Gjennom år har IT-sikkerheten i landets største helseforetak vært elendig uten at noen har tatt grep, viser rapporter og styredokumenter som NRK har gjennomgått.
En rekke rapporter bestilt av Sykehuspartner/Helse Sør – Øst har konkludert med at det har vært for dårlig IT-sikkerhet og lite fokus på personvern. Det har vært enkelt å snoke i pasientjournaler for IT-konsulentene og andre helseansatte.
Svakheter i systemet har bidratt til at fageksperter i Helse Sør-Øst har advart mot å outsource sykehusenes IT-drift til utlandet.
Men disse bekymringene er ikke blitt kanalisert oppover i systemet.
NRK har lest flere interne rapporter i hvor det er blitt advart mot outsourcing. Rapportene har aldri blitt styrebehandlet, men er forsvunnet i systemet. NRK vet at mange ledere har lest disse rapportene, men de nådde altså aldri frem til toppen.
Uvitenhet i toppledelsen
Ny rapport fra PwC viser at informasjonen om risikoen ved outsourcing skal ha vært ukjent for styret og toppsjefen i Helse Sør-Øst.
Sentrale ledere og betrodde medarbeidere har holdt vesentlige opplysninger skjult for toppledelsen og styret.
I rapporten fra PwC står det:
BEKLAGELIG: Foretakstillitsvalgt Nanette Loennechen er kritisk til at kritisk informasjon om sårbarhet og risiko knyttet til outsourcing har vært holdt hemmelig.
Foto: NRKLes også: Setter utflaggingen på vent
Denne rapporten legges frem for styret i Helse Sør -Øst onsdag.
I rapporten slås det fast at 122 IT-arbeidere fra Bulgaria, Malaysia og India fikk fullstendig eller delvis tilgang til pasientdata til 2,8 millioner nordmenn, slik NRK avslørte.
Videre står det beskrevet i rapporten:
– Det er dypt beklagelig at kritiske rapporter som beskriver risiko og sårbarhet er holdt tilbake .Vi undrer oss over hvem som har bestemt at disse rapportene skal være hemmelige, sier tillitsvalgt Nanette Loennechen.
Holdt lokk på informasjon
Helse Sør-Øst vedtok i september 2016 å sette ut IT-driften til alle sykehusene og helseforetakene på Østlandet og Sørlandet. Denne beslutningen ble tatt uten at det var gjennomført en risikovurdering av personvern og risikoanalyse, slik loven krever.
– Dette er forhold vi i Datatilsynet nå vil undersøke, forteller direktør Bjørn Erik Thon i Datatilsynet.
NRK avslørte i mai hvordan flere titalls utenlandske IT-arbeidere hadde tilgang til pasientjournalene til 2,8 millioner nordmenn, stikk i strid med regelverket.
Et par dager etter måtte teknologidirektøren i Helse Sør – Øst gå fra jobben og kort tid etter måtte både sjefen i datterselskapet Sykehuspartner og hele styret måtte trekke seg.
IKKE FORNØYD: Datatilsynets direktør Bjørn Erik Thon ønsker mer informasjon om hvilke vurderinger av personvern som ble gjort forut outsourcingen
Foto: Anne Cecilie Remen / NRKHelse Sør-Øst ga amerikanske IT-giganten HPE, som nå heter DXC, oppdraget med å drifte IT-systemet fra Bulgaria og etter hvert Malaysia. Kontrakten er på 6–7 milliarder kroner og er regnet for å være blant de største IT-kontraktene i Nord-Europa.
NRKs gjennomgang av styrereferater viser at det har vært sterkt fokus på økonomi og modernisering, og i liten grad sårbarhet og personvern.
Helse Sør-Øst er pålagt å utrede personvernkonsekvenser i forkant av outsourcingen. Det ble ikke gjort, og Datatilsynet gransker nå dette.
– Vi er ikke fornøyd med de svarene vi har fått av Helse Sør-Øst og ber om ny informasjon for å finne ut om det har vært brudd på personvernloven, sier Thon.
Helse Sør-Øst har innført flere tiltak etter avsløringene av journalskandalen.
- Nye rutiner for tildeling av fulle IT-tilganger
- Nye rutiner for gjenåpning av tilganger
- Gjennomgang av tilganger for leverandører og eksternt personell
- Gjennomgang av kontroll og rapporteringsbehov.
- Utreder alternative løsninger for outsourcingen
Hemmelighold
NRK har fått innsyn i en risikoanalyse som Helse Sør-Øst gjennomførte i mars 2017, mange måneder etter at kontrakten med det utenlandske selskapet var undertegnet.
Rapporten "Risk assessment" beskriver stor risiko med både korrupsjon og med personvern ved å sette ut driften av IT til Bulgaria.
Helseforetaket ønsket at analysen skulle være unntatt offentlighet. Rapporten har ikke vært lagt frem for styret i Sykehuspartner eller Helse Sør-Øst. NRK har likevel fått tak i den.
Her står det blant annet:
I den ferske rapporten fra PwC som legges frem for styret onsdag påpekes det en rekke mangler ved selve styringsstrukturen, risikovurderingen og ansvarsdelingen i Helse Sør-Øst.
Verken styreleder Ann-Kristin Olsen eller administrerende direktør Cathrine Lofthus vil kommentere saken før styremøtet onsdag.
