Mener outsourcing av helseinformasjon er uproblematisk – og nødvendig

En ny rapport om informasjonssikkerhet fra direktoratet for e-helse konkluderer med at private leverandører kan bidra til at helseopplysningene dine er trygge og tilgjengelig, såfremt helsetjenesten har kontroll på risiko og høy bestillerkompetanse i alle faser – fra planlegging av anskaffelse til oppfølging av kontrakter og leveranser.

– Private leverandører er nødvendig for å modernisere og digitalisere helsetjenesten, sier direktør Christine Bergland i Direktoratet for e-helse i en pressemelding.

Hun mener leverandører tilfører spesialkompetanse som helsetjenesten ikke har selv og kan bidra til mer stabile og tilgjengelige tjenester

– Det handler om en bærekraftig helsetjeneste der opplysningene følger pasienten uten å komme på avveie, slår hun fast.

IT-skandale

Problemstillingen har vært høyaktuell siden privat helseinformasjon om pasienter tilhørende Helse Sør-Øst lå åpent tilgjengelig for IT-arbeidere i en rekke land i Øst-Europa og Asia i vår. Helseforetaket, ved Sykehuspartner, hadde utkontraktert ansvaret for IT-systemene til Enterprise Service Norge AS, nå DXC Technology, og Hewlett Packard Enterprise (HPE) året før.

Siden saken sprakk har flere omfattende digitaliseringsprosjekt i foretaket vært satt på vent, og styrelederen har gått av. Datatilsynet kom også med krass kritikk av foretakets håndtering av saken, og tildelte dem i høst et milliongebyr. Det var i utgangspunktet ventet at styret i Helse Sør-Øst ville avgjøre om de skal fortsette praksisen med outsourcing eller selv ta på seg IT-arbeidet i løpet av året. I dokumenter som ble lagt frem i sammenheng med et styremøte i 16. november skrives det imidlertid at det er stor fare for at tidsplanen kan ryke.

Dagens Perspektiv er kjent med at styret har fått bistand av IKT Norge i beslutningsprosessen. Bransjeorganisasjonen har ved flere anledninger uttalt seg positivt til utkontraktering.

– Det er ikke nødvendigvis sånn at sikkerhetsrisikoen er høyere når driften er outsourcet enn når jobben gjøres internt. Uansett hvem som gjør jobben må det være sikringssystemer på plass, uttalte Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen i mai.

Argumentasjonen er ikke ulik den som kommer frem i rapporten fra Direktoratet for e-helse. Den inneholder kriterier og rutiner helsetjenestene bør følge når de skal sørge for at informasjonssikkerheten ivaretas. I tillegg foreslås det tiltak som kan gjennomføres sentralt. Dette gjelder blant annet å utvide Norm for informasjonssikkerhet (et omforent sett av krav til informasjonssikkerhet basert på lovverket, journ. anm.) med flere oppdaterte rutinebeskrivelser.

Det foreslås også å vurdere om databehandlingsansvaret kan deles mellom helseforetak og regionale helseforetak.

– Informasjonssikkerhet er for viktig til å overlates til noen få. Det må starte på toppleder- og styrenivå og gjennomsyre hele organisasjonen. Sikkerhet handler ikke bare om teknologi, men om kultur og struktur, kompetanse og prosess, sier Bergland.

– Vi tror rapporten kan bidra til økt sikkerhet når helsetjenesten bruker private leverandører. Slik at alle kan ha tillit til at opplysningene våre er trygt ivaretatt og tilgjengelig for bruk når det trengs.