VEGARD VELLE

vegard.velle@fagbladet.no

I dag har Helse Sør-Øst styremøte. Styret skal vedta om moderniseringen av IT skal skje i egen regi eller av et amerikansk dataselskap. Datajobben omtales som en av Europas største.

– Dersom kontrakten med amerikanske Hewlett Packard eller Computer Sciences Corporation forutsetter at de får tilgang til sensitive helseopplysninger, er det svært problematisk, mener Gisle Hannemyr, forsker ved Institutt for informatikk.

Les også: • Mener ledelsen i Helse Sør-Øst ikke vet hva de går inn for ved privatisering

Anti-terrorlov gir innsyn

Han peker på faren for at amerikanske myndigheter, med bakgrunn i den såkalte Patriot Act, kan få tilgang på opplysninger de er interessert i. Myndighetene kan rett og slett instruere selskaper om å utlevere data og informasjon de sitter på, noe varsleren Edward Snowden avslørte at de gjorde i stort omfang.

– Avtalen er verdiløs

– I våres signerte USA og EU en avtale kalt Privacy Shield. Her lover USA å følge strenge europeiske personvernregler. Problemet er at denne avtalen er så full av unntak når det gjelder for eksempel kontraspionasje, terrorisme, cybersikkerhet, masseødeleggelsesvåpen, trusler mot USAs væpnede styrker og transnasjonal kriminalitet at avtalen i praksis ikke gir noen sikring for helseopplysningene, sier Hannemyr.

– Har et amerikansk selskap tilgang på norske helsedata, har de den samme tilgangen på disse som hvis serverne sto i USA. Myndighetene der har hjemmel til å be om hva som helst, og det er lite realistisk at norske myndigheter kan påberope seg noe unntak her, tror han.

Må kryptere informasjonen

Han mener i det minste at Helse Sør-Øst bør sørge for å kryptere pasientdataene, for å hindre tilgang på sensitiv informasjon. Hannemyr tror også det vil bli vanskelig å ivareta et tett forhold til brukere som befinner seg på den andre siden av jordkloden.

– I Norge har vi lange tradisjoner for brukermedvirkning og medbestemmelse i samband med utvikling og forvalting av ikt-systemer. Dette blir det både dyrere og vanskeligere å ivareta når ikt-personalet befinner seg i utlandet, ikke forstår norsk eller er kjent med norsk kutyme for forvaltning av ikt-systemer, sier Hannemyr.

Usikre forhold i India

– Ved behandling av data kan du ikke tenke bare på hvor dataene blir lagret. Har en virksomhet support på dataene i USA eller India, blir jo dataene behandlet der, påpeker seniorforsker Per Håkon Meland ved Sintef. Han undrer seg på hvordan norsk lov skal etterleves og følges opp i land hvor det er lav kjennskap til loven og hvor norske myndigheter har små tilsynsmuligheter.

– I India har det vært et problem at det er stort gjennomtrekk på arbeidsplassene. Folk forsvinner fort, og det er vanskelig å sikkerhetsklarere medarbeiderne. I tillegg eksisterer dessverre et marked for å selge personopplysninger, forteller Meland.

Liten sikkerhet i USA

Også Meland peker på usikkerheten rundt avtalen om utlevering av personopplysninger mellom EU og USA, såkalte Privacy Shield.

– Privacy Shield er en helt fersk avtale man har liten erfaring med. Den kan endre seg, for eksempel med en ny administrasjon i USA. Avtalen representerer en risiko, både i dag og i framtiden.

Meland peker også på at EUs personvernregler vil bli mye strengere fra 2018, gjennom den nye personvernforordningen. Her vil bedrifter utenfor Europa godt mulig være dårlig forberedt på kravene de vil bli stilt.

Skuffet over mangel på info

– Jeg synes det er rart administrasjonen i Helse Sør-Øst ikke har kontaktet oss og informert oss om hva de planlegger å gjøre. Jeg hadde trodd de ville oppsøkt oss og forklart modellen sin, sier Bjørn Erik Thon, direktør i Datatilsynet.

– Jeg kan ikke si så mye om personvernet ved en outsourcing av IT-tjenestene i Helse Sør-Øst, for vi vet ikke hvordan avtalen er designet. Men for å overføre data til et annet land, trengs hjemler, sier Thon til fagbladet.no.

Helseopplysninger på avveie

Blant styrepapirene til styremøtet i Helse Sør-Øst ligger et vedlegg kalt Risikoanalyse for Helse Sør-Øst. Her analyserer Det norske Veritas de ulike alternativene ved modernisering av infrastrukturen. Litt bortgjemt blant i alt 38 risikoer står nevnt faren for at helseopplysninger kan komme på avveie: «Dersom personopplysninger kan aksesseres fra utlandet og ikke behandles i henhold til norsk lov kan personinformasjon komme på avveie.»

Risikoanalysen nevner også et beslektet moment: «Ved gjennomføring av avtale med ekstern partner øker Sykehuspartner sin synlighet i IT-verden og attraktiviteten for cyberangrep kan øke.»

– Personvernet er ivaretatt

Men kommunikasjonssjef Gunn Kristin Sande i Helse Sør-Øst mener personvernhensyn vil bli ivaretatt, selv om amerikanske selskaper drifter serverne og IT-tjenestene for Helse Sør-Øst.

– Serverne som inneholder helseopplysninger skal stå i Norge, og all drifting av infrastrukturen skal skje i EU/EØS. Både Hewlett Packard og Computer Sciences Corporation har driftsenheter i EU. Avtalen vår betyr at vi må godkjenne det på forhånd, om de skal behandle helsedata utenfor EU, sier hun.