyen, sier visepresident Eilsabet Haugsbø i Tekna.

Haugsbø er i tillegg skeptisk til at de ulike helseforetakene velger ulke løsninger fremfor å samarbeide om å finne en god og sikker løsning for hele helsesektoren.

– Det er uheldig at sykehusene ikke samarbeider om å finne en felles løsning, de burde ha felles forståelse av behandling av pasientdata på norske sykehus, sier Haugsbø.

Helse Sør-Øst skriver i mail til NRK at de ikke forstår grunnlaget for Teknas vurderinger, men at de gjerne tar en dialog med organisasjonen for å forstå deres synspunkter.

I Helse Midt-Norge tror man at interessen for sky kommer til å øke. Nå følger man med på hvordan Helse Sør-Østs inntreden på den amerikanske skyen vil utvikle seg.

– Vi ser på Helse Sør-Øst som en spydspiss her, og vi er spente på hva som vil skje. Vi regner med at de har gjort de nødvendige juridiske vurderingene, sier Skjesol i Helse Midt.

Hei

Har du tanker om denne saken? Send meg gjerne en mail. Jeg jobber mye med arbeidsliv, personvern og  IT-sikkerhet. For tiden arbeider jeg også mye med fiskeoppdrettsbransjen. Vil gjerne ha innspill eller tips til andre saker jeg burde se på.  Ta kontakt da. 

AKTUELT NÅ