– Pasientopplysninger på avveie og tap av kontroll over tilgangen til sensitive opplysninger, er et brudd på statens ansvar for å beskytte personlige opplysninger i Grunnloven paragraf 102, mener Anne Kjersti Befring ved det Juridiske faktultet ved Universitetet i Oslo.



Hun mener også det er brudd på den Europeiske menneskerettighetskonvensjonen (EMK) artikkel 8. og helsepersonelloven paragraf 21.



Tidligere denne måneden avslørte NRK at IT-arbeidere i Asia og Øst-Europa har hatt tilgang til sensitive pasientdata om 2,8 millioner nordmenn, etter at Helse Sør-Øst startet arbeidet med outsource drift av sine datasystemer til utlandet. Forrige uke viste en ekstern granskning at foretaket hadde manglende kontroll på hvilke tilganger IT-arbeiderne har hatt, og på sporing av hva de har brukt tilgangene til.



– Det er statens oppgave å beskytte befolkningens sensitive helseopplysninger. Styret i Helse Sør-Øst har valgt å inngå en avtale med utenlandske leverandører, uten å sørge for kontroll med underleverandører, og med tilgang til svært sensitive pasientopplysninger. Dette skjedde til tross for advarsler om konsekvensene, og er nå bekreftet av den rapporten som er innhentet, sier Befring.

MENER MYNDIGHETENE BRØT LOVEN: Anne Kjersti Befring mener norske myndigheter brøt flere lover da de vedtok å flagge ut drift av IT-systemer i Helse Sør-Øst til utlandet. Foto: Universitetet i Oslo (UiO)

Jussprofessor ved Universitetet i Bergen, Jan Fridthjof Bernt, støtter argumentasjonen til Befring.

– Reglene om taushetsplikt i helsepersonelloven og forvaltningsloven er ikke bare en plikt til å ikke meddele ting til andre, men også en plikt til å sørge for at sensitiv informasjon blir skjermet på en forsvarlig måte.

Han viser også til at denne plikten er nedfelt i Grunnlovens paragraf 102 og EMK artikkel 8, bestemmelser om vern av privatlivets fred.

– Jeg mener på denne bakgrunn at det er grunn til å se nærmere på spørsmålet om det er begått straffbare brudd på taushetsplikten når opplysningene har ligget åpent på denne måten, sier han.

Også Venstre-politiker Ketil Kjenseth mener det er grunn til å undersøke om det er begått lovbrudd:

– Kontroll- og konstitusjonskomiteen bør åpne sak, og politiet har hjemmel til å gå inn for å etterforske saken, mener Kjenseth, som er Venstres medlem i helse- og omsorgskomiteen på Stortinget.

STØTTER BEFRING: Jussprofessor, Jan Fridthjof Bernt, mener det bør undersøkes nærmere om det er begått straffbare brudd på taushetsplikten når utenlandske IT-arbeidere har hatt tilgang til helseopplysninger om 2,8 millioner nordmenn. Foto: Vidar Ruud / NTB scanpix

– Uvanlig

– Så vidt jeg vet er det uvanlig å outsource systemer der det kan gis tilgang til så omfattende mengder med sensitive opplysninger til utlandet. Det gir en sårbarhet, både ved risikoen for at dataene gjøres kjent for uvedkommende og for misbruk, i tillegg til at våre rettslige systemer ikke gjelder, og at helsetjenesten som er avhengig av opplysningene kan settes i en vanskelig situasjon, sier Befring.



– Det er grunn til å minne om at Finland ble dømt i Den Europeiske menneskerettighetsdomstolen, sier Befring.

Hun viser til at Finland i 2008 ble dømt i den Europeiske menneskrettighetsdomstolen for brudd på EMK artikkel 8. En kvinne fikk medhold for at myndighetene i landet ikke hadde sørget for tilstrekkelig sikring mot rettmessig tilgang til pasientjournaler.



– EMD la til grunn at det var brudd på EMK artikkel 8. at andre ved sykehuset kunne få tilgang til opplysningene uten at de trengte det i helsehjelpen, og for at pasientjournalene ikke var tilstrekkelig beskyttet, selv om det ikke ble påvist at andre hadde gått inn på pasientjournalen, sier Befring.

– Styret burde reagert

– I helseforetakene er det 2500 IKT-medarbeidere, hvorav mange er ansatt i Helse Sør-Øst. Da kan det forventes at de undersøker hvordan dette kan gjøres lovlig, selv om de er avhengig av leverandører av IKT programvare, maskinvare og medisinteknisk utstyr, sier Befring.

Hun stusser over hvordan et slikt vedtak gikk gjennom i styret, men antar at det skyldes at styret ikke hadde fått et godt nok beslutningsgrunnlag.

– Styret burde likevel ha reagert på denne formen for outsourcing, som nok er unik i internasjonal sammenheng, sier hun.

– Kan bli aktuelt med terminering av avtalen

Helse Sør-Øst stilte ikke til intervju i denne saken, men styreleder i Helse Sør-Øst RHF, Ann-Kristin Olsen, skriver følgende i en epost:

«Personopplysningsloven, Pasientjournalloven og helseregisterloven hjemler bruk av eksterne leverandører gjennom databehandleravtaler, og EØS-avtalen gir ikke anledning til å diskriminere mellom tilbydere innenfor EØS. Det er dette styret har lagt til grunn for sitt vedtak. Spørsmålet om lovene over er i samsvar med Grunnloven er et spørsmål som må rettes til lovgiver».



Videre skriver styrelederen at forutsetningen hele tiden har vært at tilganger til sensitive personopplysninger blir ivaretatt på en trygg og sikker måte. Styret har konstatert at dette ikke er ivaretatt, og derfor er IKT-moderniseringen stilt i bero inntil videre.

«Vi skal nå se nærmere på hvordan vi kan forsterke tilgangsstyringen, styrke risiko- og sårbarhetsanalysene, utrede nødvendige endringer i leveranser og planer, og styrke prosjektets styring, ledelse og gjennomføring. I sin ytterste konsekvens kan det bli aktuelt med en terminering av avtalen med ekstern leverandør».

NRK har forsøkt å få en kommentar fra Helse- og omsorgsdepartemenet, men de henviser til Helse Sør-Øst.