– På pasientjournalene finnes den mest personlige informasjonen om oss, om blant annet aborter, sykdommer og medisinbruk. Vi må vite hvem som har tilgang på denne informasjonen og hvor i verden de sitter, sier Nicholas Wilkinson, SV helsepolitiske talsperson.

NRK fortalte tirsdag denne uken om nye ukjente tilganger til pasientdata som helsedata-selskaper i Israel har hatt.

Helse Sør-Øst (HSØ) har i det stille lukket tilganger som to selskaper hadde fra Israel. Tilgangene var ikke risikovurdert på forhånd.

Selskapene er underleverandører til HSØ, og leverer sentrale helsedatasystemer til flere av landets største sykehus. Disse radiologi og kurve-systemene er integrert i det sentrale datasystemene, og IT-arbeidere kan dermed få innsyn i pasientinformasjon.

IKT-svikt i Helse Sør-Øst Ekspandér faktaboks NRK avslørte mai 2017 i at IT-arbeidere fra Asia og Øst-Europa har hatt tilgang til sensitiv pasientinformasjon i Helse Sør-Øst. De har hatt mulighet til å hente ut pasientdata til 2,8 millioner nordmenn. NRKs kilder forteller at flere titalls utenlandske IT-arbeidere har hatt slik tilgang og at mange har hatt utvidede rettigheter, større enn mange av de norske IT-teknikerne. Dette skjer i forbindelse med at Helse Sør-Øst har vedtatt å outsource IT-drift til den amerikanske IT-giganten DXC. Ledelsen har forsikret helseminister Bent Høie om at personvern er ivaretatt, og at driften av IT skal foregå i Norge. Det er ikke mulig å sikkerhetsklarere personer fra lavkostland som Bulgaria, Malaysia og India. Målet er å spare milliarder på outsourcingen og på en digital fornyelse. Nå er outsourcingen utsatt på ubestemt tid. Helse Sør-Øst ba revisorselskapet PwC om å granske hele outsourcingsprosjektet. Den første del av granskningen kritiserte Helse Sør-Øst for mangelfull kontroll på tilgangene og for dårlig IKT-sikkerhet. Del 2 av rapporten viser at 122 IT-arbeidere i Bulgaria, Malaysia og India hadde helt eller delvis tilgang til pasientinfo. Teknologidirektør Thomas Bagley trakk seg både fra jobben og som styreleder i Sykehuspartner etter at NRK avslørte IT-glippen i landets største helseforetak. Hele styret i Sykehuspartner måtte gå, og admininstrerende direktør Mariann Hornnes måtte også forlate jobben. Datatilsynet gransket Helse Sør-Øst og ila sykehusene en bot på 7,2 millioner kroner for brudd på blant annet personvernloven. Tilsynet ga HSØ kraftig kritikk i mangel på risikovurdering.

Ingen garanti

I dag krysset Wilkinson gulvet i Stortingsalen for å utfordre helseminister Bent Høie fra talerstolen. Den ferske stortingspolitikeren ville ha svar på følgende:

– Kan statsråden garantere at ingen uvedkommende har tilgang til våre sensitive personopplysninger? spurte Wilkinson statsråden.

– Nei, en slik garanti kan jeg ikke gi. Man kan ikke være sikre på hvem som har tilganger og hvor de sitter, men det jobbes med å få en slik oversikt i helseforetaket og sykehusene, innrømmet Høie.

KRYSSILD: Helseminister Bent Høie (H) måtte tåle mange kritiske spørsmål om Helse og omsorgsdepartementets kontroll med IKT-sikkerheten i Helse Sør-Øst. Her stiller Nicolas Wilkonson spørsmål Foto: Anne Cecilie Remen / NRK

Helseministeren understreker at E-helse-direktoratet er satt på saken for å få oversikt, og å etablere tiltak og nasjonale regler for bedre IKT-sikkerhet i Helse Sør-Øst og i andre helseforetak.

Kryssild

Etter Wilkonsons spørsmål fulgte flere stortingsrepresentanter opp med nye spørsmål om IKT-sikkerhet i landets største helseforetak, med 2, 8 millioner pasienter i sin database.

Bent Høie svar lød omtrent likt hver gang.

– Utenlandske aktører har tilgang på pasientsensitiv informasjon. Det hadde ikke vært mulig å drive moderne helsetjeneste i dag uten at utenlandske aktører har tilgang til medisinsk teknisk utstyr som inneholder pasientsensitiv informasjon. Det som er viktig er at denne tilgangen skjer på en kontrollert og sikker måte, fremhevet Høie.

HASTER MED Å FÅ OVERSIKT: SVs Nicholas Wilkinson mener det haster å få oversikt over svakheter i IKT-sikkerheten i Helse Sør-Øst. Foto: Martin G Larsen

Krever raskt svar

SV er langt fra beroliget av svarene fra helseministeren i spørretimen.

– Vi vil be om en fullstendig oversikt over hvilke selskaper og personer som har hvilke tilganger, sier Wilkinson.

SV sender nå et brev til helseminister Høie hvor de ber om å få bedre svar enn hva spørretimen ga

– Vi mener det haster å få ha svar på hvor i verden det sitter folk som har tilgang til vår pasientinformasjon, det har vi ikke fått svar på her og det virker ikke som om noen har oversikt over dette, sier Wilkonson.

– Mer alvorlig

Senterpartiets Kjersti Toppe mener IKT-svikten i Helse Sør-Øst rokker ved folks tillit til helsevesenet.

– Det er mer alvorlig enn helseministeren forstår, sier Toppe.

Også Arbeiderpartiet ønsker mer klarhet.

– Det er viktig at vi får oversikt over hvem som har tilganger til sensitiv pasientdata. For dette handler om at folk skal ha tillit til helsevesenet og til at informasjonen ikke misbrukes, sier Ingvild Kjerkol (Ap).

BEDRE OVERSIKT: Aps Ingvild Kjerkol mener det er behov for bedre IKT-sikkerhet og personvern, og fremhever at det handler om folks tillit til helsevesenet. Foto: Anne Cecilie Remen / NRK

Også KrF og Venstre stilte kritiske spørsmål til helseministeren.

Visste ikke om Israel

Landets største helseforetak står midt i en digital modernisering av driften av 35 sykehus, men utfordringene står i kø.

I mai stoppet Helse Sør-Øst det gedigne outsourcingsprosjektet som det DXC hadde fått ansvar for.

Dette skjedde etter NRKS avsløringer om at IT-arbeidere i Bulgaria og Malaysia i flere måneder hadde hatt tilgang til sensitiv pasientdata i strid med avtalen.

IT-utfordringene til Helse Sør-Øst har flere ganger vært oppe i spørretimen på Stortinget, men helseminister Bent Høie har hver gang understreket at han ikke har hatt informasjon om den dårlige IKT-sikkerheten i landets største helseforetak.

– Ikke informert om Israel

De israelske IT-tilgangene ble oppdaget etter NRKs avsløring i mai, og tilgangene ble lukket i det stille, uten at det har vært offentlighet rundt det og uten at det var en del av granskingen som ble iverksatt.

Heller ikke helseministeren visste om tilgangene.

– Nei, jeg visste ikke om disse tilgangene fra Israel før NRK fortalte om dem, sier Høie.

Les også: HSØ innrømmer at utenlandske IT-arbeidere fikk til gang til sensitive pasientdata