NRK Meny
Normal

Datatilsynet fant lovbrudd: Millionbøter etter outsourcing av sykehus-IT

Flere lover ble brutt og det ble gjort mangelfulle vurderinger av sikkerhet og risiko før Helse Sør-Øst vedtok å outsource IT-infrastrukturen. Det slår Datatilsynet fast i en ny rapport.

Cathrine Lofthus Og Ann Krisitn Olsen

LOVEN GJELDER IKKE FOR ALLE: Disse damene stod i spissen for outsourcingen. Adm. direktør Cathrine Lofthus og styreleder Ann Kristin Olsen får kritikk for manglende styring og ledelse, men er ikke omfattet av samme lovverk som sykehusene og Sykehuspartner. Derfor slipper Helse Sør-Øst RHF bøter.

Foto: NRK

Vår vurdering er at det ikke finnes formildende omstendighet i denne saken

Datatilsynet

I en rapport helseforetakene i Helse Sør-Øst mottok torsdag ettermiddag felles en knusende dom over mangelen på risikovurdering i forkant av IT-outsourcingen.

Ledelsen i Helse Sør-Øst får sterk kritikk for mangelfull sikkerhetsledelse og manglende etterlevelse av regelverket, i rapporten fra Datatilsynet.

Datatilsynet kaller det en unik sak, og ser det som svært alvorlig at Helse Sør-Øst RHF ikke har forankret beslutningen hos sykehusene.

Bjørn Eirik Thon

KNUSENDE KRITIKK AV OUTSOURCING: I rapporten fra Datatilsynet slås det fast at hverken sykehusene, Sykehuspartner eller Helse Sør-Øst RHF, har gjort en god nok jobb med å beskytte sensitive pasientdata. På bildet sjefen i Datatilsynet, Bjørn Erik Thon.

Foto: Bjørn Atle Gildestad / NRK

Tilsammen ni sykehus må punge ut med 800.000 kroner hver i overtredelsesgebyr. Til sammen må foretakene ut med 7, 2 millioner kroner for lovbruddene.

Etter NRKs avsløringer om at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang til pasientjournalene til 2,8 millioner nordmenn, ble alle helseforetakene i Helse Sør-Øst bedt om å redegjøre for hvilke vurderinger av risiko som ble gjort i forkant av beslutningen om å flagge ut hele IT-infrastrukturen.

Etter avsløringen ble hele outsourcingen til amerikanske DXC satt på vent.

Slakter manglende risikovurdering av prosjektet

Torsdag kom dommen fra Datatilsynet. I en 33 sider lang rapport ansvarliggjør Datatilsynet sykehusene og Sykehuspartner, som formelt er behandlingsansvarlige for IT-systemene:

  • De behandlingsansvarlige helseforetakene har ikke hatt tilstrekkelig eierskap til, eller kontroll med de planlagte endringene knyttet til informasjonssystemet.
  • Helseforetakene har overlatt ansvaret for beslutninger som har betydning for pasientenes personvern og informasjonssikkerheten knyttet til behandling av personopplysninger, til databehandleren og til ansatte lenger ned i organisasjonen.
  • Det ble ikke gjennomført nødvendige risiko- og sårbarhetsvurderinger før det ble besluttet å konkurranseutsette avtale om strategisk partnerskap, herunder drift og vedlikehold av IKT-infrastruktur.
  • Det ble heller ikke gjennomført nødvendige risiko- og sårbarhetsanalyser i forkant av beslutningen om å velge underleverandør i Bulgaria.
  • Valgt underleverandør har i et begrenset tidsrom hatt tilgang til pasientopplysninger, i strid med ledelsens forutsetning om tilgangskontroll.

Manglende sikkerhetsledelse

For at pasientopplysninger skal være trygge og behandles på en god måte, er det formulert en rekke lover.

Datatilsynet mener disse lovene er brutt:

  1. Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven § 22 jf. § 5, personopplysningsloven §§ 13- 15 og personopplysningsforskriften §§ 2-3, 2–7 og 2–15.
  2. Manglende etterlevelse av plikten til å gjennomføre risikovurdering ved endringer som har betydning for informasjonssikkerheten er i strid med kravet i personopplysningsforskriften §§ 2–4 jf. 2–1 og pasientjournalloven § 22.
  3. Tilgang til pasientopplysninger er gitt i strid med ledelsens forutsetninger og dermed uten forankring i ledelsen. Dette innebærer overtredelse av personopplysningsforskriften §§ 2–11 og 2–13 til 2–15. Tilgang gitt i strid med ledelsens beslutning viser også manglende ledelsesforankring som omtalt i forrige punkt.
  4. Manglende kontroll og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven § 22 jf. § 5, personopplysningsloven §§ 13- 15 og personopplysningsforskriften §§ 2–3 og 2–7.
  5. Tilgangskontroll skal sikre personopplysningers konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsforskriftens §§ 2-11, 2–12 og 2–13 og pasientjournalloven § 22 jf. §§ 15 og 16. Tilgangsstyring er et sårbarhetsreduserende tiltak som implementeres på grunnlag av en risikoanalyse.

Offentlig omtale av saken har bidratt til å begrense konsekvensene av de feil som er begått.

Datatilsynet

De siste ukene har NRK gjennomgått alle styredokumentene til Helse Sør-Øst og Sykehuspartner i 2016 og 2017. Gjennomgangen viser at informasjonssikkerhet og personvern knapt er nevnt. Med unntak av fagforeningene har ingen i styret stilt spørsmål ved informasjonssikkerheten.

Styremøte Helse Sør-Øst

LITE FOKUS PÅ IT-SIKKERHET: Først etter NRKs saker ble IT-sikkerhet et tema i styret i Helse Sør-Øst.

Foto: Anne Cecilie Remen / NRK

Mener Helse Sør-Øst har pulverisert ansvaret

Datatilsynet mener det er svært alvorlig at denne avtalen ble inngått uten at det forelå tilstrekkelige risikovurderinger, og uten at restrisiko ble vurdert og akseptert i forkant av avtaleinngåelsen.

Etter loven er alle sykehusene juridiske enheter, de er pålagt å følge loven for hvordan pasientopplysninger skal behandles.

Thomas Bagley

PÅDRIVER FOR OUTSOURCING: Thomas Bagley, tidligere teknologidirektør i HSØ og tidligere styreleder i Sykehuspartner ledet arbeidet med outsourcingen. Bagley ble fjernet etter NRKs avsløring.

Foto: NRK

Dersom en leverandør befinner seg i utlandet, stilles det helt spesielle krav som sykehusene ikke har oppfylt, slår Datatilsynet fast. Selv om styret i helseforetaket Helse Sør-Øst stod ansvarlig for beslutningen om å outsource, er de ikke bundet av det samme lovverket som sykehusene.

Organiseringen av prosjektet har bidratt til å pulverisere ansvaret, sier rapporten. Datatilsynet skriver at konsekvensen av dette er manglende forankring og kontroll med beslutninger som er tatt.

Tidligere i sommer kom to rapporter fra PwC som slo fast at Helse Sør-Øst mangler kontroll på hvordan tilgangen til pasientinformasjon fungerer.

Sykehusene har gitt tilganger fra USA og India

Også sykehusene har gitt tilganger til IT-teknikere i Asia. Tilsynet påpeker:

«Ut fra de listene vi har mottatt fra det enkelte sykehus ser vi at alle helseforetakene per i dag har europeiske driftsoperatører som har tilgang til pasientopplysninger i større eller mindre omfang. I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som blant annet USA og India.»

Selv om sykehusene har gitt tilganger til operatører i land utenfor EU, mener Datatilsynet at det er langt mindre alvorlig enn å gi tilganger til hele infrastrukturen, slik det ble gjort i forbindelse med outsourcingen.

Torsdag kveld var NRK i kontakt med Just Ebbesen, som er direktør på Sykehuset Østfold og styremedlem i Sykehuspartner.

Just Ebbesen

FÅR BOT: – Jeg har ikke lest rapporten ennå, men vil gjennomgå den nøye, sier sykehusdirektør Ebbesen, sjef på Sykehuset Østfold.

Foto: Birger Kjølberg / NRK

– Jeg vil gå nøye gjennom rapporten for å se på den sentrale problemstillingen som tas opp, sier Ebbesen.

Heller ikke Helse Sør-Øst har lest rapporten, men kommunikasjonsdirektør Gunn K. Sande, skriver i en e-post:

«Vi vil ta vurderingene og konklusjonene fra Datatilsynet på største alvor, og skal nå gå grundig inn i dette sammen med helseforetakene. Utover dette er det for tidlig for oss å kommentere på innholdet nå»

Senest denne uken var utenlandske tilganger til pasientinformasjon tema i Stortinget, etter at NRK fortalte at tilganger fra Israel har blitt sperret av Sykehuspartner.

Bent Høie

KOM MED INNRØMMELSER: Denne uken innrømmet helseminister Bent Høie at han ikke har oversikt over hvem som har tilgang til pasientdata.

Foto: Anne Cecilie Remen / NRK

I Stortingets spørretime denne uken var det første gang helseministeren innrømmet at han ikke har oversikt over hvem som har ulike tilganger til sensitiv pasientinformasjon.

Helsedata som sikkerhetstruet virksomhet

På grunn av omfanget i avtalen, ligger saken nær opp til Sikkerhetslovens virkeområde, står det i rapporten.

Datatilsynet viser til Sikkerhetslovens § 29 a: «Ved anskaffelser til kritisk infrastruktur skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen.»

Datatilsynet har forståelse for at modernisering i helsesektoren er nødvendig for å nå politiske målsettinger om å øke kvaliteten i helsetjenesten, derfor mener de helsesektoren har en særlig plikt til å ta personvern på alvor.

«Vår vurdering er at denne saken om tjenesteutsetting tydelig har vist at personvernperspektivet ikke i tilstrekkelig grad er ivaretatt. Vi ser det som svært alvorlig at Helse Sør-Øst RHF ikke har sørget for at prosjektet er gjennomført på en måte som sikrer forankring i de behandlingsansvarlige helseforetakene.»

En outsourcing som ikke var forankret

Selv om Helse Sør-Øst RHF ikke får en egen bot, får også det regionale helseforetaket kritikk.

«Vi ser det som svært alvorlig at Helse Sør-Øst RHF ikke har sørget for at prosjektet er gjennomført på en måte som sikrer forankring i de behandlingsansvarlige helseforetakene. »

Det slås fast Helse Sør-Øst sentralt har selv uttrykt at det må utarbeides nye rutiner som sikrer nødvendig forankring i helseforetakene, og at ledelsen i Helse Sør-Øst dermed erkjenner at prosjektet ble styrt på en måte som ikke har gitt helseforetakene nødvendig kontroll med beslutningene.

Rapport outsourcing Datatilsynet

VARSEL OM VEDTAK: I går fikk sykehusene og Sykehuspartner beskjed om bøtene for dårlig risikostyring.

Foto: Line Tomter

Datatilsynet ser det som alvorlig at det vises mangelfull forståelse av grunnleggende krav som er nødvendige forutsetninger at regelverket følges.

De peker på at det dreier seg om profesjonelle aktører i en sektor der tillit er helt avgjørende, og at aktørene derfor må ha systemer og kompetanse som sikrer at behandling av personopplysninger som sikrer personvern.

Det har ikke vært tilfellet i forkant av outsourcingen til DXC, som nå er satt i bero.

Datatilsynets vurdering er at offentlig omtale av saken har bidratt til å begrense konsekvensene av de feil som er begått, ved at Helse Sør-Øst har stanset fremdriften av prosjektet.

Tilsynets vurdering er at Helse Sør-Øst gjennom sine reaksjoner har erkjent at avvik har skjedd og tiltak er iverksatt for å avhjelpe situasjonen. Avslutningsvis i rapporten står følgende setning:

Vår vurdering er at det ikke finnes formildende omstendighet i denne saken.

Det fremheves også at offentlig omtale av saken har bidratt til å begrense konsekvensene av de feil som er begått.

På nyåret tar Helse Sør-Øst endelig stilling til hva som skjer med outsourcingsprosjektet.

NRK presiserer: Det er sendt 9 vedtak om overtredelsesgebyr pålydende 800.000,- Altså samlet 7,2 mill, ikke ti millioner som NRK skrev i en tidligere versjon.

Tidslinje: Journalsaken Helse Sør-Øst
Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger