Ledelse

Tekna-president Lise Lyngsnes Randeberg.

Tekna-topp ber «godtroende toppledere» skjerpe vern av persondata

Helse sør-øst stanser utflagging av IT-tjenester.

CAMILLA SKJÆR BRUGRAND
Publisert Sist oppdatert

Etter halvannet år med skandaleoppslag om IKT-sikkerheten, besluttet styret i helseforetaket Helse Sør-Øst torsdag ettermiddag å skrote utflaggingen av oppdraget med å standardisere og utvikle IKT-infrastrukturen i regionen.

Avgjørelsen, som kom et halvt år etter planen, innebærer at gigantkontrakten som Sykehuspartner HF har med det amerikanske selskapet DXC, termineres.

Dette har skjedd: IT-skandalen i Helse Sør-Øst

  • Helse sør-øst valgte høsten 2016 å outsource store deler av IKT-strukturen til det amerikanske selskapet DXC. Målet var å spare store summer.

  • 3. mai i fjor meldte NRK at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang og utvidede rettigheter til datasystemene til Helse sør-øst. Dette ga IT-arbeidere mulighet til å gå inn i pasientjournaler og kopiere innholdet uten å legge igjen spor.

  • Helseforetaket sørger for spesialisthelsetjenester til 2,9 millioner mennesker på Østlandet og Sørlandet.

  • En undersøkelse konsulentselskapet PricewaterhouseCoopers gjennomførte på oppdrag fra Helse sør-øst viser at 36 personer med tilknytning til den eksterne leverandøren hadde hatt utvidede administratorrettigheter, mens 86 andre hadde rettigheter av mindre omfattende karakter. PwC mente Helse sør-østs datterselskap Sykehuspartner HF, som forvaltet avtalen med den eksterne IT-leverandøren, ikke hadde god nok kontroll på hvem som fikk tilgang og rettigheter til datasystemene.

  • Avsløringene førte til at lederen for Sykehuspartner, Mariann Hornnes, trakk seg fra stillingen. Hele styret i Sykehuspartner måtte også gå.

  • I oktober meldte NRK at Helse sør-øst i det stille har stengt tilganger IT-arbeidere i Israel har hatt til sensitive pasientdata. Det viste seg at to underleverandører var gitt tilgang i strid med reglene.

  • Datatilsynet la i oktober fram en 33 sider lang rapport der de konkluderte med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet. Tilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt.

  • Avtalen med selskapet DXC ble stilt i bero i mai 2017. 14. juni 2018 bestemte styret i Helse sør-øst at hele avtalen skulle skrotes.

(Kilde: NTB)

Ifølge helseforetakets egne beregninger har skandalene satt IKT-utviklingen tilbake med mellom seks og åtte år. I behandlingen av saken med utflagging la styret i Helse Sør-Øst RHF stor vekt på nye, sikkerhetsfaglige anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM).

Ifølge både NSM og Politiets sikkerhetstjeneste (PST) har risikobildet for tjenesteutsetting endret seg vesentlig siden kontrakten med DXC ble inngått. Begge viser til økt risiko for cyberangrep og endret trusselbilde for datasikkerhet.

Datainnbruddet i Helse Sør-Øst i januar illustrerer denne faren godt.

Hverken Direktoratet for e-helse eller IKT Norge er enige i at utflagging nødvendigvis medfører større risiko for at data havner på avveie. I en rapport fra november 2017 skriver førstnevnte at private leverandører kan bidra til at helseopplysningene dine er trygge og tilgjengelig, såfremt helsetjenesten har kontroll på risiko og høy bestillerkompetanse i alle faser – fra planlegging av anskaffelse til oppfølging av kontrakter og leveranser.

En undersøkelse som Dagens Perspektiv omtalte i begynnelsen av juni viser likevel at seks av ti nordmenn frykter at deres pasientdata skal havmne på avveie.

Til tross for de enorme utfordringene på dette feltet, har UiO-professor i digitalisering og entreprenørskap, Margunn Aanestad, sagt at dette er en unik mulighet til å ta et annet grep og snu situasjonen «til noe som fungerer.»

Den nye styrelederen i helseforetaket, tidligere sentralbanksjef Svein Gjedrem, er tilsynelatende av samme oppfatning.

– Nå er det viktig at vi raskt kommer i gang med et målrettet arbeid og konkrete prosjekter. Personvern og informasjonssikkerhet må ivaretas på en god måte. Gode IKT-løsninger er en forutsetning for å nå målene vi har for helhetlige helsetjenester, han i en pressemelding..

Skal forhandle

Sykehuspartner, som har hatt ansvaret standardisering og utvikling av helseforetakets IKT-systemer, skal nå forhandle med DXC om eventuell gjenbruk av arbeidet som allerede er lagt ned - og betalt 280 millioner kroner for.

– Det er derfor for tidlig å si noe om den endelige økonomiske konsekvensen før forhandlingene er gjennomført, sier Gjedrem.

– I tillegg har vi tapt tid, og det er viktig at vi raskt kommer videre for å få på plass en god og sikker infrastruktur i regionen.

Han forteller at Sykehuspartner har iverksatt «mange tiltak» for å bedre sikkerheten, og de skal ikke standardisere og utvikle infrastrukturen alene.

– De skal lede dette arbeidet i et samspill med leverandørmarkedet etter en vurdering av egen kompetanse og kapasitet, sier Gjedrem.

– Hodeløst

Tekna-president Lise Lyngsnes Randeberg er glad for at Helse Sør-Øst avbryter outsourcing av it-tjenester. Tekna organiserer over 74.000 medlemmer med mastergrad innen teknologi, realfag eller naturvitenskap.

– Tekna er ikke imot outsourcing, men vi er imot hodeløs outsourcing, sier hun i en pressemelding.

Hun mener at avgjørelsen er et tydelig signal om at mange andre bedrifter må ta en ny vurdering av sitt IKT-risikobilde.

– Statoil har gjort det. Helse Sør-Øst har gjort det. Flere andre har gjort det. Dessverre er det fortsatt mange andre toppledere som lever i god tro på at deres risiko for dataene i egen virksomhet er trygt håndtert og behandlet i utlandet. Nå trenger vi felles nasjonale krav for risikovurdering av IKT-outsourcing, sier hun.

– Avtalen skulle aldri vært inngått

Nestleder i Fagforbundet, Sissel M. Skoghaug, synes også at det er gledelig at styret i Helse Sør-Øst velger å si opp kontrakten med DXC. Forbundet organiserer mange ansatte i det skandalerammede helseforetaket, og anser termineringen av kontrakten som en viktig seier.

– Men denne avtalen skulle aldri vært inngått, sier hun i en pressemelding.

Allerede før styret i HSØ gjorde vedtaket om outsourcing kom de ansatte med sterke advarsler, men ble ikke hørt, ifølge henne. Fagforbundets ansatterepresentant var den eneste som stemte mot DXC-kontrakten.

– Det manglet ikke på advarsler i forkant av denne kontraktinngåelsen, men både administrasjon og styre unnlot å lytte til dem. Helseministeren ville heller ikke møte oss i forkant av vedtak. Styret har nå gjort et klokt valg når de nå velger å lytte til de ansattes råd, sier hun.

Skoghaug mener det bør satses på egne medarbeidere og eget fagmiljø fremfor eksterne samarbeidspartnere.

– Det er ingen tvil om at dette også er et personvernspørsmål. Dette er til dels svært sensitive data om svært mange av oss. I HSØs journaler ligger det personopplysninger om omtrent halve landets befolkning. Det har vist seg at det i praksis er svært vanskelig å skjerme disse opplysningene fra selve infrastrukturen, sier Skoghaug.

Mange tar IKT hjem

Flere norske selskaper velger å ta tilbake IKT-tjenestene igjen etter dårlige erfaringer med eksterne. Både Nasjonal sikkerhetsmyndighet og Finanstilsynet er bekymret over at sensitive data kan utnyttes av ondsinnede aktører når utenlandske selskaper tar over en større del av driften.

I forkant av vedtaket om outsourcing fremmet en gruppe av de ansatte i Sykehuspartner et alternativt forslag til drift i egen regi. Forlaget viste at drift av Sykehuspartner kunne gjøres innenfor allerede vedtatt økonomiske rammer og med lavere risiko. Konsulentselskapet Ernst og Young så på de ansattes alternativ og mener at mange av forslagene bør jobbes mere med for å kunne framstå som et reelt alternativ, men avviste dem ikke som et mulig spor.

– Helse Sør-Øst bør ta fram igjen dette forslaget og arbeide videre med det i samarbeid med de ansatte og deres organisasjoner. Norge er avhengig av et høyt kompetansenivå for å kunne konkurrere med utlandet. Da vil det over tid virke mot sin hensikt å sette høyteknologiske kontakter ut for å spare penger. Vi bidrar ikke til videre vekst innen kunnskapsbasert næring med å sette oppdragene ut til lavkostland, sier Skoghaug.

ledelse datasikkerhet helse sør-øst cybersikkerhet
Powered by Labrador CMS