Sak nr. 3 [10:34:51]
Redegjørelse
av helseministeren om tilgangsstyring og informasjonssikkerhet i
Helse Sør-Øst. (Det vil bli foreslått debatt umiddelbart etter redegjørelsen)
Statsråd Bent Høie [10:35:08 ] : Det er nødvendig for helsetjenesten
at befolkningen har tillit til vår håndtering av pasientopplysninger.
Når svakheter avdekkes, er det viktig å møte dette med en åpen debatt.
Jeg vil derfor takke for muligheten til å redegjøre for IKT-saken
i Helse Sør-Øst. Jeg vil videre ta opp spørsmålet om tilgang til
pasientopplysninger og informasjonssikkerhet i spesialisthelsetjenesten
mer generelt, dette som en oppfølging av spørsmål til skriftlig
besvarelse fra representanten Wilkinson. Jeg finner det også naturlig
å gå inn på de siste ukers hendelser knyttet til dataangrepet mot
servere i Helse Sør-Øst.
I Norge er det bred enighet om at
befolkningen skal ha tilgang til offentlig finansierte helsetjenester
med høy kvalitet. Den overordnede oppgaven for regjeringen er å
sikre et bærekraftig velferdssamfunn. Vi må utvikle en bærekraftig
helsetjeneste hvor bruk av teknologi gjør det mulig for helsepersonell
å arbeide effektivt, levere helsetjenester på nye måter, behandle
pasienter hjemme og gjøre pasienten til en aktiv partner. Da må
vi ta i bruk de fremste metoder og teknologi i verden, og også forholde
oss til at mye av teknologiutviklingen skjer i andre land enn i
Norge.
En moderne helsetjeneste er avhengig
av private leverandører av IKT-løsninger og medisinsk-teknisk utstyr.
Dette stiller særlige krav til arbeidet med informasjonssikkerhet
og personvern, og dette har høy prioritet.
Informasjonssikkerhet dreier seg
også om å håndtere risiko og sette i verk tiltak slik at pasientopplysninger sikres
på en tilfredsstillende måte. Dette krever et kontinuerlig og systematisk
arbeid. Regelverket på dette området angir i begrenset grad konkrete
krav eller valg av sikkerhetsnivå for de tekniske løsningene.
Hvilket sikkerhetsnivå som er nødvendig,
skal vurderes opp mot opplysningenes tilgjengelighet, integritet
og konfidensialitet. Med tilgjengelighet menes at opplysningene
skal være tilgjengelige når det er et legitimt behov for det. Integritet
handler om å sikre at data er komplette og korrekte. Med konfidensialitet
menes at helseopplysningene skal være sikret mot at uvedkommende
får kjennskap til dem.
Godt personvern krever at alle de
tre nevnte hensynene tilgjengelighet, integritet og konfidensialitet
ivaretas. Det stiller ikke bare høye krav til valg av tekniske løsninger.
Det stiller også høye krav til styring, ledelse og organisering.
I pasientbehandlingen kan rask tilgang
til riktig informasjon være kritisk. Manglende tilgang til oppdaterte
og korrekte pasientopplysninger kan føre til feilbehandling og skade
på pasienten. Korrekte og oppdaterte opplysninger må være tilgjengelige
for rett person til rett tid. Personvernlovgivningen skal sikre
at disse opplysningene blir brukt på riktig måte.
I helse- og omsorgstjenesten er
det lagt stor vekt på konfidensialitetsaspektet. Dette må ses i
sammenheng med taushetsplikten som gjelder for helsepersonell. I diskusjonen
om informasjonssikkerhet har det å hindre uautorisert bruk og at
uvedkommende får tilgang til pasientopplysninger, kanskje fått størst
oppmerksomhet.
Jeg kommer senere tilbake til IKT-moderniseringen i
Helse Sør-Øst. På bakgrunn av saken ga jeg i juni 2017 Direktoratet
for e-helse i oppdrag å utvikle en god og felles forståelse om hva
som skal til for å ha en trygg og riktig bruk av både nasjonale
og internasjonale leverandører.
Et stort antall aktører var involvert
i arbeidet: sentrale kompetansemiljøer, pasientorganisasjoner, fagorganisasjoner,
tillitsvalgte, brukerorganisasjoner og IKT-næringen. Det ble også
innhentet erfaringer fra andre samfunnsaktører, slik som Finanstilsynet,
Telenor og Statoil.
Direktoratet for e-helse leverte
rapporten til departementet 30. november 2017. Rapporten er ikke
en kontroll- eller tilsynsrapport, men et normativt grunnlag for videre
utvikling. Dette er i tråd med den rollen direktoratet er gitt.
Rapporten bekrefter at helse- og
omsorgssektoren er helt avhengig av private leverandører, både nasjonale og
internasjonale, innen IKT-området. Ansatte hos disse leverandørene
vil i arbeidet kunne få tjenestemessig nødvendig tilgang til pasientinformasjon.
Det må alltid foretas en helhetlig
risikovurdering av alle tjenester som inneholder pasientinformasjon.
Dette er spesielt viktig ved bruk av eksterne leverandører. Direktoratet
for e-helse mener at helse- og omsorgssektoren generelt må ha en
relativt lav aksept for risiko.
Jeg vil nå konsentrere meg om to
hovedtema i rapporten. For det første: Er det tjenester som ikke
bør overlates til eksterne leverandører? Og for det andre: Hvilke tiltak
bør iverksettes for å ivareta informasjonssikkerheten ved bruk av
eksterne leverandører?
Direktoratet for e-helse mener det
ikke er grunnlag for å konkludere med at noen typer tjenester aldri
kan overlates til eksterne leverandører. Det trenger altså ikke
å være et motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting.
Det må imidlertid alltid foreligge nødvendige risikovurderinger
og databehandleravtaler for å ivareta hensynet til informasjonssikkerheten.
I gjeldende rett er det ikke forbud mot at norske virksomheter benytter
nasjonale eller utenlandske IKT-leverandører fra EU/EØS-området.
Ved bruk av IKT-leverandører utenfor EU/EØS-området er det særskilte
krav som må oppfylles.
I denne sammenheng vil jeg komme
med noen ytterligere kommentarer. Tjenesteutsetting av IKT-oppgaver
er vanlig i alle sektorer og i alle typer virksomheter. Kommunal-
og moderniseringsdepartementet har tidligere gjennomført undersøkelser
om organiseringen av IKT-drift i offentlig sektor. Disse viser en
klar tendens i retning økt bruk av tjenesteutsetting. Eksterne IKT-leverandører
kan sikre tilgang til oppdatert teknologi, bidra til at helse- og
omsorgstjenesten får tilgang til nødvendig kompetanse, og derigjennom
bidra til økt kvalitet på tjenestene.
I Nasjonal sikkerhetsmyndighets
rapport Helhetlig IKT-risikobilde 2017 framkommer det at tjenesteutsetting
av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet
og mer stabile og tilgjengelige tjenester, og lavere og mer forutsigbare
kostnader. Det kan også bidra til fokusering på virksomhetens kjernevirksomhet.
Men samtidig kan utsetting føre til økt risiko dersom det gir redusert
kontroll over den komplekse verdikjeden. Derfor er det viktig å
ha grundige vurderinger i hvert enkelt tilfelle av om ekstern eller
intern drift gir best sikkerhet.
Lov om offentlige anskaffelser regulerer
anskaffelser av varer og tjenester. Anskaffelsesreglene gjelder
for tilbydere fra EØS-området. I tillegg gjelder reglene for virksomheter
som er gitt rettigheter etter WTO-avtalen om offentlige innkjøp
eller andre internasjonale avtaler som Norge er forpliktet av. En
rekke land utenfor EØS-området er omfattet av slike avtaler. Det
innebærer at det heller ikke nødvendigvis er mulig å avskjære tilbydere
fra land utenfor EØS-området fra å delta i konkurransen. Jeg vil
også minne om at mye av teknologiutviklingen på helseområdet skjer
utenfor Europa.
Oppdragsgivere skal stille krav
til informasjonssikkerhet og innføre kontrollmekanismer som reduserer risiko
til et akseptabelt nivå. Krav og kontroll må utformes på bakgrunn
av en grundig risikovurdering av konkrete løsninger. Deretter må
leverandørene sannsynliggjøre at de vil oppfylle sikkerhetskravene
ved å beskrive tiltak i sine tilbud og framlegge sikkerhetsdokumentasjon.
De regionale helseforetakene og helseforetakene må vurdere om kravene
er oppfylt. Leverandører som ikke oppfyller kravene, kan ikke tildeles
kontrakt. I denne vurderingen kan forholdene til leveranselandet
tas i betraktning.
Det er imidlertid svært begrenset
anledning til å avvise tilbud med den begrunnelse at oppdragstaker
er etablert i, eller vil levere tjenester fra, et annet EØS-land. Det
er ifølge anskaffelsesreglene mulig hvis dette har betydning for
rikets sikkerhet, og når det er nødvendig for å ivareta vesentlige
sikkerhetsinteresser. Det skal mye til for at beskyttelse av pasientopplysninger
utfordrer rikets sikkerhet, i hvert fall dersom det stilles krav
til leverandørene og kontrollmekanismer basert på risikovurderinger.
Da vil jeg gå over til tiltakene
som foreslås i rapporten fra Direktoratet for e-helse. Dette er
dels tiltak og forbedringer virksomheter i sektoren selv må gjøre,
og dels tiltak som må følges opp sentralt.
Når det gjelder tiltak som må gjennomføres
i sektoren, trekkes god ledelsesforankring og styring fram. Ansvar
og roller når det gjelder informasjonssikkerhet, må være klare,
og det må finnes gode prosesser og rutiner for når utenforstående
skal kunne trekkes inn i arbeidet med IKT-systemer og medisinsk-teknisk
utstyr som inneholder pasientopplysninger.
Helhetlig risikovurdering er et
annet hovedpunkt. Når tjenester overlates til private leverandører,
må det foretas en helhetlig risikovurdering slik at den totale risikoen
kommer fram og rapporteres til ledelsen. Risikovurdering og tiltak
må ta høyde for de begrensninger som ligger i de eksisterende tekniske
løsningene. Det er viktig med både regelmessig oppfølging og nye
risikovurderinger når det gjøres endringer i tjenesten eller i leveransestrukturen.
Et tredje forhold som trekkes fram,
er behov for kompetanse. Helsesektoren må ha tilstrekkelig kompetanse,
kapasitet og struktur for å ivareta sitt ansvar for informasjonssikkerhet
og personvern når private leverandører benyttes. Det er vesentlig
at sikkerhetshensyn ivaretas i alle faser, fra planlegging av en
anskaffelse til avslutning av kontrakten. Dette krever god bestillerkompetanse
i virksomhetene.
Rapporten peker også på forhold
som må følges opp sentralt. Det første gjelder avklaring av databehandlingsansvar
i forholdet mellom regionale helseforetak og helseforetak. Databehandlingsansvaret
ligger i dag i det enkelte helseforetak. Dette kan skape uklarhet
i styring og ansvar ved anskaffelser og innføring av regionale løsninger
og ved løsninger på tvers av sektoren. Direktoratet for e-helse
mener det må utredes om databehandlingsansvaret slik det er i dag,
er forenlig med strategier for etablering av fellesløsninger i helse-
og omsorgssektoren. Videre anbefales en oppdatering av Norm for
informasjonssikkerhet i helse- og omsorgssektoren. Dette omfatter
bl.a. rutiner for helhetlig risikostyring, nasjonal standard for
tilgangsstyring og standardiserte databehandlingsavtaler. Sektoren
arbeider allerede godt for å oppdatere normen i tråd med dette.
Dette arbeidet ledes i dag av Direktoratet for e-helse.
Jeg har i foretaksmøte i de regionale
helseforetakene 16. januar bedt de regionale helseforetakene om
å legge anbefalingene i rapporten til grunn i det videre arbeidet
med informasjonssikkerhet.
Når det gjelder spørsmålet om databehandlingsansvar,
er det påbegynt et utredningsarbeid. Det tas sikte på at dette vil
bli sendt på ordinær høring i løpet av denne våren.
Kontroll- og konstitusjonskomiteen
stilte i brev av 9. mai og 6. juni 2017 viktige spørsmål om IKT-saken
i Helse Sør-Øst. Disse ble besvart av meg i brev av 15. mai, 1. juni
og 13. juni. Komiteen var bl.a. opptatt av hvem som hadde hatt urettmessig
tilgang til informasjon, og hvorvidt informasjonen om norske pasienter
kunne ha kommet på avveier. Det framgår av min korrespondanse med
kontroll- og konstitusjonskomiteen hvilke tiltak jeg har tatt initiativ
til i denne saken. Komiteen har på bakgrunn av mine orienteringer
avsluttet saken.
Jeg har i forbindelse med denne
redegjørelsen bedt alle de regionale helseforetakene om å utarbeide
oversikter over de tilganger som er gitt til eksterne leverandører.
Oversiktene viser hvor i verden personell hos eksterne leverandører
har tilgang til personopplysninger. De regionale helseforetakene
og Norsk Helsenett SF i tett dialog med NSM/NorCERT har vurdert
det slik at disse listene ikke bør offentliggjøres av hensyn til
den økte risikoen det medfører. Det er en omfattende bruk av eksterne
leverandører når det gjelder både IKT-løsninger og medisinsk-teknisk
utstyr.
Regionene benytter relativt like
tekniske løsninger i sin tilgangsstyring og -kontroll. Det er gjerne
etablert portalløsninger hvor leverandørene kan gis tidsbegrensede
tilganger/fjernaksess når det gjelder service, support, oppdateringer
mv. Jeg vil trekke fram Helse Vest som et eksempel. Denne regionen
har avtaler med 129 private leverandører for å bidra til forvaltning,
overvåkning og feilretting av hundrevis av ulike IKT-løsninger og
medisinsk-tekniske systemer. Av de 129 leverandørene til Helse Vest
har 51 av leverandørene tilgang til løsninger som inneholder sensitive
personopplysninger. Dette innebærer imidlertid ikke at alle disse
har tilgang til pasientjournaler. Det er ofte avgrensede, fragmenterte
dataelementer som det er krevende å knytte til identifiserbare pasienter
og undersøkelser. Potensielt kan disse 129 private leverandørene
ha til sammen opptil 467 autentiserte medarbeidere som ved behov
kan gis tilgang til Helse Vest sine systemer.
Majoriteten av leverandørene i Helse
Vest gis tidsbegrenset tilgang via kryptert VPN for å utføre avtalte oppgaver.
VPN er et virtuelt privat nettverk, en datateknikk som anvendes
for å skape sikre «punkt-til-punkt»-forbindelser gjennom internett.
Noen få sentrale leverandører kan gis kontinuerlig kryptert VPN-tilgang
for overvåkning og oppfølging av sine løsninger over tid eller for
avtalte prosjektperioder. Helse Vest har under etablering løsninger
for kontinuerlig loggføring av krypterte VPN-tilganger, både tidsbegrensede
og kontinuerlige. Slik samhandling må håndteres på en systematisk måte.
Disse tallene kan oppfattes som
høye – kanskje også skremmende høye. Vi må imidlertid ta inn over
oss at dette er normalsituasjonen både i den norske spesialisthelsetjeneste
og i andre land med tilsvarende avansert spesialisthelsetjeneste
som vi har i Norge. Det er behov for private leverandører hvor noen
har avgrenset tilgang for drift, service, support og oppdatering
av systemene og medisinsk-teknisk utstyr. Det er imidlertid avgjørende
at det foretas risikovurderinger hvor sikker informasjonshåndtering
settes først og ivaretas gjennom databehandleravtaler med de aktuelle
leverandørene. Dette regimet er beskrevet i Direktoratet for e-helse
sin nevnte rapport fra 2017.
Jeg skal nå konsentrere meg om den
konkrete IKT-saken i Helse Sør-Øst. Denne regionen har en lite ensartet
IKT-infrastruktur, og deler av denne tilfredsstiller ikke moderne
krav. Dette innebærer økt risiko for at uønskede hendelser kan gå
ut over pasientsikkerheten. Det har derfor over flere år pågått
et arbeid for å samle og konsolidere IKT-infrastrukturen i helseforetaket. Dette
arbeidet ledes av Helse Sør-Øst sin felles tjenesteleverandør, Sykehuspartner.
Fusjonen mellom Helse Sør og Helse
Øst i 2007 økte kompleksiteten i arbeidet med å utvikle felles regionale IKT-løsninger
og infrastruktur. Fusjonen medførte ifølge Helse Sør-Øst at man
bl.a. som følge av lov om offentlige anskaffelser på enkelte områder
måtte starte på nytt med å utvikle enhetlige IKT-løsninger og infrastruktur.
Sykehuspartner drifter i dag en
infrastruktur som har mer enn 40 datasentre, over 10 000 servere
og en portefølje på i størrelsesorden 3 000 applikasjoner. Antall
applikasjoner er dels et resultat av ulike teknologiske valg, bl.a.
som følge av ulik historie i de to tidligere regionene. I denne
situasjonen er det vanskelig og dyrt å etablere regionale tjenester
i Helse Sør-Øst. Det er høye kostnader forbundet med å oppdatere
og modernisere IKT-infrastrukturen. Generelt kreves en betydelig
ressursinnsats for å sikre trygg og stabil drift og tilfredsstillende
kvalitet på tjenestene, noe som er avgjørende for informasjonssikkerheten.
Med bakgrunn i de nevnte utfordringene
startet Helse Sør-Øst høsten 2013 en foranalyse av alternative tilnærminger
til modernisering av IKT-infrastrukturen. Arbeidet med infrastrukturmoderniseringen
ble ledet av Helse Sør-Øst RHF i nært samarbeid med Sykehuspartner.
Flere helseforetak i regionen har også deltatt. Alle helseforetakene
var godt orientert om arbeidet gjennom det såkalte Fornyingsstyret.
Her deltok alle de administrerende direktørene i helseforetakene
i regionen, konserntillitsvalgte og brukerrepresentanter.
I 2014 ble det konkludert med at
det var ønskelig å iverksette en prosess med sikte på å inngå partnerskap med
en ekstern leverandør for å modernisere og drifte IKT-infrastrukturen.
Styret ble orientert om dette i styremøte i oktober 2014. Styret
har etter dette ved flere anledninger blitt orientert om innretning
og status i arbeidet. Styret besluttet i styremøte i september 2016
at infrastrukturmoderniseringen skulle skje i samarbeid med en ekstern
leverandør. Styret besluttet også at kontrakt med den mest fordelaktige
leverandøren skulle inngås av Sykehuspartner. Hewlett Packard Enterprise, forkortet
HPE, ble valgt som leverandør, og Sykehuspartner inngikk kontrakt
den 14. oktober 2016.
Høsten 2016 iverksatte Sykehuspartner
et eget program for modernisering av IKT-infrastrukturen. Man planla
opprinnelig for en overføring av driftsansvaret og ansatte fra Sykehuspartner
til HPE 1. mai 2017. Den opprinnelige kontrakten ble våren 2017
overført fra HPE til Enterprise Services Norge AS, som er en del
av konsernet DXC Technology. Sistnevnte er resultatet av en fusjon
mellom CSC og HPE, der den aktuelle delen av HPE inngår.
Fram mot virksomhetsoverdragelsen
1. mai 2017 ble det stilt flere spørsmål knyttet til tilgangsstyring
og informasjonssikkerhet. Jeg fikk også flere spørsmål fra Stortinget
knyttet til dette. Jeg oppfattet at det var motstridende opplysninger
mellom det som framkom i media, og den informasjonen jeg mottok
fra Helse Sør-Øst, og ba derfor om en grundig redegjørelse fra Helse
Sør-Øst.
Administrerende direktør i Helse
Sør-Øst RHF besluttet å iverksette en ekstern gjennomgang av moderniseringsprogrammet
i regi av foretakets revisor, PwC. Basert på bl.a. en foreløpig
rapport fra PwC ble det i styremøte 24. mai 2017 besluttet å stille
moderniseringsprogrammet i bero. Det ble i mai og juni 2017 foretatt endringer
i den administrative ledelsen i Sykehuspartner og Helse Sør-Øst,
og hele styret i Sykehuspartner ble byttet ut.
PwC la fram den endelige rapporten
22. juni 2017. Denne bekreftet svikt i de forberedelsene som ble
gjort for å overføre drift til den private leverandøren. PwCs eksterne
gjennomgang viste at det hadde vært svikt både i tilgangsstyringen
og i risikovurderingene. Samtidig slo den eksterne gjennomgangen
fast at det var lite sannsynlig at de aktuelle tilgangene faktisk
hadde blitt benyttet til å hente ut sensitive pasientopplysninger.
Et viktig forhold å feste seg ved var at PwC i sin gjennomgang bekreftet
behovet for en modernisering av IKT-infrastrukturen.
PwCs undersøkelser viste at personer
med tilknytning til ekstern leverandør hadde hatt utvidede administratorrettigheter
som innebar mulighet for tilgang til pasientopplysninger. PwC har
i sin endelige rapport verifisert at alle disse tilgangene er stengt.
PwCs undersøkelser har ikke avdekket misbruk eller forsøk på misbruk
av tilgang til pasientopplysninger.
PwC påviste i sin gjennomgang at
det har manglet databehandleravtaler i enkelte ledd, dvs. mellom
Enterprise Services Norge AS og deres underleverandører. Videre
viste PwC-rapporten at system for gjennomføring av risikovurderinger
ikke fungerte som en effektiv kontrollmekanisme. Uklare kriterier
for risikoaksept førte til uklarhet med hensyn til hvem som kunne
akseptere hvilke risikoer. Dette kan ha ført til at relevante risikoer ikke
ble løftet opp i organisasjonen. I tillegg viste rapporten at sentrale
risikoer knyttet til informasjonssikkerhet i kontrakten ikke var
tilstrekkelig vurdert. Det ble også påvist svakheter ved organiseringen
og styringen av programmet.
Datatilsynet engasjerte seg også
tidlig i IKT-saken i Helse Sør-Øst. De sendte den 26. mai 2017 brev
til alle helseforetakene i Helse Sør-Øst. Som databehandlingsansvarlige
ble helseforetakene bedt om å redegjøre bl.a. for hvilke risikovurderinger
som lå til grunn for beslutningen om å tjenesteutsette ansvaret
for IKT-drift og leveranse av IKT-infrastruktur i regionen. Helseforetakene
ble bedt om å oversende en oversikt over hvor mange eksterne leverandører
som hadde tilgang til sykehusenes informasjonssystem, videre hvilke
land leverandørene har tilgang fra, hvilke typer tilganger leverandørene
har til hvilke systemer og til hvilke personopplysninger, samt formålet
med de gitte tilgangene.
Datatilsynet har gitt et foreløpig
varsel til helseforetakene om vedtak om overtredelsesgebyr for brudd
på personopplysningsforskriften, personopplysningsloven og pasientjournalloven.
Det foreligger ennå ikke et endelig vedtak.
De avvikene og kritikkverdige forholdene
som er omtalt i Datatilsynets forhåndsvarsel, er i all hovedsak knyttet
til manglende risikovurderinger, manglende ledelsesforankring og
mangelfullt system for å sikre at helseforetakene blir satt i stand
til å ta sitt lovpålagte ansvar som databehandlingsansvarlige. De
forhold som framkommer av Datatilsynets brev, er i tråd med de funn PwC
tidligere har gjort i sine gjennomganger.
Det er alminnelig enighet om at
det er begått feil i håndteringen av tjenesteutsettingen i Helse
Sør-Øst. Verken helseforetakene i Helse Sør-Øst eller det regionale
helseforetaket gjorde godt nok forarbeid eller gode nok risikovurderinger.
Mitt inntrykk er at det er gjort en rekke risikovurderinger i dette
arbeidet, men at disse ikke har vært tilstrekkelige eller gjennomført
på alle områder. Det er viktig at alle risikovurderinger dokumenteres,
og at det sikres forankring hos ledelsen.
Arbeidet med å modernisere infrastrukturen
i Helse Sør-Øst har vist seg å være svært krevende. Administrerende
direktør i Helse Sør-Øst har derfor besluttet å etablere informasjonssikkerhet
som et eget ansvarsområde i foretaksledelsen. Helse Sør-Øst har
iverksatt tiltak for å forsterke sine risiko- og sårbarhetsanalyser.
Videre er det regionale helseforetaket i samarbeid med helseforetakene
i regionen i gang med å se på hvordan risikovurderinger og ledelsesforankring
generelt kan settes bedre i system i regionen. Som Datatilsynet
påpeker, bør det bl.a. etableres rutiner som ivaretar helseforetakenes
autonomi ved felles beslutninger.
I styremøtet til Helse Sør-Øst den
28. juni 2017 ba styret administrerende direktør om å gå i dialog
med Sykehuspartner for å sikre gjennomføring av prosjekter og aktiviteter
som er viktige for å bedre informasjonssikkerheten, og sørge for
sikker og stabil drift. Styret understreket også at terminering
av avtalen skulle utredes videre, og at det måtte startes et arbeid
med å utrede hvordan en modernisering av IKT-infrastruktur kunne
gjennomføres i regi av Sykehuspartner, dersom avtalen termineres.
Styret forutsatte bred involvering og medvirkning av de ansatte
og tillitsvalgte.
Helse Sør-Øst utreder nå to alternativer
for gjennomføring av moderniseringsarbeidet. God kontroll med informasjonssikkerhet
og personvern er helt avgjørende premisser i arbeidet. Grunnlaget
for vurderingene er lov og forskrift, Direktoratet for e-helse sine
anbefalinger samt policyer og sikkerhetsarkitektur i Helse Sør-Øst.
Det planlegges nå for risikovurdering
av tjenesteutsetting, nåværende IKT-infrastruktur og alternative
modeller. Videre planlegges det for en egen konsekvensvurdering
av personvernet. Helseforetakene skal gjøre selvstendige vurderinger
av restrisiko og konsekvensvurdering av personvernet. Det vil være
dialog med Datatilsynet i forbindelse med dette arbeidet.
Når programmet med modernisering
av IKT-infrastrukturen ble stilt i bero, innebar dette betydelige
forsinkelser og ekstra kostnader. Jeg mener likevel at det var en
helt nødvendig beslutning. Sykehuspartner inngikk ved nyttår en
avtale med DXC om oppgjør for kostnader fra oktober 2016 og fram
til programmet ble stilt i bero, samt leasing- og lisensavtaler
ut 2017. Kostnadene summerer seg til nær 280 mill. kr. Det er derfor
for tidlig å si noe om reelle økonomiske tap, da en vil ha nytte
av deler av det som er utviklet. Hvor mye som kan gjenbrukes, avhenger
bl.a. av om DXC fortsatt vil ha en rolle i det videre arbeidet.
Riksrevisjonen har tidligere påvist
avvik bl.a. når det gjelder tilgangsstyring for helsepersonell i
alle regioner. Helseregionene arbeider nå med å lukke de påviste
avvikene.
Sykehuspartner arbeider med en rekke
tiltak knyttet til infrastrukturen. Hoveddelen av tiltakene er nødvendige
og ønskelige for regionen, uavhengig av alternativ for modernisering
av IKT-infrastruktur, og er en del av den generelle styrkingen av
arbeidet med informasjonssikkerheten i regionen. Dette gjelder bl.a.
arbeidet med å styrke tilgangsstyringen. Videre innføres det løsning
for sporing og logging av tilganger til infrastrukturen. Fagmiljøene
innen informasjonssikkerhet styrkes, og i budsjettet er det satt
av ressurser til det videre arbeidet med informasjonssikkerhet.
Det er igangsatt aktiviteter i regionen
knyttet til styrking av informasjonssikkerhet også utover det arbeidet
som pågår i Sykehuspartner. Det arbeides med forberedelser for å
ivareta nye krav som følger av EUs personvernforordning i regionen.
Ellers vil Helse Sør-Øst innføre en løsning for mønstergjenkjenning
knyttet til helsepersonells tilgang til elektronisk pasientjournal gjennom
systemet DIPS. Mønstergjenkjenning innebærer at det gjennomføres
en automatisert statistisk analyse av alle oppslag i pasientjournalene
med utgangspunkt i vanlige bruksmønstre. Gjennom denne systematiske
gjennomgangen av loggene vil det avdekkes om det er oppslag i pasientjournalene
som avviker fra vanlige oppslagsmønstre. Oppslag som avviker fra det
normale, kontrolleres og følges opp manuelt.
Jeg har tidligere nevnt at risikovurderinger
skal knyttes til tre elementer: tilgjengelighet, integritet og konfidensialitet.
Selv om feil er avdekket, mener jeg det også er viktig å minne om
at det ikke er noe som tyder på at opplysninger har kommet på avveier,
at opplysninger har vært utilgjengelig for dem som skal yte helsehjelp, eller
at opplysninger har blitt endret eller misbrukt.
Som kjent har Helse Sør-Øst blitt
utsatt for et omfattende hackerangrep fra en avansert og profesjonell
aktør. Saken er politianmeldt og er under etterforskning. Så langt
er det ingen tegn til at det har gått ut over pasientbehandlingen,
pasientsikkerheten, eller at pasientinformasjon er på avveier, men
det siste kan ikke utelukkes.
Mandag 8. januar ble Sykehuspartner
varslet av Norsk Helsenett om at det pågikk unormal aktivitet mot datasystemer
i helseregionen Helse Sør-Øst. Norsk Helsenett har gjennom sin HelseCERT
ansvaret for overvåkning av trafikken i det norske helsenettet.
I denne saken har HelseCERT tett samarbeid med NorCERT i Nasjonal sikkerhetsmyndighet,
NSM.
Lørdag 13. januar avdekket undersøkelsene
ny informasjon som tilsa at angrepet var mer alvorlig enn tidligere
antatt. Derfor ble Helsedirektoratet gitt ansvar for koordinering
av beredskapsarbeidet på vegne av Helse- og omsorgsdepartementet,
i tråd med Nasjonal helseberedskapsplan.
Datainnbruddet ble søndag 14. januar
politianmeldt av Sykehuspartner, og formell etterforskning ble innledet
av PST. PST skal bl.a. avdekke om det kan innhentes opplysninger
til fordel for en fremmed stat, og avdekke eventuelle konsekvenser
av dette. Dette er et komplekst og sammensatt angrep, som det vil
ta tid å få oversikt over.
Alle tilgjengelige og relevante
ressurser er satt sammen for å bistå Helse Sør-Øst. Arbeidet koordineres gjennom
Felles Cyberkoordineringssenter, FCKS, som består av NSM, PST, Etterretningstjenesten
og Kripos. Det jobbes for fullt med å skaffe oversikt, begrense
skader og gjenopprette normaltilstand. Helse Sør-Øst har i sin oppfølging
lagt vekt på å samarbeide og dele informasjon med de andre helseregionene.
Av hensyn til etterforskningen er
det begrenset hvor mye jeg kan si om innholdet i det pågående arbeidet.
Jeg vil imidlertid understreke at det er et tett og godt samarbeid
mellom helse- og justissektoren i denne saken.
Arbeidet med IKT-moderniseringen
i Helse Sør-Øst og diskusjonen rundt tilgangsstyring og informasjonssikkerhet
har skapt utrygghet. Denne utryggheten må vi ta ned, bl.a. gjennom
å være tydelige på kravene til tilgangskontroll. Jeg har derfor
stilt krav i foretaksmøtet i de regionale helseforetakene om å følge
opp anbefalingene i rapporten fra Direktoratet for e-helse. Vi må
også være ærlige på hvilke tilganger det er nødvendig å gi. Jeg mener
det er viktig at de regionale helseforetakene nå har utarbeidet
oversikt over utenlandske leverandører som har tilgang til norske
pasientopplysninger i spesialisthelsetjenesten. En klar forutsetning
for å gi slike tilganger er at lovreglene følges. Dette gjelder
både reglene i personopplysningsloven og de særlige reglene om behandling
av helseopplysninger. Disse reglene i lovverket skal sikre at grunnleggende
personvernhensyn blir ivaretatt.
Viktige forhold som trekkes fram
fra Direktoratet for e-helse, er behovet for tilstrekkelige risikovurderinger,
god og reell ledelsesforankring og styring samt tilstrekkelig kompetanse.
Ledelsen i helseforetakene, inkludert styret, må ha tilstrekkelig
kompetanse for å kunne utøve reell styring og kontroll også på dette
området. Jeg har derfor i foretaksmøtet 16. januar i år styrket
styret i Helse Sør-Øst med kompetanse innen IKT og informasjonssikkerhet.
I offentlig sektor har vi generelt
et behov for å arbeide med forebyggende informasjonssikkerhet. Som
ledd i dette arbeidet er Direktoratet for forvaltning og IKT, Difi,
utpekt som statsforvaltningens kompetansemiljø for informasjonssikkerhet
og sikkerhet i IKT-anskaffelser. Formålet med arbeidet er å legge
til rette for en helhetlig tilnærming til informasjonssikkerhet
i forvaltningen. I tillegg er NSM tillagt en kompetanse og veiledningsfunksjon
på informasjonssikkerhetsområdet utover sikkerhetslovens virkeområde.
NSM peker på at digitaliseringen
av samfunnet hele tiden skaper nye verdier og utviklingsmuligheter.
Men den digitale, nasjonale sårbarhetsflaten utvides, og risikoen
øker. Gjennom flere år har NSM sett en jevn økning av antall målrettede
cyberangrep mot norske interesser, både offentlige og private. Disse
angrepene utgjør en trussel mot våre verdier. Mange virksomheter beskytter
seg ikke godt nok. Nøkkelen til å skape motstandsdyktige systemer
innen forebyggende sikkerhet ligger i styring og styrking av sikkerhetsarbeidet.
Helsesektoren har tatt initiativ til et tettere samarbeid med NSM
på dette området for å sikre kunnskap og systematikk i forebyggende
sikkerhetsarbeid.
Regjeringen har også høsten 2017
oppnevnt et IKT-sikkerhetsutvalg, som skal utrede rettslig regulering
på IKT-sikkerhetsområdet og organisering av ansvar.
Som jeg har sagt tidligere, må vi
ta i bruk de fremste metoder og teknologier i verden for å sikre
befolkningen en helsetjeneste av høy kvalitet. En moderne helsetjeneste
er avhengig av eksterne leverandører på IKT-området. Det innebærer
at det må stilles krav til informasjonssikkerhet og personvern i
avtaler med disse. Bare slik vil en oppnå befolkningens tillit,
noe som er en forutsetning for å lykkes med digitaliseringen i helse-
og omsorgstjenesten.
Presidenten: Presidenten
vil nå, i henhold til Stortingets forretningsordens § 45, foreslå
at det åpnes for en kort kommentarrunde, begrenset til ett innlegg
på inntil 5 minutter fra hver partigruppe og et avsluttende innlegg
fra statsråden på inntil 5 minutter.
– Det anses vedtatt.
Ingvild Kjerkol (A) [11:10:06 ] : Mandag 8. januar i år var
nok et bevis på at IKT-sikkerheten i Helse Sør-Øst er for dårlig,
og det er alvorlig – det må understrekes. Det begynner å gjenta
seg at helseministeren må orientere Stortinget om sikkerhetsbrudd
i den største helseregionen vår, hvor 60 pst. av pasientene hører
hjemme.
Det er lett å forstå kompleksiteten,
av statsrådens lange innledning, men det endrer ikke det faktum
at dette er en tjeneste som må ha tillit. Pasienter og befolkning
må ha tillit til helsetjenesten. Derfor må IKT-sikkerheten være
god. Så er det også sånn, som statsråden sier, at teknologiutvikling
ofte skjer i andre land, det er markedsdrevet, og vi ønsker det
beste utstyret inn i våre sykehus.
Den rapporten som Nasjonal sikkerhetsmyndighet kom
med i september, slår fast at sårbarheten øker ettersom vi digitaliserer
sektor for sektor, og i det perspektivet vet vi at helsetjenesten
vår skal gjennom en rekke store IKT-investeringer i framtiden. Da
blir spørsmålet: Hvordan er vi rigget? Er det godt nok? Det er spørsmålet Stortinget
alltid må stille.
Mine spørsmål dreier seg om når
statsråden har visst – jeg skjønner at han ikke kan fortelle alt
– også knyttet til det oppdraget han sendte til Direktoratet for e-helse,
som påpeker det vi allerede har hatt et visst inntrykk av, at det
må være et helhetlig sikkerhetsperspektiv som gjelder. Men de går
likevel ikke så langt at de vil anbefale at man ikke outsourcer.
Det krever betydelig kompetanse, både hos leverandør – åpenbart,
men leverandøren er tross alt på et marked – og hos dem som skal eie,
drifte og integrere deler av et system i en helhet.
Spørsmålene mine til statsråden,
som jeg håper han kan svare på, er: Hva er kostnadsbildet for Helse
Sør-Øst? Hva er konsekvensen av å måtte avvikle avtaler midt i en
periode, slik jeg forstår at de må gjøre nå overfor viktige leverandører?
Hvordan vil man sikre at de som roper om sikkerhet, Sykehuspartner,
de mange ansatte, blir hørt? Det gjennomgående sikkerhetsperspektivet
er riktignok et lederansvar, men det er statsrådens ansvar å sikre
at RHF-ene gjennomgående har dette perspektivet.
Og helt til slutt: Helseministeren
må peke nedover i sin ansvarslinje. Det oppfatter jeg at helseministeren gjør
– kanskje i litt for stor grad. Stortinget må peke på statsråden,
og sikkerhet må rett og slett bli viktigere for helseministeren.
Stortinget har krav på å vite om kostnadsutviklingen. Vi står foran
store investeringer. En annen helseregion starter nærmest helt på
scratch og skal kjøpe IKT-løsninger for både seg selv og 30–40 kommuner.
Sikkerhetsperspektivet må opp, og de som roper høyt blant de ansatte,
og har gjort det gjennom hele denne prosessen, må bli hørt.
Kjersti Toppe (Sp) [11:14:20 ] : Denne saka er meir alvorleg
enn det denne utgreiinga gir inntrykk av. At helseopplysningar om
halve Noregs befolkning ikkje er trygge, rokkar ved tilliten til
helsestellet vårt, men det er òg ein fare for rikets sikkerheit.
Forsvarleg behandling av helseopplysningar er ein del av kjerneoppgåvene
til helsestellet, og sviktar vi her, sviktar vi heile helsestellet.
Styret i Helse Sør-Aust gjorde eit
vedtak den 8. september 2016 om vidare modernisering av regionens
infrastruktur skulle skje ved bruk av eksterne leverandørar. Den
10. november 2016 sa helse- og omsorgsministeren følgjande frå Stortingets
talarstol:
«Den eksterne leverandørens tjenester
er som nevnt begrenset til IKT infrastruktur, altså ikke pasientjournalsystemer
eller pasientadministrative systemer. Avtalen med tjenesteleverandøren
stiller klare krav om at alle datasentre skal stå i Norge, inkludert
all lagring av pasientdata (…).
Personell som drifter infrastrukturen,
skal ikke ha tilgang til systemer (…) eller administrative systemer hvor
personopplysninger behandles.
Driften av disse systemene skal
fortsatt leveres av Sykehuspartner HF. Ifølge Helse Sør-Øst RHF
vil alle personopplysninger forbli fysisk i Norge, og tilgangen
til disse vil fremdeles skje fra Norge og være begrenset til Sykehuspartner
og helseforetakene selv. Dette innebærer at personopplysningene
ikke skal overføres til andre land eller noen form for skytjeneste.»
Så tok kontroll- og konstitusjonskomiteen
tak i det som var ei villeiing av Stortinget. Da svarer helseministeren
i brev tilbake:
«Mine svar i interpellasjonsdebatten
omhandlet det sikkerhetsregimet som skal være på plass etter at driften
er overført til ekstern leverandør.»
Det vi vart fortalde i Stortinget,
omhandla altså ikkje kva som kunne skje i planleggings- og oppfølgingsfasen.
Dette står jo ikkje til truande.
Så til det å skylda på nokon nedover
i systemet: I denne saka har helse- og omsorgsministeren konsekvent
skyldt på helseforetaka. I brev til kontroll- og konstitusjonskomiteen
i fjor vår viser han til spesialisthelsetenestelova. I brevet står
det:
«Eiers adgang til å styre i foretaksmøter
bør bare brukes i tilfeller hvor det er nødvendig for å ivareta eiers
overordnede ansvar og interesser.»
Ja, nettopp! Var det ein gong ein
burde ha gripe inn overfor helseforetaka, var det når ein ikkje
var sikker på at helseopplysningane våre var trygge. Det er ein
fare, ikkje for pasient og sjukehus, men for rikets sikkerheit. Det
er klart at helseministeren visste kva som kom til å vera i kontrakten,
men kontrakten var stor, han var på mange, mange tusen sider, så
her har ein heller ikkje vore informert. Men det er det ein statsråd
sitt ansvar å vera.
Når det gjeld kostnader, var det
nettopp at dette skulle føra til meir pengar til pasientbehandling,
som var eit av argumenta som statsråden i brev til Stortinget sa
var grunnen til at ein var positiv til konkurranseutsetjing. No
veit vi at dette har kosta – hittil – 280 mill. kr. Enno er ikkje
Helse Sør-Aust ute av avtalen. Sjukehuspartnar har hatt over 300 mill. kr
på dette prosjektet. Ein forsøkte å halda hemmeleg denne summen.
Datatilsynet har gitt bøter på fleire millionar. Helse Sør-Aust
har brukt over 50 mill. kr på strakstiltak for å ryddja opp. Vi står
igjen med eit Helse Sør-Aust som har eit sårbart IKT-system som
no er utsett for angrep. Dette er alvorleg.
Men det som er det viktige spørsmålet
no, er om statsråden vil sikra at grunnleggjande IKT-infrastruktur
i helsesektoren vert definert som kritisk nasjonal infrastruktur
og kjem inn under sikkerheitsloven. Det er det som no må skje. Alt
anna som har vorte sagt i utgreiinga, er meir forklaringar eller
bortforklaringar. Men vil statsråden sikra at departementet hans
definerer grunnleggjande IKT-infrastruktur i helsesektoren inn under
sikkerheitsloven, og vil han hindra framtidig outsourcing av utvikling
og drift av kritiske nasjonale IKT-tenester og system innanfor helsesektoren?
Nicholas Wilkinson (SV) [11:19:37 ] : Jeg vil takke statsråden
for at han kommer til Stortinget.
Vi er her i dag fordi folk i Asia,
Øst-Europa og Israel har hatt tilgang til helsedata til 2,8 millioner
nordmenn. Vi er igjen utsatt for hacking. Vi er her fordi det er
livsfarlig når helsedata kommer på avveier, som i Storbritannia,
der de måtte stenge ned flere sykehus. Vi er her fordi helseministeren
ikke har kontroll på våre sensitive pasientopplysninger. Vi er alle
enige om at vi skal investere i IKT. Det vi er uenige om, er hvordan
vi skal gjøre det.
Vi må rydde unna en veldig viktig
misforståelse som statsråden gjentar igjen og igjen. Vi er alle
her – også SV – enige om at vi skal bruke private leverandører.
Det statsråden ikke har redegjort for, er det aller viktigste, nemlig
den virkelige uenigheten, som er at vi ikke skal privatisere selve
grunnsystemet i IKT. Grunnsystemet er som blodet som pumper i kroppen
vår. Det pumper liv inn i hele helsevesenet. Det er de ansatte som
gjør jobben, men uten informasjon om pasienter, tilgang til maskiner,
deling og overføring av informasjon kan de ikke gjøre jobben sin.
Vi vil alle bruke private, men vi kan ikke privatisere selve blodet
i helsevesenet. Det er det statsråden har godtatt. Statsråden sier
i sin redegjørelse at dette handler om bruk av private. Det har
vi altså ryddet av veien.
Så refererer statsråden til rapporten
fra Direktoratet for e-helse og sier at de mener at dette er greit.
Da er det enten statsråden eller direktoratet som svarer feil. Vi
har kontaktet direktoratet og spurt. De sier at rapporten kun snakker
om å forstå dagens regelverk og hva som er mulig – ikke en normativ
forklaring på hva som er lurt å gjøre, slik statsråden her påstår.
Så blir det påstått fra statsråden
at det ikke er en motsetning mellom informasjonssikkerhet og privatisering.
Nei, man kan kjøpe enkelte moduler, men som enhver IT-ekspert kan
fortelle oss, er det slik at hvis du åpner grunnsystemene, så må
de kunne ha tilgang bakveien, og da kan de få tilgang til pasientinformasjon. Dette
er feil. Hvis man privatiserer grunnsystemene i IT, så får de tilgang,
da kan de få tilgang til våre pasientdata.
Jeg er veldig enig med statsråden
når han sier at dette bl.a. skjer fordi sikkerhetsvurderingene ikke
har vært gode nok. Da er det viktig for oss i SV å presisere helt
tydelig at dét er statsråden sitt ansvar. Etter vedtaket i Helse
Sør-Øst 8. september 2016 ba noen av de beste ekspertene vi har,
om et møte med statsråden: Fagforbundet, NITO og EL og IT Forbundet.
De skrev at en tverrfaglig gruppe har sett på dette, de advarer
om IKT-sikkerheten, de advarer og forteller at det kan gjøres bedre
og billigere i offentlig regi, at det er tryggere og kan gi bedre klinisk
sikkerhet. Det kom på toppen av at de også advarte styret i Helse
Sør-Øst om at dette var farlig.
Likevel svarer statsråden 14. september
2016 at statsråden er kjent med området – og dermed ikke kunne avsette
tid til et møte. Statsråden har blitt advart av noen av de beste
på feltet. Styret i Helse Sør-Øst har hatt personer som har talt
mot dette. Likevel er det gjennomført, med statsrådens unnskyldning.
Og han unnskylder seg her med at tilgangene ikke er brukt. Det er
litt som å unnskylde at man glemte å låse alle bankhvelvene og så si
at ja, ja, men det var ingen som forsynte seg. Problemet her er
at vi har utsatt norske helsedata for alvorlig fare.
Statsråden sier også i sin redegjørelse
at styret i Helse Sør-Øst nå økes med IKT-kompetanse. Den kompetansen
fantes fra før, ifølge fagforeningene, og de advarte på det sterkeste
mot dette.
Så nå må vi løse problemene som
Høyre–Fremskrittsparti-regjeringen stelte i stand. Hvordan vi bygger helsevesenet
i dag, bestemmer hvordan vi får det i morgen. I dag priser vi oss
lykkelige over at datidens politikere sikret statlig eierskap og
trygghet over veier, jernbane og naturressurser som vann og olje
– på tross av motstand fra høyresiden. Nå står vi foran et slikt
veiskille i helsevesenet. Alt avhenger av den digitale infrastrukturen.
Det er blodet i helsevesenet vårt. Vi kan velge mellom IKT-skandaler
og privatisering og det å bygge opp sterk offentlig kontroll – for
å sikre vårt felles helsevesen, stoppe privatiseringsavtalene i
Helse Sør-Øst, som statsråden godtok mot gode råd, ta dette inn
i sikkerhetsloven og sikre nasjonal kontroll og drift med våre viktige pasientopplysninger
og helsedata.
Ketil Kjenseth (V) [11:24:56 ] : Takk til statsråden for en
grundig orientering.
Jeg vil starte der representanten
Wilkinson avsluttet, med hvem som har stelt i stand dette. Statsråden
var innom fusjonsprosessen mellom Helse Sør og Helse Øst, som ble
til Helse Sør-Øst, og pekte på at Sykehuspartner, som i dag er Helse Sør-Østs
IKT-foretak, har 40 datasentre, 10 000 dataservere og 3 000 applikasjoner.
Da synes jeg det er på tide at vi får en diskusjon om helheten i
norsk helsesektor og hvordan digitaliseringen begynner å prege en
så stor sektor. Bare spesialisthelsetjenesten tar snart 150 mrd. kr
av statsbudsjettet, og legger vi til en primærhelsetjeneste som
har nesten det samme, er det en stor økonomisk virksomhet for staten,
men den er mer og mer gjennomsyret av digitalisering.
En sektor vi ikke snakker om her,
er kommunesektoren. Jeg har stilt spørsmål til utredningsseksjonen
om hvor mange dataservere vi har i kommunal sektor som organiserer
våre pasientdata, og svaret er enkelt og brutalt: Det vet ingen
i Norge. Men det beste anslaget de kan gi, er mellom 20 000 og 60 000
dataservere som samler inn personinformasjon om oss i kommunene.
Halvparten av kommunene bruker den finske leverandøren Tietos system
Gerica til å organisere pasientdataene. Det er en privat leverandør.
Det leder meg også over til Estland, som blir brukt som et av de
eksemplene vi skjeler til, og som har et veldig lite antall dataservere
– i stort kan vi nesten snakke om bare en, men de sier at de har
13, en for hver offentlig sektor, og Tieto er en av dem som har vært
med på å utvikle X-Road-plattformen i Estland, som gjør at de kan
ha så mye persondata om den estiske befolkningen samlet på et fåtall
dataservere.
Men Estland forholder seg også til
utlandet. De har grønne datasentre på andre kontinenter, for om
datasentrene i verste fall blir tatt ned av Russland, eller det skjer
en naturkatastrofe, skal pasientdataene være oppe og gå i form av
et datasenter i et annet land. Så at dette bare er et nasjonalt
anliggende, er vi langt fra å kunne si, og vi må diskutere helheten
i hele denne virksomheten som helt har fått leve sitt eget liv med
veldig mange beslutningstakere og aktører som en kan lure på i hvilken grad
har hatt pasientens beste in mente.
Det er den store debatten her: I
og med at det er et så stort mangfold, er det også krevende å komme
seg videre og fatte beslutninger for hvordan en skal gjøre det. Debatten
om samfunnskritisk infrastruktur er åpenbart en del av dette, og
da må vi også diskutere sikkerhetsloven, for denne debatten startet
for alvor høsten 2016, da Helse Sør-Øst hardnakket hevdet at det
ikke var mulig å få tilgang til pasientdata gjennom den avtalen
en var i ferd med å inngå med Hewlett Packard Enterprise, HPE, den
gangen. Det er ettertrykkelig slått fast at det hadde de selv ikke
greie på – det er faktisk mulig. Derfor må vi diskutere sikkerhetslovgivningen
og hvem som skal sikkerhetsklareres for å kunne forvalte pasientdataene
i Norge.
Det er også en annen sak vi må diskutere:
hvilke aktører som skal få drifte applikasjonene oppå de digitale motorveiene.
Et annet land som er interessant å se til, er Australia, som er
kjent for å ha helse som sin største eksportartikkel, men også et
ganske privatisert helsevesen. Det interessante er at der er det
faktisk staten som programmerer og drifter de digitale motorveiene
for helsesektoren, og så slipper de inn de private programmererne
og aktørene for å utvikle og drifte dem. Da ruller de også ut store
programmer for å lære opp helsesektoren, og det må vi også begynne
å diskutere: den kompetansen som helsepersonell er nødt til å få,
og som de i dag ikke har i sin utdanning.
Så vil jeg sette et stort spørsmålstegn
ved om brukerne virkelig har vært involvert i disse prosessene i Helse Sør-Øst.
Sykehuspartner har ikke et brukerråd, og når Helse Sør-Øst har diskutert
disse sakene, har brukerrådet vært plassert på gangen og ikke fått
delta i diskusjonene, og de er heller ikke vedtaksføre i Helse Sør-Øst. Så
jeg tror at vi også skal diskutere det – vi må i mye større grad
involvere brukerne her, slik at flere forstår hva som egentlig skjer
i denne sektoren nå.
Olaug V. Bollestad (KrF) [11:30:14 ] (helse- og omsorgskomiteens
leder): IKT er en utfordring. IKT er en utfordring også ved at utviklingen
ofte går fortere enn vi klarer å følge med på.
Når det gjelder Helse Sør-Øst, ble
den opprettet 1. juni i 2007. Så mitt spørsmål er ikke bare til
statsråden, men også til de partiene som da satt i regjering – om
de hadde foretatt gode nok risikovurderinger for at to helseforetak
skulle slå seg sammen. Jeg synes det er betimelig å stille også
dem spørsmål her. Det er ingen unnskyldning for at vi er der i dag,
men spørsmålet er: Hvilket grunnarbeid ble gjort da? Og er det noen
av de resultatene vi nå sitter igjen med? Det tror jeg er noe av
forklaringen, men ikke hele.
IKT står sentralt. Vi vil aldri
komme utenom dette i helsevesenet. Det handler om røntgen. Det handler
om robotoperasjoner. Det handler om journalsystem. Det handler om
blodprøver. Det handler om EKG. Det handler om våre pasientopplysninger,
som vi er helt avhengige av, og som er sentrale for folk flest.
Da må folk vite: Kan jeg ha tillit til de opplysningene som foreligger,
og til dem som jobber der? Kan jeg ha tillit til at jeg kan få opp
mine opplysninger i Oslo som i Stavanger, hvis jeg skulle bli alvorlig
syk?
Jeg må ha trygghet for at de som
ikke skal ha opplysninger, ikke får dem, for at de som skal ha opplysninger, får
dem, og for at de opplysningene de får, er riktige. Jeg må være
trygg på at jeg får opp disse opplysningene når jeg trenger det
aller mest. Og jeg må ha trygghet for at de som skal ivareta disse
opplysningene, ikke misbruker opplysningene mine. Jeg må vite at
taushetsplikten blir ivaretatt, at mitt personvern blir ivaretatt,
og at mine opplysninger skal være for dem som trenger å ha tilgang til
dem. Hvem får så tilgang til disse opplysningene? Det blir det store
spørsmålet.
Til slutt, for å få en hel hånd,
som IKT egentlig er, og som jeg som pasient er helt avhengig av:
Tillit, trygghet, taushetsplikt, tilgang og en total risikovurdering
må være viktig for at jeg skal kunne si at det er greit, vi har sikkerhet
rundt våre IKT-løsninger og våre pasientopplysninger.
Etter å ha hørt utredningen fra
statsråden er jeg opptatt av: Hvilket tidsperspektiv er det for
det arbeidet som nå pågår i Helse Sør-Øst? Dette er et kritisk arbeid, å
vite at vi både har risikovurderinger og får iverksatt de tiltakene
på beredskapssiden som trengs, samtidig som det pågår et arbeid
for å få systemet og tilliten blant befolkningen som har sine pasientopplysninger
i journalsystemet til Helse Sør-Øst, opp å gå, slik at en klarer
å gi pasientopplysningene, journalsystemene og IKT-løsningene i
Helse Sør-Øst et annet omdømme enn de har i dag.
Mitt andre spørsmål til statsråden
er: Hvordan kvalitetssikrer – som nå skal gjøres – statsråden de
IKT-løsningene som er i Helse Midt-Norge, i Helse Nord og i Helse
Vest? Hva slags risikovurderinger blir gjort?
Vi vet alle at vi vil være avhengige
av gode og sikre plattformer for å være sikre på at den helsehjelpen
som trengs, skal vi få, ut fra at opplysningene om oss er sikret. Derfor
ønsker jeg å få svar fra statsråden på disse spørsmålene.
Abid Q. Raja hadde her overtatt
presidentplassen.
Seher Aydar (R) [11:35:06 ] : Dette er en alvorlig sak, ikke
minst fordi det har vært så mange som har advart – advarsler som
har blitt oversett. NITO, Fagforbundet og EL og IT Forbundet ba
om et møte med statsråden fordi de var bekymret for at tilgangen
til sensitive pasientopplysninger ikke kom til å bli godt nok ivaretatt
dersom helseforetaket brukte ansatte i utlandet. Men departementet
svarte at de ikke hadde behov for et møte, fordi statsråden kjente
godt nok til saken. Både tillitsvalgte, fagfolk og sikkerhetseksperter
advarte mot utflagging av IKT-driften i Helse Sør-Øst til utlandet.
Mitt spørsmål er: Hva er grunnen til at helseministeren valgte ikke
å lytte til disse advarslene? For valget om ikke å lytte til advarslene
har hatt store konsekvenser for pasientsikkerheten.
Retten til privatliv slås fast i
artikkel 12 i menneskerettighetserklæringen. Helsemyndighetenes
håndtering av pasientdata bryter 2,8 millioner norske personers
menneskerettigheter. Få steder er denne rettigheten viktigere enn
i møte med helsevesenet. Det kan dreie seg om sensitive opplysninger
som man absolutt ikke ønsker at andre personer enn helsepersonell
skal ha tilgang til.
Helseministeren kan ikke lenger
fraskrive seg ansvaret. Ansvarsfraskrivelse bryter ned tilliten,
tilliten mellom samfunnet og helsevesenet. Når du møter helsevesenet
i en sårbar situasjon, forventer du at dine helseopplysninger er
trygge, og at de ikke skal komme på avveier. Det er nemlig den tryggheten
som er så avgjørende for tilliten. Helseministeren må sørge for
at tilliten ikke brytes ned.
Tillit må alltid bygges, og den
må bearbeides. Det er mange helsearbeidere rundt om i landet som
sørger for det hver eneste dag. Men i dette tilfellet er helseministeren
ansvarlig for et overtramp mot privatlivet til pasienter, et overtramp
som kan skape mistillit.
Da Datatilsynet ga ut rapporten
som viste tydelig at det hadde vært flere lovbrudd i den tjenesteutsatte
infrastrukturen, skrev de også følgende i sin rapport:
«Det er grunn til å understreke
at saken er spesiell fordi det er første gang norske helseforetak
har besluttet å legge drift av hele helseregionens IKT-infrastruktur
til ekstern leverandør i utlandet. Driften omfatter behandling av
helseopplysninger om mer enn halve Norges befolkning og saken er
av den grunn også prinsipiell med tanke på liknende prosjekter som
er under planlegging i helsesektoren.»
Her må helseministeren ta ansvar.
Og denne gangen må helseministeren lytte til de tillitsvalgte og
til fagfolk. Utflagging og privatisering går ut over pasientsikkerheten.
Det bør derfor ikke gjentas. Det er ikke bra for pasientene, ikke
for ansatte og ikke for tilliten. Noen private selskapers ønske
om å tjene mer penger er ikke viktigere enn pasientsikkerhet og
trygghet i helsevesenet. Vi må lære av feilene og ikke gjenta dem.
Bård Hoksrud (FrP) [11:38:52 ] : Jeg vil starte med å si at
pasientdata og pasientinformasjon er viktig, og det opplever jeg
at alle i denne salen er veldig enige om. Det handler om at befolkningen
kan stole på at informasjonen om dem blir ivaretatt på en god måte,
derfor er dette et så utrolig viktig område.
Jeg hørte på representanten Wilkinson,
og han brukte en ganske høy utestemme. Det hender ofte at jeg også
gjør det, men det var en voldsomt høy utestemme fra representanten
Wilkinson og en ganske høy sigarføring – jeg skal kanskje ikke si
det, men det var litt det jeg tenkte på. Det var vel ikke alt som
fungerte utmerket under de rød-grønne når det gjaldt IKT-systemer.
Dessverre har det vært utfordringer på det området.
Jeg synes statsråden på en veldig
god måte redegjorde for situasjonen og hvordan man nå jobber for
å lukke det som er oppdaget, og hindre at man i framtiden skal oppleve
at man f.eks. får innbrudd, som angrepet vi hadde den 8. januar.
Jeg opplever at statsråden er veldig klar og har sendt klare og
tydelige bestillinger nedover om hvordan dette skal håndteres. Jeg
registrerte også at statsråden sa at han hadde styrket styret i
Helse Sør-Øst med denne typen kompetanse, og det tror jeg også er veldig
viktig. Sikkerhet er utrolig viktig, for det handler om pasientene
og alle dem som skal bruke dette, og at man skal være trygg på at
de opplysningene som ligger der, er sikret på en god måte. De opplysningene
som pasientene gir fra seg, kan faktisk være de opplysningene som
gjelder når det står om minutter eller sekunder. Derfor er det så
viktig at man har tiltro og tillit til disse opplysningene.
Jeg er nok ikke helt med i det koret
som enkelte representanter fra opposisjonen som har vært oppe på
talerstolen, er med i. Men jeg er helt enig i at det er alvorlig, at
det må tas tak i, og at det blir tatt tak i. Det er helt avgjørende,
og jeg opplever at statsråden på en veldig god måte har redegjort
for det her i Stortinget. Jeg registrerer også at SV nå har sagt
at private skal kunne få lov til å levere deler av dette, og det
tror jeg er viktig. Jeg tror at når det gjelder mye av dette, trenger
man å bruke de private for å levere gode tjenester og for å sikre
at vi skal være helt i tet og ha de beste IKT-systemene – de som
er sikre, og som ivaretar pasientene på best mulig måte.
Jeg synes det har vært en god redegjørelse,
men dette viser også at helseforetakene må fortsette å jobbe med
dette. Direktoratet jobber godt med dette, og det må man fortsette
å gjøre også framover. Vi, fra Fremskrittspartiets side, er i hvert
fall veldig opptatt av å sikre at man ivaretar opplysningene på
en sikker og trygg måte. Man kan kanskje aldri sikre seg mot å oppleve
nye angrep – det er dessverre slik at noen ønsker å ødelegge denne
typen systemer – men det er i hvert fall viktig at man gjør alt
man kan for å sikre det på best mulig måte.
Statsråd Bent Høie [11:42:50 ] : Jeg skal forsøke å svare på
en del av spørsmålene som så langt har kommet i denne runden – for
det første spørsmålet fra Kjerkol om kostnadsbildet: Som jeg sa
i min redegjørelse, er det etablert en avtale mellom Helse Sør-Øst
og firma på 280 mill. kr, som også omfatter lisensavtaler i 2017. Hvor
mye av dette som vil kunne sies å være penger som er tapt eller
bortkastet, er det ikke mulig å svare på nå, for det er helt avhengig
av hvor mye av disse investeringene som kan brukes videre i prosessen.
Det er igjen avhengig av hvilken løsning Helse Sør-Øst videre lander
på, så det er det ikke mulig å svare på nå.
Spørsmålet om hvordan de som roper
på sikkerhet, skal bli hørt, har jeg fulgt opp overfor både direktoratet og
helseforetakene, med understreking av betydningen av bl.a. at de
tillitsvalgte involveres i arbeidet, som det bl.a. har blitt gjort
i arbeidet med rapporten som Direktoratet for e-helse la fram i
september.
En rekke representanter har vært
inne på spørsmål knyttet til sikkerhetsloven. Stortinget har nå
en ny sikkerhetslov til behandling. Jeg bestemte relativt tidlig
at helseregionene skulle omfattes av sikkerhetsloven, det er også
tilfellet i dag, og det betyr at de vil bli omfattet av den nye
sikkerhetsloven. De regionale helseforetakene og Norsk Helsenett
etablerte i 2015 en sikkerhetsorganisasjon og sendte da departementet
en egenerklæring om at de hadde etablert sikkerhetstiltak for å
kunne håndtere sikkerhetsgradert informasjon. Virkeområdet til den
nye loven utvides hvis den blir vedtatt som foreslått. Flere av
RHF-enes funksjoner kan bli omfattet av bestemmelser om objekter,
infrastruktur, sikkerhet med bakgrunn i et endret risikobilde, den
teknologiske utviklingen og de siste hendelser i arbeidet i de regionale
helseforetakene, med tiltak for bl.a. å sikre IKT-infrastrukturen.
Det er også etablert et samarbeid mellom Helse- og omsorgsdepartementet
og Nasjonal sikkerhetsmyndighet, der de regionale helseforetakene,
Direktoratet for e-helse, Helsedirektoratet og Norsk Helsenett deltar.
I foretaksmøtet 16. januar ba jeg
også helseregionene om å gjennomgå tiltak som gjør at både helseregionene
og helseforetakene er klare for å implementere den nye sikkerhetsloven
når den trer i kraft. Da må det selvfølgelig også til en ny vurdering
av f.eks. hvilke objekter som er sikringsverdige på bakgrunn av
den loven som Stortinget vedtar.
Ellers var det en del i framstillingen
av historien i representanten Toppes innlegg som jeg vil betegne
som alternativ, men de som ønsker å finne svar på dette, kan lese
svarene jeg har gitt kontroll- og konstitusjonskomiteen, som gikk
inn på en del av de spørsmålene.
Jeg er også glad for at representanten
Wilkinson er så tydelig på at SV er enig i at en moderne helsetjeneste er
avhengig av private underleverandører for å kunne gi moderne og
skikkelige helsetjenester, ikke minst den digitaliseringen som vi
står overfor.
Når det gjelder spørsmålet om grensen
går ved IKT-infrastrukturen eller ikke, er det ikke noen veldig
tydelige anbefalinger om det. Både rapporten fra Nasjonal sikkerhetsmyndighet
og rapporten fra Direktoratet for e-helse er veldig tydelige på
hvilke forutsetninger som uansett må ligge til grunn, uavhengig
av om en velger å ha en privat tjenesteleverandør eller utvikler
dette i offentlig regi. Det er grunn til å si at IKT-infrastrukturen som
Helse Sør-Øst har i dag, er utviklet i offentlig regi. Sårbarheten
i den tror jeg er tydelig for oss alle i dag. IKT-infrastrukturen
som utvikles og forvaltes av det offentlige, er ikke noen garanti
for sikkerhet. Dette må være en konkret vurdering, ikke minst må
en gjøre gode risikoanalyser. Det er nettopp det som bl.a. sviktet
i prosessen i Helse Sør-Øst. Det hadde også vært nødvendig uavhengig
av hvilken løsning som er den beste.
Tidsperspektivet, som representanten
Bollestad tok opp, er at Helse Sør-Øst i løpet av våren vil ta beslutninger
om hvilke løsninger de velger for igjen å sette moderniseringen
av IKT-infrastrukturen på sporet igjen. Jeg er enig i at det er
helt essensielt at det arbeidet starter opp igjen, for vi har en
for sårbar IKT-infrastruktur i Helse Sør-Øst, bl.a. på bakgrunn
av den historiske utviklingen, som jeg også har redegjort for. Det
er også slik at jeg har stilt strengere krav til risikovurdering
gjennom de ulike oppdragene. Det gjelder alle helseregionene, også
andre helseregioner enn Helse Sør-Øst.
Presidenten: Presidenten
vil foreslå at helseministerens redegjørelse om tilgangsstyring
og informasjonssikkerhet i Helse Sør-Øst vedlegges protokollen.
– Det anses vedtatt.
Da går vi til sak nr. 2, som ved
en inkurie ble hoppet over.