Styret i Helse Sør-Øst dropper milliardavtalen om utflagging av IT-systemene i helseforetaket. Det skjer etter NRKs avsløringer om at IT-arbeidere i blant annet Malaysia og India hadde tilgang til pasientdataene til 2,8 millioner nordmenn.

Norges Ingeniør- og Teknologorganisasjon (NITO) og Fagforbundet advarte mot dette tidlig, med gode faglige grunner.

Lyttet ikke til fagmiljøer

Regjeringen må ta lærdom av erfaringene som er gjort. Helse Sør-Øst valgte fra starten av ikke å lytte til de som hadde fagkompetansen, fordi det var et ønske om å utflagge uansett. Helseminister Bent Høie begrunnet utflaggingen med behov for økt tempo i modernisering av IKT-systemene og mer penger til pasientbehandling. To år etter at beslutningen ble tatt, sitter vi igjen med pasientdata som kan ha kommet på avveie, en brutt kontrakt og flere hundre millioner ut av vinduet.

Helse Sør-Øst valgte fra starten av ikke å lytte til fageksperter.

Mye av diskusjonen har dreid seg om at ledelsen og styret har utvist mangelfull risikoforståelse og unnlatt å gjøre gode risikovurderinger før kontraktsinngåelsen. Mye viktigere er regjeringens totale mangel på forståelse for at IKT-systemer også omhandler beredskap.

Beredskap blir glemt

Helsevesenet er til enhver tid avhengig av et fungerende IKT-system for å kunne yte helsehjelp. De store IKT-systemene er derfor viktige for den nasjonale helseberedskapen. Det er helseministerens ansvar å beskytte disse med beredskapstiltak på nasjonalt nivå. Da er det svært uheldig at helseministeren fra Stortingets talerstol uttaler at han ikke har ansvaret for IKT-sikkerheten.

Det er i direkte motsetning til Helsedirektoratets egen rapport som legger til grunn at «IKT er en innsatsfaktor på linje med vann og strøm» og at «lenger bortfall av strøm, vann eller IKT vil ha alvorlige konsekvenser for driften av helsetjenesten, og fort gå ut over pasientbehandlingen.»

Hvorfor tok ingen tak i problemet før utflaggingen?

Private leverandører trekker seg ofte ut hvis det oppstår naturkatastrofer eller kriser, såkalt force majeure. I tillegg vet vi at man ved fjerndrift som i Helse Sør-Øst løper risikoen for å bli avskåret fra systemene i en krisesituasjon. Har helseministeren vurdert slike problemstillinger?

Mangelfulle risikoanalyser

Riksrevisjonen fant i 2013 at helseforetakene mangler eller har mangelfulle risiko- og sårbarhetsanalyser og beredskapsplaner for IKT og at dette er avgjørende for sykehusdriften. Helseministeren svarte da at helseforetakene arbeider systematisk med beredskap for kritisk infrastruktur herunder IKT. Man kan spørre seg hvor denne holdningen har vært i denne utflaggingssaken.

«Befolkningen, næringslivet og forvaltningen skal ha tillit til at alle interne systemer og nettverk, samt alle digitale tjenester som utvikles og driftes i regi av virksomheter i offentlig sektor, er sikre og pålitelige.»

Slik lyder det første delmålet i Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015-2017. Det kan se ut som om ledelsen og styret i Helse Sør-Øst feiler på alle fem tiltaksområder i planen.

Hvor er tiltakene?

Gitt størrelsen både på Helse Sør-Øst og tjenesteutsettingen, er det fristende å spørre hvem som hadde ansvaret for å iverksette handlingsplanen. Det viktigste er likevel: Hvorfor tok verken Helsedepartementet, Helsedirektoratet, e-Helsedirektoratet eller Helse Sør-Øst tak i disse områdene før utflaggingen?

Vi spør derfor om Høie har fulgt opp regjeringens politikk for informasjonssikkerhet.

Hvilke tiltak har helseministeren iverksatt for å sikre at ledelsen i Helse Sør-Øst levde opp til disse forventningene da handlingsplanen trådte i kraft, og i 2016 da kontrakten ble inngått? Vi spør derfor om Høie har fulgt opp regjeringens politikk for informasjonssikkerhet. Tildelingsbrevene inneholder også minimalt med styringssignaler, selv om regjeringens egne strategidokumenter pålegger formidling til underliggende virksomheter. Vi forventer et strammere grep rundt IKT-sikkerheten i helsesektoren fremover.

Kan ikke skje igjen

Hvordan har Regjeringen tenkt til å rydde opp i etterkant av denne saken? Ledelsen og styrene i de regionale helseforetakene er nødt til å sørge for at de har god risikoforståelse og arbeider systematisk med risikovurderinger før man foretar seg nye tjenesteutflagginger.

Difi har ansvaret for digitaliseringen av offentlig sektor. Ett av fokusområdene er risikostyring. Men hvorfor har ikke ministeren pålagt Difi å følge opp lederkompetansen på risikostyring og beredskapsmessige forhold i sektorene?

Regjeringen må ta grep. Det er viktig nå at regjeringen tar lærdom av denne saken og sikrer at det ikke skjer igjen.

Følg NRK Debatt på Facebook