Ifølge toppsjef Cathrine Lofthus i Helse Sør-Øst skal datterselskapet Sykehuspartner fortsatt ha ansvar for IT i helseforetaket inntil de har kontroll på tilganger, personvern og informasjonssikkerhet.
– Terminering av avtalen med amerikanske selskap HPE/ DXC er en reell mulighet, sier toppsjef, Cathrine Lofthus i et ekstraordinært styremøte i Helse Sør-Øst.
Innrømmer IT-svikt
Hun innrømmer at de ikke har kontroll på modernisering av infrastruktur. Helse Sør-Øst setter dermed i gang strakstiltak.
– Vi setter i gang tiltak umiddelbart for å styrke personvernet, sier Lofthus.
– Viktig informasjon har ikke blitt fremlagt for meg, legger hun til, og understreker at dette er alvorlig.
Lofthus utelukker ikke at flere vil gå. Samtidig vil hun ikke svare på om hun har tillitt til sine nærmeste ledere.
123 personer har hatt tilgang
Are Muri i revisjonsselskapet PricewaterhouseCoopers (PwC) forteller at 123 personer har hatt tilgang til helseopplysninger. Syv av brukerne gikk inn i servere med pasientinformasjon.
– Det har vært 150 pålogginger fra Malaysia. Dette kan være i strid med avtalen, sier Are Muri.
Mener toppledelsen bør trekke seg
Helsepolitiske talsperson i Venstre, Ketil Kjenseth, mener toppledelsen i Helse Sør-Øst har tatt for lett på pasientsikkerheten.
– Å sikre pasienters helseopplysninger er en kjerneoppgave for Helse Sør-Øst RHF. Der har de sviktet. Jeg står fast på at administrerende direktør og styreleder har tatt for lett på oppgaven og bør trekke seg, sier Ketil Kjenseth (V).
Han mener sluttrapporten fra PwC om IKT-anskaffelsen og moderniseringen av IKT-infrastrukturen i Helse Sør-Øst RHF viser at det er en lang vei å gå for å samle Norge til ett sikkert IKT-regime for norske pasienter.
– Dette ble i altfor liten grad formidlet i Kvinnsland-utvalgets rapport om et framtidig alternativ til å avvikle de fire regionale helseforetakene. PwC-rapporten er et godt dokument for å starte avviklingen med å innføre ett felles helseforetak for IKT, sier Kjenseth.
Overså faglige råd
President i Norges Ingeniør- og Teknologiorganisasjon (NITO), Trond Markussen, mener styret har hoppet bukk over de faglige rådene fra de ansatte og at man nå ser konsekvensen av det.
– Jeg er veldig glad for at styret i Helse Sør-Øst nå tar ansvar og lover å lytte til de ansatte og fagorganisasjonene, sier president i NITO, Trond Markussen.
Han synes det er bra at styret ønsker å vurdere om pasientdata utgjør kritisk infrastruktur. Samtidig håper han styret erkjenner at lignende situasjoner kun kan unngås hvis pasientdata faller inn under sikkerhetsloven.
– Vi vet det er et ønske fra regjeringen om å outsource mer fra offentlig sektor og mange steder er disse prosessene godt i gang. Skal dette lykkes vil jeg advare mot å gå for fort fram og å la økonomien veie tyngre enn de faglige rådene, sier Markussen.
Ekstraordinært styremøte
Styremøtet begynte klokken åtte onsdag morgen. Der skal blant annet ta stilling til hva helseforetaket skal foreta seg etter at to granskingsrapporter slakter hvordan Helse Sør-Øst har håndtert risiko og IKT-sikkerhet knyttet til outsourcing av IT-arbeid til Bulgaria, Malaysia og India.
Granskingen er et resultat av at NRK i mai avslørte at over 100 IT-arbeidere fra Bulgaria og Asia hadde fått administrative rettigheter til Helse Sør-Øst IKT-infrastruktur. Disse rettighetene ga IT-konsulentene helt eller delvis mulighet til innsyn i sensitive pasientjournaler til 2, 8 millioner nordmenn, i strid med regler.
Her er hele granskingsrapporten:
De ansatte er spent på utfallet av styremøtet.
En mulighet er at hele outsourcingen blir stoppet. En annen er at helseforetaket endrer kontrakten og ha kontroll over tilganger til pasientjournalene.
Les også: Betrodde medarbeidere skjulte informasjon om risiko