Mens Region H overvejer it-outsourcing: Drama i Norge om alvorligt persondatalæk

Sygehusregion i Norge annullerer it-outsourcingkontrakt på fem milliarder norske kroner med DXC efter afsløring af alvorlige persondatalæk til it-ansatte i Fjernøsten.

Mens Region Hovedstaden herhjemme overvejer at outsource driften af hele deres it-infrastruktur, og er igang med en markedsdialog med indiske Hindustan Computers Limited og KMD på infrastruktur-området og Atea og Atos på teknisk support, raser debatten i Norge om outsourcing i sundhedsvæsnet.

It-outsoucing i Region H Region Hovedstaden undersøger netop nu mulighederne for at outsource hele sin it-infrastruktur til private leverandører. Af et internt dokument fremgår det, at al infrastruktur og al teknisk support skal i hænderne på private leverandører, hvis man beslutter at gennemføre projektet. Det er dog endnu ikke fuldt afklaret, hvor store dele af regionens it-infrastruktur, der blandt andet omfatter hospitalernes serverportefølje med kliniske systemer, der egner sig til sourcing. Region H forventer at tage en beslutning i løbet af sommeren eller efteråret om, hvorvidt det skal ske eller ej og i hvilket omfang.

Den højlydte debat i Norge - som bl.a. omfatter læk af følsomme persondata om kønssygdomme og kræftsygdom til Fjernøsten - tog sit udspring, da den norske sygehusregion Helse Sør-Øst besluttede at outsource it-driften til amerikanske HPE/ DXC.

Selskabet skulle overtaget driften af den norske sygehus-it 1. maj sidste år.

Der kom dog alvorligt knas få selve it-driften i gang, da den norske pendent til DR, NRK, i samme måned afslørede, at it-driftsansatte i blandt andet Malaysia, Indien og Bulgarien havde haft adgang til følsomme norske patientdata om 2,8 millioner nordmænd i processen op til, at selve it-driften skulle gå i gang.

Helse Sør-Øst En regional sundhedsorganisation og en ud af fire sygehusregioner i Norge. Ejer af 11 sundhedsenheder og sygehuse i regionen. Helse Sør-Øst dækker 2,9 millioner mennesker i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder. Enheden har 78.000 ansatte og en årsomsætning på 79 milliarder norske kroner

Der var bl.a. tale om adgang til patientdata om fødsler og aborter, psykiske problemer, kræft, medicin og kønssygdomme.

NRKs artikler bekræftes 24. maj sidste år af en første rapport fra PriceWaterhouseCoopers, som konkluderer, at Helse Sør-Øst ikke har haft kontrol over adgangen til data.

En senere PWC-rapport konkluderer, at 122 it-ansatte i Bulgarien, Malaysia og Indien har haft fuldstændig eller delvis adgang til patientdata om 2,8 mio. nordmænd

Ledelsen i Helse Sør-Øst gav som forklaring på adgangen til de følsomme data om bl.a., at det ikke var muligt at drifte et it-system for en ekstern part, uden at have adgang til data.

I sidste uge besluttede ledelsen i sygehusregionen at annullere hele it-outsourcingkontrakten, som var på fem milliarder norske kroner over syv år. Kontrakten var indgået med det amerikanske selskab HPE-DXC (tidligere CSC).

»Der var for stor usikkerhed ved det oplæg, som lå der (om DXC's databehandling og de lande, som behandlingen ville foregå i, red.) – der var for stor risiko knyttet til behandlingen af fortrolige data,« sagde direktør Svein Gjedrem i Helse Sør-Øst til NRK.

Blandt dem, der har været ude og rose beslutningen, er leder i civilingeniørforeningen Tekna, Lise Lyngsnes Randeberg.

På NRK opfordrede hun blandt andet offentlige og private virksomheder til at vurdere, om de ønsker at bruge udenlandske selskaber. Hun udtaler også, at Tekna er imod det, hun kalder »hovedløs outsourcing«.

Skandaløst

Udtalelsen fra ingeniørforeningen i Norge har fået Fredrik Syvertsen fra brancheforeningen IKT Norge til at se rødt. I et telefoninterview med Version2s søstermedie, digi.no, omtaler han blandt andet udtalelsen som »skandaløs« og »skadelig for norske virksomheder«.

»Hvad mener hun med det her? Er det passet, der skal afgøre, om et selskab kan bruges? Er det selskaber som Microsoft og HP, hun hentyder til? Der er tusindvis af nordmænd ansat i de her selskaber. Det virker, som om hun bare siger noget uden at tænke over konsekvenserne. At Norge skulle kunne klare sig uden udenlandsk hjælp er fuldstændig urealistisk,« siger han til digi.no.

»Norge er en lille og åben økonomi, som er afhængig af, at gode udenlandske selskaber investerer i Norge. De udenlandske selskaber, som Tekna refererer til, har kastet mange tusind arbejdspladser af sig i Norge, og mange af de ansatte er Teknas egne medlemmer. Det kunne se ud, som om Tekna mener, at et norsk pas er en garanti for sikkerhed og gode løsninger. Det er vanskeligt at tro, at det er noget, organisationen bakker op om.«

Skadeligt for norske virksomheder

Han mener, at Tekna opfører sig protektionistisk og tror, at skepsissen over for udenlandske selskaber bunder i mangel på fakta.

»Der lader til at være en holdning om, at kun nordmænd kan arbejde med sundhedssystemer. Har de nogen som helst statistik, som viser, at der går dårligere, hvis man benytter udenlandske selskaber? Hvor kommer den holdning fra?« spørger han retorisk.

Han mener, at Teknas udmelding skaber usikkerhed og utydelighed – noget, han mener er »noget af det mest skadelige for norske virksomheder«.

Tekna: De misser pointen

Lise Lyngsnes Randeberg fra Tekna stiller sig uforstående over for kritikken.

»Tekna er ikke principielt imod outsourcing, men er skeptisk over for outsourcing, hvor man ikke foretager de nødvendige risikoanalyser,« forklarer hun.

Mener du, at man skal være mere forsigtig, når man bruger udenlandske selskaber, end når man bruger norske?

»Ja. Har du komplekse leverandørkæder med mange led, så øges risikoen. I Lysne 1-udredningen står der tydeligt, at outsourcing til andre lande er en risikofaktor i sig selv.«

Hun peger også på, at andre land har andre lovgivning og forhold, som kræver en grundigere risikoanalyse. Blandt andet med andre regler for adgang til data og stabilitet.

»I outsourcingarbejdet har man som regel været gode til at se på den teknologiske risiko og potentialet for indtjening, mens man ikke har været lige så optaget af at se på det land, man skal outsource til.«

Syvertsen kalder jeres holdninger holdninger protektionistiske – hvad tænker du om det?

»Det kan jeg ikke genkende mig selv i. Vi er optaget af sikker digitalisering, og man skal kunne stole på, at risikovurderingen har været god. Hvis man er sikker på, at denne er foretaget på en ordentlig måde, så kan man bare klø på og outsource, så meget man vil. Jeg kan ikke forestille mig andet, end at det er i IKT-Norges medlemsvirksomheders interesse.«

Den nu brudte kontrakt har indtil videre kostet de norske myndigheder 112 millioner norske kroner.

Fremover bliver det Helse Sør-Østs datterselskab Sykehuspartner som skal drifte it-systemerne. Det er uafklaret, hvilke konsekvenser annulleringen får for moderniseringen af it-infrastrukturen i Helse Sør-Øst.

Artiklen bygger bl.a. på et udpluk fra en artikel på digi.no