Setter helse-utflagging på vent etter journalskandalen

Helse Sør-Øst setter moderniseringsprosjektet som har gitt IT-arbeidere i utlandet tilgang på norske pasientopplysninger, på vent etter NRKs avsløringer. En ekstern granskning viser at foretaket ikke har hatt god kontroll med tilgangene.

Lofthus

Administrerende direktør Cathrine M. Lofthus under styremøtet i Helse Sør-Øst onsdag.

Foto: NRK

– Rapporten viser at vi ikke har gjort dette på en god nok måte. Derfor stopper vi nå opp, slik at vi kan sørge for at forutsetningen om å ivareta personopplysninger blir fulgt opp på en god og sikker måte, sier administrende direktør Cathrine M. Lofthus i Helse Sør-Øst til NRK.

Onsdag fikk hun og styret i helseforetaket presentert en foreløpig rapport fra revisjonsselskapet PricewaterhouseCoopers (PwC).

Rapporten konkluderer med at minst 34 ansatte hos underleverandører har hatt tilgang til helseinformasjon og trolig hjemmeområder og eposter til ansatte i Helse Sør-Øst.

Den kommer etter NRKs avsløringer om at IT-arbeidere i Bulgaria og andre land har hatt tilgang til helseopplysninger om 2,8 millioner nordmenn.

– I ytterste konsekvens må vi terminere avtalen. Jeg utelukker ingen alternativer. Vi må snu hver stein, sier hun.

Kraftig kritikk

PwC

Are Muri i PricewaterhouseCoopers sier kontrollen med tilganger har vært for dårlig. IT-arbeidere kan ha snoket i pasientinformasjon uten å legge igjen spor.

Foto: NRK

Helseforetaket får kraftig kritikk i rapporten, som blant annet viser manglende kontroll på hvilke tilganger IT-arbeiderne har hatt og på sporing av hva de har brukt tilgangene til.

Are Muri i PwC understreker at anslaget på 34 ansatte med tilgang er konservativt, og han kan ikke utelukke at IT-ansatte i utlandet fortsatt har slik tilgang.

– Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, sier Muri.

Styret svarte med å sette hele utflaggingsprosjektet på vent inntil videre. Dermed stanses overføringen av driftsansvar fra Sykehuspartner til eksterne leverandører.

Mangler kontroll

Revisjonsselskapets foreløpige gjennomgang viser at sju av disse 34 ansatte faktisk har koblet seg til de aktuelle serverne i Helse Sør-Øst.

– Det at bare en liten andel av de med høyere rettigheter har benyttet seg av dem, er en indikasjon på at man gir høyere rettigheter til flere enn strengt tatt nødvendig, sier Muri.

Rapporten viser at det er nærmest umulig å ettergå om IT-arbeidere faktisk har åpnet informasjon om pasienter eller ansatte i helseforetaket.

– En konkret bruker hadde en atferd som vi anså som unormal. Vi sjekket logger og ba om en forklaring. Forklaringen vi fikk var at brukeren forsøkte å kontrollere at ordningen fungerte. Vi er ikke i stand til å bekrefte eller avkrefte denne påstanden. Det er en illustrasjon på sårbarheten, sier Muri.

Fikk ikke god nok informasjon

Rapporten konkluderer videre med at styret i Helse Sør-Øst ikke har fått god nok informasjon om risikoene knyttet til å outsource IT-arbeidet.

Styret har blant annet fått beskjed om at «personell som drifter infrastruktur skal ikke ha tilgang til personsensitiv informasjon» og at «ekstern partner ikke vil ha tilgang til pasientdata».

– Jeg har gitt styret den informasjonen jeg har fått. Som leder er jeg avhengig av at folk rundt meg gjør en god jobb, forklarer Lofthus til NRK, og viser til at teknologidirektør Thomas Bagley måtte gå. Han ble i dag erstattet av Atle Brynestad.

Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger