– Vi har stengt tilganger til personell hos to underleverandører som var utenfor EØS-området. Disse tilgangene var fra Israel og tilgangene var ikke blitt behandlet i risikovurderingene, forteller administrerende direktør Gro Jære i Sykehuspartner i Helse Sør-Øst til NRK.

Landets største helseforetak står midt opp i en digital modernisering av driften av 35 sykehus, men utfordringene står i kø.

I mai stoppet Helse Sør-Øst det gedigne outsourcingsprosjektet som det DXC hadde fått ansvar for. Dette skjedde etter avsløringer om at IT-arbeidere i Bulgaria og Malaysia i flere måneder hadde hatt tilgang til sensitiv pasientdata i strid med avtalen. Hele styret i Sykehuspartner ble skiftet ut, toppsjefen fikk sparken og teknologidirektøren i Helse Sør-Øst måtte gå.

STENGT TILGANGER: En ordknapp toppsjef i Sykehuspartner Gro Jære bekrefter at selskapet også har stengt tilganger som IT-arbeidere hos underleverandører hadde fra Israel Foto: Cicilie Hennig-Till

I det stille

Like etter oppdaget altså Helse Sør-Øst sitt datterselskap Sykehuspartner at ansatte hos underleverandører hadde tilganger fra Israel. Disse tilgangene ble i all stillhet stengt ned.

Det er i forbindelse med oppgradering og vedlikehold av pasientdatasystemene at leverandører ofte trenger fjerntilgang til IT-systemene.

Det handler om noen av de mest sentrale datasystemer for pasientbehandling, som radiologisystemer og elektroniske program med informasjon om sykehusopphold og legemidler.

– Siden tilgangene i Israel ikke var risikovurdert var de heller ikke godkjent, og derfor ble de lukket, fremhever Jære.

Ledelsen i Sykehuspartner og i Helse Sør-Øst har frem til nå hemmeligholdt at tilgangene fra Israel fantes og at de er blitt trukket tilbake. Disse tilgangene fremkommer ikke av styredokumenter i Sykehuspartner eller Helse Sør-Øst.

Først på et styremøte i forrige uke ble styret i Helse Sør-Øst muntlig orientert om dette, får NRK opplyst. Styret i Sykehuspartner er også orientert, uten at det fremkommer av styredokumenter.

Les også: Helse Sør-Øst innrømmer å ha gitt helseministeren feil informasjon

Jære vil ikke utdype dette nærmere, men fremhever at verken tilgangene eller stengingen av dem har hatt konsekvenser for sykehusdriften. Jære vil heller ikke forklare hvorfor man har hemmeligholdt tilgangen fra Israel.

– Hvor sikre er dere på at leverandørene ikke har tilgang fra andre deler av verden?

– De har ikke tilganger i andre del av verden, fremhever Jære.

Kontrakt med flere utfordringer

En av underleverandørene som har hatt ansatte med tilgang fra Israel er Carestream. Selskapet leverer IT-systemer som styrer radiologi, det vil si røntgen, CT, MR, ultralyd og mammografi-systemene til sykehus. Sensitive pasientdata ligger lagret i disse systemene.

Selskapet fikk en kontrakt på en halv milliard kroner med Helse Sør-Øst i 2012, men prosjektet har hatt store problemer og mange utsettelser.

NRK har ikke lykkes å få en kommentar fra Carestream.

Evry som har levert løsningen for Metavision, systemet som inneholder all data om sykehusopphold og medikamenter til pasientene, sier at deres del av avtalen er oppfylt.

Geir Remman i Evry påpeker at EU-kommisjonen har godkjent at Israel har en forsvarlig behandling av personopplysninger.

Naiv og slepphendt eller uten kunnskap

Stortingsrepresentant Ketil Kjenset (V) har i mange år jobbet med helsepolitikk og har vært engasjert i personvern og IKT-sikkerhet.

– Dette vitner om at man enten har vært naiv og slepphendt eller så har man ikke hatt kunnskap om det her. Begge deler er ille. Hvis det oppdages nye sikkerhetshull og brister om pasientdata ut av Norge så er dette i ferd med å bli en stor skandale, sier Kjenseth