NRK Meny
Normal

Betrodde medarbeidere holdt tilbake informasjon om risikoen ved outsourcing

Helse Sør-Øst innfører flere strakstiltak for å bedre sikkerheten rundt pasientjournalene. Datatilsynet undersøker nå om det har foregått lovbrudd i helseforetaket.

Cathrine Lofthus

INFO STOPPET PÅ VEIEN: Kritiske rapporter og vurderinger om risikoen ved outsourcing stoppet hos betrodde medarbeidere og kom ikke frem til administrerende direktør Cathrine Lofthus og styreleder Ann-Kristin Olsen i Helse Sør-Øst, viser fersk rapport.

Foto: NRK

Gjennom år har IT-sikkerheten i landets største helseforetak vært elendig uten at noen har tatt grep, viser rapporter og styredokumenter som NRK har gjennomgått.

...kjente sårbarheter i eksisterende infrastruktur gir høyere risiko knyttet til tilganger fra Bulgaria

Landrisikovurdering av Bulgaria, mars 2017

En rekke rapporter bestilt av Sykehuspartner/Helse Sør – Øst har konkludert med at det har vært for dårlig IT-sikkerhet og lite fokus på personvern. Det har vært enkelt å snoke i pasientjournaler for IT-konsulentene og andre helseansatte.

Svakheter i systemet har bidratt til at fageksperter i Helse Sør-Øst har advart mot å outsource sykehusenes IT-drift til utlandet.

Men disse bekymringene er ikke blitt kanalisert oppover i systemet.

Uvitenhet i toppledelsen

Ny rapport fra PwC viser at informasjonen om risikoen ved outsourcing skal ha vært ukjent for styret og toppsjefen i Helse Sør-Øst.

Sentrale ledere og betrodde medarbeidere har holdt vesentlige opplysninger skjult for toppledelsen og styret.

I rapporten fra PwC står det:

Risiko knyttet til ekstern partners mulig tilgang til helseopplysninger er mangelfullt behandlet...deler av innholdet i styrebehandlingen var upresis.

PwC / PwC-rapport til styret i Helse Sør-Øst , 28. juni 2017
Nanette Loennechen

BEKLAGELIG: Foretakstillitsvalgt Nanette Loennechen er kritisk til at kritisk informasjon om sårbarhet og risiko knyttet til outsourcing har vært holdt hemmelig.

Foto: NRK

Les også: Setter utflaggingen på vent

Denne rapporten legges frem for styret i Helse Sør -Øst onsdag.

I rapporten slås det fast at 122 IT-arbeidere fra Bulgaria, Malaysia og India fikk fullstendig eller delvis tilgang til pasientdata til 2,8 millioner nordmenn, slik NRK avslørte.

Videre står det beskrevet i rapporten:

Deler av informasjonen prestentert for styret gjenspeiler ikke at gjennomførengen av kontrakten vil kreve at eksternt driftspersonell vil få mulighet til å få tilgang til helseopplysninger

PwC-rapport Juni 2017

– Det er dypt beklagelig at kritiske rapporter som beskriver risiko og sårbarhet er holdt tilbake .Vi undrer oss over hvem som har bestemt at disse rapportene skal være hemmelige, sier tillitsvalgt Nanette Loennechen.

Holdt lokk på informasjon

Helse Sør-Øst vedtok i september 2016 å sette ut IT-driften til alle sykehusene og helseforetakene på Østlandet og Sørlandet. Denne beslutningen ble tatt uten at det var gjennomført en risikovurdering av personvern og risikoanalyse, slik loven krever.

– Dette er forhold vi i Datatilsynet nå vil undersøke, forteller direktør Bjørn Erik Thon i Datatilsynet.

NRK avslørte i mai hvordan flere titalls utenlandske IT-arbeidere hadde tilgang til pasientjournalene til 2,8 millioner nordmenn, stikk i strid med regelverket.

Et par dager etter måtte teknologidirektøren i Helse Sør – Øst gå fra jobben og kort tid etter måtte både sjefen i datterselskapet Sykehuspartner og hele styret måtte trekke seg.

Bjørn Erik Thon. Datatilsnyet

IKKE FORNØYD: Datatilsynets direktør Bjørn Erik Thon ønsker mer informasjon om hvilke vurderinger av personvern som ble gjort forut outsourcingen

Foto: Anne Cecilie Remen / NRK

Helse Sør-Øst ga amerikanske IT-giganten HPE, som nå heter DXC, oppdraget med å drifte IT-systemet fra Bulgaria og etter hvert Malaysia. Kontrakten er på 6–7 milliarder kroner og er regnet for å være blant de største IT-kontraktene i Nord-Europa.

NRKs gjennomgang av styrereferater viser at det har vært sterkt fokus på økonomi og modernisering, og i liten grad sårbarhet og personvern.

Helse Sør-Øst er pålagt å utrede personvernkonsekvenser i forkant av outsourcingen. Det ble ikke gjort, og Datatilsynet gransker nå dette.

Vi er ikke fornøyd med de svarene vi har fått av Helse Sør-Øst og ber om ny informasjon for å finne ut om det har vært brudd på personvernloven, sier Thon.

Helse Sør-Øst har innført flere tiltak etter avsløringene av journalskandalen.

  • Nye rutiner for tildeling av fulle IT-tilganger
  • Nye rutiner for gjenåpning av tilganger
  • Gjennomgang av tilganger for leverandører og eksternt personell
  • Gjennomgang av kontroll og rapporteringsbehov.
  • Utreder alternative løsninger for outsourcingen

Hemmelighold

NRK har fått innsyn i en risikoanalyse som Helse Sør-Øst gjennomførte i mars 2017, mange måneder etter at kontrakten med det utenlandske selskapet var undertegnet.

Rapporten "Risk assessment" beskriver stor risiko med både korrupsjon og med personvern ved å sette ut driften av IT til Bulgaria.

Helseforetaket ønsket at analysen skulle være unntatt offentlighet. Rapporten har ikke vært lagt frem for styret i Sykehuspartner eller Helse Sør-Øst. NRK har likevel fått tak i den.

Her står det blant annet:

HPE vil operere i et land med et betydelig lavere nasjonalt operativt sikkerhetsnivå enn Norge og det nivået som kontrakten fastsetter.

Derfor er det usikkert hvorvidt personopplysninger om norske pasienter og ansatte er skjermet for bulgarske eller samarbeidende lands myndigheter

Rapport Risk assessment

I den ferske rapporten fra PwC som legges frem for styret onsdag påpekes det en rekke mangler ved selve styringsstrukturen, risikovurderingen og ansvarsdelingen i Helse Sør-Øst.

Verken styreleder Ann-Kristin Olsen eller administrerende direktør Cathrine Lofthus vil kommentere saken før styremøtet onsdag.

Tidslinje: Journalsaken Helse Sør-Øst
Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger