Hopp til innhold

– Jeg har vært forbannet og fortvilet

HAMAR (NRK): Toppsjef Cathrine Lofthus har vært forbannet over at sjefer og ansatte har skjult informasjon om dårlig IT-sikkerhet og manglende personvern i Helse Sør-Øst

Cathrine Lofthus

FORBANNET: Toppsjef Cathrine Lofthus i Helse Sør-Øst har vært sint og fortvilet etter avsløringen om at IT-sikkerheten og personvern er elendig i helseforetaket.

Foto: Cornelius Poppe / NTB scanpix

– Jeg har vært forbannet, fortvilet, oppgitt, og kjent på alle mulige følelser som finnes i meg som menneske i denne saken, sier Cathrine Lofthus til NRK.

For første gang forteller toppsjefen i Helse Sør-Øst opp om hvordan det var å oppdage at ledere og medarbeidere holdt unna kritisk informasjon om IKT-sikkerheten, og om hvordan IT-ansatte hadde full tilgang til sensitive pasientjournaler, i strid med regelverk og avtaler.

NRK møter Lofthus i en pause i styremøtet i Helse Sør-Øst som foregår på Hamar. Her er manglende datasikkerhet tema.

Lofthus nøler først med å svare da NRK spør henne om hvordan hun egentlig har hatt det, etter at NRK avdekket at IT-arbeidere fra Bulgaria og Malaysia i flere måneder hadde hatt tilgang til sensitiv pasientdata til 2,8 millioner nordmenn i Helse Sør-Øst.

Dette var i strid med loven og med avtalen. Helse Sør-Øst fikk knallhard kritikk i to granskningsrapporter fra PwC.

Teknologidirektøren måtte trekke seg, både styret og toppleder i datterselskapet Sykehuspartner måtte gå.

Les også: Setter outsourcingen på vent etter NRK-avsløring

Krevende

– Jeg synes det har vært krevende og utrolig alvorlig. Saken har fått konsekvenser og vi har nå ryddet opp i ledelsen. Jeg er opptatt av at vi skal få full kontroll på IKT-sikkerheten og på personvern før vi kan gå videre med prosessen. Dette tar vi på alvor, sier Lofthus.

Les også: Innrømmer at helseministeren har fått feil informasjon

Toppsjefen for Helse Sør-Øst innrømmer at mye har gått galt i det som skulle være prestisjeprosjekt nummer en i Helse-Norge.

– Her har det ikke vært kontroll, styring og ledelse. Nå må vi få alle fakta på bordet og få en reell situasjonsbeskrivelse slik at vi har en basis til å treffe de riktige beslutninger fremover, sier Lofthus.

Nå vet man ikke hvilket utfall hele outsourcingsprosjektet på 6–7 milliarder kroner vil få.

Lofthus har satt inn en av sine betrodde direktører Atle Brynestad til å rydde opp i IT-kaoset. De innrømmer begge to at det er en lang vei å gå før de har kontroll over situasjonen.

Styremøte Helse Sør-Øst

ALVOR: Styret i Helse Sør-Øst erkjenner at det har vært manglende IT-sikkerhet i foretaket. Styremøtet var ledet av styreleder Ann-Kristin Olsen (til høyre)

Foto: Anne Cecilie Remen / NRK

– Vi i Helse Sør-Øst har en oppfliset infrastruktur som ikke er god nok for noen. Dersom vi skal få fart i dette med bedre informasjonssikkerhet så må vi bruke penger på dette, sier Brynestad.

Også de ansatte i Sykehuspartner, og ikke bare helsemedarbeidere, har tilgang til sensitiv pasientinfo.

Nå iverksetter ledelsen flere hastetiltak for å bedre sikkerheten og personvernet, men innen tilgangsstyring og loggføring er det krevende å få ting på plass.

Innhentet råd fra Statoil

Helse Sør Øst vurderer nå om Sykehuspartner kan drive den gamle infrastrukturen inntil de har kontroll på informasjonssikkerhet og personvern, mens underleverandøren DXC fortsetter å utvikle ny mer moderne og sikker infrastruktur parallelt. Et annet alternativ er å bryte kontrakten med DXC og la Sykehuspartner utvikle ny infrastruktur alene, eventuelt med bruk av underleverandører.

Styremøtet Helse-Sør_øst

PAUSE: Helse Sør-Øst hadde torsdag et heldags styremøte hvor IKT-sikkerhet sto på dagsorden, her styreleder Ann Kristin Olsen, kommunikasjonsdirektør Gunn K. Sande, adm. direktør Cathrine Lofthus og direktør Atle Brynestad

Foto: Line Tomter / NRK

Når har dere kontroll over IKT-sikkerheten?

– Det er umulig å si, forteller Lofthus.

Helse Sør-Øst får råd fra Helse Vest som har satset på å drive mer av IKT selv.

Dessuten innhenter de råd og erfaring fra Statoil som også hentet tilbake IT-oppgaver fra et indiske storselskap etter at NRK avslørte at oljeselskapet hadde vært rammet av en rekke uheldige IT-hendelser etter outsourcing.

Helse Sør – Øst tar en beslutning om hva de gjør med hele outsourcingen på slutten av året.

Les også: Fortsatt ingen avklaring om IT i Helse Sør-Øst

Les også: Betrodde medarbeidere holdt tilbake informasjon

AKTUELT NÅ