Søk

Innhold

Del III Resultater av den årlige kontrollen

Sak 1: Tilgangskontroll med helseopplysninger i helseforetakene

Innledning

Opplysninger om helseforhold er definert som sensitive personopplysninger i lov om behandling av personopplysninger (personopplysningsloven). Det stilles i en rekke lover krav til helseforetakenes håndtering av taushetsbelagte helse- og personopplysninger. De samme kravene gjelder overfor eventuelle leverandører som gis tilgang til slike opplysninger.

Etter at lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) trådte i kraft 1. januar 2015, er det innført adgang til å gi tilgang til helseopplysninger mellom virksomheter. Helseopplysninger kunne tidligere kun gis til ansatte innen samme virksomhet. I tillegg er det vedtatt en ny personvernforordning i EU som stiller nye og strengere krav til bruken av personopplysninger av borgere i både EU- og EØS-landene. Dette vil kunne medføre nye og strengere krav i personopplysningsloven.

Riksrevisjonen har de siste årene gjennomført flere undersøkelser av helseforetakenes styring av tilgang til helseopplysninger, og disse har vist at det er svakheter ved informasjonssikkerheten i spesialisthelsetjenesten.

Riksrevisjonens undersøkelse av styring og kontroll av tilgang til helseopplysninger i elektroniske pasientjournaler i fire helseforetak, gjengitt i Dokument 3:2 (2014–2015), viste at gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger ikke var tilstrekkelig implementert, at ansatte hadde tilgang til helseopplysninger ut over tjenstlig behov, og at det ikke var noen systematisk kontroll og oppfølging av ansattes tilganger. Ved oppfølging av denne saken i Dokument 3:2 (2016–2017) viste departementet til at de regionale helseforetakene har rapportert at igangsatte tiltak i hovedsak forventes å være gjennomført innen utgangen av 2016 eller i løpet av 2017.

Riksrevisjonens undersøkelse om helseforetakenes beredskap innen IKT, vann og strøm (Dokument 3:2 (2014–2015)) viste at helseforetakene ikke hadde fulgt opp det ansvaret de har som eiere av data og som databehandleransvarlige. Helseforetakene overlot mye av beredskapsarbeidet for IKT til de regionale IT-enhetene, som er deres driftsleverandører og databehandlere. Dette medførte blant annet risiko for svekket informasjonssikkerhet.

I Dokument 3:2 (2015–2016) rapporterte Riksrevisjonen at helseforetakene ikke stilte tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr, og at de hadde mangelfull oppfølging av leverandører og mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr.

I behandlingen av Dokument 3:2 (2014–2015) uttalte Stortingets kontroll- og konstitusjonskomité at den ser alvorlig på at helseforetakene ikke har systematisk kontroll og oppfølging av de ansattes tilganger i systemer for elektronisk pasientjournal.

I behandlingen av Dokument 3:2 (2015–2016) uttalte komiteen at informasjonssikkerhet og personvern innen helsesektoren må tas på det største alvor hos alle som er involvert i ulike prosesser i helsevesenet.

I mai 2017 kom det fram at utenlandske IT-arbeidere har hatt tilgang til sensitive pasientdata i Helse Sør-Østs datasystemer. IT-arbeiderne hadde i en periode tilgang til å kopiere pasientjournaler og mulighet til å dele ut nye tilganger til andre eksterne personer. Helse Sør-Øst RHFs moderniseringsprogram for IKT-infrastrukturen ble som følge av dette stilt i bero. En slik modernisering er ifølge Helse Sør-Øst RHF nødvendig for å rette opp mangler ved informasjonssikkerheten, men foretaket har så langt ikke tatt stilling til hvordan eller om prosjektet skal føres videre. I juni 2017 kom det også fram at Oslo universitetssykehus HFs elektroniske pasientjournalsystem tillater at ansatte direkte kan styre egen tilgang til pasientjournaler.

Med bakgrunn i at Riksrevisjonen i flere tilfeller har tatt opp svakheter ved informasjonssikkerheten i helseforetakene, og at det fortsatt oppstår informasjonssikkerhetsbrudd, er saken lagt fram for Helse- og omsorgsdepartementet i brev av 3. juli 2017. Departementet har svart i brev av 18. august 2017.

Departementet opplyser at helseforetakenes styring og kontroll med tilgang til helseopplysninger, på bakgrunn av Riksrevisjonens rapport ble fulgt opp med eierkrav i foretaksmøtene med de regionale helseforetakene i januar 2015. Foretakene ble her pålagt å følge opp med tiltak for å lukke avvikene som ble påpekt av Riksrevisjonen.

De regionale helseforetakene har i møter i 2015 og 2016 presentert status for dette arbeidet for departementet. I møtet i august 2016 ble det besluttet å ha et nytt oppfølgingsmøte etter et år. Dette møtet ble avholdt i juli 2017.

Departementet viser til at de regionale helseforetakene har planlagt å utrede et felles nasjonalt prosjekt for å avdekke urettmessig tilgang til pasientjournaler. Denne utredningen har blitt utsatt og er foreløpig ikke påbegynt. Departementet vil følge dette videre opp i dialog med de regionale helseforetakene. Departementet opplyser at det er planlagt et nytt møte med de regionale helseforetakene høsten 2017 om arbeidet med å lukke avvikene ved tilganger.

De regionale helseforetakene har iverksatt eller planlagt en rekke løsninger i egen region for å oppnå kontroll med tilganger i datasystemer som håndterer pasientdata. Foretakene har rapportert at de fleste tiltakene vil bli utført eller ferdigstilt i perioden 2017–2019. Tilgangsstyringen i det elektroniske pasientjournalsystemet DIPS er ikke standardisert mellom de tre helseregionene som bruker dette systemet. I disse tre helseregionene benyttes det ulike former for tilgangsstyring. Departementet opplyser at det for Helse Sør-Øst RHF er etablert regionale prinsipper for tilgangsstyring i et felles arbeid i regionen. Ved innføring av teknisk løsning og regionale prinsipper for tilgangsstyring i det enkelte helseforetaket er det helseforetaket selv som må vurdere iverksettelse og justering i eget foretak.

Departementet viser til at det, i etterkant av at Helse Sør-Øst RHF i mai 2017 ga tilganger til ansatte i et eksternt selskap, har gitt et oppdrag til Direktoratet for e-helse om innen 1. november 2017 å undersøke helsesektorens håndtering av informasjonssikkerhet ved bruk av private underleverandører. Departementet opplyser videre at det blant annet på bakgrunn av denne undersøkelsen og rapportert status for de regionale helseforetakenes oppfølgingsarbeid vil vurdere om det er behov for ytterligere oppfølging av de regionale helseforetakene. Eventuelle tiltak og korrigeringer vil kunne skje i forbindelse med felles foretaksmøte i de regionale helseforetakene i januar 2018.

Riksrevisjonens merknader

Riksrevisjonen merker seg at departementet har fulgt opp avvik avdekket i Riksrevisjonens rapporter gjennom eierkrav i foretaksmøter og på egne oppfølgingsmøter med de regionale helseforetakene, men at det ikke er stilt krav om helhetlig og systematisk tilnærming til forvaltning av helseopplysninger.

Departementet vil vurdere behovet for ytterligere oppfølging, basert på statusrapportering fra helseforetakene og rapport fra Direktoratet for e-helse om foretakenes bruk av private leverandører. Riksrevisjonen merker seg samtidig at arbeidet har pågått over relativt lang tid og at flere tiltak har blitt utsatt, og at det er uvisst når de planlagte tiltakene vil være gjennomført og få effekt. Etter Riksrevisjonens vurdering er det uklart når de dokumenterte svakhetene ved informasjonssikkerhet vil være rettet opp.

Videre merker Riksrevisjonen seg at regionenes innsats er lite samordnet, og at det innad i enkelte regioner også ser ut til å være tilfeller av at helseforetak gjør egne vurderinger/tolkninger av krav til datasikkerhet. Brudd på personopplysningsloven er svært alvorlig for den enkelte og for omdømmet til helseforetakene. Utvidet adgang til å dele helseopplysninger mellom helseforetak vil, sammen med varslede endringer i ny personopplysningslov, i framtiden stille høyere krav til aktsomhet i håndtering av informasjonssikkerhet for virksomheter som skal forvalte helseopplysningsdata.

Riksrevisjonen mener at det på et så vesentlig område som helseopplysninger bør stilles nasjonale krav til løsninger for tilgangsstyring og tilgangskontroll.

Det er kritikkverdig at Helse- og omsorgsdepartementet etter påpekninger over flere år ennå ikke har sørget for at helseforetakene har fått kontroll med tilganger til helseopplysninger. Departementet har etter Riksrevisjonens vurdering et ansvar for aktivt å påse at det etableres helhetlige og systematiske løsninger for styring av tilgang til helseopplysninger. Dette vil kreve tettere oppfølging og mer vekt på samordning av løsninger enn det som har vært praktisert til nå.

Komiteens merknader

Komiteen mener at pasienter må være trygge på at deres helseopplysninger blir behandlet på en trygg måte og ikke havner i feil hender. Komiteen mener derfor det er svært alvorlig at det stadig kommer fram informasjon om manglende informasjonssikkerhet for pasienter i helsetjenestene. Komiteen viser til at Riksrevisjonen i flere tilfeller har tatt opp svakheter ved informasjonssikkerheten i helseforetakene. Likevel oppstår det fortsatt informasjonssikkerhetsbrudd. Det er bakgrunnen for at Riksrevisjonen sendte brev om dette til Helse- og omsorgsdepartementet 3. juli 2017. Departementet svarte i brev 18. august.

Komiteen er bekymret for om Helse- og omsorgsdepartementet og de regionale helseforetakene har nok oppmerksomhet inn i arbeidet med informasjonssikkerhet. Komiteen deler Riksrevisjonens vurdering av at arbeidet med informasjonssikkerhet har pågått over relativt lang tid og at flere tiltak har blitt utsatt, og at det er uvisst når planlagte tiltak vil være gjennomført og få effekt. Komiteen finner det urovekkende og sterkt kritikkverdig at det er uklart når de dokumenterte svakhetene ved informasjonssikkerheten vil være rettet opp. Komiteen ber Helse- og omsorgsdepartementet prioritere dette saksfeltet høyt framover. Komiteen mener at den senere tids utvikling på feltet understreker behovet for dette.

Sak 2: Eierstyring i AS Vinmonopolet

Innledning

AS Vinmonopolet er heleid av staten og organisert som et særlovsselskap etter lov om Aktieselskapet Vinmonopolet (vinmonopolloven). Ifølge loven skal Vinmonopolet ledes av et styre og ha en bedriftsforsamling som skal føre tilsyn med styrets og administrerende direktørs forvaltning av selskapet.

Av protokollen fra møte i Vinmonopolets bedriftsforsamling 2. desember 2014 går det fram at strukturen i eierstyringen i Vinmonopolet oppleves som uklar, og at det mangler en formell arena der eier møter selskapet. Det framgår videre at det er etablert en ulovfestet instruksjonspraksis som innebærer at selskapet må forholde seg til de ansatte i departementet. Bedriftsforsamlingen vedtok å be Helse- og omsorgsdepartementet om å opprette generalforsamling for Vinmonopolet og i tillegg foreta en generell modernisering av bestemmelsene om Vinmonopolets selskapsform og ledende organer.

Reglement for økonomistyring i staten slår i § 10 fast at staten skal forvalte sine eierinteresser i samsvar med overordnede prinsipper for god eierstyring. Staten skal blant annet legge vekt på at den valgte selskapsformen er hensiktsmessig i forhold til selskapets formål og eierskap, og at utøvelsen av eierskapet sikrer en klar fordeling av myndighet og ansvar. Ifølge statens prinsipper for god eierstyring skal eierbeslutninger og vedtak foregå på generalforsamling, jf. Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap. I sin innstilling understreket næringskomiteen at statens eierskapsutøvelse skjer gjennom vedtak i generalforsamling, og påpekte at det er viktig med en klar ansvarsdeling mellom eier og styre.

Ifølge stortingsmeldingen «Ei forvaltning for demokrati og fellesskap» skal staten unngå å bruke stiftelser og organisering i form av særlovsselskaper, med mindre det er særlige grunner til det. I den samme meldingen pekte regjeringen på at den ville vurdere bruken av ulike virkemidler som staten har til rådighet for å styre sektorselskaper. For å gjøre disse vurderingene nedsatte fornyings- og administrasjonsministeren i 2009 en tverrdepartemental arbeidsgruppe. På bakgrunn av gruppens arbeid utarbeidet Kommunal- og moderniseringsdepartementet høringsnotatet Sektorselskaper. I høringsnotatet går det fram at den generelle selskapslovgivningen bør benyttes som modell for eierstyringen også i selskaper med særlovorganisering. I høringsnotatet ble det beskrevet at dette blant annet innebærer at det gjennomføres generalforsamling eller foretaksmøte der den formelle eierstyringen utøves. Vinmonopolet er i dag det eneste statlige selskapet uten generalforsamling eller foretaksmøte. Det er vanskelig å se en saklig begrunnelse for dette.

Etter spørsmål fra Riksrevisjonen bekreftet Helse- og omsorgsdepartementet i brev av 3. august 2015 at de har mottatt Vinmonopolets forespørsel, og at det ville vurdere tiltak og sette opp en tidsplan for det videre arbeidet. Riksrevisjonen har i 2016 og 2017 fulgt opp med spørsmål om status og departementets planer for en eventuell revisjon av vinmonopolloven. I statsrådens beretning til Riksrevisjonen om forvaltningen av statens interesser i AS Vinmonopolet for 2016 svarer statsråden at departementet har satt i gang et arbeid med å vurdere behov for en eventuell endring av vinmonopolloven, men at det foreløpig ikke er fastsatt noen endelig tidsplan, da det ennå ikke er klart hvor komplisert eller omfattende gjennomgangen vil bli.

Riksrevisjonens merknader

Riksrevisjonen vil påpeke at det er et viktig prinsipp at den formelle eierstyringen skjer gjennom generalforsamling eller foretaksmøte, blant annet for å sikre en forutsigbar og dokumenterbar eierstyring. Etter Riksrevisjonens vurdering er departementets forvaltning av statens eierinteresser i Vinmonopolet ikke i tråd med prinsipper for god eierstyring. Det er uheldig at Vinmonopolet har opplevd eierstyringen som uklar, og at Helse- og omsorgsdepartementet etter snart tre år fortsatt ikke har kommet med en konkret tidsplan for en eventuell revisjon av vinmonopolloven. Riksrevisjonen mener det er viktig at departementet følger opp Vinmonopolets henvendelse om å foreta en generell modernisering av styringsstrukturen i selskapet, og at departementet fastsetter en konkret tidsplan for dette.

Komiteens merknader

Komiteen viser til at Riksrevisjonen finner eierstyringen i Vinmonopolet uklar, og at det mangler en formell arena der eier møter selskapet. Komiteen understreker at Vinmonopolet skal styres i tråd med statens prinsipper for god eierstyring, og at det er vanskelig å se begrunnelsen for at Vinmonopolet ikke skal ha generalforsamling eller foretaksmøte på linje med de andre statlige selskapene. Komiteen etterlyser også handling fra Helse- og omsorgsdepartementet etter at dette har blitt påpekt fra Riksrevisjonen siden august 2015. Komiteen ber regjeringen komme tilbake til Stortinget med forslag til en revisjon av vinmonopolloven for å sikre at Vinmonopolet styres i tråd med prinsippene for god eierstyring.