Ingeniørene i NITO har lenge advart mot utflagging av IKT-driften i Helse Sør-Øst (HSØ). Blant annet sendte vi i fjor høst brev til alle stortingspolitikere med klar beskjed om at måten denne saken ble håndtert på utgjorde en stor sikkerhetsrisiko med fare for at helseopplysninger havner på avveie. Det står vi fast ved.
Også opposisjonen advarte helseminister Bent Høie, men han sa, og sier, seg trygg på at pasientsikkerheten er ivaretatt. Dette står i sterk kontrast til NRKs opplysninger om 110 utenlandske IT-arbeidere har logget seg på systemet og dermed hatt tilgang til dine og mine pasientdata.
I et innlegg her på NRK Ytring i november stilte vi spørsmålene: Hvordan har HSØ tenkt å beskytte norske helseopplysninger mot IT-driftspersonell i utlandet? Hvordan skal tilgangen styres? Disse spørsmålene har våre tillitsvalgte forsøkt å få svar på i direkte dialog.
Nå har svaret kommet av seg selv; foretaket har ikke foretatt seg noe som har hatt effekt, siden 110 IT-arbeidere allerede har hatt tilgang til sensitive opplysninger. Det er fristende med frasen «hva var det vi sa».
Sjansespill med sensitiv informasjon
En av grunnene til at foretaket kan gjøre som de har gjort, er at lovverket ikke er godt nok. Når Høie sier at man ivaretar alle hensyn i lov og forskrift kan han derfor godt ha rett.
Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) omfatter ikke virksomheter som helseforetakene, Nav og barnevern, som alle sitter på sensitive opplysninger knyttet til enkeltmennesker. Det må et nytt lovverk på plass som tydeliggjør hvordan data skal lagres og behandles, og regulering av tilgang til opplysninger.
Slik situasjonen er i dag har Helse Sør-Øst en avtale med leverandøren som er basert på tillit. Leverandøren skal ikke bruke alle tilgangene de har. Det er i beste fall naivt, og i verste fall å spille hasard med sensitiv informasjon.
I en rekke saker ser vi at ansvaret blir pulverisert nedover i systemene gjennom underleverandører man ikke har kontroll på. Eksemplene er flere; Nødnettet, Statoil og Sykehuspartner. Både lovverket og virksomhetsledernes vurdering burde i mye større grad ta høyde for hva som er konkret teknisk mulig. Derfor mener NITO at alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene må driftes av norske selskap.
Outsourcing utfordrer lovverket
Vi mener lovverket ikke tar høyde for trenden med utkontraktering til utlandet og sikkerhetsutfordringene det fører med seg. Det er store forventninger fra både ansatte, beslutningstakere og befolkning til gode og sikre digitale tjenester.
En del av løsningen for mange virksomheter er å outsource IKT-infrastruktur for så å satse på å utvikle «kjerneoppgavene». HSØ viser til at tjenester innen såkalt IKT-infrastruktur i økende grad leveres av industrielle aktører. Disse selskapene leverer mange av de samme løsningene uavhengig av sektor og blir billigere ikke minst fordi de flytter IKT-oppgavene til lavkostland.
Helse Sør-Øst har i første omgang valgt Bulgaria. Her ligger også en kjerne til problemet. Dataene som lagres på serverne til HSØ er av en helt annen karakter og omfang enn data fra en enkelt bedrift som settes ut. Dette må lovverket ta høyde for.
Truer tilliten til det offentlige
Samfunnets evne til å få full effekt av sikkerhetstiltak er avhengig av innbyggernes tillit. Når vi må være engstelige for at opplysninger om egen helsetilstand er på avveie, er det grunn til bekymring. Ikke bare for egne opplysninger, men for tilliten til det offentlige, og sikkerheten knyttet til all den informasjon som er lagret om hver og en av oss. Og for å gjøre bekymringen komplett, kan vi legge til usikkerhet om IKT-sikkerheten knyttet til samfunnskritisk infrastruktur som vann, strøm og offentlig kommunikasjon.
For meg er det underlig at de som tilsynelatende er minst bekymret er de som sitter med ansvaret. I den mest aktuelle saken, utflagging av IKT-tjenestene i HSØ, er de ansvarlige ledelsen i helseforetaket og til syvende og sist helseminister Bent Høie.
Det er en betydelig økning av datakriminalitet, og det beste tiltaket mot dette er kunnskap. IKT-sikkerhet er ikke for amatører. Det er et eget fag, og det blir viktigere og viktigere ettersom samfunnet digitaliseres. Det krever operative fagfolk i virksomheten, men det krever også en grunnleggende forståelse i ledelsen.
IKT-sikkerhet koster og det må prioriteres.
Følg debatten: @NRKYtring på Twitter og NRK Debatt på Facebook
Helseministerens ansvar
HSØ ser for seg milliarder spart ved å legge ut IKT-driften. Det er helt sikkert kjærkomne sparte penger i et helsevesen der utgiftene vokser i stor hastighet. Men i dagens samfunn er IKT-infrastrukturen en av pilarene i en virksomhet som den helseforetakene driver.
IKT er like viktig og nødvendig som bygninger, medisinske apparater og personell. Da må vi bruke de ressursene som trengs for effektiv og sikker bruk av IKT. Til syvende og sist er dette helseministerens ansvar.
