– Vi har konkludert med at det ikke er noe som ikke kan drives av private aktører i utlandet, sier direktør Christine Bergland i Direktoratet for e-helse til NRK.
På en konferanse for flere hundre ledere og IT-folk i helsesektoren la hun frem en rapport om informasjonssikkerhet i helsevesenet.
Konklusjonen er at helsesektoren kan flagge ut all drift av IT-systemer til private aktører, både i Norge, innen EØS-området og til resten av verden, som USA og Asia. Foutsetningen er at helseforetakene har gjort tilstrekkelig risikovurdering på forhånd.
Her er rapporten
De som på forhånd trodde at IKT-fadesen i Helse Sør-Øst hvor IT-arbeidere i utlandet fikk tilgang til pasientdata hadde skremt byråkratene i Direktoratet for e-helse, måtte gå skuffet hjem.
En måned etter NRKs avsløringer om at over 130 IT-arbeidere i Bulgaria, India og Malaysia i flere måneder hadde hatt tilgang til sensitive pasientjournaler til 2,8 millioner nordmenn fikk Direktoratet for e-helse oppdraget med å gjennomgå informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren av helseminister Bent Høie (H).
Les også: Helse Sør-Øst innrømmer at helseministeren fikk mangelfull informasjon
Les også: Høie kan ikke love at journalskandalen er over
Les også: Helse Sør-Øst får millionbøter av Datatilsynet
TILHØRERE: Toppsjef i Helse Sør-Øst Cathrine Lofthus og kommunikasjonsdirektør Gunn Kristin Sande fulgte godt med fra forreste rad sammen med administrerende direktør i Helse Vest, Herlof Nilsen.
Foto: Peter Kuzinski / NRKMye må være på plass før utflagging
Bergland vil ikke kommentere Helse Sør-Øst -saken med annet enn :
– Jeg har tillit til at de tar de riktige valgene, sier hun.
Bergland presiserer at mye må være på plass før man bestemmer seg for å tjenesteutsette IKT-tjenester :
- Før helseforetakene tar en beslutning må ledelsen ha gjennomført en risikovurdering ved å sette ut drift av infrastruktur til utlandet. Risikovurdering må være mer omfattende dersom man outsourcer utenfor EØS. Slik risikovurdering hadde ikke HSØ gjort, og derfor fikk helseforetaket nylig millionbøter av Datatilsynet.
KJØREREGLER: Fritt frem for å flagge ut all IT, men man må vite hva man gjør, mener Direktoratet for e-helse
Foto: NRK - Både ledelsen og styret må ha IKT-kompetanse og dermed også nødvendig kompetanse til å forhandle med globale IT-selskaper om innkjøp av de tekniske løsningene, mener direktoratet.
- Helseforetaket må ha en fullstendig oversikt over hvilke personopplysninger man behandler.
- Dessuten må ledelse og styret være reelt engasjert i beslutningene som ligger bak å outsource viktig IKT-systemer til private aktører.
– Informasjonssikkerhet handler om å ha riktig kultur ,prosess, struktur og kompetanse på plass i alle ledd i organisasjonen. Informasjonssikkerhet er en kontinuerlig prosess som man ikke kan løfte frem en enkelt gang,men som man må jobbe med hele tiden, sier Bergland.
Nødvendig med utflagging
Toppsjefen for Direktoratet for e-helse mener at outsoucing er nødvendig for at helse og sykehussektoren skal bli mer moderne og pasientvennlig.
– Det bør være lav risikoappetitt i helsesektoren, samtidig som må ta noe risiko for ellers utvikler foretakene seg ikke, sier Bergland.
HJEMMELEKSE : Christine Bergland i Direktoratet for e-helse mener det trengs mer IT-kompetanse på toppen i ledelen av helseforetakene.
Foto: Anne Cecilie Remen / NRKDirektoratet for e-helse mener at sykehusene og helseforetakene ikke kan løse fremtidens krav uten at digitaliseringen blir løst ved hjelp av private selskaper, også av de store globale IT-selskapene.
– Helse- og omsorgssektoren har ambisiøse mål og store forventninger til
modernisering og effektivisering. Digitalisering er et viktig hjelpemiddel for å nå disse målene og utviklingen på området går raskt. Sektoren er helt avhengig av private leverandører, både nasjonale og internasjonale, innen IKT-området, for å sikre tilgang til oppdatert teknologi, løsninger og tilstrekkelig kompetanse, understreker Bergland.
– Leverandører tilfører spesialkompetanse som helsetjenesten ikke har selv og kan bidra til mer stabile og tilgjengelige tjenester, sier Bergland.
Hva som skjer i landets største helseforetak med outsourcing av IT fremover er uvisst. HSØ har satt utflagging på vent. En beslutning om veien videre er ventet på nyåret.
Helse Sør-Østs kommunikasjonsdirektør Gunn Kristin Sande sier i en e-post.
– Vi skal i styrke kompetansen og arbeidet med informasjonssikkerhet i foretaksledelsen. Ellers er det HOD som utnevner vårt styre.
På Helse Sør-Østs hjemmeside kommenterer toppsjef Cathrine Lofhus rapporten slik:
– Selv om vi har arbeidet målrettet med tiltak over noe tid, er vi ikke i mål. Gjennomgangen som Helse- og omsorgsdepartementet initierte, gir viktige premisser for IKT-utviklingen i sektoren. Nå skal vi sette oss grundig inn i innholdet i rapporten, og momenter og konklusjoner fra direktoratets gjennomgang vil være vesentlige i vårt videre arbeid med informasjonssikkerhet og digitalisering, sier Lofthus.
