Pensjonister frykter at helsedata kan komme på avveie

Pensjonistforbundet er bekymret for at sensitive helsedata kan komme på avveie. Jan Davidsen har signert et bekymringsbrev som er sendt til Datatilsynet.

Pensjonistforbundet er bekymret for at sensitive helsedata kan komme på avveie. Jan Davidsen har signert et bekymringsbrev som er sendt til Datatilsynet.

Johnny Syversen / Pensjonistforbundet

Pensjonistforbundet uttrykker i et brev til Datatilsynet bekymring over konkurranseutsettingen av IT-tjenestene i Helse Sør-Øst. De frykter at sensitive helsedata kan komme på avveie.

2016092210452520160922104525

vegard.velle@fagbladet.no

Bakgrunnen er at Helse Sør-Øst har vedtatt at store deler av IT-tjenestene skal driftes av et eksternt, privat selskap.

I brevet til Datatilsynet sier Pensjonistforbundet de «er bekymret for at databehandlere som befinner seg i utlandet gis tilgang til pasientdata som fysisk er lagret på norske servere… Å plassere serverne i Norge gir nødvendigvis ikke tilstrekkelig sikring av dataene, dersom data som er lagret på disse serverne kan fjern-aksesseres fra utlandet.»

Også forskere har uttrykt bekymring for at helseopplysninger kan komme på avveie.

Ikke tilstrekkelig sikkerhet

Pensjonistforbundet er ikke betrygget over kravene fra Helse Sør-Øst om at det eksterne selskapet skal være lokalisert i EU/EØS:

«Imidlertid mener vi at å lokalisere databehandlingen til et EU/EØS-land ikke gir tilstrekkelig sikkerhet for forsvarlig behandling av persondata dersom selskapet som behandler dataene er amerikansk og underlagt amerikansk lov. I 2014 beordret for eksempel en amerikansk domstol Microsoft til å utlevere persondata, som selskapets irske filial var databehandler for, til myndighetene i USA.»

Måtte utlevere data til USA

Dommen Pensjonistforbundet henviser til ble felt i 2014. Microsoft ble beordret til å utlevere kundedata som befant seg i Microsoft-serverne i Irland. Dommen kom til at det avgjørende var hvem som kontrollerer dataene, snarere enn hvor i verden dataene er lagret.

I etterkant uttrykte en frustrert Brad Smith, president og sjefsjurist i Microsoft:

– USA mener at de har rett til å få informasjonen når de har en ransakelsesordre mot et amerikansk selskap og hente det fra Europa til USA uten at de trenger å informere noen eller forholde seg til lover i Europa.

Saken kan ende i høyesterett

I juli kom dommerne i en ankedomstol i New York til det motsatte resultatet. De mente den amerikanske loven «Stored Communications Act» bare gjelder i USA, og at den ikke kan brukes til å kreve informasjon fra dataservere i andre land.

Hva som skjer i saken videre er usikkert. Godt mulig vil amerikanske justismyndigheter anke dommen til høyesterett. Eller de kan prøve å få vedtatt en ny lov i Kongressen.

Uansett er konsekvensene store. Eva Jarbekk, advokat i Føyen Torkildsen og leder i Personvernnemnda, mener at dersom Microsoft taper denne saken, vil det få «enorme konsekvenser for utveksling av tjenester og informasjon mellom Europa og USA», ifølge Aftenposten.

– Kan ikke sammenlignes

– Den eksterne parten vil ikke ha tilgang til sensitive personopplysninger, da de kun skal drifte infrastrukturen. Det vil dermed ikke være samme situasjon som den refererte saken med Microsoft, sier Thomas Bagley, direktør for teknologi og eHelse i Helse Sør-Øst og styreleder i Sykehuspartner.

Datatilsynet følger opp og tar saken på alvor

– Vi vil ha et møte med Helse Sør-Øst den 4. oktober. Da får vi høre hva de har å fortelle. Vi vil blant annet spørre hvem som får tilgang på helseopplysninger, sier Bjørn Erik Thon, direktør i Datatilsynet.

I brevet, signert av forbundsleder Jan Davidsen og generalsekretær Harald Olimb Norman, ber Pensjonistforbundet Datatilsynet vurdere om konkurranseutsettingen er konsesjonspliktig, altså at den må godkjennes av myndighetene. Til det svarer Bjørn Erik Thon:

– Jeg vil ikke tro konkurranseutsettingen er konsesjonspliktig, men jeg vet ikke nok til å kunne si det sikkert ennå.

IT-utskillingen i Helse Sør-Øst

* Helse Sør-Øst har vedtatt å skille ut store deler av IT-driften ved helseforetaket.

* Kontrakten kan ha en verdi opp mot 7 milliarder kroner.

* De eksterne selskapene det står mellom er Hewlett Packard Enterprise og Computer Sciences Corporation.

* Både forskere og Pensjonistforbundet er bekymret for at helseopplysninger kan komme på avveie

Ansvarlig redaktør:
Eva Ler Nilsen
Redaksjonssjef:
Simen Aker Grimsrud (konst.)

Nettredaktør:
Knut A. Nygaard
Utgiver:
Fagforbundet
Kontakt redaksjonen:
tips@ignore-fagbladet.no
Telefon:
23 06 40 00
Annonser:
Salgsfabrikken
Sosiale medier:
FacebookTwitter
RSS:
RSS-feed
Besøksadresse:
Keysers gate 15 (4. etasje), Oslo
Postadresse:
Postboks 7003, St. Olavs plass, 0130 Oslo
Fagbladet er medlem av Fagpressen og redigeres etter: RedaktørplakatenVær Varsom-plakatenEtiske husregler Les også: Fagbladets personvernpolicy