Jeg viser til brev fra helse- og omsorgskomiteen av 17. april 2018, vedlagt dokument 8:197 S (2017-2018). Helse- og omsorgskomiteen ber om min uttalelse på representantforslaget fra stortingsrepresentantene Kjersti Toppe, Emilie Enger Mehl, Per Olaf Lundteigen, Nicholas Wilkinson, Torgeir Knag Fylkesnes og Mona Fagerås om å be regjeringen definere grunnleggende IKT-infrastruktur i helseforetakene inn under sikkerhetsloven.

Ny sikkerhetslov, som ble behandlet i Stortinget i februar og mars i år, er forventet å tre i kraft 1. januar 2019. Den nye sikkerhetsloven har et utvidet virkeområde særlig knyttet til grunnleggende nasjonale funksjoner, og de virksomheter som har vesentlig betydning for disse funksjonene.

Det som er særlig relevant i spørsmålene i representantforslaget er å sikre et forsvarlig sikkerhetsnivå for skjermingsverdig informasjon, samt skjermingsverdige informasjonssystemer, objekter og infrastruktur når dette har betydning for nasjonale sikkerhetsinteresser, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.

Det er departementene som har det overordnede ansvaret for forebyggende sikkerhetstjeneste i sin sektor, jf. sikkerhetsloven § 4. Det er imidlertid viktig å peke på at dette ikke begrenser den enkelte virksomhets ansvar og plikter etter bestemmelsene i eller i medhold av denne loven. Videre har departementene ansvaret for å utpeke skjermingsverdige objekter innen sitt myndighetsområde, jf. sikkerhetsloven § 17.

Når ny sikkerhetslov trer i kraft, må virksomheter som har råderett over informasjon, informasjonssystemer, objekter eller kritisk infrastruktur av avgjørende betydning for understøttelsen av grunnleggende nasjonale funksjoner, gjennomføre nye risikovurderinger.

Forslag 1:

Stortinget ber regjeringen definere grunnleggende IKT-infrastruktur i helseforetakene inn under krav i sikkerhetsloven om skjermingsverdig informasjon.

Svar:

Helse- og omsorgsdepartementet har etter sikkerhetsloven ansvaret for forebyggende sikkerhet i helse- og omsorgssektoren. Departementet gjennomførte i 2014 en vurdering av sikkerhetslovens anvendelse for de regionale helseforetakene, helseforetakene og Norsk Helsenett SF. Nasjonal sikkerhetsmyndighet (NSM) bistod med råd og veiledning i denne vurderingen. Konklusjonen var at departementet anså de regionale helseforetakene, helseforetakene og Norsk Helsenett SF å være omfattet av sikkerhetsloven, jf. sikkerhetsloven § 2 første ledd. Dette innebærer at virksomhetene er omfattet av sikkerhetsloven med tilhørende forskrifter. Virksomhetene fikk ansvaret for å iverksette og utøve forebyggende sikkerhetstjeneste fra desember 2014.

Vurderinger av forvaltning og drift av IKT-infrastrukturen i helseforetakene gjøres i dag innenfor rammen av sikkerhetsloven. I vurderingen av om hele eller deler av IKT-infrastrukturen er skjermingsverdig, er det avgjørende om det kan skade grunnleggende nasjonale funksjoner om funksjonen får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

Utvelgelse av skjermingsverdige objekter skal skje på grunnlag av verdi- skadevurdering, hvor det innenfor lovens formål særlig tas hensyn til objektets:

1. betydning for sikkerhetspolitisk krisehåndtering og forsvar av riket,

2. b) betydning for kritiske funksjoner for det sivile samfunn,

3. c) symbolverdi, og

4. d) mulighet for å utgjøre en fare for miljøet eller befolkningens liv og helse.

Helseforetakene og de regionale helseforetakene plikter å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i eller i medhold av sikkerhetsloven, jf. sikkerhetsloven § 5. Videre pålegger loven de som er objekteiere en plikt til å foreslå hvilke objekter som er skjermingsverdige overfor departementet. Etter loven § 17 er det i sin tur departementet som har ansvaret for å utpeke skjermingsverdige objekter innen sitt myndighetsområde.

I felles foretaksmøte i de regionale helseforetakene i januar 2018 stilte jeg krav om at det skal gjennomføres tiltak som gjør at de regionale helseforetakene og helseforetakene i regionen er forberedt når ny sikkerhetslov trer i kraft. I tillegg har departementet tatt initiativ til et samarbeid med Nasjonal sikkerhetsmyndighet (NSM) for å forberede sektoren. De regionale helseforetakene, Norsk Helsenett SF, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg HF deltar også i dette arbeidet. Formålet er å identifisere om det er informasjon, informasjonssystemer, objekter eller kritisk infrastruktur som kan ha avgjørende betydning for understøttelsen av grunnleggende nasjonale funksjoner. Det skal i tillegg gjennomføres verdi- og skadevurderinger ved helt eller delvis bortfall av disse funksjonene, og deres betydning for understøttelse av grunnleggende nasjonale funksjoner.

Helse- og omsorgsdepartementet vil på bakgrunn av konklusjonene i arbeidet utpeke, klassifisere og holde oversikt over skjermingsverdig informasjon, informasjonssystem, objekter og kritisk infrastruktur innen sitt myndighetsområde, jf. ny sikkerhetslov § 17. Departementet rapporterer til Nasjonal sikkerhetsmyndighet (NSM) med angivelse av klassifiseringsgrad (jf. ny sikkerhetslov § 7-1). Klassifiseringen skal som tidligere nevnt bygge på verdi- og skadevurderinger. Begrunnelsen for klassifiseringen skal inngå i departementenes og NSMs oversikt over skjermingsverdige informasjon, informasjonssystemer, objekter eller kritisk infrastruktur.

IKT-infrastrukturen i helseforetakene er et av områdene som blir vurdert i det nevnte samarbeidet med NSM. Disse vurderingene av sikkerhetsnivå og eventuelt behov for forebyggende sikkerhetstiltak for hele eller deler av IKT-infrastrukturen i helseforetakene vil kunne være sikkerhetsgradert informasjon. Dette er vurderinger som de regionale helseforetakene, helseforetakene og Helse- og omsorgsdepartementet arbeider med i samarbeid med NSM, Norsk Helsenett SF, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg HF.

Forslag 2:

Stortinget ber regjeringen sikre at informasjon knyttet til nasjonale sikkerhetsinteresser blir driftet og lagret i Norge.

Svar:

I min redegjørelse til Stortinget den 30. januar i år om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst, var jeg tydelig på at det er helt nødvendig at befolkningen har tillit til helsetjenestens håndtering av pasientopplysninger. Når svakheter i informasjonssikkerheten avdekkes, er det viktig å møte dette med en åpen debatt og gjennomføre grundige vurderinger for å iverksette nødvendige tiltak. I redegjørelsen var jeg også helt tydelig på regjeringens mål; Befolkningen skal ha tilgang til offentlig finansierte helsetjenester med høy kvalitet. En vesentlig oppgave for regjeringen er å sikre en bærekraftig helsetjeneste. Det krever utstrakt bruk av teknologi som gjør det mulig for helsepersonell å arbeide effektivt, levere helsetjenester på nye måter, behandle pasienter utenfor sykehuset og gi pasienten større kontroll over egen behandling og egen helse. Da må vi ta i bruk de fremste metoder og teknologi som finnes. Det krever at vi også må forholde oss til at mye av teknologiutviklingen skjer og tilbys internasjonalt.

Helsetjenesten er avhengig av et variert og godt tilbud fra private leverandører av IKT-løsninger og medisinsk-teknisk utstyr. Økt digitalisering stiller imidlertid også økte krav til arbeidet med informasjonssikkerhet og personvern. Jeg er opptatt av at dette arbeidet skal ha høy prioritet.

Det var derfor viktig for meg å få utredet og få en omforent forståelse av hva som skal til for å ha en trygg og riktig bruk av både nasjonale og internasjonale leverandører i helsetjenesten. Direktoratet for e-helse fikk derfor i 2017 i oppdrag å utarbeide en rapport. Et stort antall aktører var involvert i arbeidet: sentrale kompetansemiljøer, pasientorganisasjoner, fagorganisasjoner, tillitsvalgte, brukerorganisasjoner og IKT-næringen. Det ble også innhentet erfaringer fra andre samfunnsaktører, slik som Finanstilsynet, Telenor og Statoil.

Direktoratet for e-helse leverte sine anbefalinger til departementet den 30. november 2017. Jeg vil påpeke at rapporten ikke er en kontroll- eller tilsynsrapport, men et normativt underlag. Dette er i tråd med rollen til direktoratet. Rapporten bekrefter at helse- og omsorgssektoren er avhengig av internasjonale leverandører innen IKT-området, og at det ikke er grunnlag for å konkludere med at det er tjenester som aldri vil kunne overlates til eksterne leverandører. Videre er det et faktum at ansatte også hos de internasjonale leverandørene i relevante og nødvendige tilfeller vil måtte ha tjenestemessig tilgang til pasientinformasjon. Det må imidlertid alltid foreligge risikovurderinger og databehandleravtaler for å ivareta hensynet til informasjonssikkerheten. Jeg mener derfor at det ikke trenger å være et motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting.

Det er viktig å merke seg at det etter gjeldende rett ikke er forbud mot at norske virksomheter benytter nasjonale eller utenlandske IKT-leverandører fra EU/EØS-området. Tvert imot er det svært begrenset anledning til å avvise tilbud med den begrunnelse at oppdragstaker er etablert i, eller vil levere tjenester fra, et annet EØS-land. Det er ifølge anskaffelsesreglene mulig hvis dette har betydning for rikets sikkerhet, og når det er nødvendig for å ivareta vesentlige sikkerhetsinteresser. Det skal mye til for at beskyttelse av pasientopplysninger utfordrer rikets sikkerhet, i hvert fall dersom det stilles krav til leverandørene og det er etablert kontrollmekanismer basert på risikovurderinger. Ved bruk av IKT-leverandører utenfor EU/EØS-området er det særskilte krav som må oppfylles.

I NSMs rapport Helhetlig IKT-risikobilde 2017 fremkommer det at tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet, mer stabile og tilgjengelige tjenester, og lavere og mer forutsigbare kostnader. Utflytting av slike tjenester kan også bidra til at virksomheten kan ha større fokus på sine kjerneoppgaver. Samtidig kan utsetting av tjenestene føre til økt risiko ved at det gis redusert kontroll over virksomhetskritiske verdikjeder. Hver enkelt virksomhet må derfor gjennomføre grundige risiko- og sårbarhetsvurderinger i hvert enkelt tilfelle ved eventuell utflytting av slike tjenester.

Rapporten fra Direktoratet for e-helse viser til at oppdragsgiver i vurdering av tjenesteutsetting skal stille krav til informasjonssikkerhet, gjennomføring av risikovurderinger og at det foreligger databehandleravtaler. Det skal i tillegg innføres kontrollmekanismer som reduserer risiko til et akseptabelt nivå. Rutiner for krav og kontroll må utformes på bakgrunn av grundige risikovurderinger av de konkrete løsningene. Det må stilles krav til at leverandørene kan dokumentere at de vil oppfylle sikkerhetskravene, ved å beskrive nødvendige tiltak i sine tilbud og fremlegge sikkerhetsdokumentasjon. De regionale helseforetakene og helseforetakene er ansvarlig for å vurdere om kravene er oppfylt. Leverandører som ikke oppfyller kravene kan ikke tildeles kontrakt. I denne vurderingen kan eventuelle forhold i det landet tjenesten leveres fra tas i betraktning.

Jeg forventer at det er høy ledelsesoppmerksomhet på gjennomføring og oppfølging av risikovurderinger ved eventuelle spørsmål om tjenesteutflytting av virksomhetskritisk IKT, særlig dersom deler av en slik tjeneste er av kritisk betydning for helseforetakenes evne til å understøtte grunnleggende nasjonale funksjoner, jf. ny sikkerhetslov. Jeg vil presisere at dette gjelder både til private leverandører som er etablert i Norge og ved bruk av internasjonale leverandører.

Når det gjelder det konkrete representantforslaget mener jeg at denne problemstillingen må sees i lys av det arbeidet som nå pågår i samarbeid med NSM, de regionale helseforetakene, Direktoratet for e-helse, Helsedirektoratet, Sykehusbygg HF og Norsk Helsenett SF. Vurderingen som skal gjøres er om hele eller deler av IKT-infrastrukturen i helseforetakene er av avgjørende betydning for grunnleggende nasjonale funksjoner, og om disse må objektsikres. Når dette er klart, er det naturlig å vurdere organiseringen av disse tjenestene.

Forslag 3:

Stortinget ber regjeringen sikre at outsourcing av utvikling og drift av kritiske nasjonale IKT-tjenester og systemer i helsesektoren avsluttes og at nye avtaler ikke kan inngås.

Svar:

Jeg vil også her vise til min redegjørelse i Stortinget den 30. januar i år om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst og til mitt svar under spørsmål nr 2 ovenfor.

Jeg vil også vise til at Regjeringen har oppnevnt et IKT-sikkerhetsutvalg høsten 2017, som skal utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av ansvar. Dette arbeidet vil også bidra med nyttig kunnskap til vurderinger omkring outsourcing av IKT-infrastruktur og sikkerhet.