Helse Sør-Øst ga eksterne it-arbeidere tilgang på sensitive personopplysninger

Artikkelen er over 2 år gammel

Onsdag ettermiddag satt styret i Helse Sør-Øst, som Sykehuset Østfold hører inn under, samlet til ekstraordinært møte etter NRKs avsløringer om at utenlandske it-ansatte har hatt tilgang på personsensitiv informasjon.

DEL

- Jeg har så langt ingen indikasjoner på at sensitiv informasjon er på avveie, men jeg ser svært alvorlig på at det nå reises tvil om vi har kontroll på pasientsensitiv informasjon. I samråd med mitt styre vil jeg umiddelbart igangsette en ekstern gjennomgang, sier administrerende direktør i Helse Sør-Øst, Cathrine M. Lofthus, i en pressemelding som ble sendt ut onsdag ettermiddag.

Ble gitt tilgang

Det var NRK som onsdag meldte at rundt 100 IT-arbeidere i Asia og Øst-Europa de siste ukene har hatt tilgang og utvidete rettigheter til datasystemet til Helse Sør-Øst. Ifølge NRK har disse hatt mulighet til å hente ut pasientdata til 2,8 millioner nordmenn. Sykehuset Østfold er blant sykehusene som sorterer under foretaket.

Det er i forbindelse med planleggingen av ny infrastruktur at ansatte hos eksterne leverandører er blitt gitt tilgang til foretakets  IKT-infrastruktur som et ledd i teknisk kartlegging og opplæring.

«Disse tilgangene kan misbrukes til å se personsensitiv  informasjon», skriver helseforetaket i pressemeldingen.

NRK skriver i saken at kanalen har dokumentasjon på at 110 utenlandske medarbeidere har hatt tilgang til informasjonen, mens Helse Sør-Øst oppgir langt lavere antall til kanalen.

Sykehuspartner Helseforetak, som har det overordnede ansvaret for IKT-, HR- og innkjøpstjenester i Helse Sør-Øst, har oversikt over hvilke personer hos den eksterne leverandøren som har hatt tilgang, heter det i pressemeldingen, der det også opplyses at disse tilgangene nå er lukket.

Har lukket tilgangen

- Ekstern leverandør vil inntil videre ikke bli gitt nye tilganger til vår IKT-infrastruktur, sier Lofthus i pressemeldingen.

Tilgangene det eksterne firmaet har hatt, er tema på et ekstraordinært styremøte i Helse Sør-Øst som pågår onsdag ettermiddag.

- Denne gjennomgangen skal ettergå organiseringen og styringen av programmet for infrastrukturmoderniseringen. Kontrollen av tildeling av tilganger skal gjennomgås, og sikkerhetsmekanismene som er eller planlegges iverksatt for å sikre sensitiv informasjon på en forsvarlig måte skal vurderes, sier Lofthus i pressemeldingen.

Inngikk avtale i fjor

Det var i september 2016 at Helse Sør-Øst inngikk en avtale med den eksterne leverandøren om å modernisere infrastrukturen i foretaksgruppen. Dette for å få bedre beskyttelse av helse- og personopplysninger enn i dag. I dag er det helseforetaket Sykehuspartner som har ansvaret for dette.

Nå blir tidspunktet for iverksettelsen utsatt.

 - Vi har ansvar for at pasientsensitiv informasjon sikres godt, og dette tar jeg på største alvor, sier Lofthus i pressemeldingen.

Det har foreløpig ikke lykkes Fredriksstad Blad å få kontakt med noen i helseforetaket som kan utdype informasjonen i pressemeldingen.

Helseministeren ber om svar

Helseminister Bent Høie har ifølge NTB bedt om en redegjørelse fra Helse sør-øst om påstandene om at pasientdata skal ha vært tilgjengelig for 100 it-ansatte i utlandet. Når svarene kommer, er ikke klart.

– De må få tid slik at den har et innhold og kvalitet som svarer på påstandene, sier Høie til NTB.

Han ble avkrevd svar om hvordan dette kunne skje da han stilte i Stortingets spørretime onsdag.

– Kan han garantere pasienter i Norge største helseforetak at utenlandske IT-arbeidere ikke kan gå inn og se på helseopplysningene deres, spurte helsepolitisk talsmann Torgeir Micaelsen i Arbeiderpartiet.

Høie ga ingen garanti og advarte mot forhastede konklusjoner og viste til at han venter på en redegjørelse.

– Foretaket har ansvar

Fra Arbeiderpartiet fikk helseministeren spørsmål om han ikke burde forsikret seg om at sikkerhetsvurderinger og sårbarhetsanalyser var skikkelig gjennomført på forhånd.

Høie plasserer ansvaret hos Helse sør-øst.

– Det er de som har ansvar for å vurdere om denne type tjenester skal gjennomføres i egen regi av Sykehuspartner eller av andre private underleverandører. Det er ikke gitt noen politiske føringer knyttet til valg av løsning, framholdt han.

Vil kreve oppfølging

Senterpartiets Kjersti Toppe mener helseministeren skyver ansvaret nedover. Hun vil be Høie komme tilbake til Stortinget for å redegjøre om saken.

– Denne saken er svært alvorlig. Pasientopplysninger på avveie skal ikke skje, og han tar ikke ansvar. Dette må få en oppfølging, sier hun til NTB.

Om denne typen sentrale IT-oppgaver innen helsevesenet skal håndteres av utenlandske underleverandører burde i utgangspunktet ha blitt lagt fram for Stortinget, mener hun.

– Dette skulle vi hatt en prinsipiell debatt om. Det kan ikke være opp til et tilfeldig helseforetak å bestemme noe slikt, sier Toppe.

Venstres Ketil Kjenseth spurte statsråden om helsedata bør underlegges sikkerhetsloven. Men det vil Høie ikke ha noen mening om. Han viser til at det er juridiske vurderinger som hører inn under Justisdepartementet.

– I utgangspunktet vil helseopplysninger om den enkelte pasient i Norge ikke ha betydning for rikets sikkerhet, og dermed ikke falle inn under sikkerhetsloven, slik den er i dag, sier han.

Artikkeltags