Gå til innhold
Illustrasjonsfoto cybersikkerhet Sykehuspartner
2017

Utflagging av pasientdata en sikkerhetsrisiko

Helse Sør-Øst, ved Sykehuspartner, har valgt å utflagge IKT-tjenestene til HPE, noe som medfører at systemet vil opereres fra utlandet. NITO har advart sterkt mot denne måten å håndtere pasientdata på.

Opposisjonen i Stortinget har også vært kritisk, og representant Sverre Myrli har stilt helseministeren spørsmål om IKT-sikkerheten er tilstrekkelig ivaretatt.

- Aksepterer tilgang

- Ut ifra svaret til helseministeren sitter vi igjen med spørsmålet om IKT sikkerheten til pasientdata skal baseres på tillit? Svaret viser at helseministeren aksepterer tilgang på pasientdata fra utlandet. HSØ og statsråden baserer seg på tillit til HPE sine ansatte om at de ikke skal benytte seg tilgang til pasientdata. Pasientdata blir nå tilgjengelig for ekstern part i utlandet, og svaret til helseministeren viser at han indirekte aksepterer at det faktisk gis tilgang til helseinformasjon fra utlandet. NITO mener dette er uholdbart, sier president Trond Markussen

Høie hevder at alt personell som virksomhetsoverføres til HPE og øvrige aktuelle ansatte i HPE vil få endrede og begrensede tilgangsrettigheter, herunder at det ikke gis rettigheter til domeneadministrasjon og at dette ivaretar sikkerheten knyttet til pasientopplysningene.

- Våre medlemmer kjenner seg ikke igjen i beskrivelsen av dagens praksis. I desember ba HPE om fullstendig tilgang (administrator-passord og root-passord) til alle systemene i Sykehuspartner. Det betyr at HPE fikk rettigheter til domeneadministrasjon. Da kan de omgå krypteringen og hente ut alle opplysningene, inkludert pasientjournalene og alle andre sensitive opplysninger. HPEs ansatte har derfor i praksis fullstendig tilgang til IT-systemene, sier Markussen.

Slik det fungerer i dag er denne typen tilgang nødvendig for å drifte systemene, og det vil ta lang tid å endre dette dersom det i det hele tatt er mulig. HPEs overtakelse av driften var opprinnelig planlagt til 1.5, men er utsatt. NITO kjenner ikke ny dato for overtakelse.

Svakhet i lovverket

NITO mener at det er svakhet i dagens lovverk at kritisk viktig infrastruktur kan utflagges.

- Helseberedskap er et nasjonalt anliggende. Dessverre har mange sektorer og foretak for lav kompetanse til selv å gjøre tilstrekkelige vurderinger knyttet til dette. Det er nettopp derfor man trenger en nasjonal strategi for samfunnskritisk infrastruktur som omfatter for eksempel helseberedskapen. Svaret til helseministeren viser at han skyver dette ansvaret nedover, til helseforetakene. Svaret viser også lovverket ikke er godt nok og at Norge trenger nytt lovverk innen sikkerhet, en nasjonal strategi for samfunnskritisk infrastruktur, sier Markussen.

NITO IKT

Se NITOs ulike politikkområder

 

Aktuelle kurs innen IKT

Glasspaper Trondheim, Trondheim, 11. september 2017
Publisert: Sist oppdatert: