Presidenten: Etter
ønske fra helse- og omsorgskomiteen vil presidenten foreslå at taletiden
blir begrenset til 3 minutter til hver partigruppe og 3 minutter
til medlemmer av regjeringen.
Videre vil presidenten foreslå
at det – innenfor den fordelte taletid – blir gitt anledning til
replikkordskifte med inntil fem replikker med svar etter innlegg
fra medlemmer av regjeringen, og at de som måtte tegne seg på talerlisten
utover den fordelte taletid, får en taletid på inntil 3 minutter.
– Det anses vedtatt.
Torill Eidsheim (H) [] (ordførar for saka): I denne
saka er det sett fram tre ulike forslag, og alle er frå eit mindretal.
Arbeidarpartiet, Senterpartiet og SV stiller seg bak forslaga nr.
1 og 2, mens det berre er Senterpartiet og SV som stiller seg bak
forslag nr. 3.
For å sikre effektivisering av
det norske samfunnet er vi avhengige av å nytte digitaliseringa
fullt ut. Då må IKT-løysingar og digitale tenester vere tilstrekkeleg
sikre og pålitelege. Verksemder og privatpersonar må ha tillit til
at system og nettverk både fungerer slik dei skal, og vareta personvernet
til den enkelte.
God IKT-sikkerheit og evne til
å handtere uønskte digitale hendingar er ein føresetnad for at ein
skal kunne oppnå denne tilliten. Alle dei regionale helseføretaka har
eit overordna ansvar for å sikre pasientinformasjonen som dei forvaltar
og sjå til at systema er oppdaterte og blir utvikla på ein slik
måte at dei varetar behovet for ein trygg og effektiv IKT-infrastruktur.
Det er viktig at ein har tatt lærdom av uheldig informasjonshandtering. Helseføretaka
har hatt ulik tilnærming til korleis ein har løyst oppgåvene sine,
og det er heilt vesentleg at føretaka riggar ei sikker og god utvikling
av IKT-infrastrukturen sin, og at ein drar vekslar på erfaring og
god praksis i dei ulike føretaka. Likevel er det grunn til å understreke at
det er departementa som har det overordna ansvaret for førebyggjande
sikkerheitstenester i sin sektor.
Fleirtalet – med Kristeleg Folkeparti,
Venstre, Framstegspartiet og Høgre – ser at det er gjort ei rekke
tiltak og lovendringar i det siste som vil sikre eit forsvarleg
sikkerheitsnivå. Når den nye sikkerheitslova trår i kraft, vil alle
verksemder igjen gjennomføre nye risikovurderingar knytte til skjermingsverdig
informasjon og informasjonssystem, objekt eller kritisk infrastruktur
av avgjerande betyding for å støtte opp under grunnleggjande nasjonale
funksjonar. Vurderingar knytte til drift, forvalting og utvikling
heng tett saman, og det er verksemdene sjølve som melder inn desse
behova, og så er det opp til departementa å konkludere.
Ingvild Kjerkol (A) []: Arbeiderpartiets mål er at
pasienter ved norske sykehus skal være trygge på at behandlingen
kommer raskt i gang, og at tjenesten skal gis i et planlagt og uavbrutt
pasientforløp. Helsetjenestenes IKT-systemer er grunnleggende for
å oppnå disse målsettingene. Pasientinformasjonen må flyte på en
måte som sikrer god og riktig behandling og ivaretar datasikkerheten.
For trygg og sikker databehandling
er det tre ting som er ganske avgjørende. Det ene er selvfølgelig
konfidensialitet, at pasientdata ikke kommer på avveier eller havner
hos noen som ikke skal ha tilgang til dem. Det andre er integritet,
at ingen uvedkommende skal kunne bryte seg inn i systemene og ta
over styringen av dem. Det tredje er tilgjengelighet, nemlig at
pasientinformasjon blir tilgjengelig i alle deler av tjenesten som
har betydning for pasientens behandling og kvaliteten på den behandlingen
man får.
Dessverre har IKT-skandalen i Helse
Sør-Øst vist at dette ikke har vært godt nok ivaretatt. Uvedkommende har
kunnet få tilgang til sensitive pasientdata om 2,8 millioner nordmenn
som hører til i Helse Sør-Øst-området. Dermed har sensitiv pasientinformasjon
kunnet komme på avveier, og uvedkommende har kunnet kartlegge en
infrastruktur som kunne ha blitt brukt til sabotasje for å lamme
Norge.
Høyrepartiene i regjeringen må
ta lærdom av dette. Vi mener at framtidig outsourcing av utvikling
og drift av kritiske nasjonale IKT-tjenester og -system innenfor helsesektoren
må kvalitetssikres betydelig, og at argumentene for å løse disse
oppgavene i egenregi er de beste.
Den 8. januar 2018 ble Sykehuspartner,
som er et foretak under Helse Sør-Øst, varslet om at det pågikk unormal
aktivitet i datasystemene i regionen. Helseforetaket mistenkte at
profesjonelle sto bak, og PST og Kripos ble koblet inn i saken.
IKT-skandalen i Helse Sør-Øst har
vist at regjeringen ikke sikrer helseopplysningene til Norges befolkning godt
nok, og at dette utgjør en fare for rikets sikkerhet. At helseopplysningene
til halve Norges befolkning ikke har vært trygg, rokker ved tilliten
til helsetjenesten. Forsvarlig behandling av helseopplysninger er
en kjerneoppgave for vår felles helsetjeneste.
Jeg vil ta opp de mindretallsforslagene
i innstillingen som Arbeiderpartiet står inne i.
Presidenten: Da
har representanten Ingvild Kjerkol tatt opp de forslagene hun refererte
til.
Kjersti Toppe (Sp) []: IKT-skandalen i Helse Sør-Aust
førte til at uvedkomande har kunna få tilgang til sensitive pasientdata
om 2,8 millionar nordmenn. Vi må ta lærdom av dette og sikra at
grunnleggjande IKT-infrastruktur i helseføretaka må verta definert
som kritisk nasjonal infrastruktur som kjem inn under sikkerheitslova.
Dette forslaget burde ha vore unødvendig.
Vi synest det er beklageleg at både Høgre, Framstegspartiet, Venstre
og Kristeleg Folkeparti ikkje støttar oss i dette. Vi meiner òg
at outsourcing av utvikling og drift av kritisk nasjonal IKT-teneste
og -system i helsesektoren vert avslutta, og at nye avtalar ikkje
vert inngått. Høgre, Framstegspartiet, Venstre og Kristeleg Folkeparti
støttar oss heller ikkje i dette. Senterpartiet får berre støtte
av SV i innstillinga for forslaget om at informasjon knytt til nasjonale
sikkerheitsinteresser må verta drifta og lagra i Noreg.
Høgre, Framstegspartiet, Venstre
og Kristeleg Folkeparti argumenterer i innstillinga for at det er
så vanskeleg å få dette til, det er så vanskeleg å avgrensa det,
og at dette må grundig greiast ut før ein eventuelt kan konkludera.
Denne argumentasjonen held ikkje mål, i alle fall ikkje etter den
situasjonen vi har vore oppe i no i helsevesenet. Dei kan heller
ikkje visa til eitt einaste høyringssvar som byggjer opp under desse
påstandane. På høyringa i komiteen var det unison støtte til representantforslaget
frå fagmiljøa, Legeforeningen, Fagforbundet; NITO, EL og IT Forbundet
– som alle meiner at forslaget må gjennomførast.
I den nye sikkerheitslova er ansvaret
for å definera grunnleggjande nasjonale funksjonar lagt til fagdepartementa.
Det veit vi, men IKT-skandalen har vist at Helsedepartementet ikkje
har forstått dette ansvaret. I sikkerheitslova kapittel 6 vert det
gitt to alternative vilkår for at eit informasjonssystem skal kunna
sjåast på som skjermingsverdig: anten at systemet behandlar skjermingsverdig
informasjon, eller at systemet i seg sjølv har avgjerande betyding
for grunnleggjande nasjonale funksjonar. Begge desse vilkåra er
oppfylte når vi snakkar om grunnleggjande IKT-infrastruktur i helsevesenet.
Dette forslaget burde ha vore unødvendig,
men Helsedepartementet og regjeringa har ikkje forstått ansvaret.
Det er klart at sikkerheitsbrot
i datasystemet i helseføretaket utgjer ein vesentleg nasjonal sikkerheitsrisiko. Sjukehus
er viktig for å sikra grunnleggjande sikkerheit i Noreg, og grunnleggjande
IKT-system er avgjerande for at sjukehusa våre skal fungera. Difor
burde det ikkje vera tvil om at grunnleggjande IKT-infrastruktur
i helseføretaka kjem inn under krav i sikkerheitslova – og med det vil
eg ta opp forslag nr. 3, som Senterpartiet er med på.
Presidenten: Da
har representanten Kjersti Toppe tatt opp det forslaget hun refererte
til.
Sheida Sangtarash (SV) []: Jeg er bekymret. Jeg er
bekymret for folks tillit til helsevesenet. Jeg er bekymret for
at folk ikke tør å gi fra seg opplysninger i framtiden om egen helse
fordi de er redde for sitt personvern. Når man søker helsehjelp,
må man være trygg på at informasjonen man deler, blir tatt vare
på. Det er et politisk ansvar å sikre systemer og nettverk som både fungerer
og ivaretar folks personvern i helsevesenet.
Når lovverket og departementets
praksis ikke sikrer helseopplysninger til Norges befolkning, når
helseopplysningene til halve Norges befolkning ikke har vært trygge,
er vi i en alvorlig situasjon. Og det er helseministerens ansvar
å rydde opp.
Det er alvorlig når uvedkommende
har fått tilgang til sensitive pasientdata. Det er derfor vi mener
at Norge må sikre at grunnleggende IKT-infrastruktur i helsesektoren
må bli definert som kritisk nasjonal infrastruktur som kommer inn
under sikkerhetsloven. Det er derfor vi mener at outsourcing og
drift av kritiske nasjonale IKT-tjenester og -systemer i helsesektoren
må avsluttes, og det er derfor vi mener at informasjon knyttet til
nasjonale sikkerhetsinteresser må bli driftet og lagret i Norge. Eksperter
fra NITO, EL og IT Forbundet og Fagforbundet har levert høringssvar
og mener dette kan gjennomføres. Det er skuffende at regjeringspartiene
ikke vil være med på forslagene uten å kunne dokumentere hvorfor.
Statsråd Bent Høie []: Helse- og omsorgsdepartementet
vurderte i 2014 forholdet mellom sikkerhetsloven og de regionale
helseforetakene, helseforetakene og Norsk Helsenett SF. Nasjonal
sikkerhetsmyndighet, NSM, bisto i dette arbeidet, som konkluderte
med at disse virksomhetene er omfattet av sikkerhetsloven. Dette
omfatter da også grunnleggende IKT-infrastruktur i helseforetakene.
Ny sikkerhetslov, som Stortinget behandlet i februar og mars i år,
er forventet å tre i kraft 1. januar 2019. Den vil ha et utvidet virkeområde.
Et særlig viktig spørsmål i representantforslaget
er vurderingen av om hele eller deler av IKT-infrastrukturen i helseforetakene
er skjermingsverdig etter den nye loven. Dette forutsetter at IKT-infrastrukturen
er av betydning for å trygge Norges suverenitet, territorielle interesse
og demokratiske styreform og andre nasjonale sikkerhetsinteresser,
jf. § 1-1.
Etter den nye loven er ansvar for
slike vurderinger lagt til departementet, og det er etablert et
samarbeid med NSM, helseregionene, Norsk Helsenett, Helsedirektoratet,
Direktoratet for e-helse og Sykehusbygg. De skal identifisere grunnleggende
nasjonale funksjoner, identifisere virksomheter i sektoren som kan
ha skjermingsverdige verdier, identifisere mulige skjermingsverdige
verdier og vurdere og peke ut konkrete skjermingsverdige verdier.
Disse vurderingene og eventuelle behov for forebyggende sikkerhetstiltak
vil i seg selv kunne være sikkerhetsgradert informasjon.
Det er svært viktig at befolkningen
har tillit til helsetjenestenes håndtering av pasientopplysninger.
Dette var jeg tydelig på i min redegjørelse i Stortinget 30. januar
i år, om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst.
Jeg var også tydelig på at befolkningen skal ha tilgang til offentlig
finansierte helsetjenester av høy kvalitet. Det krever det fremste
innen teknologi og metoder, slik at helsepersonell kan arbeide effektivt,
levere helsetjenester på nye måter, behandle pasienter utenfor sykehus
og gi pasientene større kontroll over egen behandling og helse.
Mye av denne teknologiutviklingen skjer og tilbys internasjonalt.
Økt digitalisering stiller også
økte krav til arbeid med informasjonssikkerhet og personvern. Etter
gjeldende rett er det begrenset anledning til å avvise utenlandske
IKT-leverandører på generelt grunnlag, med den begrunnelsen at de
er etablert i eller vil levere tjenester for et annet land. Det
må gjennomføres konkrete vurderinger i hvert enkelt tilfelle, og
det ses på risikovurderinger og mulighet for å ivareta kravene til
sikkerhet. Dette bildet er i stadig endring, og det er helt nødvendig å
samarbeide tett med nasjonale myndigheter som arbeider med disse
spørsmålene for å gjøre gode, konkrete vurderinger.
Presidenten: Det
blir replikkordskifte.
Kjersti Toppe (Sp) []: Bakgrunnen for representantforslaget
var at statsråden under utgreiinga gjentatte gonger møtte oss med
at helseføretaka er lagde inn under tryggingslova, på spørsmål om
at vi meiner at IKT-systemet må inn under tryggingslova. Så kom
det etter kvart fram at sjølv om helseføretaka vart lagde inn under
tryggingslova, var ikkje departementet ferdig konkludert i spørsmålet
om IKT-infrastrukturen, heilt eller delvis, skulle inn under tryggingslova.
Dette er no eit ansvar som er lagt til departementet.
I brevet til komiteen står det
at det framleis vert vurdert, og eg ville spørja statsråden om kva
regjeringa og han som statsråd vil jobba for i denne saka. Vil han
jobba for, og synest han det er rimeleg, at IKT-infrastrukturen
kjem inn under tryggingslova?
Statsråd Bent Høie []: Jeg tror at representanten
her blander sammen to ulike forhold. IKT-infrastrukturen som er
en del av helseforetakene, er selvsagt underlagt sikkerhetsloven,
fordi helseforetakene også er underlagt sikkerhetsloven. Det som
jeg tror representanten er på jakt etter, er et svar på om deler
av eller hele IKT-infrastrukturen er skjermingsverdige objekter
etter sikkerhetsloven. Det er en vurdering som gjøres helt konkret.
Vurderingen knyttet til dette er nå et sentralt spørsmål med tanke
på den nye sikkerhetsloven som trer i kraft den 1. januar 2019,
og jeg redegjorde i mitt innlegg for de prosessene som er på gang
for å gjøre de konkrete vurderingene.
En del av de vurderingene kan også
være unntatt offentligheten, nettopp av hensyn til rikets sikkerhet,
men det er et vurderingsarbeid som nå pågår.
Kjersti Toppe (Sp) []: Eg har ikkje misforstått.
Det var sjølvsagt det siste som statsråden svarte på, som heile
tida har vore eit spørsmål: om IKT-infrastrukturen i helseføretaka
vil kunna vera tryggingsgradert informasjon som dermed må leggjast
inn under tryggingslova. Men eg høyrer at statsråden ikkje har eit spesielt
svar på det, ut frå hans eiga meining.
Men i tryggingslova kapittel 6
vert det angitt to alternative vilkår for at informasjon skal verta
sett på som skjermingsverdig: anten at systemet behandlar skjermingsverdig
informasjon, eller at systemet i seg sjølv har avgjerande betyding
for grunnleggjande nasjonale funksjonar. Meiner statsråden at den
grunnleggjande IKT-infrastrukturen i helsevesenet ikkje er eit system som
behandlar skjermingsverdig informasjon, og ikkje er eit system som
i seg sjølv er av avgjerande betyding for grunnleggjande nasjonale
funksjonar?
Statsråd Bent Høie []: Jeg må igjen, på bakgrunn
av det representanten sa, si at det høres ut for meg som om representanten
ikke skiller mellom hva som er omfattet av sikkerhetsloven, og hva
som er tiltakene under sikkerhetsloven. IKT-infrastrukturen i helseforetakene
er omfattet av sikkerhetsloven, slik at det ikke må være noen tvil
om det.
Til spørsmålet som representanten
stiller, og som jeg også opplevde at representanten i sitt innlegg
var skråsikker på – og jeg er for så vidt imponert hvis en kan være
det nå: Der foregår det et betydelig arbeid der bl.a. Nasjonal sikkerhetsmyndighet
er inne på rådgiversiden. Formålet er nettopp å identifisere om
det er informasjon, informasjonssystemer, objekter eller kritisk
infrastruktur som kan ha avgjørende betydning for å understøtte
grunnleggende nasjonale funksjoner. Det skal i tillegg gjennomføres
en verdi- og skadevurdering ved helt eller delvis bortfall av disse
funksjonene. På bakgrunn av det skal departementet konkludere.
Kjersti Toppe (Sp) []: Eg må berre spørja opp att,
for eg har ikkje fått svar på spørsmålet mitt. I tryggingslova kapittel 6
vert det gitt to alternative vilkår for at eit informasjonssystem
skal verta sett som skjermingsverdig: anten at systemet behandlar
skjermingsverdig informasjon, eller at systemet i seg sjølv har
avgjerande betyding for grunnleggjande nasjonale funksjonar. Meiner
statsråden at grunnleggjande IKT-system i helsevesenet ikkje skal
falla inn under desse to vilkåra, sidan statsråden er usikker på
om ein skal definera grunnleggjande IKT inn under tryggingslova
som skjermingsverdig informasjon?
Statsråd Bent Høie []: Som jeg har sagt flere ganger:
Vurderingen av dette arbeidet foregår nå som en forberedelse til
innføring av den nye sikkerhetsloven til neste år, der Stortinget
nettopp har lagt vekt på at IKT-infrastruktur har fått det som en
på en folkelig måte kan kalle høyere verdi, i forbindelse med disse vurderingene.
Dette er ingen enkle vurderinger.
Derfor er det satt i gang et omfattende arbeid på det, og på bakgrunn
av de rådene vi får og den gjennomgangen man har, vil selvfølgelig
departementet som nå er ansvarlig for å trekke disse konklusjonene,
gjøre det. Men det er ikke slik at dette arbeidet er ferdigstilt,
slik at jeg kan svare på representantens forslag. Det er også en
for generell beskrivelse av infrastrukturen som representanten gjør,
til at det er mulig å svare på det.
Presidenten: Replikkordskiftet
er omme.
De talerne som heretter får ordet,
har også en taletid på inntil 3 minutter.
Torill Eidsheim (H) []: Helse- og omsorgssektoren
er avhengig av internasjonale leverandørar innan IKT-området. Det
verkar ikkje fornuftig å innrette systemet vårt slik at det etter
gjeldande reglar blir krav til at norske verksemder ikkje kan nytte
internasjonale eller utanlandske IKT-leverandørar frå EU/EØS-området.
Eg har lyst til å nemne at sikkerheitsloven
introduserer bruk av objektsikring som metode. Denne metoden har
utgangspunkt i sikring av fysiske objekt. IKT-infrastruktur omfattar
for så vidt store mengder fysiske objekt, men risiko og sårbarheit
er som oftast knytt til drift og forvaltning av dei logiske objekta.
Det er ikkje lett å sjå at ei tilnærming basert på objektsikring
vil tilføre noko nytt til dagens arbeid med IKT-sikkerheit. Det
er meir sannsynleg at ei komplett etablering av gjeldande anbefalte
tiltak frå Nasjonal sikkerheitsmyndigheit for IKT-sikkerheit vil
ha vesentleg betre effekt på sikkerheitsnivået for helseføretaka.
Det er i tillegg stor fare for
at bruk av sikkerheitsloven for IKT-infrastruktur kanskje kan kome
til å hindre eit effektivt samarbeid med dei internasjonale leverandørane
i beredskapssituasjonar, der nettopp tett samarbeid med desse er
heilt avgjerande for å redusere konsekvensane av driftsproblema.
Nettopp difor er dette samarbeidet for å kome fram til konklusjonane
om kva som skal definerast inn og ut, heilt vesentleg.
Teknologiske løysingar utviklar
seg raskt, og blokkjeder er eitt eksempel på teknologi som kan vise
seg å løyse utfordringar knytte til sikker lagring. Kopiar av blokkjeder
blir som kjent lagra på mange ulike maskiner, og i opne blokkjeder
veit ein ikkje i kva land kopiane er lagra. Eit krav til drift og
lagring i Noreg, i samsvar med det forslagsstillarane her foreslår,
meiner eg vil heilt utilsikta kunne hindre positiv utvikling av
sikker lagring.
Presidenten: Flere
har ikke bedt om ordet til sak nr. 12.