Skriftleg spørsmål fra Tore Hagebakken (A) til helseministeren

Dokument nr. 15:1890 (2017-2018)
Innlevert: 20.06.2018
Sendt: 20.06.2018
Svart på: 29.06.2018 av helseminister Bent Høie

Tore Hagebakken (A)

Spørsmål

Tore Hagebakken (A): Hvor mye har det kostet Helse Sør-Øst å avbestille kontrakten om utflagging av IKT-infrastruktur med det amerikanske selskapet DXC, og hvordan skal statsråden sikre at en lignende situasjon, der utflagging av kritisk IT-infrastruktur i helsesektoren gav stor risiko knyttet til behandling av pasientdata, ikke oppstår igjen?

Grunngiving

På Nrk.no ble det 14.06.2018 meldt at Helse Sør-Øst avbestiller en kontrakt om utflagging av IKT-infrastruktur med det amerikanske selskapet DXC. Da saken ble skrevet var kostnadsomfanget ved denne beslutningen ikke avklart, men det er viktig å få et kostnadsoverslag som viser konsekvensen av å ikke avklare sikring av pasientdata ved inngåelse av slike kontrakter. I den sammenheng er det også viktig å få vite hvilke konkrete tiltak regjeringen gjør for at lignende situasjoner ikke oppstår igjen. I brev fra Helse- og omsorgsdepartementet v/statsråd Bent Høie til helse- og omsorgskomiteen, datert 7. mai 2018, fremhever statsråden at de regionale helseforetakene og helseforetakene er ansvarlig for å vurdere om det er risiko knyttet til behandling av pasientdata ved utflagging.
Arbeiderpartiet ønsker i den sammenheng å vite om det ikke gjøres noe mer på nasjonalt nivå for å forhindre at situasjoner lik den man har hatt på Helse Sør-Øst ikke oppstår igjen.

Bent Høie (H)

Svar

Bent Høie: Helse Sør-Øst RHF har informert departementet om at Sykehuspartner HF i 2017 betalte 280 mill. kroner (ekskl. mva.) til DXC som oppgjør for arbeid som ble utført fra oppstart av programmet i oktober 2016 og frem til programmet ble stilt i bero i mai 2017. Betalingen dekket også økonomiske forpliktelser knyttet til inngåtte lisens- og leasingavtaler ut 2017. Utover dette kommer det leie- og leasingkostnader for inneværende år og kostnader til utredning.
Kontrakten med DXC er nettopp avbestilt og det skal nå startes forhandlinger mellom avtalepartene. Ifølge Helse Sør-Øst RHF er det derfor for tidlig å si noe om den endelige økonomiske konsekvensen før forhandlingene og vurderingene knyttet til gjenbruk er gjennomført. Det vil i forhandlingene bli avklart mulig gjenbruk av arbeidet og de investeringer som er utført og betalt for.
Det er et stort behov for å forbedre og videreutvikle IKT-infrastrukturen i Helse Sør-Øst, og en standardisert og modernisert regional IKT-infrastruktur er viktig for alle helseforetakene i regionen. I foretaksmøte 14. juni 2018 fikk Sykehuspartner HF i oppdrag å etablere et nytt program for å standardisere og utvikle regionens IKT-infrastruktur. Sykehuspartner HF skal i dette arbeidet legge vekt på blant annet informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt. Alle helseforetakene i regionen skal ta del i arbeidet som databehandlingsansvarlige.
Sykehuspartner HF har gjennom planleggings- og utredningsarbeidet som er utført opparbeidet kompetanse om utfordringer knyttet til infrastrukturmodernisering. Sykehuspartner HF skal bygge på denne kunnskapen og kompetansen i et hensiktsmessig samspill med leverandørmarkedet. Dette innebærer også en vurdering av egen kompetanse og kapasitet. Driften av IKT-infrastrukturen skal ikke tjenesteutsettes slik det var forutsatt i kontrakten med DXC. Moderniseringen og utviklingen skal gjennomføres ved å dele arbeidet inn i mindre og mer avgrensede prosjekter i nært samarbeid med leverandørmarkedet. Prosjekter som er kritiske for helseforetakene og for utbedringer av sårbarheter i IKT-infrastrukturen, skal prioriteres. Helse Sør-Øst RHF har informert departementet om at Sykehuspartner HF gjennom det siste året har iverksatt flere tiltak innenfor informasjonssikkerhet, personvern og applikasjonssanering. Betydningen av å videreføre dette arbeidet ble presisert i oppdraget om videre standardisering og modernisering.
Den økende graden av digitalisering i sektoren innebærer økte krav til informasjonssikkerhet og personvern. Helse- og omsorgssektoren er i stor grad avhengig av å bruke eksterne IKT-leverandører for å kunne levere helsetjenester på et ønsket høyt kvalitativt nivå. Etter gjeldende rett er det begrenset anledning til å avvise utenlandske IKT-leverandører på et generelt grunnlag, med den begrunnelse at de er etablert i, eller vil levere tjenester fra et annet land. Det må gjennomføres konkrete vurderinger i hvert enkelt tilfelle, hvor det ses på risikovurderinger og mulighetene for å ivareta kravene til sikkerhet. Dette bildet er i stadig endring, og Helse Sør-Øst RHF og Sykehuspartner HF har gjennom et samarbeid med Nasjonal sikkerhetsmyndighet arbeidet med disse spørsmålene både når det gjelder vurderingene knyttet til kontrakten med DXC, men også i forbindelse med håndteringen av datainnbruddet i Helse Sør-Øst denne våren.
Den nye sikkerhetsloven er forventet å tre i kraft 1. januar 2019. Etter loven er det departementet som har ansvaret for å vurdere og peke ut konkrete skjermingsverdige verdier. Det pågår nå prosesser for å vurdere om hele eller deler av IKT-infrastrukturen i helseforetakene har skjermingsverdige verdier etter den nye loven. Dette forutsetter en vurdering av om IKT-infrastrukturen er av betydning for å trygge Norges suverenitet, territorielle interesser og demokratisk styreform og andre nasjonale sikkerhetsinteresser, jf. sikkerherhetslovens § 1-1. Helse Sør-Øst RHF deltar sammen med de andre regionale helseforetakene, Sykehusbygg HF, Helsedirektoratet, Direktoratet for e-helse, Norsk Helsenett SF og Nasjonal sikkerhetsmyndighet i dette arbeidet. Den kunnskapen og kompetansen Helse Sør-Øst RHF har fått gjennom håndteringen av de siste hendelsene knyttet til IKT-infrastrukturen i regionen vil være nyttige bidrag i det nasjonale samarbeidet knyttet til de vurderinger som nå pågår i lys av ny sikkerhetslov.
Avslutningsvis vil jeg understreke at det ikke trenger å være et motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Direktoratet for e-helse fikk i 2017 i oppdrag å utarbeide en rapport for å klargjøre normative rammer for hva som skal til for å ha en trygg og riktig bruk av både nasjonale og internasjonale leverandører i helsetjenesten. Rapporten bekrefter at helse- og omsorgssektoren er avhengig av internasjonale leverandører innen IKT-området, og at det ikke er grunnlag for å konkludere med at det er tjenester som aldri vil kunne overlates til eksterne leverandører. Det må imidlertid alltid foreligge risikovurderinger og databehandleravtaler for å ivareta hensynet til informasjonssikkerheten. Helseregionene har samlet sett opparbeidet seg stor kunnskap og kompetanse gjennom sine anskaffelsesprosesser, avtalehåndtering og hendelser på IKT-området de senere årene. De har også gjennom dette etablert et tettere samarbeid med Nasjonal sikkerhetsmyndighet som både gir muligheter til en mer løpende oppdatering av sikkerhetssituasjonen, samtidig som de får tilgang til gode faglige innspill gjennom deres veiledningsrolle.