Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Elise Bjørnebekk-Waagen, Tore Hagebakken, Ingvild Kjerkol, Tuva Moflag og Tellef Inge Mørland, fra Høyre, Torill Eidsheim, Astrid Nøklebye Heiberg, Erlend Larsen og Sveinung Stensland, fra Fremskrittspartiet, Bård Hoksrud og Sylvi Listhaug, fra Senterpartiet, Hans Inge Myrvold, fra Sosialistisk Venstreparti, Sheida Sangtarash, fra Venstre, Carl-Erik Grimstad, og fra Kristelig Folkeparti, lederen Olaug V. Bollestad, ser at forslagsstillerne her peker på Helse Sør-Østs håndtering av IKT-infrastrukturen. Komiteen viser til at alle de regionale helseforetakene har et overordnet ansvar for å sikre pasientinformasjonen de forvalter, og se til at systemene er oppdatert og blir utviklet på en slik måte at de ivaretar behovet for en trygg og effektiv IKT-infrastruktur. Det er viktig at man har tatt lærdom av uheldig informasjonshåndtering og sikrer at helseforetakene vil rigge en sikker og god utvikling av sin IKT-infrastruktur.

Komiteen ønsker å understreke at for å sikre effektivisering gjennom økt digitalisering av det norske samfunnet må IKT-løsninger og digitale tjenester være tilstrekkelig sikre og pålitelige. Virksomheter og privatpersoner må ha tillit til at systemer og nettverk både fungerer slik de skal, og ivaretar personvernet til den enkelte. God IKT-sikkerhet og evne til å håndtere uønskede digitale hendelser er en forutsetning for å oppnå denne tilliten.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Sosialistisk Venstreparti, Venstre og Kristelig Folkeparti, viser til at en vesentlig oppgave for regjeringen er å sikre en bærekraftig helsetjeneste. Det krever at man legger forholdene til rette for å ta i bruk de fremste metoder og benytte den teknologiutviklingen som skjer. Da må vi forholde oss til at mye av dette skjer og tilbys internasjonalt.

Et annet flertall, medlemmene fra Høyre, Fremskrittspartiet, Venstre og Kristelig Folkeparti, ser det slik at en avgrensning av drift, som forslagsstillerne her viser til, kan synes svært vanskelig. Foretakene har i dag ansvaret for å drifte, forvalte og utvikle IKT-infrastrukturen. Helsesektoren er i tillegg gjennomgående avhengig av internasjonal teknologi, både for maskinvare, basis programvare og systemer. Dette flertallet vil peke på at det kan synes vanskelig å overskue alle de ulike konsekvenser av et vedtak i tråd med dette representantforslaget. Dette flertallet vil understreke at eventuelle avgrensninger og endringer i lovverket for IKT-infrastrukturen i helseforetakene må utredes grundig før det kan konkluderes om det vil kunne bidra til ønsket utvikling av et moderne og sikkert helsevesen.

Komiteens medlemmer fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti viser til at IKT-skandalen i Helse Sør-Øst har vist at lovverk og departementets praksis ikke sikrer helseopplysningene til Norges befolkning godt nok, og at dette utgjør en fare for rikets sikkerhet. Disse medlemmer vil understreke at det ikke bare er helseforetakene som må ta lærdom, men også helseforetakenes eier, staten. Disse medlemmer viser til at den øverste ansvarlige for sikker forvaltning av nordmenns helseopplysninger er regjeringen ved helseministeren.

Disse medlemmer viser til at outsourcingen som ble gjennomført i Helse Sør-Øst av grunnleggende IKT-infrastruktur, ble gjort uten at statsråden som øverste ansvarlige eller andre involverte klart kunne redegjøre for hva som faktisk ble outsourcet (jf. bl.a. interpellasjonsdebatt i Stortinget 30. januar 2018). Dette er alvorlig. Resultatet av outsourcingen var et grovt tillitsbrudd overfor befolkningen med pasientinformasjon til 2,8 millioner personer på avveie. Helse Sør-Øst har måttet betale minst 280 mill. kroner til selskapet de hadde inngått kontrakt med, etter at prosjektet ble satt på vent. Kostnadene knyttet til hele prosessen er langt høyere og sluttsummen ikke klar på lenge enda. Dette er høye summer som må dekkes over offentlige budsjetter og kan gå ut over annen sykehusdrift. Disse medlemmer mener alvoret i denne situasjonen tilsier at det må komme endringer i hvordan vi forvalter grunnleggende IKT-infrastruktur i helseforetakene, og befolkningen må kunne være trygg på at deres pasientinformasjon er ivaretatt på beste måte. Derfor må IKT-infrastruktur inn under krav i sikkerhetsloven, systemer knyttet til nasjonale sikkerhetsinteresser må driftes og lagres i Norge, og outsourcing av utvikling og drift av kritiske nasjonale IKT-tjenester og system i helsesektoren må avsluttes og nye avtaler ikke inngås.

Disse medlemmer mener det er spesielt at flertallet i Stortingets behandling av denne alvorlige saken skriver at avgrensningen av drift «kan synes svært vanskelig» uten én eneste kilde, ett eneste støttende høringssvar eller andre fakta. Eksperter fra NITO, El- og IT-forbundet, Fagforbundet og Legeforeningen har levert høringssvar og er uenige med flertallet og mener forslaget kan gjennomføres.

Sikkerhetsloven og grunnleggende IKT-infrastruktur

Komiteen viser til forslag 1 i representantforslaget, om å be regjeringen definere IKT-infrastrukturen inn under krav i sikkerhetsloven om skjermingsverdig informasjon.

Komiteen viser til statsrådens redegjørelse 30. januar 2018 om IKT-saken i Helse Sør-Øst, der det ble understreket at Helse- og omsorgsdepartementet etter sikkerhetsloven har ansvaret for forebyggende sikkerhet i helse- og omsorgssektoren. Departementet gjennomførte i 2014 en vurdering av sikkerhetslovens anvendelse for de regionale helseforetakene, helseforetakene og Norsk Helsenett SF. NSM bistod med råd og veiledning i denne vurderingen. Konklusjonen var at departementet anså at de regionale helseforetakene, helseforetakene og Norsk Helsenett SF var omfattet av sikkerhetsloven, jf. sikkerhetsloven § 2 første ledd. Dette innebærer at virksomhetene er omfattet av sikkerhetsloven med tilhørende forskrifter. Virksomhetene fikk ansvaret for å iverksette og utøve forebyggende sikkerhetstjeneste fra desember 2014.

Komiteen merker seg at vurderinger av forvaltning og drift av IKT-infrastrukturen i helseforetakene i dag gjøres innenfor rammen av sikkerhetsloven. I vurderingen av om hele eller deler av IKT-infrastrukturen er skjermingsverdig, er det avgjørende om det kan skade grunnleggende nasjonale funksjoner om funksjonen får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

Komiteen viser også til at vurderingen av sikkerhetsnivå og behov for forebyggende sikkerhetstiltak knyttet til IKT-infrastrukturen i helseforetakene vil kunne falle inn under krav i sikkerhetsloven om skjermingsverdig informasjon og vil således kunne være gradert informasjon. Dette er vurderinger som de regionale helseforetakene, helseforetakene og Helse- og omsorgsdepartementet arbeider med i samarbeid med NSM, Norsk Helsenett SF, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg HF.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre viser til at først når dette er klart, vil det være naturlig å vurdere organiseringen.

Disse medlemmer ønsker, i tillegg til komiteens høring i denne saken, også å vise til Meld. St. 38 (2016–2017) om IKT-sikkerhet og de instanser som deltok på høringen der. I denne meldingen understreker regjeringen også viktigheten av å styrke IKT-sikkerhetskompetansen i Norge samt arbeide for at kompetansebehovene for IKT-sikkerhet i samfunnet og næringslivet blir ivaretatt. Dette er det også pekt på i Lysneutvalgets utredning, i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og i Meld. St. 27 (2015–2016) Digital agenda for Norge. Regjeringen har de siste årene lagt til rette for bedre utdanningskapasitet og økt forskning på IKT-sikkerhet. Beskyttelse av kritisk IKT-infrastruktur er sentralt i arbeidet regjeringen gjør når det gjelder IKT-sikkerhet, og en del av dette arbeidet skjer på internasjonale arenaer.

Disse medlemmer viser til at en solid IKT-infrastruktur må sørge for stabil og tilstrekkelig tilgang til nettverk, support, utstyr, programvare og tjenester av god kvalitet, samtidig som hensyn til personvern og sikkerhet ivaretas. Disse medlemmer merker seg videre at Helse- og omsorgsdepartementet på bakgrunn av konklusjonene i pågående samarbeid mellom Nasjonal sikkerhetsmyndighet, de regionale helseforetakene, Norsk Helsenett SF, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg HF, vil utpeke, klassifisere og holde oversikt over skjermingsverdig informasjon, informasjonssystem, objekter og kritisk infrastruktur innen sitt myndighetsområde, jf. ny sikkerhetslov § 17.

Komiteens medlemmer fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti viser til høringssvarene fra Fagforbundet, El- og IT-forbundet, NITO og Den norske legeforening, som alle støtter at grunnleggende IKT i helseforetakene bør defineres inn under sikkerhetsloven for slik å sikre pasientene bedre.

Disse medlemmer viser til sikkerhetsloven kapittel 6 og § 6-1. § 6-1 første ledd gir to alternative vilkår for at et informasjonssystem skal anses som skjermingsverdig:

  1. Systemet behandler «skjermingsverdig informasjon» jamfør § 5-1

  2. Systemet har i seg selv avgjørende betydning for «grunnleggende nasjonale funksjoner» jamfør § 6-1

Disse medlemmer mener begge vilkårene er oppfylt.

Disse medlemmer viser til cyber-angrepet Wanna Decryptor eller Wanna Cry, som blant annet rammet sykehus i Storbritannia. Mangel på riktig pasientdata kan føre til feil behandling, manglende behandling eller overbehandling. Når sykehus mistet tilgang til viktige pasientdata, måtte flere sykehus derfor stenge driften til de fikk kontroll på situasjonen. Feil og mangler i IKT-sikkerheten kan koste liv.

Disse medlemmer viser til at sikkerhetsbrudd i datasystemene i helseforetakene utgjør en vesentlig nasjonal sikkerhetsrisiko. I en beredskapssituasjon vil et lammet helsevesen føre til lidelse og død. Fordi helsevesenet opererer med løpende akuttsituasjoner, vil sikkerhetsbrudd i helsevesenet også kunne føre til lidelse og død i ellers normale situasjoner.

Disse medlemmer viser til at sykehus er viktige for å sikre grunnleggende sikkerhet i Norge gjennom helsehjelpen de gir. De utfører avgjørende nasjonale funksjoner. De grunnleggende datasystemene er nødvendige for at sykehusene skal fungere. Informasjonen er skjermingsverdig fordi sikkerhetsbrister kan lamme hele helsevesenet, og informasjonen er i seg selv svært sensitiv. Dermed er det nødvendig å definere IKT-infrastrukturen i helseforetakene inn under krav i sikkerhetsloven som skjermingsverdig informasjon.

Disse medlemmer fremmer på denne bakgrunn følgende forslag:

«Stortinget ber regjeringen definere grunnleggende IKT-infrastruktur i helseforetakene inn under krav i sikkerhetsloven om skjermingsverdig informasjon.»

Drift, utvikling og forvaltning

Komiteen mener alle pasienter skal være trygge på at deres sensitive personopplysninger ikke kommer på avveie, og at uvedkommende personer ikke får tilgang til opplysningene.

Komiteen viser til forslag 2 og 3 i representantforslaget om:

  • å be regjeringen sikre at outsourcing av utvikling og drift av kritiske nasjonale IKT-tjenester og system i helsesektoren avsluttes og at nye avtaler ikke inngås.

  • å be regjeringen sikre at informasjon knyttet til nasjonale sikkerhetsinteresser blir driftet og lagret i Norge.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre viser til at utfordringene i det digitale rommet er grenseoverskridende – på tvers av land, sektorer og virksomheter – og at utviklingen går svært fort. Disse medlemmer ser svært positivt på at helseministeren har satt i gang en utredning med mål om å få en omforent forståelse av hva som skal til for å ha en trygg og riktig bruk av både nasjonale og internasjonale leverandører i helsetjenesten. Direktoratet for e-helse har levert sine anbefalinger til departementet (30. november 2017). Rapporten bekrefter at helse- og omsorgssektoren er avhengig av internasjonale leverandører innen IKT-området, og at det ikke er grunnlag for å konkludere med at det er tjenester som aldri vil kunne overlates til eksterne leverandører. Disse medlemmer vil understreke at det ikke trenger å være et motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Trygg outsourcing krever god bestillerkompetanse, høy lederoppmerksomhet og at virksomheten gjennomfører grundige risiko- og sårbarhetsvurderinger i hvert enkelt tilfelle ved eventuell utflytting av slike tjenester. Videre skal det innføres kontrollmekanismer som reduserer risiko til et akseptabelt nivå. Rutiner for krav og kontroll må utformes på bakgrunn av grundige risikovurderinger av de konkrete løsningene. Det må stilles krav til at leverandørene kan dokumentere at de vil oppfylle sikkerhetskravene, ved å beskrive nødvendige tiltak i sine tilbud og fremlegge sikkerhetsdokumentasjon. Leverandører som ikke oppfyller kravene, kan ikke tildeles kontrakt. I denne vurderingen kan eventuelle forhold i det landet tjenesten leveres fra, tas i betraktning. Disse medlemmer ser også at det i rapporten fra Nasjonal sikkerhetsmyndighet (NSM), Helhetlig IKT-risikobilde 2017, fremkommer at tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet, mer stabile og tilgjengelige tjenester og lavere og mer forutsigbare kostnader.

Komiteens medlemmer fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti viser til sikkerhetsbruddet i Helse Sør-Øst, der privatisering gjennom outsourcing av grunnleggende datasystemer første til at personer som ikke skulle ha tilgang, fikk tilgang til sensitive persondata. Utenlandske ansatte i kommersielle firmaer i Bulgaria, Malaysia og India fikk tilgang til pasientjournaler til 2,8 millioner nordmenn.

Disse medlemmer viser til høringen der Fagforbundet, NITO og El- og IT-forbundet opplyste at situasjonen der uvedkommende fikk tilgang til sensitive pasientdata, var en direkte konsekvens av outsourcingen. Det ble opplyst at outsourcing av grunnleggende pasientdata med dagens teknologi nødvendigvis fører til at uvedkommende får tilgang, fordi kontroll og vedlikehold av grunnsystemer gir tilgang til hele systemet og dermed også til pasientdata. Disse medlemmer viser til at samtlige på høringen blant annet på denne bakgrunn støtter representantforslaget.

Disse medlemmer viser til høringssvaret fra El- og IT-forbundet, som viser til at sikkerhetsbruddene i Helse Sør-Øst, Nødnett og Statoil har en viktig fellesnevner. IKT skulle outsources, og det ble gitt garantier om sikkerhet som det i ettertid viste seg var umulig å overholde.

Disse medlemmer viser til at helseforetakene driver i et evighetsperspektiv. Større investeringskostnader for egen drift er dermed mer økonomisk bærekraftige i et offentlig helsevesen. Outsourcing av grunnleggende systemer skaper en uholdbar konkurransesituasjon som helseforetakene taper på over tid. Når den private kontrakten kommer opp til mulig fornyelse, er trolig mange andre datasystemer avhengige av det spesifikke grunndatasystemet. Den kommersielle tilbyderen kan dermed ta mer betalt, fordi kostnadene ved et bytte kan bli høye for helseforetaket fordi grunndatasystemet påvirker mange andre datasystemer.

Disse medlemmer fremmer følgende forslag:

«Stortinget ber regjeringen sikre at outsourcing og drift av kritiske nasjonale IKT-tjenester og -systemer i helsesektoren avsluttes, og at nye avtaler ikke kan inngås.»

Disse medlemmer mener internasjonalt samarbeid er viktig for utvikling av IKT-systemer til bruk i helsevesenet. Disse medlemmer mener Norge fortsatt skal kjøpe IKT-tjenester for eksempel til drift av kliniske systemer som MR-maskiner og CT-skannere. Om klinisk utstyr i helseforetakene legges inn under sikkerhetsloven, vil det medføre at personell fra eksterne leverandører må sikkerhetsklarereres og trolig få kun tidsbegrenset adgang til systemene. Eksterne aktører vil få tilgang til en dedikert server uten å ha tilgang til store mengder opplysninger. Dette vil skje i nært samarbeid med offentlig IKT-personell og relevante myndigheter. Begrenset vedlikehold av dedikerte tjenester som MR, hjerte- og lungeutstyr og øyeutstyr vil kunne gjennomføres av eksterne aktører når dette er nødvendig.

Dette vedlikeholdet vil gjerne skje i samarbeid mellom internt og eksternt personale. Formålet med slik involvering av eksterne aktører vil ofte være kompetanseoverføring til internt personale. Helseforetakene vil kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge, avdekke og motvirke hendelser, jf. ny sikkerhetslov § 6-4. Hendelser som er relevante for sikkerhetsarbeidet, skal registreres. Disse medlemmer mener på denne bakgrunn det vil være uproblematisk å legge systemer med klinisk utstyr og andre lignende systemer inn under sikkerhetslovens bestemmelser. Det vil fortsatt være mulig å outsource slike systemer til internasjonale selskaper. Fordi driften av grunnleggende IKT-infrastruktur har andre utfordringer enn kliniske systemer, er effektene av å underlegge dem sikkerhetsloven forskjellige.

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti viser til at norske lover gjelder i Norge. IKT-systemer som driftes fra India eller Kina, er underlagt lovene i landet de opererer fra. Helseforetak kan kontraktsfeste sikkerhetskrav ut over landenes egne krav gjennom lovverk, men som vi allerede har sett i Helse Sør-Øst-saken, blir lovnader om sikkerhet brutt, og selv da ønsker ikke alle å annullere avtalen. Disse medlemmer viser til høringssvaret fra Fagforbundet, der forbundet skriver at

«den reelle kontrollen over informasjonssystemene vil være betraktelig mindre dersom de ligger i utlandet. Den fysiske tilgjengeligheten til systemet vil være mindre dersom de ligger i utlandet. Videre vil informasjonen måtte sendes gjennom et eget nett, dersom ikke en fremmed makt skal kunne fange opp informasjonen via samtrafikkpunkter».

Disse medlemmer viser til høringssvaret fra NITO, der de skriver at norske myndigheter har bedre kontroll med at selskaper (som eventuelt vinner et anbud for drift av IKT-systemer) følger norske lover og regler om selskapene befinner seg i Norge.

Disse medlemmer mener på denne bakgrunn det er viktig å sikre at informasjon knyttet til nasjonale sikkerhetsinteresser blir driftet og lagret i Norge.

Disse medlemmer fremmer følgende forslag:

«Stortinget ber regjeringen sikre at informasjon knyttet til nasjonale sikkerhetsinteresser blir driftet og lagret i Norge.»

Forrige kapittel
Neste kapittel