Oppskrift mot nye skandaler?
Datatilsynet etter IKT-skandalen i Helse Sør-Øst: – Vi ønsket å se risikovurderingen for prosjektet. Det hadde de ikke.
HARD KRITIKK: Seniorrådgiver Grete Alhaug har sammen med en teknolog Veronika Bur i Datatilsynet gransket Helse Sør-Øst sitt tjenesteutsettingsprosjekt. De kom fram til at foretaket har brutt flere lover. – Det var ingen risikovurdering, sier hun. Boten ble 7,2 millioner kroner.
Bjørn A. Grimstad
Kan nye og strenge regler stoppe nye dataskandaler – som den vi så da Norges største helseforetak satte utlendinger til å drive datasystemet med sensitive personopplysninger?
tips@fagbladet.no
Ulike og til dels utdaterte IKT-systemer gjør hverdagen komplisert og tungvint for både pasienter og ansatte i sykehussektoren. De fleste er derfor enige om at informasjonsflyten kan bli bedre. Hvordan dette skal skje, er det derimot delte meninger om.
Helse Sør-Øst (HSØ) prøvde høsten 2016 å løse floken ved å sette ut både utvikling, endring og drift av hele IKT-infrastrukturen til et stort, utenlandsk IT-selskap. Det skulle vise seg å bli alt annet enn problemfritt.
– Det var et ensidig fokus på økonomi og manglende fokus på risikovurdering i forkant av avgjørelsen. Det ble heller ikke jobbet fram noe reelt og oppdatert alternativ, sier Svein Øverland, konserntillitsvalgt for Fagforbundet i Helse Sør-Øst.
(Artikkelen fortsetter under bildet)
FIKK RETT: Konserntillitsvalgt Svein Øverland advarte tidlig mot risikoen for at sensitiv helsedata kunne komme på avveie hvis sykehusenes IKT-systemer ble flagget ut. Men han ble ikke hørt av ledelsen. Nå har prosjektet blitt stanset på grunn av manglende risikovurdering.
Bjørn A. Grimstad
– I mai 2017 vil Helse Sør-Øst i praksis være i lomma på Hewlett Packard
kke mulig å få til samarbeid
Han mente forarbeidet var mangelfullt, og etterlyste gjentatte ganger et alternativ til tjenesteutsetting. Da det ikke skjedde, brukte en gruppe ansatte egen fritid på å jobbe fram et konsept basert på allerede igangsatte prosjekter, der sikkerheten var satt i førersetet. Forslaget ble forkastet av ledelsen i helseforetaket da et eksternt byrå mente forslaget ikke var nok gjennomarbeidet.
– Det er veldig spesielt at det ikke var mulig å få til et samarbeid om dette, sier Øverland.
Han ble den eneste i Helse Sør-Øst-styret som stemte nei til forslaget om å sette ut IKT-tjenesten.
Ulike versjoner om datatilgang
I november 2016 skrev helseforetaket under kontrakten med den amerikanske IT-giganten Hewlett Packard Enterprise. Et halvt år senere avslørte NRK at titalls IT-arbeidere i Bulgaria og Asia har hatt tilgang til sensitiv pasientdata til over halvparten av Norges befolkning. Dette var stikk i strid mot hva som ble forklart for styret, nemlig at de som skulle overta driften av IKT-infrastrukturen, ikke skulle ha tilgang til pasientdataene.
– Den dialogbaserte anskaffelsen var preget av stor grad av hemmelighold, med henvising til at det gjaldt forretningshemmeligheter. Videre var det ikke nok kontakt med egne fagfolk, og det ble ikke utført gode nok risikovurderinger. Mange av de ansatte visste hele veien at de utenlandske IT-arbeiderne ville få tilgang til disse pasientdataene, sier Øverland.
Stortingspolitikere advarte: – Outsourcingen av IT ved Helse Sør-Øst er en gigantisk tabbe
– Må rydde i eget hus først
Han hadde selv løpende kontakt med ansatte i Sykehuspartner, foretaket som er databehandler og leder prosjektet. De kunne fortelle at det ikke var mulig å gi IT-arbeidere tilgang til infrastrukturen uten å samtidig gi tilgang til pasientdataene. Øverland mener moderniseringsprosjektet er høyst nødvendig, men er overbevist om at sikkerheten best overholdes innenfor helseforetakenes egne vegger.
– Du må rydde i eget hus før du skal sette ut noe. Når du har stålkontroll, kan du vurdere å sette ut deloppgaver. Men her var tanken å sette ut hele IKT- infrastrukturen uten å ha ryddet først. Da øker risikoen betydelig, sier han.
Ikke god nok risikovurdering
Det var ikke bare Fagforbundets hovedtillitsvalgte som tidlig så faresignalene ved utflaggings-prosjektet. Høsten 2016 mottok Datatilsynet flere bekymringsmeldinger fra ansatte og pasienter ved sykehuset, som fryktet at tjenesteutsettingen ville gå ut over personvernet og datasikkerheten ved foretakene.
– På grunnlag av disse meldingene ba vi om å få et møte med ledelsen i Helse Sør-Øst. Vi ønsket å se risikovurderingen for prosjektet. Det hadde de ikke. Ikke den typen vi mener de burde ha, sier Grete Alhaug, seniorrådgiver i Datatilsynet.
Fikk rekordbot
I løpet av det påfølgende året gransket Datatilsynet Helse Sør-Østs milliardprosjekt. Den endte med hard kritikk og en bot på 800.000 kroner til hvert av sykehusene. Med en totalsum på 7,2 millioner kroner er det den største boten Datatilsynet noen gang har gitt.
I en 33 sider lang rapport konkluderer tilsynet med at helseforetakene har brutt flere paragrafer i pasientjournalloven og personopplysningsloven. Spesielt legges det stor vekt på at ledelsen ikke grundig vurderte risiko og konsekvenser for personvern.
– Også etter gjeldende lovgivning skal man gjøre risikovurderinger, spesielt når det gjelder en så stor beslutning som denne. Å sette ut driften av hele infrastrukturen er en veldig stor endring sammenlignet med å ha kontrollen selv. Samtidig samler man veldig mye pasientdata på ett sted. Den totale risikoen blir da stor, sier Grete Alhaug.
Ny forordning ville gitt diskusjon
General Data Protection Regulation (GDPR) inneholder en egen bestemmelse om hvordan virksomheter skal utrede konsekvenser for personvern. Hadde tjenesteutsettingen blitt vurdert opp mot denne, tyder mye på at dagens situasjon ville vært en annen. Alhaug presiserer at hun ikke kan vurdere skandalen i HSØ etter en lov som enda ikke er innført, men sier dette:
– Tjenesteutsetting i dette omfanget ville etter det nye regelverket utvilsomt ha utløst en plikt til å gjøre konsekvensutredninger på risiko og personvern i forkant. Det ville sannsynligvis også utløst en ny bestemmelse i GDPR om å gjennomføre forhåndsdrøftelser med Datatilsynet.
I EUs nye forordning blir det tydelig beskrevet at man skal gjennomføre en risikovurdering og deretter en personvernkonsekvensvurdering. Det står også i hvilke tilfeller vurderingene skal gjennomføres og hva de skal inneholde. I tillegg pålegges virksomheten å høre de som blir berørt av den planlagte behandlingen, når dette er nødvendig for å sikre deres interesser.
Alhaug presiserer at Datatilsynet ikke er mot tjenesteutsetting, eller at den nye forordningen vil umuliggjøre slike tiltak i framtiden. Men hun mener at den oppskriftsmessige måten loven er utformet på gir mindre rom for droppe å vurdere konsekvenser for informasjonssikkerhet og personvern.
– Det nye regelverket er et stort løft for personvernet og borgernes rettigheter. Mindre er overlatt til tilfeldighetene og det er mindre rom for skjønn. Dette er en annen måte å gi lov på enn vi er vant til i Norge fra før, sier hun.
- Økonomi foran personvern
Datatilsynets rapport bekrefter Svein Øverlands oppfatning om at det har vært mangelfull kommunikasjon mellom ledelsen i HSØ, helseforetakene og Sykehuspartner. Dette har ført til motsatt oppfatning om hvorvidt de utenlandske arbeiderne må ha tilgang på pasientdataene eller ikke for å utføre jobben med å modernisere og drifte IT-infrastrukturen.
– Det er jo et symptom på at personvern ikke har blitt tilstrekkelig diskutert i styrerommet. Dette er jo et fordyrende punkt. Ut fra det vi har fått av dokumentasjon, ser det ut til at beslutningene som ble tatt, i hovedsak handlet om å nå definerte mål om effektivisering og modernisering innenfor en gitt kostnadsramme, sier Alhaug.
Anbefaler store spørsmål før igangsetting
Hun mener at man må stille flere grunnleggende spørsmål før man setter i gang anskaffelsesprosessen. Å vente med risikovurdering til etter at prosjektet er igangsatt, holder dermed ikke.
– Ett spørsmål er om man i det hele tatt kan sette ut absolutt alt, slik Helse Sør-Øst har gjort, eller om man bør beholde deler av systemet innenfor virksomhetens kontroll. Svarene man får, bør legge føringer for utlysningsteksten, sier hun.
En av de mest konkrete endringene fra dagens regelverk er størrelsen på bøtene Datatilsynet kan gi. Boten på 7,2 millioner kroner som ble fordelt utover ni av helseforetakene i HSØ blir bare småtteri sammenlignet med bøtenivået den nye forordningen gir. Der er taket satt til 20 millioner euro, eller fire prosent av virksomhetens samlede årlige omsetning, altså den summen som blir størst.
Professor tror høye bøter vil ha god effekt
- Det nye bøtenivået vil være helt hinsides det vi tidligere har operert med i Norge, sier professor i personvernrett.
IKKE SLUTT: Innføringen av GDPR i mai betyr ikke slutten på tjenesteutsetting til utlandet, mener professor Lee Andrew Bygrave. – Men det kommer til å bli mye vanskeligere enn før, sier han.
Bjørn A. Grimstad
At mange nå har innsett alvoret og tar nødvendige skritt for å være oppdatert med lovverket, er alle kursene og seminarene som nå finner sted, et tegn på. Mye tyder på at å unngå høye bøter er en del av drivkraften.
– GDPR har vært gjenstand for oppmerksomhet det siste året, og ledelsen i ulike bedrifter har blitt mye mer bevisst på personvern. For noen har det vært tilløp til panikk for å komme i havn med å oppfylle kravene, sier Lee Andrew Bygrave, professor ved Institutt for privatrett og leder for Senter for rettsinformatikk ved Universitetet i Oslo.
Han omtales som en ledende ekspert på personvernrett og bruker nå mye tid ved siden av universitets-jobben på å kurse og gi råd til bedrifter og andre virksomheter om EUs nye forordning.
– Det eksisterer et stort behov for å forstå forordningen. Samtidig er det et problem at forordningen på mange punkter er vanskelig å tolke. Jeg registrerer en betydelig mangel på kompetanse på feltet blant mange virksomheter, både i offentlig og privat sektor, sier han.
Et helt nytt bøtenivå
Selv er professoren positiv til at forordningen snart skal implementeres i norsk lov. Spesielt tror han muligheten for å gi høyere bøter vil ha god effekt.
– Datatilsynet får et større register av sanksjonsmuligheter. Det nye bøtenivået vil være helt hinsides det vi tidligere har operert med i Norge. Dermed blir fallhøyden desto større. Hvis vi får noen tilfeller hvor selskaper får saftige bøter for å ha brutt denne lovgivningen, vil dette kunne sette et eksempel for andre og bidra til et bedre personvern for alle, sier han.
Bygrave presiserer at han ikke kjenner til IKT-skandalen i Helse Sør-Øst i detalj, men uttaler på generelt grunnlag at det ser ut som ren systemsvikt. Han vil samtidig ikke garantere at et mer detaljert regelverk alltid vil føre til at ledelsen tar hensyn til personvern og datasikkerhet i slike moderniseringsprosjekter.
– Det vil alltid være et gap mellom loven på papiret og hvordan den utføres i praksis. Dette kan skyldes ignoranse, og misforståelser av hvordan regelverket skal etterleves. Man vil også finne tilfeller av dårlig formulerte rettslige krav som konkurrerer med andre viktige behov, sier han.
Krysser av på listen
– Kravene kan dermed lede til en øvelse i å håndtere informasjonen uten at noe skjer, reelt sett. Man krysser av på kravlisten uten at det fører til en vedvarende positiv effekt for personvernet. Det har man sett flere eksempler av innen IKT-sikkerhet, sier han.
I likhet med Datatilsynet mener han at innføringen av GDPR ikke betyr slutten på tjenesteutsetting av store datamengder med sensitiv personinformasjon til utlandet. Men det kommer til å bli mer krevende.
– Personvernforordningen forbyr ikke tjenesteutsetting eller overføring av personopplysninger til et tredje land. Men vilkårene for å gjøre det vil bli skjerpet. Dette følger også av at EU-domstolen har blitt strengere på denne typen saker, sier han.
Dette er IKT-skandalen i Helse-Sør-øst
• Helse Sør-Øst RHF er det største av landets fire regionale helseforetak (RHF), med 78.000 ansatt De sørger for spesialhelsetjenester for 2,9 millioner nordmenn.
• Som en del av den mangeårige satsingen Digital Fornying skal IKT-infrastrukturen i Helse Sør-Øst moderniseres, standardiseres og harmoniseres. Ett av målene er at alle enhetene skal få samme system for blant annet pasientjournaler, laboratoriedata, radiologi og digital samhandling.
• 1. november 2016 inngikk Helse Sør-Øst en avtale med Hewlett Packard Enterprise (HPE). Kontrakten har en varighet på syv år med tre års opsjon og en verdi opp til 6,9 milliarder kroner.
• I mai 2017 avslørte NRK at titalls utenlandske IT-arbeidere hadde tilgang til sensitiv pasientdata. På bakgrunn av en rapport hvor revisjonsselskapet PwC påpekte manglende risikovurdering, satte HSØ prosjektet på vent. Endelig avgjørelse er ikke gjort før publisering.
• Som følge av avsløringen har teknologidirektør Thomas Bagley og administrerende direktør i Sykehuspartner Mariann Hornes trukket seg fra sine stillinger. Styret i Sykehuspartner har også blitt byttet ut.
• I oktober 2017 varslet Datatilsynet om overtredelsesgebyr på 800.000 kroner til ni helseforetak i Helse Sør-Øst, til sammen 7,2 millioner. Tilsynet kom samtidig med hard kritikk av ledelsen for ikke å ha oppfylt sine plikter.
Kilder: Helse Sør-Øst, Datatilsynet, NRK