Bråk om datasikkerhet i Helse Sør- Øst

Frykter at norske pasientdata kan havne i Bulgaria

TILGANG: Ansatte og tillitsvalgte frykter at folk i Bulgaria skal få tilgang til pasientdata.

TILGANG: Ansatte og tillitsvalgte frykter at folk i Bulgaria skal få tilgang til pasientdata.

wikipedia.org

Bulgarske Hewlett Packard-ansatte skal modernisere ikt-infrastrukturen i helseregionen. Etter kritiske spørsmål har de mistet tilgangen til datasystemene.

2017041912234520170522095501

kathrine.geard@fagbladet.no

Da det i høst ble kjent at Helse Sør-Øst ville inngå avtale med amerikanske Hewlett Packard Enterprise (HP) om utvikling av it-tjenester til helseforetaket, forsikret administrerende direktør Cathrine M. Lofthus at de hadde vurdert konsekvensene av at utenlandsk personell fikk tilgang til datasystemene.

«Her har vi ganske god kontroll. Vi har sikkerhetskrav, så det er ivaretatt. Disse dataserverne vil bli stående i Norge». Til tross for massive protester ble det inngått kontrakt med den eksterne leverandøren.

– Amerikansk etterretning kan få tilgang på norske helseopplysninger

I strid med uttalelse

Virksomhetsoverdragelsen skjer først i mai, men de praktiske forberedelsene er naturligvis i gang. Fagbladet fikk før påske vite at HP-medarbeidere fra Bulgaria hadde vært hos det regionale helseforetakets eget it-selskap, Sykehuspartner, og fått både opplæring og administrativ tilgang til alle linuxsystemer i helseregionen. Kritikere mener at det i praksis betyr at all pasientinformasjon er tilgjengelig for de aktuelle HP-ansatte.

Ansatte laget egen utredning om IT-utflagging

Fortsatt bekymret

Hovedtillitsvalgt (LO) i Sykehuspartner, Tatjana Schanche, er ikke overrasket, selv om hun oppfatter at adgangen for de bulgarske ansatte står i motstrid til det Lofthus sa i september.

– Vi har jo påpekt hele tida at dette måtte skje. Det spiller selvsagt ingen rolle for tilgang til pasientopplysninger om serveren står i Norge eller i for eksempel India, sier Schanche, som ikke legger skjul på at de fortsatt er bekymret.

(Artikkelen fortsetter under bildet)

Tatjana Schanche, hovedtillitsvalgt i Sykehuspartner.

Tatjana Schanche, hovedtillitsvalgt i Sykehuspartner.

– Ja, det er vi. Pasientopplysninger blir per definisjon mye mer tilgjengelige, og Bulgaria er mye høyere opp på lista over korrupsjonsutsatte land enn Norge, sier hun.

Konserntillitsvalgt i Helse Sør- Øst, Svein Øverland, deler Schanches oppfatninger og bekymring.

– Etter at styret behandlet denne saken, har det vært en rekke saker om datasikkerhet knyttet til blant andre Statoil og Nødnettet som viser hvor problematisk dette er. Datasystemer med pasientopplysninger bør vurderes som samfunnskritisk infratruktur.

Intern rapport sår tvil om lønnsomheten hvis helse-IT privatiseres

Kan utføres i utlandet

Fagbladet forsøkte nylig å få kontakt med administrerende direktør Cathrine Lofthus om HP-ansatte hadde fått administrativ tilgang som også omfatter pasientdata. Vi spurte også på hvilken måte pasientsikkerheten nå er ivaretatt.

Etter mye om og men får vi en epost der Thomas Bagley, direktør for teknologi og e-helse i Helse Sør-Øst, bekrefter at driftsoppgaver kan utføres i utlandet. Men han avviser at pasientdata er tilgjengelig for it-gigantens ansatte.

(Artikkelen fortsetter under bildet)

Thomas Bagley, direktør teknologi og e-helse i Helse Sør-Øst RHF

Thomas Bagley, direktør teknologi og e-helse i Helse Sør-Øst RHF

helse Sør Øst

«Nei, HP-ansatte har ikke fått tilgang til pasientsystemer eller pasientdata», skriver han.

Han skriver videre at formålet med avtalen er drift og modernisering av IKT-infrastrukturen – og at dette skal sikre nettopp god ivaretakelse av pasientsikkerheten.

«Alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. Det er i kontrakten med HP stilt en rekke krav til sikkerhet basert på internasjonal standard for informasjonssikkerhet som er i samsvar med norsk lov og forskrift. Dette innebærer blant annet krav som regulerer muligheten for at drift utføres fra lokasjon utenfor Norge eller EU/EØS. Gitt at disse kravene oppfylles og risikovurdering godkjennes, kan driftsoppgaver utføres fra utlandet. Primært vil dette si fra land i EØS-området. Men dette skal i tilfelle alltid godkjennes og risikovurderes fra vår side.»

Følg Fagbladet på facebook

Umulig å forhindre

Bagleys situasjonsbeskrivelse overbeviser ikke ansatte i Sykehuspartner, som hele tida har hevdet at det er umulig å forhindre at personer med administrativ tilgang til infrastrukturen også har tilgang til sensitive data som er lagret eller prosseseres på den infrastrukturen man har tilgang til. At HP-ansatte ikke er gitt tilgang direkte på pasientsystemene hjelper lite, så lenge de har tilgang til det underliggende, påpekes det da Fagbladet tar opp tråden etter påske.

– Selv om HPe-ansatte ikke har fått tilgang til selve applikasjonen med pasientdata, så innebærer tilgangen til serverne at alle med visse ikt-kunnskaper også kan komme seg inn dit pasientopplysningene ligger, sier Schanche.

Også ansatte i India

Hun legger til at de frykter at det heller ikke det stopper med EØS og bulgarsk tilgang, siden HPe har mange ansatte med denne typen kompetanse i India.

– Ingenting tilsier at det ikke vil skje. Og da kan vi fort få tilsvarende problemer som blant andre Statoil og Helsenett har hatt.

Tilgangen trukket tilbake

Etter at Fagbladet tok kontakt med partene, har saken tatt en ny vending. Ifølge interne kilder er tilgangen som tidligere ble gitt personalet fra Bulgaria nå trukket tilbake.

Men det understrekes samtidig at det ikke vil være mulig for HPe-ansatte å gjøre de samme oppgavene som ansatte i Sykehuspartner gjør i dag, slik hensikten med kompetanseoverføring skal være, uten denne tilgangen.

Abonner på Fagbladets nyhetsbrev

Nødvendig partnerskap

Da Helse Sør-Øst inngikk avtalen med Hewlett Packard Enterprise i september, så ledelsen bort fra at Sykehuspartner kunne gjøre jobben og mente det var nødvendig å bruke «strategisk parternskap» for å modernisere infrastrukturen. Men Thomas Bagley, direktør for teknologi og eHelse ved Helse Sør-Øst understreket at Sykehuspartner fortsatt ville være tjenesteleverandør for helseforetaket.

– Gjennom samarbeidet med en ekstern tilbyder vil Sykehuspartner være i stand til å gjennomføre moderniseringen.

Lofthus la på sin side vekt på at en ekstern partner kunne gjennomføre moderniseringen raskere, billigere og med lavere risiko. Det var ikke ansattes tillitsvalgte enig i. Øverland mente det var spesielt å konkurranseutsette IT-virksomheten før sykehuset hadde ryddet opp og standardisert IT-systemene internt.

– Dette kan bli veldig dyrt, sa Øverland, som mener Sykehuspartner sitter på god nok kompetanse til å gjennomføre moderniseringen selv. Kontrakten skal ha en verdi opp til 7,9 milliarder kroner.

Politisk kritikk

Beslutningen om å sette ut it-tjenestene vakte ikke bare sterke reaksjoner blant ansatte og lokale tillitsvalgte. Også rødgrønne politikere og fagforeningene Fagforbundet, NITO og EL og IT protesterte. Politikerne mente utsetting av it-tjenester var helt feil vei å gå og stilte spørsmål ved kvalitet, kostnader og risiko for at helseopplysninger om "halve Norges befolkning kunne havne på avveie". Det samme gjorde nestleder i Fagforbundet, Sissel M. Skoghaug, som pekte på at spesialisthelsetjenesten behandler svært sensitive data.

– Vi ser at flere norske selskaper velger å ta tilbake IKT-tjenestene igjen etter dårlige erfaringer med å outsource. Både Nasjonal sikkerhetsmyndighet og Finanstilsynet er bekymret over at sensitive data kan utnyttes av ondsinnede aktører når utenlandske selskaper tar over en større del av driften, sa hun.

Også sivilingeniører i Tekna og de bank- og finansansatte i Finansforbundet har vært kritiske.

– Vi er forundret over at direktør Lofthus fra Helse Sør-Øst er så sikker på at pasientopplysningene forblir i Norge, all den tid EU-parlamentet er usikre på om det samme vil skje i resten av Europa. Skråsikkerhet lover ikke bra, sier Pål Adrian Hellman, forbundsleder i Finansforbundet.

Dette er Sykehuspartner

Sykehuspartner HF er underlagt det regionale helseforetaket Helse Sør-Øst. Selskapet har det overordnede ansvaret for IKT-, HR- og innkjøpstjenester til alle sykehusene i regionen, og leverer og drifter tjenester innen disse kategoriene.

Med ca 1400 ansatte er Sykehuspartner en av Nordens største virksomheter på dette området. Hovedkontor i Drammen, avdelingskontorer i Oslo, Grimstad, Porsgrunn, Østfold og Innlandet.

Dette er Helse Sør-Øst

Helse Sør-Øst RHF (regionalt helseforetak) er en av fire helseregioner i Norge og er den strategiske enheten som eier helseforetakene/sykehus i regionen. Helse Sør-Øst RHF sørger for spesialisthelsetjenester til 2,8 millioner mennesker i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder

Ansvarlig redaktør:
Eva Ler Nilsen
Redaksjonssjef:
Simen Aker Grimsrud (konst.)

Nettredaktør:
Knut A. Nygaard
Utgiver:
Fagforbundet
Kontakt redaksjonen:
tips@ignore-fagbladet.no
Telefon:
23 06 40 00
Annonser:
Salgsfabrikken
Sosiale medier:
FacebookTwitter
RSS:
RSS-feed
Besøksadresse:
Keysers gate 15 (4. etasje), Oslo
Postadresse:
Postboks 7003, St. Olavs plass, 0130 Oslo
Fagbladet er medlem av Fagpressen og redigeres etter: RedaktørplakatenVær Varsom-plakatenEtiske husregler Les også: Fagbladets personvernpolicy