I ettermiddag bak lukkede dører, kom den endelige beslutningen om hva som skjer med outsourcingen av IT-infrastrukturen i Helse Sør-Øst.

Styret i Helse Sør-Øst besluttet da å avbestille hele kontrakten om utflagging av IKT-infrastruktur med det amerikanske selskapet DXC.

Beslutningen samsvarte med innstillingen fra ledelsen i Helse Sør-Øst.

Det er ett år siden NRKs avsløringer om at IT-arbeidere i blant annet Malaysia, India og Bulgaria hadde tilganger til pasientdataene, selv før formell overtakelse av IT-systemene.

Dette var i strid med alle løfter som var gitt til Stortinget, og umiddelbart ble hele avtalen satt i bero.

I dag er den altså skrotet helt.

I stedet har Sykehuspartner HF nå fått i oppdrag å utvikle IKT-infrastrukturen i regionen.

– Var for stor risiko knyttet til behandling av pasientdata

– Konklusjonen i dag er at den kontrakten vi har hatt med et internasjonalt selskap, avbestilles, sier styreleder Svein Gjedrem i Helse Sør-Øst til NRK.

– Hvorfor det?

– Det er fordi risikobildet har endret seg ganske mye siden denne kontrakten ble inngått. Risikobildet er nå slik at vi nok må gjøre det på en annen måte, sier Gjedrem.

– Vi har hatt veldig nær kontakt med Nasjonal sikkerhetsmyndighet og PST og har lagt vekt på deres vurderinger. Det går på personsikkerhet og vurderinger av informasjonssikkerheten i dette.

– Var det for å sikre pasientdatene best mulig at dere også trakk denne konklusjonen?

– Det kan du si. Det var for stor usikkerhet med det opplegget som lå der – det var for stor risiko knyttet til behandlingen av fortrolige opplysninger, sier Gjedrem.

– Det er knyttet til hvor virksomheten ville foregå med dette selskapet, og hvilke land som ville være involvert. Vi har kommet til at det er helt nødvendig at det er vårt eget selskap, Sykehuspartner, som har kontroll på hvem som har adgang til dataene.

Helse Sør-Øst sier opp IKT-avtale Du trenger javascript for å se video.

Har allerede kostet flere hundre millioner

Hvor mye det til slutt kommer til å koste Helse Sør-Øst å avbryte kontrakten med DXC, er ikke klart.

– Det største tapet her, er den tiden vi har tapt. Dette var i utgangspunktet en kontrakt med et internasjonalt selskap som beløp seg til 5 milliarder kroner fordelt på sju år. Vi må nå velge en annen løsning. Det blir en dyrere løsning, og den kommer ikke på plass så raskt som man opprinnelig hadde håpet, sier Gjedrem.

Ifølge Helse Sør-Øst har DXC fått utbetalt 280 millioner kroner som oppgjør for arbeid som allerede er utført fra 2016 og frem til arbeidet ble stilt i bero i mai 2017. I tillegg kommer leie- og leasingkostnader for inneværende år og kostnader til utredning.

Helse Sør-Øst opplyser at det i 2017 ble avskrevet 112 millioner kroner som tap i regnskapet, og at de regner med ytterligere avskriving i 2018.

– Det er derfor for tidlig å si noe om den endelige økonomiske konsekvensen før forhandlingene mellom Sykehuspartner og DXC er gjennomført, sier Gjedrem.

IKT-svikt i Helse Sør-Øst Ekspandér faktaboks NRK avslørte mai 2017 i at IT-arbeidere fra Asia og Øst-Europa har hatt tilgang til sensitiv pasientinformasjon i Helse Sør-Øst. De har hatt mulighet til å hente ut pasientdata til 2,8 millioner nordmenn. NRKs kilder forteller at flere titalls utenlandske IT-arbeidere har hatt slik tilgang og at mange har hatt utvidede rettigheter, større enn mange av de norske IT-teknikerne. Dette skjer i forbindelse med at Helse Sør-Øst har vedtatt å outsource IT-drift til den amerikanske IT-giganten DXC. Ledelsen har forsikret helseminister Bent Høie om at personvern er ivaretatt, og at driften av IT skal foregå i Norge. Det er ikke mulig å sikkerhetsklarere personer fra lavkostland som Bulgaria, Malaysia og India. Målet er å spare milliarder på outsourcingen og på en digital fornyelse. Nå er outsourcingen utsatt på ubestemt tid. Helse Sør-Øst ba revisorselskapet PwC om å granske hele outsourcingsprosjektet. Den første del av granskningen kritiserte Helse Sør-Øst for mangelfull kontroll på tilgangene og for dårlig IKT-sikkerhet. Del 2 av rapporten viser at 122 IT-arbeidere i Bulgaria, Malaysia og India hadde helt eller delvis tilgang til pasientinfo. Teknologidirektør Thomas Bagley trakk seg både fra jobben og som styreleder i Sykehuspartner etter at NRK avslørte IT-glippen i landets største helseforetak. Hele styret i Sykehuspartner måtte gå, og admininstrerende direktør Mariann Hornnes måtte også forlate jobben. Datatilsynet gransket Helse Sør-Øst og ila sykehusene en bot på 7,2 millioner kroner for brudd på blant annet personvernloven. Tilsynet ga HSØ kraftig kritikk i mangel på risikovurdering.

Feilinformert

Etter at PWC gjennomgikk påstandene fra NRK, viste det seg at både helseministeren og sjefen i Helse Sør-Øst, Cathrine Lofthus, var feilinformert om realitetene i avtalen.

Per i dag er datasystemene i helseforetaket et digitalt lappeteppe av gamle systemer, som gjør det svært komplisert å styre hva IT-teknikere faktisk har tilgang til av pasientdata. Både helseministeren og toppsjefen i helseforetaket har gjentatte ganger uttalt at de utenlandske IT-teknikerne ikke ville få tilganger til pasientdataene.

NRKs avsløringer førte til at teknologidirektøren måtte gå fra sin stilling og hele styret Sykehuspartner, datterselskapet som i dag drifter IT-systemene ble skiftet ut.

I en rapport fra Datatilsynet i oktober i fjor, fikk ledelsen i Helse Sør-Øst sterk kritikk for manglende risikovurdering i forkant av IT-outsourcingen.

– Kunne man ha unngått denne situasjonen dersom man hadde gjort bedre risikoanalyser på forhånd?

– Det kunne ha vært gjort bedre risikovurderinger. De gjennomganger som har vært gjort, blant annet av et revisjonsselskap, tydet på at det ikke var gjort gode nok risikovurderinger i dette prosjektet. Men en skal også være oppmerksom på at risikobildet har endret seg, og det er blitt større kunnskap om risikoen, sier Gjedrem.

VISSTE IKKE: Toppsjef i Helse Sør-Øst, Cathrine Lofthus og tidligere styreleder Ann Kristin Olsen, har tidligere uttalt de ikke fikk god nok informasjon i forkant av vedtaket om å outsource til amerikanske DXC. Foto: Anne Cecilie Remen / NRK

Fra prestisjeprosjekt til havari

Det som begynte med prestisjeprosjekt har altså endt med havari for landets strørste helseforetak. Hvor kostbart det til slutt blir å bryte avtalen med amerikanske DXC, er ennå ikke kjent.

Fremover vil det være datterselskapet Sykehuspartner som fremdeles skal drifte datasystemene, og det er uvisst hvilke konsekvenser kanselleringen her for moderniseringen av IT-infrastrukturen i Helse Sør-Øst.

Det er ventet at E-helsedirektoratet ville legge føringer på hvilken modell for drift av IT-systemer som velges fremover. I fjor konkluderte direktoratet med at alt av IT-tjenester innen helse og sykehusvirksomhet kan flagges ut av Norge.