Datatilsynet la torsdag 27. oktober 2017 fram en rapport om HSØ-saken.
- Vi får nok en bekreftelse på våre innvendinger. Outsourcing av IKT-infrastruktur med pasientdata har ikke vært underlagt risikovurdering, og informasjonssikkerhet er svært kritikkverdig behandlet. Nå må Sikkerhetsloven endres, sier NITO-president Trond Markussen.
Datatilsynet har funnet flere lovbrudd og gir store bøter til helseforetakene i Helse-Sørøst i etter sin gjennomgang av IKT-skandalen.
Ber helseministeren ta grep
Nå har saken om HSØ fått vare i flere år. NITO og tillitsvalgte har gang på gang advart mot risiko knyttet til denne outsourcingen med hensyn til IKT sikkerheten til pasientdataene.
- Nå lurer vi på hvor mange rapporter, utvalg og avsløringer som må til, før helseminister setter foten ned, og tar de rette grep, sier Markussen.
Tiltak:
- Sikkerhetsloven må endres slik at helse kommer inn under loven.
- I dag er det en frivillighet i lovverket slik at den enkelte i helsesektoren kan selv vurdere om man faller inn under Sikkerhetsloven. Det betyr at Helse Sør-Øst allerede i dag kunne ha valgt å foreta de grep som Sikkerhetsloven krever, for å sikre pasientdata.
- Nytt forslag til sikkerhetslov behandles i Stortinget denne høsten. Her må Stortinget foreta de rette grep, slik at HSØ erfaringen aldri gjentar seg.
NITO påpekte allerede i desember 2016 at IKT-systemene i helsevesenet burde vurderes som kritisk infrastruktur etter sikkerhetsloven. HOD var da avvisende til dette.
- Når departementet som tross alt har ansvar for forebyggende IKT-sikkerhet i sin sektor ikke vurderer IKT-sikkerheten før en slik outsourcingen, viser det at sikkerhetsloven må endres sier Markussen.
- Dette viser jo risikoen ved at det enkelte departement kan definere seg utenfor Sikkerhetsloven. Når bevisstheten om informasjonssikkerhet er lav nok, kommer ikke problemstillingen en gang opp på radaren, uttaler Markussen
Datatilsynet har følgende hovedkonklusjoner:
- De behandlingsansvarlige helseforetakene ikke har hatt tilstrekkelig eierskap til, eller kontroll med de planlagte endringene knyttet til informasjonssystemet.
- Helseforetakene har overlatt ansvaret for beslutninger som har betydning for pasientenes personvern og informasjonssikkerheten knyttet til behandling av personopplysninger, til databehandleren og til ansatte lenger ned i organisasjonen.
- Det ble ikke gjennomført nødvendige risiko- og sårbarhetsvurderinger før det ble besluttet å konkurranseutsette avtale om strategisk partnerskap, herunder drift og vedlikehold av IKT-infrastruktur.
- Det ble heller ikke gjennomført nødvendige risiko og sårbarhetsanalyser i forkant av at det ble besluttet å velge underleverandør i Bulgaria.
- Valgt underleverandør har i et begrenset tidsrom hatt tilgang til pasientopplysninger i strid med ledelsens forutsetning om tilgangskontroll.
Datatilsynet uttaler at i helsesektoren er utkontraktering i et slikt omfang som vi ser i denne saken nytt og regelverket har ingen særbestemmelser som regulerer spørsmålet. - Jeg mener dette betyr at Datatilsynet er enig med NITO i at regelverket for utkontraktering av IKT-tjenester og risikovurdering i helsesektoren ikke er godt nok.