Jeg viser til brev av 4. mars i år fra Stortingets helse- og omsorgskomité med spørsmål knyttet til min redegjørelse for Stortinget 14. februar i år om IKT-området i Helse Sør-Øst. Jeg viser også til min redegjørelse for Stortinget 30. januar 2018 om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst.

I arbeidet med innstillingen ber komiteen om svar på følgende:

Spørsmål 1. Riksrevisjonen uttrykker i Dokument 3:2 (2018–2019) Riksrevisjonens kontroll med forvaltningen av statlige selskaper – 2017, at Stortinget burde ha fått en samlet orientering om status for Helse Sør-Østs arbeid innen IKT-området. Hva er grunnen til at statsråden ikke selv har tatt initiativ til en slik orientering før etter at Riksrevisjonen påpekte dette, og vil det i fremtiden sikres at Stortinget holdes orientert i liknende saker?

Svar:

Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2017 har tatt opp Helse Sør-Øst sitt arbeid med felles regional radiologiløsning og Digital fornying. Dette er saker som jeg tidligere har informert Stortinget om gjennom svar på spørsmål til skriftlig besvarelse og i Stortingets spørretime. Jeg har også presentert de to sakene, inkludert hvilke tiltak Helse Sør-Øst RHF har gjort for å rette opp feil og avvik, i forbindelse med Stortingets behandling av sin kontroll med forvaltningen av statlige selskaper for 2017.

I min redegjørelse for Stortinget 14. februar i år uttrykte jeg meg positiv til Riksrevisjonens undersøkelser av vår sektor, da de ofte gir et godt grunnlag for ytterligere forbedringer.

Jeg mener det bør høre til unntakene at det gis egne redegjørelser utenom de ordinære prosessene i Stortinget. Når det gjelder redegjørelsen 14. februar i år, så var jeg glad for å få anledning til å gi en samlet redegjørelse for Stortinget med mulighet for å rette opp noen misforståelser og påstander som har kommet i sakens anledning. Jeg fikk også anledning til å redegjøre for hvilke organisatoriske grep Helse Sør-Øst har gjort, og gi en presentasjon av en rekke vellykkede og viktige IKT-prosjekter i Helse Sør-Øst.

Spørsmål 2. Riksrevisjonen har påpekt at det målbildet for arbeidet med Digital fornying i Helse Sør-Øst som ble presentert Stortinget høsten 2013, ikke er blitt realisert. I sin redegjørelse nevnte statsråden en rekke underprogrammer, men unnlot å si noe om arbeidet for å få på plass en fullverdig regional laboratorieløsning for Helse Sør-Øst. Kan statsråden opplyse komiteen om status for prosjektet og når det er sannsynlig at det kommer på plass?

Svar:

Helse Sør-Øst RHF har informert departementet om at alle helseforetakene i Helse Sør-Øst i dag har løsninger for alle de store laboratoriefagområdene patologi, medisinsk biokjemi, farmakologi, mikrobiologi, immunologi og blodbank.

Helse Sør-Øst har hatt et regionalt laboratorieprosjekt siden 2012, med mål om å etablere én laboratorieløsning innen områdene patologi, medisinsk biokjemi, farmakologi, mikrobiologi, immunologi og blodbank. Det ble i styresak (058-2012) lagt til grunn at løsningen skulle tas i bruk ved Sykehuset Østfold HF først og deretter innføres i de øvrige helseforetakene i regionen.

I april 2017 behandlet styret i Helse Sør-Øst RHF sak (042-2017) om status i prosjektet og besluttet å innføre laboratorieløsning for patologi ved alle helseforetak i regionen. Arbeidet er delt inn i to innføringsfaser, etter innføringen ved Sykehuset Østfold. Den første innføringsfasen har fokus på å erstatte dagens patologisystem for de helseforetakene som har DocuLive Patologi, dvs hos Sykehuset i Vestfold, Akershus universitetssykehus og Oslo universitetssykehus. Den andre innføringsfasen har fokus på å erstatte dagens patologisystem for de helseforetakene som har Sympathy. Dette er Sørlandet sykehus, Vestre Viken, Sykehuset Telemark og Sykehuset Innlandet.

Det er en målsetning å ha èn installasjon av laboratoriedataløsningen, men i påvente av en ny felles regional infrastrukturplattform, vil det etableres tre installasjoner av laboratoriedataløsningen. Dette viser noe av kompleksiteten i arbeidet med å etablere regionale løsninger samtidig som en felles standardisert og modernisert plattform ikke er på plass.

Samlet sett er prosjektet forsinket og har blitt dyrere enn lagt til grunn i styresak 042-2017. Hovedårsakene til forsinkelsene og de økte kostnadene er behovet for å etablere tre installasjoner, og utviklingen av funksjonalitet i løsningen. Det pågår fortsatt detaljert planlegging for andre innføringsfase, men antatt forsinkelse er 1,5 år.

Patologifaget er prioritert fordi det er det fagområdet som per i dag har størst behov for bedre IKT-løsninger. Dette fordi det er et økende prøveomfang, samtidig som arbeidsmengden knyttet til hver prøve er i sterk vekst, spesielt innen kreftbehandling. Det er i dag stor grad av manuelle rutiner og lite støtte til gode arbeidsprosesser. I tillegg er det fokus på overgang til digitale løsninger innen patologi med digitale snitt og kunstig intelligens til hjelp i tolkning av prøvene.

Ved innføring av regionalt journalinnsyn vil prøvesvar fra andre sykehus innen regionen gjøres tilgjengelig for de behandlere som har behov for det. I den grad helseforetakene av ulike grunner vil ha behov for å bytte ut sine eksisterende løsninger innenfor laboratorieområdene utenom patologi, er det naturlig at de tar i bruk den regionale løsningen, laboratoriedatasystemet LabVantage Medical Suite.

Spørsmål 3. I redegjørelsen til Stortinget omtalte statsråden flere ganger sviktende rutiner for anskaffelser i helseforetakene. Hvilke konkrete tiltak gjøres for å bedre bestillerkompetansen i foretakene?

Svar:

Helse Sør-Øst RHF har styrket involveringen og forankringen i helseforetakene ved anskaffelser av nye løsninger. Det er definert tydeligere beslutningspunkter i anskaffelsesløpet, satt detaljerte krav til hvilke beslutningsunderlag som skal foreligge og hvilke aktører som skal involveres i beslutninger. Det er særlig lagt opp til en tettere involvering av toppledelsen i det enkelte helseforetak før man beslutter en felles anskaffelse.

Helse Sør-Øst RHF har styrket den juridiske kompetansen innen anskaffelser og IKT. Det er videre sørget for at anskaffelser ledes av en intern forhandlingsleder.

Jeg vil også her vise til min redegjørelsen 14. februar i år, hvor jeg redegjorde for at Helse Sør-Øst har iverksatt en ny organisering av teknologi- og e-helse-området i regionen. De endringene som er iverksatt skal blant annet bidra til tydeliggjøring av roller og ansvar, og ansvaret er lagt i den ordinære linjen. Endringene skal sikre at helseforetakene blir bedre involvert, og at beslutninger blir bedre forankret både i helseforetakene og i ledelsen i det regionale helseforetaket.

Fra og med tertialrapporten for 1. kvartal 2018 er rapporteringen i Helse Sør-Øst endret slik at det skal rapporteres til styret på hvert styrevedtatt prosjekt. På denne måten ønsker Helse Sør-Øst å få tydeliggjort utfordringene knyttet til gjennomføringen av de enkelte prosjektene i IKT-porteføljen. Dette vil også sette styrene i helseforetakene i bedre stand til å følge opp de prosjektene de har vedtatt. Det er fokus på avviksrapportering med beskrivelse av tiltak for å lukke påviste avvik.

Spørsmål 4. I sin redegjørelse påpekte statsråden behovet for tiltak for å redusere risiko og kompleksitet i IKT-prosjektene i helseforetakene. Kan statsråden opplyse hvilke konkrete tiltak som er planlagt fremover?

Svar:

I min redegjørelse presenterte jeg de tiltakene Helse Sør-Øst RHF har gjennomført for å redusere risiko og kompleksitet i IKT-prosjektene i helseforetakene i regionen.

I redegjørelsen viste jeg også til at det pågår mange store og viktige IKT-prosjekter i alle helseregioner. Jeg vil prioritere å følge opp dette arbeidet i min styringsdialog, både med helseregionene, Direktoratet for e-helse og Norsk Helsenett.

Jeg har ved flere anledninger tatt opp utfordringene knyttet til blant annet informasjonssikkerhet med ledelsen i helseforetakene, senest i møte med alle sykehusdirektørene og direktørene for de regionale helseforetakene i november 2018. Her viste jeg til at det er særlig behov for tiltak for å redusere risiko og kompleksitet i IKT-prosjektene, og sikre riktig organisering.

I de felles foretaksmøtene med de regionale helseforetakene i januar 2018 og januar 2019 stilte jeg krav til alle helseregioner om å følge opp Riksrevisjonens funn, merknader og anbefalinger i IKT-saker. De regionale helseforetakene rapporterer fra dette arbeidet i årlig melding og i oppfølgingsmøter med departementet.

I det felles foretaksmøtet med de regionale helseforetakene nå i januar ba jeg også helseregionene om å samarbeide gjennom erfaringsoverføring. Dette for å skape god sikkerhetskultur og utvikle kompetanse for å forebygge, avdekke og iverksette skadereduserende tiltak mot blant annet uautorisert tilgang til sektorens datanettverk. Direktoratet for e- helse og Norsk Helsenett deltar også i dette arbeidet. Aktørene må i fellesskap bidra til å redusere risiko og kompleksitet i sektorens IKT-prosjekter, og å sikre riktig organisering med klare ansvarslinjer og ledelsesforankring.

Når det gjelder Helse Sør-Øst spesielt, har denne regionen delt opp kompliserte prosjekter i mindre prosjekter, eller lagt til grunn en mer stegvis tilnærming. Det settes krav til at hvert steg skal ha en selvstendig kost/nytteverdi og ikke forutsette at man gjennomfører alle stegene for å nå et langsiktig mål. Erfaringer underveis skal vektlegges før man eventuelt går videre til neste fase.

Antall beslutningsnivåer mellom administrerende direktør i Helse Sør-Øst RHF og prosjektene er redusert og alle prosjekter forankres med de administrerende direktørene i helseforetakene i regionen. Helse Sør-Øst vurderer i større grad å gjenbruke eksisterende løsninger istedenfor å bytte dem ut med nye. I dette arbeidet er standarder for deling av data viktig for å sikre informasjonsutveksling mellom systemer.

Videre har Helse Sør-Øst RHF startet en gjennomgang av kriteriene for hva som organiseres som prosjektarbeid, og hva som kan håndteres som utviklingsarbeid i eksisterende forvaltningsorganisasjon. Det er fokus på å avslutte prosjektene straks det er mulig å overføre løsning og rutiner til forvaltningsorganisasjonen. Dette vil bidra til å gjøre prosjektene mindre og dermed også redusere kompleksitet og risiko.

Den viktigste endringen er likevel at regionen basert på de erfaringer som er gjort, har nyansert strategien i valget mellom felles løsninger og integrasjonsløsninger. Særlig for områder hvor det finnes velfungerende systemstøtte, har det vist seg krevende å gjennomføre systembytte for at løsningene skal bli like. Behovet for informasjonsutveksling kan ivaretas ved at systemene snakker sammen. På områder hvor alle helseforetakene har behov for nye løsninger har man gode erfaringer med å anskaffe og innføre nye løsninger i fellesskap. Eksempler på dette er elektronisk løsning for medikamentell kreftbehandling, elektronisk kurve- og medikasjonsløsning, digitalt mediearkiv og løsning for klinisk logistikk.

Spørsmål 5. Riksrevisjonen mener det er sterkt kritikkverdig at arbeidet med felles radiologiprogram ikke ble styrt etter nytte og risiko, og at styrende organer ikke forvaltet styremyndigheten sin på en målrettet og god måte og ikke fulgte opp leverandørene godt nok. Hva gjør departementet konkret for å hindre at dette gjentar seg i liknende anskaffelser i helseforetakene i fremtiden?

Svar:

I foretaksmøtet i januar i år stilte jeg som nevnt krav om å følge opp Riksrevisjonens funn og merknader. Riksrevisjonens undersøkelse i Helse Sør-Øst er relevant for alle de regionale helseforetakene og det er behov for tiltak for å redusere risiko og kompleksitet i IKT-prosjekter. Det må legges vekt på riktig organisering med presise ansvarslinjer, at ledelsen må være involvert og forelegges sentrale beslutninger og at styrene må gjøres i stand til å følge opp det enkelte prosjekt. Dette krever at informasjon om prosjektene forelegges ledelsen fortløpende.

I dette foretaksmøtet påpekte jeg også viktigheten av at de regionale helseforetakene samarbeider innen IKT-området og at regionene utveksler erfaringer og lærer av hverandre. De regionale helseforetakene er bedt om innen 1. mai 2019 å vurdere hvordan samarbeidet innen IKT-området bør organiseres.

Som nevnt over har jeg også ved flere anledninger tatt opp utfordringene knyttet til IKT-prosjekter med ledelsen i helseforetakene, senest i møte med alle sykehusdirektørene og direktørene for de regionale helseforetakene i november 2018. Her viste jeg til at det er særlig behov for tiltak for å redusere risiko og kompleksitet i IKT-prosjektene, samt å sikre riktig organisering. Jeg vil også framover prioritere å følge opp arbeidet med IKT-prosjekter i styringsdialogen med de regionale helseforetakene.

Spørsmål 6. Riksrevisjonen viser til at arbeidet med radiologiprogrammet gir grunn til bekymring for pasientsikkerheten, mens det kommer frem i tilsvaret fra Helse- og omsorgsdepartementet at Helse Sør-Øst mener det må skilles mellom uønskede hendelser og forsvarlig helsehjelp. Er det dokumentert at det ikke er gitt uforsvarlige tjenester som konsekvens av radiologiprogrammet i Sykehuset Innlandet, og at pasientsikkerheten ikke har vært truet?

Svar:

Radiologiprogrammet ble satt i produksjon i Sykehuset Innlandet i september 2016. Styringsgruppen konkluderte i februar 2017 med at leveransen ikke var i samsvar med kontrakten. Dette skyldtes kritiske og alvorlige feil hvor ekstra tiltak, inkludert manuelle rutiner, ble iverksatt for å opprettholde pasientsikkerheten. I brev datert 19. juni 2017 skriver styreleder i Sykehuset Innlandet HF til Helse Sør-Øst RHF om den regionale radiologiløsningen:

«Styret utrykker stor bekymring for pasientsikkerheten. Styret ber om at Helse Sør-Øst RHF, som ansvarlig avtalepart, bidrar til at Sykehuspartner og leverandør prioriterer personellressurser og kompetanse til radiologiprosjektet i Sykehuset Innlandet. De alvorlige feilene i et svært viktig verktøy for diagnostikk og vurderinger av behandlingsopplegg må bli rettet.»

Det er på det rene at det er meldt om uønskede hendelser og avvik som skyldes feil og mangler i radiologiprogrammet. Styret i Sykehuset Innlandet HF har varslet eier om sin bekymring for pasientsikkerheten. Samtidig har Sykehuset Innlandet HF i forbindelse med innføringen av radiologprogrammet og problemene knyttet til dette fortløpende iverksatt en rekke tiltak og rutiner for at pasientbehandlingen skulle være sikker, trygg og forsvarlig. Dette har vært manuelle kontrollrutiner og andre risikoreduserende tiltak. Det er grunnlag for å si at pasientsikkerheten i utgangspunktet har vært truet, men at tjenestene likevel har vært forsvarlige siden sykehuset har satt inn supplerende tiltak for å sikre dette.

Spørsmål 7. Når det økonomiske tapet er utregnet for Sykehuset Innlandet, er det også tatt med kostnadstap som følge av merarbeid på sykehusene, med for eksempel manuelle kontrollrutiner og andre risikoreduserende tiltak?

Svar:

Helse Sør-Øst RHF har informert departementet om at tapet på 114 mill. kroner ikke inkluderer kostnadstap som følge av merarbeid på sykehusene. Det bokførte tapet på 114 mill. kroner er ikke belastet Sykehuset Innlandet, men tatt som et tap i regnskapet til Helse Sør-Øst RHF.

Opprinnelig skulle pilotprosjektet ved Sykehuset Innlandet danne grunnlaget for etableringen av regional radiologiløsning. Øvrige helseforetak skulle være med å dekke deler av kostnadene i henhold til en omforent fordelingsnøkkel. Tapsføringen er en konsekvens av at det regionale prosjektet ble stoppet, og at løsningen ikke vil bli innført i de øvrige helseforetakene i regionen, bortsett fra Vestre Viken som har RIS/PACS fra Carestream og Akershus universitetssykehus som har PACS fra Carestream. Det har altså ikke vært meningen å belaste Sykehuset Innlandet med disse kostnadene.

Sykehuset Innlandet er kompensert for deler av den merkostnaden helseforetaket hadde knyttet til innføring av løsningen. Kompensasjon er gitt både i form av engangskompensasjon på totalt 11 mill. kroner, og ved løpende frikjøp av ressurser som har bidratt inn i det regionale innføringsprosjektet. I tillegg har Sykehuset Innlandet blitt kompensert for merkostnader i driften på totalt 15 mill. kroner for 2017 og 2018.

Spørsmål 8. Da styret i Helse Sør-Øst i 2016 besluttet å inngå samarbeid med ekstern leverandør om moderniseringen av helseregionens IKT-infrastruktur, var departementet og statsråden informert om dette på forhånd, og var det kontakt mellom departementet/statsråden og styret i forkant av styremøtet om denne saken?

Svar:

Departementet var informert om arbeidet til Helse Sør-Øst RHF, inkludert om behovet for å få godkjent bruk av finansiell leasing i forbindelse med avtaleinngåelse.

Min styringsmessige befatning med saken om outsourcing av IKT-infrastrukturen i Helse Sør-Øst skjedde i foretaksmøtet 15. september 2016, Sak 3 IKT-infrastrukturmodernisering i Helse Sør-Øst – godkjenning av finansiell leasing jf. vedtektene §12 Låneopptak. Følgende beslutning fremgikk i protokollen fra dette foretaksmøtet:

"Styret i Helse Sør-Øst RHF behandlet i sak 069-2016 IKT-infrastrukturmodernisering i Helse Sør-Øst. Styret besluttet ved behandling av saken en modernisering av foretaksgruppens IKT-infrastruktur og at dette gjennomføres ved ekstern leverandør. Da deler av denne tjenesteavtalen kan bli kategorisert som finansiell leasing, ble saken oversendt til behandling i foretaksmøte.

Helse Sør-Øst RHF gjennomgikk saken.

Foretaksmøtet understrekte at avtalen om modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for en tilfredsstillende organisering av foretakets samlede virksomhet, jf. Lov om helseforetak § 28. Det tilligger derfor styret i Helse Sør-Øst RHF å fatte vedtak om at moderniseringen skal gjennomføres ved ekstern leverandør.

Foretaksmøtet viste til vedtektene § 12, sist endret 7. januar 2015, hvor det bl.a. heter:

"Helse Sør-Øst RHF gis anledning til å inngå finansielle leieavtaler med en kontraktsverdi på inntil 100 mill. kroner pr. avtale. Finansielle leieavtaler utover dette beløpet må forelegges foretaksmøtet."

Foretaksmøtet tok til etterretning at deler av tjenesteavtalen kan bli kategorisert som finansiell leasing og at beløpet kan overstige 100 mill. kroner.

Foretaksmøtet vedtok:

Foretaksmøtet godkjenner, ut fra sak 069-2016 med tilhørende vedtak i styret i Helse Sør-Øst RHF, at deler av tjenesteavtalen som omtales i saken kan innebære finansiell leasing og at beløpet kan overstige 100 mill. kroner".

I foretaksmøtet slo jeg altså fast at arbeidet med modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for en tilfredsstillende organisering av foretakets samlede virksomhet, jf. lov om helseforetak § 28. Videre at det tilligger styret i Helse Sør-Øst RHF å fatte vedtak om at moderniseringen skulle gjennomføres ved bruk av ekstern leverandør. Helse Sør-Øst RHF og helseforetakene har det samlede ansvaret for informasjonssikkerhet og håndtering av personsensitive data i regionen. Min beslutning i foretaksmøtet knyttet seg utelukkende til adgangen til å benytte finansiell leasing for deler av tjenesteavtalen.

Spørsmål 9. Styret i Helse Sør-Øst besluttet i juni 2018 at driften av IKT-infrastruktur ikke skulle settes ut til en ekstern aktør. Vil dette vedtaket og erfaringene fra Helse Sør-Øst hindre at liknende skjer i andre regionale foretak?

Svar:

I felles foretaksmøte med de regionale helseforetakene januar i år viste jeg til viktigheten av at de regionale helseforetakene samarbeider innen IKT-området og at regionene utveksler erfaringer og lærer av hverandre. Dette vil selvfølgelig også omfatte erfaringene fra Helse Sør-Øst med å sette driften av IKT-infrastruktur ut til en ekstern aktør.

I juni 2017 ga jeg Direktoratet for e-helse i oppdrag å utvikle en god og felles forståelse av hva som skal til for å ha en trygg og riktig bruk av både nasjonale og internasjonale leverandører. Direktoratet la frem rapport om dette arbeidet i desember 2017. I foretaksmøte i januar 2018 ba jeg de regionale helseforetakene om å legge anbefalingene i denne rapporten til grunn i sitt videre arbeid med informasjonssikkerhet.

Direktoratet for e-helse slår fast at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører. Det fremgår imidlertid av rapporten at det alltid må gjøres gode risikovurdereringer, det må foreligge databehandlingsavtaler og man må forsikre seg om at helseopplysninger håndteres på en trygg og sikker måte.

Spørsmål 10. Er samlet tap gjort kjent nå? Det vises i redegjørelsen til at dette vil bli lagt fram i forbindelse med regnskapsavleggelse for 2018.

Svar:

Helse Sør-Øst RHF har informert departementet om at det i regnskapet for 2017 er et bokført tap knyttet til avtalen med DXC på totalt 112 mill. kroner. Det er i forbindelse med regnskapet for 2018 gjennomført ytterligere nedskriving med 86 mill. kroner. Årsregnskapet for 2018 er ennå ikke avlagt, men vil bli behandlet i styret 25. april 2019.

Avslutningsoppgjøret med DXC omfatter kjøp av maskin- og programvarer for 141,4 mill. kroner, samt 10,2 mill. kroner til forhåndsbetalt vedlikehold og support av dette utstyret (lisenser). Disse beløpene er knyttet til utstyr som skal brukes og er derfor ikke å betrakte som et tap.

Utover dette er det betalt ca. 60 mill. kroner som kompensasjon til DXC for påløpte kostnader hos DXC og deres underleverandører.

Spørsmål 11. Statsråden uttaler at de overordnede krav for driften av spesialisthelsetjenesten er hans ansvar, men at de regionale IKT-prosjektene er en del av helseforetakenes ansvar for å yte forsvarlige helsetjenester til befolkningen. Mener statsråden at han og regjeringen ikke kunne ha gjort noe annerledes, og hvordan vil statsråden beskrive departementets ansvar for IKT i forhold til lov om nasjonal sikkerhet?

Svar:

Det følger av spesialisthelsetjenesteloven § 2-1 at staten har det overordnede ansvaret for at befolkningen gis nødvendig spesialisthelsetjeneste. Denne plikten oppfylles blant annet ved at staten ved departementet er eier av de regionale helseforetakene. De regionale helseforetakene har etter spesialisthelsetjenesteloven § 2-1 a ansvaret for å sørge for at personer med fast bopel eller oppholdssted innen helseregionen tilbys spesialisthelsetjeneste i og utenfor institusjon.

I Ot. prp. nr. 66 (2000-2001) uttales det følgende om rollefordelingen mellom eier og foretak:

"Eier har ikke noe direkte ansvar for den løpende driften av foretaket. Eierens rolle er å etablere foretaket, tilføre foretaket forsvarlig kapitalgrunnlag, fastsette vedtekter, andre rammer og mål for virksomheten og velge et styre som på vegne av eier skal forvalte foretaket. I tillegg ligger det i eierrollen å følge opp foretakenes drift og resultater i forhold til fastsatte krav og i nødvendig utstrekning iverksette korrektive tiltak. Det er foretaksledelsens ansvar å sørge for at de mål eier setter for virksomheten realiseres best mulig med grunnlag i de ressurser som er stilt til rådighet for foretaket." (Min understrekning).

Uttalelsen viser at den løpende driften ligger til helseforetakene å forvalte. Eier skal tilrettelegge for at helseforetakene kan oppfylle sitt sørge-for-ansvar, og kan gi overordnende føringer på hvordan driften skal gjennomføres. Det betyr imidlertid ikke at ikke eier kan gripe inn og fatte vedtak i foretaksmøte om enkeltsaker. I noen tilfeller er det krav til at beslutningene løftes til eier, jf. helseforetaksloven § 30 om saker av vesentlig betydning. I tilfeller hvor dette gjøres vil beslutningsgrunnlaget normalt være basert på det kunnskapsgrunnlaget som det underliggende helseforetak har utarbeidet. Det kan i den forbindelse vises til følgende uttalelse i Ot. prp. nr. 66 (2000-2001) som gjelder helseforetaksloven § 30 og saker av vesentlig betydning:

"Etter bestemmelsens annet ledd er ansvaret for å forelegge saker som angår helseforetak, lagt på det regionale helseforetaket som er eier av helseforetaket. Saken vil dermed bli behandlet i styret i regionalt helseforetak før saken kommer til foretaksmøtet." (Min understrekning)

Uttalelsen viser at det normale er at sakene utredes av underliggende helseforetak, og som dermed har ansvaret for å sikre et forsvarlig beslutningsgrunnlag.

I denne saken har jeg respektert denne lovregulerte ansvarsfordelingen, men samtidig har jeg også hatt en særlig oppfølging av disse sakene og gitt styringskrav både til Helse Sør-Øst RHF og de øvrige regionene i foretaksmøtene (jf omtale ovenfor). Jeg har også etablert tiltak på myndighetssiden i min statsrådsperiode. Direktoratet for e-helse ble opprettet 1. januar 2016 på bakgrunn av behovet for sterkere nasjonal styring og bedre organisering av IKT-feltet i helse- og omsorgssektoren. Departementet opprettet også en egen avdeling for e-helse i 2016.

I følge sikkerhetsloven har departementene, inkludert Helse- og omsorgsdepartementet, ansvar for det forebyggende sikkerhetsarbeidet innenfor sitt ansvarsområde, og skal identifisere og holde oversikt over hva som skal beskyttes etter loven. Det loven skal beskytte er skjermingsverdig verdier. En skjermingsverdig verdi kan være informasjon, informasjonssystem, infrastruktur eller objekt. Hvorvidt verdien er skjermingsverdig eller ikke, vurderes opp mot hvilken betydning verdien har for nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner, ref. svar på spørsmål 13.

Spørsmål 12. Helse Sør-Øst har ifølge redegjørelsen endret måten anskaffelser gjøres på, blant annet at det som hovedregel skal være en intern forhandlingsleder, og at det legges større vekt på erfaring med tidligere anskaffelser og å ivareta ulike behov i regionen. Har dette fått konsekvenser også i andre helseregioner, som Helse Midt-Norge og anskaffelsen for Helseplattformen?

Svar:

Helse Midt-Norge har nå avsluttet sin anskaffelse og kontrakt er signert (sjekkes opp mot når brevet sendes). I begge anskaffelsene knyttet til Helseplattformen (PAS/EPJ og IAM – identitets- og tilgangsstyring) besto forhandlingsteamet av både interne og eksterne ressurser.

Etter at kontrakt er signert, er det interne kontraktsforvaltere som tar hånd om kontrakten, og det blir hentet inn ekstern juridisk kompetanse ved behov. De interne kontraktsforvalterne ble koblet på forhandlingsprosessen relativt tidlig slik at de er godt kjent med premisser osv. når kontrakten nå er signert.

Når det gjelder Helse Nord og Helse Vest har de for tiden ingen store anskaffelser innen IKT-området på gang. Ved eventuelle fremtidige anskaffelser legger jeg til grunn at de vektlegger erfaringene fra Helse Sør-Øst, jf krav i foretaksmøtet i januar i år.

Spørsmål 13. Når vil arbeidet om departementers vurdering av om IKT-infrastruktur skal være definert som skjermingsverdig informasjon underlagt sikkerhetsloven, bli ferdigstilt?

Svar:

Den nye sikkerhetslovens virkeområde omfatter statlige, fylkeskommunale og kommunale organer, og omfatter således hele den offentlige helsetjenesten.

Formålet med den nye sikkerhetsloven er i likhet med dagens sikkerhetslov å trygge nasjonale sikkerhetsinteresser (NSI), og særlig landets suverenitet, territorielle integritet og demokratiske styreform. Den nye sikkerhetsloven er innrettet med sikte på å beskytte viktige samfunnsfunksjoner som understøtter disse interessene. Disse funksjonene er kalt grunnleggende nasjonale funksjoner (GNF). Med dette menes tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser (NSI).

I lys av ny sikkerhetslov med forskrifter arbeider alle sektorene med å identifisere grunnleggende nasjonale funksjoner (GNF), og virksomheter som kan ha vesentlig og avgjørende betydning for disse funksjonene. Helse- og omsorgsdepartementet vil gi oppdrag til etatene og foretakene om å kartlegge verdier (informasjon, informasjonssystemer, objekter og infrastruktur) som har vesentlig og avgjørende betydning for GNFene, samt foreta skadevurderinger av verdiene. På grunnlag av disse vurderingene skal de foreslå hvilke verdier de vurderer som skjermingsverdige. Departementet vil vurdere innspillene opp mot hvilken betydning de foreslåtte skjermingsverdige verdiene har for GNFet og deres evne til å understøtte de nasjonale sikkerhetsinteressene, jf. sikkerhetslovens § 1-5 a-e.

Departementet skal innenfor sitt ansvarsområde fatte vedtak om at loven helt eller delvis skal gjelde for virksomheter som (a) behandler sikkerhetsgradert informasjon, (b) råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner og (c) driver aktivitet som har avgjørende betydning for GNF, jf. sikkerhetsloven § 1-3. Departementet tar sikte på å ferdigstille arbeidet med å identifisere skjermingsverdige verdier i løpet av 2019.