I en rapport helseforetakene i Helse Sør-Øst mottok torsdag ettermiddag felles en knusende dom over mangelen på risikovurdering i forkant av IT-outsourcingen.
Ledelsen i Helse Sør-Øst får sterk kritikk for mangelfull sikkerhetsledelse og manglende etterlevelse av regelverket, i rapporten fra Datatilsynet.
Datatilsynet kaller det en unik sak, og ser det som svært alvorlig at Helse Sør-Øst RHF ikke har forankret beslutningen hos sykehusene.
Tilsammen ni sykehus må punge ut med 800.000 kroner hver i overtredelsesgebyr. Til sammen må foretakene ut med 7, 2 millioner kroner for lovbruddene.
Etter NRKs avsløringer om at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang til pasientjournalene til 2,8 millioner nordmenn, ble alle helseforetakene i Helse Sør-Øst bedt om å redegjøre for hvilke vurderinger av risiko som ble gjort i forkant av beslutningen om å flagge ut hele IT-infrastrukturen.
Etter avsløringen ble hele outsourcingen til amerikanske DXC satt på vent.
- Les også:
Slakter manglende risikovurdering av prosjektet
Torsdag kom dommen fra Datatilsynet. I en 33 sider lang rapport ansvarliggjør Datatilsynet sykehusene og Sykehuspartner, som formelt er behandlingsansvarlige for IT-systemene:
- De behandlingsansvarlige helseforetakene har ikke hatt tilstrekkelig eierskap til, eller kontroll med de planlagte endringene knyttet til informasjonssystemet.
- Helseforetakene har overlatt ansvaret for beslutninger som har betydning for pasientenes personvern og informasjonssikkerheten knyttet til behandling av personopplysninger, til databehandleren og til ansatte lenger ned i organisasjonen.
- Det ble ikke gjennomført nødvendige risiko- og sårbarhetsvurderinger før det ble besluttet å konkurranseutsette avtale om strategisk partnerskap, herunder drift og vedlikehold av IKT-infrastruktur.
- Det ble heller ikke gjennomført nødvendige risiko- og sårbarhetsanalyser i forkant av beslutningen om å velge underleverandør i Bulgaria.
- Valgt underleverandør har i et begrenset tidsrom hatt tilgang til pasientopplysninger, i strid med ledelsens forutsetning om tilgangskontroll.
Manglende sikkerhetsledelse
For at pasientopplysninger skal være trygge og behandles på en god måte, er det formulert en rekke lover.
Datatilsynet mener disse lovene er brutt:
- Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven § 22 jf. § 5, personopplysningsloven §§ 13- 15 og personopplysningsforskriften §§ 2-3, 2–7 og 2–15.
- Manglende etterlevelse av plikten til å gjennomføre risikovurdering ved endringer som har betydning for informasjonssikkerheten er i strid med kravet i personopplysningsforskriften §§ 2–4 jf. 2–1 og pasientjournalloven § 22.
- Tilgang til pasientopplysninger er gitt i strid med ledelsens forutsetninger og dermed uten forankring i ledelsen. Dette innebærer overtredelse av personopplysningsforskriften §§ 2–11 og 2–13 til 2–15. Tilgang gitt i strid med ledelsens beslutning viser også manglende ledelsesforankring som omtalt i forrige punkt.
- Manglende kontroll og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven § 22 jf. § 5, personopplysningsloven §§ 13- 15 og personopplysningsforskriften §§ 2–3 og 2–7.
- Tilgangskontroll skal sikre personopplysningers konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsforskriftens §§ 2-11, 2–12 og 2–13 og pasientjournalloven § 22 jf. §§ 15 og 16. Tilgangsstyring er et sårbarhetsreduserende tiltak som implementeres på grunnlag av en risikoanalyse.
De siste ukene har NRK gjennomgått alle styredokumentene til Helse Sør-Øst og Sykehuspartner i 2016 og 2017. Gjennomgangen viser at informasjonssikkerhet og personvern knapt er nevnt. Med unntak av fagforeningene har ingen i styret stilt spørsmål ved informasjonssikkerheten.
Mener Helse Sør-Øst har pulverisert ansvaret
Datatilsynet mener det er svært alvorlig at denne avtalen ble inngått uten at det forelå tilstrekkelige risikovurderinger, og uten at restrisiko ble vurdert og akseptert i forkant av avtaleinngåelsen.
Etter loven er alle sykehusene juridiske enheter, de er pålagt å følge loven for hvordan pasientopplysninger skal behandles.
Dersom en leverandør befinner seg i utlandet, stilles det helt spesielle krav som sykehusene ikke har oppfylt, slår Datatilsynet fast. Selv om styret i helseforetaket Helse Sør-Øst stod ansvarlig for beslutningen om å outsource, er de ikke bundet av det samme lovverket som sykehusene.
Organiseringen av prosjektet har bidratt til å pulverisere ansvaret, sier rapporten. Datatilsynet skriver at konsekvensen av dette er manglende forankring og kontroll med beslutninger som er tatt.
Sykehusene har gitt tilganger fra USA og India
Også sykehusene har gitt tilganger til IT-teknikere i Asia. Tilsynet påpeker:
«Ut fra de listene vi har mottatt fra det enkelte sykehus ser vi at alle helseforetakene per i dag har europeiske driftsoperatører som har tilgang til pasientopplysninger i større eller mindre omfang. I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som blant annet USA og India.»
Selv om sykehusene har gitt tilganger til operatører i land utenfor EU, mener Datatilsynet at det er langt mindre alvorlig enn å gi tilganger til hele infrastrukturen, slik det ble gjort i forbindelse med outsourcingen.
Torsdag kveld var NRK i kontakt med Just Ebbesen, som er direktør på Sykehuset Østfold og styremedlem i Sykehuspartner.
– Jeg vil gå nøye gjennom rapporten for å se på den sentrale problemstillingen som tas opp, sier Ebbesen.
Heller ikke Helse Sør-Øst har lest rapporten, men kommunikasjonsdirektør Gunn K. Sande, skriver i en e-post:
«Vi vil ta vurderingene og konklusjonene fra Datatilsynet på største alvor, og skal nå gå grundig inn i dette sammen med helseforetakene. Utover dette er det for tidlig for oss å kommentere på innholdet nå»
Senest denne uken var utenlandske tilganger til pasientinformasjon tema i Stortinget, etter at NRK fortalte at tilganger fra Israel har blitt sperret av Sykehuspartner.
I Stortingets spørretime denne uken var det første gang helseministeren innrømmet at han ikke har oversikt over hvem som har ulike tilganger til sensitiv pasientinformasjon.
Helsedata som sikkerhetstruet virksomhet
På grunn av omfanget i avtalen, ligger saken nær opp til Sikkerhetslovens virkeområde, står det i rapporten.
Datatilsynet viser til Sikkerhetslovens § 29 a: «Ved anskaffelser til kritisk infrastruktur skal det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen.»
Datatilsynet har forståelse for at modernisering i helsesektoren er nødvendig for å nå politiske målsettinger om å øke kvaliteten i helsetjenesten, derfor mener de helsesektoren har en særlig plikt til å ta personvern på alvor.
«Vår vurdering er at denne saken om tjenesteutsetting tydelig har vist at personvernperspektivet ikke i tilstrekkelig grad er ivaretatt.»
En outsourcing som ikke var forankret
Selv om Helse Sør-Øst RHF ikke får en egen bot, får også det regionale helseforetaket kritikk.
«Vi ser det som svært alvorlig at Helse Sør-Øst RHF ikke har sørget for at prosjektet er gjennomført på en måte som sikrer forankring i de behandlingsansvarlige helseforetakene. »
Det slås fast Helse Sør-Øst sentralt har selv uttrykt at det må utarbeides nye rutiner som sikrer nødvendig forankring i helseforetakene, og at ledelsen i Helse Sør-Øst dermed erkjenner at prosjektet ble styrt på en måte som ikke har gitt helseforetakene nødvendig kontroll med beslutningene.
Datatilsynet ser det som alvorlig at det vises mangelfull forståelse av grunnleggende krav som er nødvendige forutsetninger at regelverket følges.
De peker på at det dreier seg om profesjonelle aktører i en sektor der tillit er helt avgjørende, og at aktørene derfor må ha systemer og kompetanse som sikrer at behandling av personopplysninger som sikrer personvern.
Det har ikke vært tilfellet i forkant av outsourcingen til DXC, som nå er satt i bero.
Datatilsynets vurdering er at offentlig omtale av saken har bidratt til å begrense konsekvensene av de feil som er begått, ved at Helse Sør-Øst har stanset fremdriften av prosjektet.
Tilsynets vurdering er at Helse Sør-Øst gjennom sine reaksjoner har erkjent at avvik har skjedd og tiltak er iverksatt for å avhjelpe situasjonen. Avslutningsvis i rapporten står følgende setning:
Vår vurdering er at det ikke finnes formildende omstendighet i denne saken.
Det fremheves også at offentlig omtale av saken har bidratt til å begrense konsekvensene av de feil som er begått.
På nyåret tar Helse Sør-Øst endelig stilling til hva som skjer med outsourcingsprosjektet.
- Les også:
- Les også: