Ledelsen i Helse- Sør-Øst innrømmer at utenlandske IT-arbeidere har hatt tilgang til sensitiv pasientinformasjon de siste ukene, men mener omfanget er mindre enn hva NRKs kilder hevder.

– Forrige torsdag fikk jeg informasjon om at 16 bulgarere hadde tilgang til sensitiv informasjon, sier administrerende direktør Cathrine Lofthus i Helse Sør-Øst til NRK.

Denne innrømmelsen kommer etter at NRK gjentatte ganger de siste ukene har stilt spørsmål ved om utenlandske IT-arbeidere har hatt slik tilgang.

–Tilgangene de fikk var ikke permanente, og de er nå stengt. Vi har full kontroll, og vi har en navneliste, og vi har alle sikkerhetsmekanismer på plass, sier Lofthus.

For to uker siden avviste teknologidirektør Thomas Bagley i Helse Sør-Øst problemstillingen. Han nektet for at utenlandske IT-arbeidere overhodet hadde slike rettigheter.

SKAL IKKE HA: Direktør Thomas Bagley nektet for to uker siden for at utenlandske IT-arbeidere hadde fått tilganger til sensitiv pasientdata. Intervjuet ble siden forsøkt stoppet- Foto: NRK

– De utenlandske IT-konsulentene skal ikke ha tilgang til pasientsensitive opplysninger eller gis tilgang til det. De skal ikke ha tilgang til denne type systemer, sa Bagley til NRK.

Samtidig som Bagley nektet sto datadøren åpen for den samme gruppen, viser informasjon NRK har fått.

Siden har Helse Sør-Øst ønsket å trekke dette intervjuet.

Og nå innrømmer altså foretaket at slik tilgang var gitt.

– Men tilgangen ble gitt i forbindelse med opplæring i våre lokaler, under full overvåkning, sier Lofthus.

NRKs kilder hevder at sannheten er mye mer kompleks enn dette.

Les også: Driftet Nødnett ulovlig fra utlandet

Helse Sør-Øst Ekspandér faktaboks Norge er delt i fire helseregioner. Helse Sør-Øst er landets største helseforetak. Helse Sør-Øst RHF har ansvar for sykehustjenester til befolkningen i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder. Helseforetak består av sykehus,institusjoner i psykiatrien og rusbehandling,ambulansetjeneste,nødmeldingstjeneste,pasienttransport,sykehusapotek og laboratorier Helse Sør- Øst har igangsatt det som skal være et av de største og mest kompliserte IKT-prosjektet i Norge noensinne. Frem til nå har det vært et vell av ulike datasystem i sykehussektoren. Nå skal alle enhetene i regionen få de samme datasystemene for blant annet pasientjournaler radiologi laboratoriedata, og digital samhandling. Prosjektet kalles «Digital Fornying»

Stort omfang

Lofthus forteller at i tillegg til de 16 som har hatt tilgang til sensitiv informasjon, har 12 utenlandske IT-arbeidere hatt adgang via en leverandørportal.

NRK har fra et titalls kilder i Helse Sør-Øst fått informasjon om at omfanget har vært langt større enn hva ledelsen nå innrømmer.

Foto: NRK

NRK har dokumentasjon på at 110 utenlandske IT-arbeidere de siste ukene har hatt mulighet til å jobbe mot servere og IT-systemet til Helse Sør–Øst. NRK kjenner samtlige navn på de 110 IT-arbeiderne, og vi har også sett oversikter som viser hvor ofte de har vært logget inn. Mange av disse har hatt utvidete rettigheter, også større enn betrodde medarbeidere i Helse Sør-Øst-systemet.

En av dem har for eksempel vært innlogget hele 56 ganger. En annen 35 ganger.

Av hensyn til kildevernet kan vi ikke vise denne dokumentasjonen. Flere har risikert jobbene sine med å gi NRK presis informasjon.

FULL KONTROLL: Sjef for Helse Sør-Øst Cathrine Lofthus innrømmer at utenlandske IT-arbeidere har hatt tilgang til personsensitiv informasjon, men mener de har full kontroll over situasjonen. Foto: Anne Cecilie Remen / NRK

De utenlandske IT-konsulentene skal ikke ha tilgang til pasientsensitive opplysninger eller gis tilgang til det. De skal ikke ha tilgang til denne type systemer. Teknologidirektør Thomas Bagley, 19. april 2017

Men toppledelsen i Helse Sør-Øst avviser at NRKs informasjon stemmer. De benekter at 100 utenlandske IT-arbeidere har hatt slike rettigheter.

Ledelsen sier at listen med 100 navn som NRK har er en oversikt over eksternt ansatte som jobber med infrastrukturmoderniseringen, og ikke over dem som har rettigheter til IT-systemet.

Forrige torsdag fikk jeg informasjon om at 16 bulgarere hadde tilgang til sensitiv informasjon. Adm.dir Cathrine Lofthus, 2. mai 2017

Tilgang til intime detaljer

Men NRK får opplyst fra godt informerte kilder i Helse Sør-Øst at dette er feil. Et stort antall IT-arbeiderne fra Asia og Øst-Europa har siden medio mars kunnet gå inn og kopiere pasientjournaler til 2,8 millioner nordmenn uten å legge igjen spor.

Slik har de hatt mulighet for å hente ut de mest intime pasientopplysninger om halve Norge, om fødsler og aborter, psykiske problemer, kreftsykdommer medisinbruk, kjønnssykdommer og lignende, viser informasjon som NRK er blitt forelagt. Alt i journalene til 2, 8 millioner nordmenn ligger lagret på dataservere som snart skal driftes fra Bulgaria og etter hvert India og Malaysia.

De utenlandske IT-arbeiderne har også kunnet dele ut nye tilganger til andre eksterne IT-folk, uten at dette har vært mulig å oppdage, opplyser kilder til NRK

KREVENDE: Ekspert i IKT-sikkerhet Sofie Nystrøm mener det er vanskelig og kostbart å gi IT-arbeidere begrenset tilgang slik Helse Sør-Øst sier de planlegger. Foto: Oda Hveem

Ledelsen i Helse Sør-Øst avviser dette, men NRK har fått informasjon fra et titalls IT-eksperter i helseforetaket som sier at ledelsen er feilinformert.

En av landets fremste-eksperter på IT-sikkerhet sier dette:

– For et helseforetak er det svært viktig at risikonivået er på et akseptabelt nivå slik at sensitiv helseinformasjon ikke kommer på avveie, sier leder Sofie Nystrøm for Senter for Cyber og Informasjonssikkerhet.

De norske IT-arbeiderne i helseforetaket har underskrevet taushetserklæringer. Nasjonal sikkerhetsmyndighet har gitt NRK informasjon om at det ikke er mulig å sikkerhetsklarere folk fra Bulgaria, Malaysia og India. Det er fra disse landene driften av IT i Helse Sør-Øst etter hvert skal foregå.

SJOKKERT: De ansatte i Helse Sør- Øst er bekymret for at så mange utenlandske IT-arbeidere allerede har hatt utvidete tilganger i IT-systemet, sier Nanette Loennechen. Foto: Anne Cecilie Remen / NRK

Forsikringer til Stortinget

IT-tilgangene som er gitt til utenlandske ansatte skjer i forbindelse med at Helse Sør -Øst flagger ut IKT-drift til et amerikansk selskap, HPE.

Store deler av IKT-driften i landets største helseforetak skal bli overført fra Helse Sør-Øst sitt heleide datterselskap Sykehuspartner til det amerikanske Hewlett Packard Enterprise.

Helse Sør-Øst har gang på gang presisert at utenlandske IT-arbeidere vil få begrenset tilgang og at all sensitiv og viktig data er sikret ved at det vil befinne seg i Norge.

Helseminister Bent Høie (H) har flere ganger basert seg på dette når han har stått i Stortinget og fremhevet at utenlandske IT-arbeidere ikke vil få tilgang til personsensitiv informasjon. Senest i forrige uke fremhevet Høie dette til Stortinget:

«Avtalen med HPE stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. Det er videre stilt spesifikke krav til blant annet informasjonssikkerhet dersom drift skal utføres fra lokalisasjon utenfor Norge.»

FIKK INFO: Helseminister Bent Høie fikk først før helgen informasjon fra Helse Sør-Øst om at utenlandske IT-teknikere hadde fått tilgang til sensitiv pasientdata. Foto: NRK

– Når informerte ledelsen I Helse Sør-Øst helseministeren om dette?

– Det gjorde vi forrige torsdag, den 27 april, sier administrerende direktør Lofthus.

– Men da hadde IT-arbeiderne hatt tilgang i lang tid. Hvorfor informerte dere ikke Helsedepartementet om dette før?

– Eh, sier Lofthus og gjør en pause før hun fortsetter. – Det var først da jeg hadde kunnskap om dette.

– Hvorfor oppdaget du at bulgarske IT-arbeiderne hadde tilgang først da?

– Det handler både om at vi måtte gå inn i problemstillingen i forkant av virksomhetsoverdragelsen og av flere har stilt spørsmål om dette, sier Lofthus.

Krevende

Ekspert på IKT-sikkerhet Sofie Nystrøm mener at det vil være krevende å skjerme personsensitiv informasjon for IT-teknikere som har administrativ tilgang, noe som Helse Sør-Øst har forespeilet Helse og omsorgsdepartementet.

– Det er ekstremt kostbart å gi underleverandører tilgang til bare deler av IKT-systemet, og ikke til alt. Når man gir en leverandør tilgang til dataservere er det uvanlig at de da ikke har tilgang til innholdet på serverne også, sier Nystrøm.

Virksomhetsoverdragelsen skulle egentlig vært gjennomført 1. mai, men er utsatt på ubestemt tid.

– Vi må ha på plass sikkerhet gjennomføre risiko og sårbarhetsanalyser før slike tilganger kan gis til utenlandske IT-arbeidere, sier Lofthus.

Sjokkerte ansatte

Mange av de utenlandske IT-arbeiderne har hatt langt større tilganger enn de fleste IT-konsulentene i Helse Sør-Øst-systemet, får NRK opplyst av en rekke informerte kilder.

Dette avviser også ledelsen i Helse Sør-Øst.

– Jeg er sjokkert over omfanget. De utenlandske IT-konsulentene har hatt ekstremt utvidete rettigheter og tilganger. Dette er mye mer alvorlig enn vi har trodd, sier foretakstillitsvalgt Nanette Loennechen til NRK.

Mange av de utenlandske IT-arbeiderne har vært logget på etter at de har reist fra Norge. Dette får NRK bekreftet av flere sentrale medarbeidere i Helse Sør-Øst. Disse kildene ønsker ikke å stå frem av hensyn til sin jobbsituasjon. På listen over navn er det folk fra Kina, Malaysia, India, Bulgaria, Slovakia og land som Tyskland og Frankrike. Mange av disse hadde tilganger som strakte seg mange måneder frem i tid. Noen hadde tilganger frem til neste sommer, viser informasjon som NRK har fått av interne kilder.

Lofthus hevder på sin side at de eksternt ansatte bare hadde tilgang mens de jobbet i Sykehuspartners lokaler.

Les også: Flagger ut sykehusenes datasystem

Utvidete rettigheter og muligheter

– Det er på tide å stoppe opp, og se nøye på hva denne avtalen egentlig inneholder. Hvor er det informasjonen om tilgangene stopper opp? Jeg er ikke sikker på at ledelsen egentlig har forstått helt konsekvensene av avtalen om utflagging, sier konserntillitsvalgt Nannette Loennechen.

– Det er ikke mulig å gi begrenset tilgang slik ledelsen hevder. Da vil hele systemet til sykehusene stoppe opp, og legene får ikke hentet ut journalene, sier en av de godt informerte kildene til NRK.

Ledelsen i Helse Sør-Øst mener derimot at de vil lykkes med å gi begrenset tilgang.

– Vi er opptatt av å beskytte pasientinformasjon, og vi vil ha på plass sikkerhetsmekanismer for å sikre dette før nye tilganger gis, sier Lofthus.

Les også: Flagger ut sykehusenes datasysystem

Les også: Skjønner ikke at bedrifter tør