Utkontrakteringen i Helse Sør Øst (HSØ) er midlertidig satt på vent, etter at det ble avslørt at HSØ ikke har hatt tilstrekkelig kontroll på tilgangsstyringen. Dette fremstilles i pressen i stor grad som at utkontraktering til land utenfor Europa i seg selv utgjør en betydelig risiko, og at sensitive personopplysninger gjennom utkontraktering legges åpne for tilgang fra obskure personer i fjerne land.

(Av: Arve Føyen – Partner i Advokatfirmaet Føyen Torkildsen, Leder IT-politisk råd i Den Norske Dataforening)

På Digi.no den 28.6. heter det bla.:

«Nå spøker det for sykehusenes milliardavtale med HPE – har registrert 150 pålogginger fra Malaysia. Pasientdata ikke godt nok sikret.

Rapporten viser at 36 personer har hatt utvidede tilganger, og at det ikke foreligger en fullgod risikovurdering av den eksisterende IKT-infrastrukturen.

Ifølge PwC burde og kunne skandalen vært unngått om kunnskap om eksisterende tilstand og risiko innen IKT-infrastrukturen hadde vært bedre belyst i prosessen.

Dessverre får vi nå den endelige bekreftelsen på det NITO har påpekt i lang tid. Pasientdata har ikke vært godt nok sikret. Arrogansen fra topplederne i Helse Sør-Øst må ta slutt. Nå må det lyttes til IKT-fagkompetansen, sier president Trond Markussen i fagforeningen NITO.»

Det fremstår i denne og flere andre kommentarer til saken som om den tekniske IT-sikkerheten ved den valgte løsningen ikke er god nok. Manglende styring på tilgangskontroll vil være et minst like stort problem dersom infrastrukturen befinner seg i Norge, og er eid av norske helseforetak. Dette er først og fremst et administrativt spørsmål, og et spørsmål om å ha et fungerende internkontrollsystem i helseforetaket.

I PwC-rapporten fremgår at ingen av de funnene som er gjort er knyttet til hvilke land dataene befinner seg i, eller til hvorvidt det foreligger tilstrekkelige risikovurderinger og sikringstiltak knyttet til infrastrukturen:

  • Sykehuspartner HF har ikke tilstrekkelig kontroll på tilgang (tilgangsstyring)
  • Sykehuspartner HF har ikke tilstrekkelig sporbarhet på tilgang til helseopplysninger
  • 36 personer tilknyttet avtalen har hatt utvidede administratorrettigheter som innebærer mulighet for tilgang til helseopplysninger.
  • HPE har (så langt) ikke kunnet dokumentere databehandleravtaler i hht avtalen med Sykehuspartner HF.
  • Systemet for gjennomføring av risikovurderinger har ikke fungert som en effektiv kontrollmekanisme.
  • Sentrale informasjonssikkerhets-risiki knyttet til outsourcing-kontrakten har ikke blitt tilstrekkelig vurdert.
  • For dårlig og upresis presentasjon til Styret om infrastrukturmoderniseringen.

Dette handler ikke om valg av tjenesteplattform; om det har skjedd en utkontraktering; i hvilket land dataene befinner seg; eller mangler ved teknisk sikring. Det skyldes alene svikt i administrative rutiner og kontraktsoppfølging.

Forskjellen dersom HSØ selv hadde driftet, ville vært at IT-ansatte (av en hvilken som helst nasjonalitet) i HSØ hadde hatt de aktuelle tilgangene, og derved hadde kunnet lese sensitive helseopplysninger om pasienter i sitt nærmiljø. Det er kanskje også slik at bulgarske IT-ansatte har mindre mulighet for å forstå den informasjonen som ligger i norske pasientopplysninger, enn hva tilsvarende norske IT-ansatte har?

Det er urovekkende at HSØ på ovenstående bakgrunn vurderer å stanse utkontrakteringen og heve de aktuelle inngåtte (og bindende) kontraktene. Dette kan neppe gjøres uten betydelige kostnader og rettsprosesser, og hele moderniseringsprosjektet settes i fare.

 

Denne kronikken stod også på trykk i Finansavisen torsdag i forrige uke.