Gå til innhold
Illustrasjonsfoto: Morguefile
2016

Pasientdata er sikrest i Norge

- Å ivareta sikkerheten til sensitiv pasientdata er en av kjerneoppgavene til offentlige sykehus. En outsourcing av 150 stillinger til et eksternt utenlandsk selskap er å gamble med sikkerheten, sier NITOs president Trond Markussen.

Det har vakt stor oppsikt at Helse Sør-Øst vil inngå en avtale om tjenesteutsetting av IKT-driften. De vil inngå en avtale verd seks til syv milliarder kroner, med det amerikanske selskapet Hewlett Packard Enterprise (HPE). Avtalen fører til at 150 ansatte blir overført fra Sykehuspartner til HPE.

Trond Markussen- NITO frykter at outsourcing medfører betydelig kompetansetap og at viktig pasientinformasjon lettere kan komme på avveie, påpeker Markussen (bildet).

 

Møte på Stortinget

11. oktober deltok NITO sammen med fagorganisasjonene EL og IT og Fagforbundet i et møte om outsourcing av Sykehuspartner i regi av Senterpartiet på Stortinget.

Andre deltakere var fra Ap og SV.

To store bekymringer

NITO kom med to bekymringer. Den ene bekymringen er at sensitive pasientdata fra applikasjoner og systemer blir tilgjengelige med tilgang til serverne.

- Behandles dataene i et annet land, er alle dataene tilgjengelig i det landet der operatøren sitter. Det vil for eksempel ikke være noe problem for en «utro tjener» å kopiere all data på serveren inkludert det han ikke har tilgang til. Den «utro tjeneren» kan lagre data på egen server og hacke passord eller krypteringer, understreker Brynhild Asperud (bildet), NITOs representant i møtet.

- Ettersom virksomheter i Helse Sør Øst har et nasjonalt nedslagsfelt, vil dette potensielt gjelde hele befolkningen, fortsetter Asperud.

- Den andre bekymringen er at amerikanske myndigheter kan kreve tilgang til data, dersom det er et amerikansk selskap som er operatør, som om serverne var plassert i USA, sier Asperud.

NITOs innspill i møtet

Om prosessen

Tillitsvalgte i Sykehuspartner har vært fratatt mulighet for reell medvirkning siden de ikke har hatt nødvendig innsyn i sakens omfang. Ansatte har ikke hatt mulighet til å vurdere helheten. Businesscase med lønnsomhetsberegning har vært hemmeligholdt. De har blitt pålagt taushetsplikt om sitt arbeid.

Om sikkerhet

  • Det ville være utenkelig å outsource drift av forsvarets-, politiets- eller regjeringens servere. Når man velger å gjøre det med Sykehuspartners servere, kan det bare bety at Helsedepartementet ikke har vurdert pasientdataservere som kritisk infrastruktur. Ansvaret kan ikke departementet legge over på Helse Sør-øst.
  • En ekstern leverandør som drifter serverne hvor pasientdataene prosesseres og behandles vil også ha tilgang til informasjonen på serverne. Har man først servertilgang, kan data kopieres ut og håndteres fritt.
  • Den tekniske utviklingen ligger foran regelverket. Departementet viser til at det skal gjennomføres risiko- og sårbarhetsanalyse. Analysen er ment å dokumentere at kravene til behandling av personsensitiv informasjon er tilfredsstilt. Det er underlig at dette ikke ble gjort før beslutningen ble fattet. Dette viser at regelverket for denne type data henger etter den tekniske utviklingen.

Om kompetanse

  • Ved valg av strategisk partner vil Helse Sør-Øst miste sentral og viktig IKT-kompetanse.
  • Mye tyder på at en ekstern leverandør vil forutsette en grad av standardisering som ikke er tilstede i dag. Sanering, konsolidering og utskifting av store deler av helseforetakenes dataprogrammer vil legge beslag på allerede hardt presset helsepersonell. Det vil i tillegg kreve store investeringer. Dette gir mindre fleksibilitet for helseforetakene og foretaksgruppen som helhet.
  • Når personellet i Sykehuspartner er outsourcet til HP, er det liten grunn til å tro at det er tilstrekkelig personell igjen på dette området i Sykehuspartner til å kunne gjøre gode innkjøpsavtaler. Innkjøp av avtaler i denne størrelsesorden er mer enn jus, det krever dyp og spesifikk IKT-kompetanse på begge sider av bordet.
  • Siden personellet er overtatt av ekstern leverandør, er det liten grunn til å tro at Sykehuspartner vil være i stand til å ta tilbake oppgavene dersom avtalen skulle strande, eller på annen måte bli terminert ved avtalebrudd.

Flere henter tjenester hjem igjen

NITO viser til at flere norske selskaper nå velger å insource IKT-tjenestene igjen etter tidligere dårlige erfaringer. Dette gjelder blant annet Tomra.

For noen år siden varslet det amerikanske selskapet Apple at de flyttet deler av produksjonen tilbake fra Kina, fordi lønnsveksten i Kina var på 15-20 prosent årlig.

Både Nasjonal sikkerhetsmyndighet og Finanstilsynet er bekymret over at sensitive data kan utnyttes av ondsinnede aktører når utenlandske selskaper tar over en større del av driften. Eller at data kan overføres uten en tanke bak, slik det skjedde da GE Healthcare Systems ved et uhell hentet ut personopplysninger om 126.000 nordmenn og overførte personopplysningene til USA, der opplysningene er utenfor norske myndigheters kontroll. Data som ble hentet ut var pasientens navn, personnummer, kjønn, høyde, vekt, størrelse, fødselsdato og kliniske opplysninger.

- NITO følger saken nøye og forventer at våre medlemmers stemme i dette blir hørt, sier Trond Markussen.

- Fagorganisasjonene møtte tydelige og interesserte politikere som ønsket å ta saken videre i Stortinget. Det er positive signaler som NITO setter stor pris på, sier Brynhild Asperud.

NITOs politikkområde IKT

NITOs fagnettverk IKT

Se også: Tok personopplysningene til 126.344 nordmenn

Publisert: Sist oppdatert: