ADVARER MOT NYE SKANDALER: Leder Håkon Haugli i Abelia sier it-utsettelsene er en oppskrift på nye skandaler i Helse Sør-Øst.
ADVARER MOT NYE SKANDALER: Leder Håkon Haugli i Abelia sier it-utsettelsene er en oppskrift på nye skandaler i Helse Sør-Øst. Foto: Fredrik Solstad

NHO advarer norske pasienter - frykter nye IT-skandaler ved sykehusene

INNENRIKS

NHOs teknologi-forening, Abelia, går til frontalangrep mot Helse Sør-Østs behandling av en avlyst milliard-kontrakt, hvor pasientdata til halve Norges befolkning er involvert.

Publisert:

– Vi tror dette kan bli dramatisk for pasientsikkerheten ved norske sykehus, for moderniseringen av helsesektoren, og for utvikling av en innovativ helsenæring. Helse Sør-Østs håndtering er en oppskrift på nye IT-skandaler de neste årene, sier Abelia-sjef Håkon Haugli.

Styret i Helse Sør-Øst besluttet torsdag å bryte en fem milliarder kroners-kontrakt om tjenesteutsetting av IKT-infrastruktur med det amerikanske selskapet DXC, blant annet etter flere NRK-avsløringer om at innleide IT-konsulenter i blant annet Malaysia og India har hatt tilgang til norske pasientdataer.

2,9 millioner nordmenn

I basene til Helse Sør-Øst er det pasientdata til 2,9 millioner nordmenn.

Fremover skal Sykehuspartner, som Helse Sør-Øst eier, ha ansvaret for å utvikle dagens systemer.

– I stedet for å finne løsninger i samarbeid med et stort, profesjonelt og internasjonalt fagmiljø, går de tilbake til å gå videre med egenutviklede løsninger og intern kompetanse, som har vist seg å være svært sårbare, sier Haugli:

– 8. januar opplevde Helse Sør-Øst et enormt hackerangrep som viste hvor sårbart dagens system er. Det er altså dette systemet vi nå risikerer å måtte bruke videre i mange år. Hackerangrepet har vist at vi har et sårbart system som må erstattes, sier Haugli.

– Vi har ikke den tiden

– Vi er opptatt av verdiskapning og arbeidsplasser i Norge. Det lykkes vi best med om norske miljøer samhandler med internasjonale. Jeg føler meg mye mer trygg på at det å videreføre et samarbeid med en norsk eller internasjonal aktør, som opplever angrep hver dag, er bedre enn å gå tilbake til egenutviklede løsninger. Det vil ta så lang tid å erstatte det usikre IT-lappeteppet Helse Sør-Øst har i dag, at vi ikke har den tiden, sier han.

Styreleder Svein Gjedrem i Helse Sør-Øst har fremholdt at avgjørelsen er tatt i nær kontakt med Nasjonal sikkerhetsmyndighet og PST.

– Vi har kommet til at det er helt nødvendig at det er vårt eget selskap, Sykehuspartner, som har kontroll på hvem som har adgang til dataene, har Gjedrem sagt til NRK.

Han fremholder også at risikobildet har forandret seg siden kontrakten ble inngått.

– Er ikke det tungtveiende argumenter, Haugli?

– Jo, helt klart og det er utrolig at dette ikke har vært lagt som føring og stilt som krav hele veien: Alle har visst at dette er sensitive data, som må beskyttes. Mitt poeng er at egenutviklede løsninger og små fagmiljøer er mer, ikke mindre, sårbare.

– Skyteskive

Haugli sier det er feil syndebukker som er utpekt.

– Vi må skille mellom utlendinger og uvedkommende. Internasjonale IT-selskaper og IT-arbeidere blir en skyteskive for feil som blir begått av norske myndigheter. Det er Helse Sør-Øst og deres selskap Sykehuspartner som ikke har sørget god nok for sikkerheten rundt sine oppdrag, og som dermed er skyld i at det har gått galt, sier Haugli.

De har gått gjennom flere av de kritiske sakene:

3. mai 2017 meldte NRK at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang og utvidede rettigheter til datasystemene til Helse Sør-Øst. Dette ga IT-arbeidere mulighet til å gå inn i pasientjournaler og kopiere innholdet uten å legge igjen spor.

– Det sentrale ordet her er «mulighet». IT-arbeiderne har ikke gjort noe galt fordi de ble eksponert for muligheten - uten å gjøre noe. Det er Helse Sør-Øst som har gjort noe galt ved å åpne for muligheten når de ikke beskyttere dataene bedre, sier Haugli.

– Ikke god nok kontroll

I oktober 2017 meldte NRK at Helse Sør-Øst i det stille har stengt tilganger IT-arbeidere i Israel hadde hatt til sensitive pasientdata. To underleverandører var gitt tilgang i strid med reglene.

– Igjen: IT-arbeidere i Israel kan ikke lastes for at de blir eksponert for en mulighet, men Helse Sør-Øst og Sykehuspartner bør lastes fordi de gjør dette mulig:

– En undersøkelse fra PricewaterhouseCoopers konkluderer også med at Sykehuspartner ikke hadde god nok kontroll på hvem som fikk tilgang og rettigheter til datasystemene, fremholder han.

– Hva vet du om ansvarsfordelingen mellom Helse Sør-Øst/Sykehuspartner og DXC, når det gjelder de tilfellene som er avdekket av spredning av sensitiv informasjon?

Fem milliarder

– Det vet omverdenen lite om. Men det er Helse Sør-Øst som er ansvarlig og jeg mener det er uansvarlig å velge en løsning som gjør at vi i mange år må fortsette med dagens systemer. Det er det verste alternativet, fordi det vil ta mange år å utvikle et nytt. Vi snakker ikke bare om at uvedkommende kan å få tilgang til pasientdata, men også om usikre behandlingssystemer, sier han.

– Er det andre og underliggende argumenter for at du vil ha DXC?

– Jeg sier ikke at det er denne aktøren som skal ha ansvaret, men jeg mener det er avgjørende at man ikke velger egenutviklede løsninger. Vi har vanskelig for å se at selve risikobildet har endret seg siden det opprinnelige anbudet ble lagt ut. Det som har endret seg er at helseforetakets eksisterende løsninger er blitt eldre og at sårbarheten i disse er blitt tydelig for alle. Disse løsningene ønsker de nå altså å bygge videre på, fremfor å erstatte dem med oppdatert og gjennomtestet teknologi.

– Skal ikke gjøre det alene

Kommunikasjonsdirektør Gunn Kristin Sande i Helse Sør-Øst mener Hauglis utsagn er basert på misforståelser av hva vedtaket om å avlyse avtalen innebærer.

– Det er ikke riktig at Sykehuspartner nå skal gå videre med egenutviklede løsninger og kun intern kompetanse. Sykehuspartner skal ivareta videre utvikling, men ikke alene. De skal gjøre dette i et hensiktsmessig samarbeid med leverandørmarkedet - både nasjonalt og internasjonalt.

Hun sier det vil være svært uklokt hvis vedtaket i styret i Helse Sør-Øst RHF hadde betydd at Sykehuspartner skulle gjøre dette kun med egne krefter, kompetanse og egenutviklede løsninger.

– Kontrakten med DXC la opp til at både driften av nåværende infrastruktur og oppbygging og drift av ny og modernisert infrastruktur skulle ivaretas av denne eksterne leverandøren. Slik risikobildet er i dag, vil det være uforsvarlig. Det er samtidig viktig å påpeke at vedtaket som er fattet, ikke innebærer at vi peker på noen syndebukk.

Kontrakten som ble avsluttet var på fem milliarder kroner over syv år.

Her kan du lese mer om