Hopp til innhold

Dine pasientdata skal sendes til amerikansk sky – Datatilsynet advarer

I løpet av noen uker skal Helse Sør-Øst ta i bruk en skytjeneste for å håndtere nordmenns pasientdata. Datatilsynet advarer om at USA ikke er ansett som et trygt land å sende slike opplysninger til, og ber dem sette på bremsen.

Bildet viser innkjørselen til Ullevål sykehus. Bildet er tatt på kvelden og en ambulanse kjører ut fra sykehuset.

PASIENTDATA PÅ SKY: Landets største helseforetak Helse Sør Øst vil i løpet av kort tid legge sensitiv pasientdata ut på en amerikanskeid skytjeneste. Løsningen er både lovlig og forsvarlig, mener ledelsen i Helse Sør Øst.

Foto: Lise Åserud

På et møterom i 7. etasje i Helse Sør-Øst sitt kontor i Oslo prøver to sjefer å forklare hvorfor landets største helseforetak vil legge persondata av pasientene ut på en amerikanskeid sky.

– Vi skal bruke skytjenester for å lage en god tjeneste for pasienter når de møter opp på sykehuset og når de forlater det. Systemet vil registrere pasientens oppmøte på poliklinikker, navn og personnummer, og på hvilken poliklinikk de skal til, sier administrerende direktør Terje Rootwelt i Helse Sør- Øst.

Helse Sør- Øst begynner utrullingen av skytjenesten i løpet av våren.

Sensitive persondata på sky

Skyløsningen vil ha informasjon om pasienten for eksempel har kreft, har hjerteproblemer, er lungesyk, har underlivssykdom, rusproblemer eller er psykisk syk.

Dette er sensitive persondata som uvedkommende ikke bør få tak i.

Øyvind Grinde, IT-sikkerhetsleder og Terje Rootwelt, administrerende direktør Helse Sør Øst

IKKE NOE PROBLEM: IT-sikkerhetsleder Øyvind Grine og adm.dir. Terje Rootwelt i Helse Sør Øst mener det er lite sannsynlig at USA eller andre vil be om å få utlevert persondata av norske pasienter. Det gjøres et veldig godt arbeid med informasjonssikkerhet og det prioriterer vi høyt, understreker Rootwelt.

Foto: Anne Cecilie Remen / NRK

Landets største helseforetak har ansvaret for helsetjenester til 3,1 millioner nordmenn. Blant pasientene befinner det seg landets samfunnstopper innen politikk, samfunnsliv og næringsliv.

Nå vil altså sensitiv persondata fra disse pasientene kunne bli tilgjengelige på en amerikanskeid skyløsning.

Les også Landets største helseforetak vil kutte i personvernombud

Kristine Kleivi Sahlberg.

USA og amerikanske selskaper ikke trygt

Ifølge norsk og europeisk lovgivning kan man ikke dele personopplysninger med land utenfor Europa, som USA. Årsaken er det ikke finnes noen avtale om slik overføring mellom EU og USA.

– I dag er ikke USA ansett som et trygt land å sende personopplysninger til, sier direktør Line Coll i Datatilsynet.

Line Coll, Direktør i Datatilsynet

MÅ HA TILTAK: Line Coll, direktør i Datatilsynet har forslått kryptering som et tiltak Helse Sør Øst kan gjennomføre for å beskutte persondata til pasienter

Foto: Anne Cecilie Remen / NRK

Faren er at sensitive persondata kan bli utlevert til andre lands myndigheter, dersom de krever det.

– Slik vi har forstått det så tar leverandøren av dette systemet forbehold om at de kan utlevere dataene til myndigheter i land utenfor Europa. Det er i utgangspunktet ikke lov, sier Coll.

Ledelsen i Helse Sør Øst påpeker at underleverandøren ikke befinner seg i USA, men i Irland, og at all databehandling skjer i Europa. Men selskapet som står for skytjenesten er eid av det amerikanske Microsoft. Ledelsen i Helse Sør -Øst innrømmer at skyleverandøren ikke kan garantere at data ikke blir utlevert.

Drammen sykehus, det nye

SYKEHUS UTEN RESEPSJONSOMRÅDER: Selvbetjening og skyløsninger er fremtiden for pasientene. Det blir en god løsning for pasientene og bruk av sky er både lovlig og forsvarlig, mener Helse Sør -Øst.

Foto: Helse Sør Øst

– Nei, de kan ikke garantere det, sier Rootwelt.

Helse Sør-Øst mener at amerikansk etterretning ikke vil være interessert i de norske pasientdata og at det er liten sannsynlighet for at de vil det i fremtiden.

– Vi har sett på det amerikanske lovverket, våre jurister har vurdert at det er ingen grunn til at de skulle ville ha informasjon om helsedata, og det har aldri skjedd tidligere, og da mener vi at det i praksis ikke vil være en mulighet for det, sier Rootwelt.

Ifølge et notat fra Helse Sør- Øst som NRK har fått tilgang til mener de at Microsoft aldri har mottatt krav om innsyn fra amerikanske myndigheter på europeiske offentlig virksomheter.

Datatilsynet har ikke samme vurdering som Helse Sør-Øst.

– At man ser det som lite sannsynlig at opplysningene vil bli utlevert til amerikanske myndigheter, er ikke relevant fra vår side, sier direktør Coll i Datatilsynet.

Datatilsynet advarte for noen uker siden om at presset økonomi og kostnadskutt i sykehusene kan føre til svekket IT-sikkerhet og dårligere personvern. Tilsynet mener at øremerkete midler til IT-sikkerhet i helsesektoren er nødvendig.

Skytjeneste nå

Datatilsynet har gitt Helse Sør Øst en rekke råd som handler om å beskytte sensitive pasientdata, slik at persondata ikke blir delt og at skyløsningen dermed blir lovlig.

– Vi har gitt helt konkrete og praktiske råd til Helse Sør Øst om hvordan personopplysninger i dette systemet kan beskyttes, for eksempel ved kryptering eller pseudnominsering. Slik at pasientdata ikke er lesbare for leverandøren, amerikanske myndigheter eller for 3 lands myndigheter. Vi regner med at Helse Sør Øst tar rådene våre på alvor, sier Line Coll, direktør i Datatilsynet.

Men ledelsen i Helse Sør Øst mener at det ikke er mulig å gjøre opplysningene utilgjengelig for selskapet bak skytjenesten ved kryptering eller pseudonymisering i Helselogistikk

– Det lar seg ikke gjøre sammen med betalingsløsningen. Den må jo vite identiteten til pasientene, påpeker Rootwelt.

Persondata vil være synlig for skyleverandøren under behandlingsperioden inntil pasienten har betalt for helsetjenestene. Det kan være opptil en periode på 30 dager.

Direktøren understreker likevel at kryptering skjer under transport av data og ved lagring.

– Vi mener informasjonssikkerheten blir bedre. Utviklingen går i retning av å bruke skyløsninger, og spørsmålet er hvordan vi kan gjøre dette på en trygg måte, sier Rootwelt.

Radiumhospitalet

KREFTINFO: Også på Radiumhospitalet vil persondata om kreftpasienter havne i skyen-

Foto: Helse Sør Øst

En løsning er å vente

Datatilsynet fremhever at en løsning er at Helse Sør- Øst venter med skytjeneste inntil EU og USA er enige om en avtale om deling av personopplysninger.

Men Helse Sør Øst har ikke tid til å vente. Landets største helseforetak bygger en rekke nye sykehus og de er planlagt med digitale løsninger og skytjeneste.

– Vi trenger å komme videre med hensyn til de nye sykehusene som bygges. Hadde vi ikke ansett dette som en lovlig eller forsvarlig, så hadde vi selvsagt valgt en annen løsning, men det hadde vært krevende fordi planlegging av de nye sykehusene er kommet så langt. Det hadde sikkert blitt mer kostbart og mer tungvint for pasienter og for de ansatte på sykehuset, understreker Rootwelt.

– Hvis de ikke innfører tiltak for å beskytte persondata blir de ansvarlige for at personopplysninger blir overfør til et land hvor det i utgangspunktet ikke er lovlig å gjøre det, sier Coll i Datatilsynet.

Hei

Har du tanker eller kunnskap om denne eller tilsvarende saker? Send meg gjerne en mail. Er interessert i alle tips, også om du vil være anonym. Jeg jobber mye med arbeidsliv, personvern og IT-sikkerhet og også med fiskeoppdrettsbransjen. 

AKTUELT NÅ