Statsråd Bent Høie [10:02:22]: Jeg viser til min redegjørelse i Stortinget 30. januar 2018 om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst. Jeg takker for muligheten til nå å holde en ny samlet redegjørelse om arbeidet innen IKT-området i denne regionen.

I rapporten om Riksrevisjonens kontroll med forvaltningen av statlige selskaper i 2017 omtales to saker som angår IKT-utviklingen i Helse Sør-Øst spesielt. Rapporten ble lagt fram 6. november i fjor.

Under punktet om resultater av den årlige kontrollen har Riksrevisjonen vurdert arbeidet som tidligere ble omtalt som Digital fornying, og som var den samlede planen for regionens arbeid innen IKT-området.

Riksrevisjonen har videre gjennomført en egen forvaltningskontroll av Helse Sør-Østs gjennomføring av det regionale radiologiprogrammet RIS/PACS. Dette var et delprogram under Digital fornying.

Jeg vil i min redegjørelse komme inn på begge disse undersøkelsene. Videre vil jeg bl.a. kommentere arbeidet med moderniseringen av IKT-infrastrukturen i Helse Sør-Øst, som var bakgrunnen for min redegjørelse i januar 2018.

Jeg vil først kommentere Riksrevisjonens årlige selskapskontroll for 2017, hvor de spesielt så på arbeidet med Digital fornying i Helse Sør-Øst.

I oktober 2012 behandlet styret i Helse Sør-Øst forslag til IKT-strategi og handlingsplan – et fornyingsprogram for standardisering og teknologiske løsninger, omtalt som Digital fornying. Helse Sør-Øst igangsatte programmet i 2013. Flere av løsningene som var omfattet, var imidlertid påbegynt før 2013, og økonomivurderingene for IKT-prosjektene strekker seg tilbake til 2010.

Navnet Digital fornying benyttes ikke lenger for dette arbeidet. Navnet kan gi inntrykk av at dette er ett prosjekt for en avgrenset periode som skal avsluttes. Det er ikke tilfellet. Helse Sør-Øst vil til enhver tid ha en rekke store, pågående IKT-prosjekter. Dette er nødvendig for å møte helseforetakenes behov for IKT-løsninger som skal understøtte god behandling, pasientsikkerhet, kvalitet og informasjonssikkerhet. Alt dette utviklingsarbeidet ble en periode samlet under paraplyen Digital fornying.

Digitalisering av helsesektoren har ført til endringer i måten de ulike aktørene samarbeider på. Digitalisering krever at den utøvende helsetjenesten må samarbeide om behandling av helseopplysninger og om valg av digitale løsninger på en annen måte enn tidligere. Dette og den teknologiske utviklingen gjør at det er behov for å gjøre endringer og tilpasninger i det løpende arbeidet med IKT-prosjektporteføljen.

Etter at Helse Sør-Øst har vurdert planene for IKT-arbeidet i regionen på nytt og gjennomført en replanlegging, er det klart at de opprinnelige programmene og tidsplanene ikke lenger er en hensiktsmessig referanse for deres arbeid. Samtidig har det også kommet til flere nye prosjekter som påvirker totalbildet.

Riksrevisjonen skriver i sin rapport fra selskapskontrollen for 2017 at målene som ble satt for Digital fornying, ikke er nådd, og at det ikke er noe klart bilde av sluttkostnaden. Riksrevisjonen mener at det er departementets ansvar å følge opp at de fastsatte målene blir nådd. Riksrevisjonen uttrykker også at Stortinget burde ha fått en samlet orientering om status for Helse Sør-Østs arbeid innen IKT-området.

Jeg er derfor glad for at jeg nå har fått anledning til å gi en slik samlet redegjørelse for Stortinget, og med dette også en mulighet til å rette opp noen misforståelser og påstander som har kommet i sakens anledning.

Riksrevisjonen har i sin rapport fokusert på differansen mellom en planlagt kostnad på 5,5 mrd. kr og en realisert kostnad på 6,2 mrd. kr. Tallene er imidlertid ikke direkte sammenlignbare. Tallet på 5,5 mrd. kr er hentet fra den økonomiske langtidsplanen for IKT-investeringer i Helse Sør-Øst i perioden 2014–2017. 6,2 mrd. kr er de faktiske investeringer og driftskostnader i perioden 2010–2017. Her sammenliknes altså to ulike tidsperioder, og tall for investeringer sammenliknes mot tall for både drift og investeringer.

Riksrevisor uttalte til NTB tirsdag 6. november 2018 at man ennå ikke kunne se noen «dokumenterte effekter» av programmet, som hadde en stipulert kostnad på 5,5 mrd. IKT-kroner. Dette er misvisende og uheldig. Heldigvis har enkelte journalister sett at dette var å trekke konklusjonen for langt, bl.a. i en kommentar i Aftenposten 12. november 2018.

Under paraplyen Digital fornying, eller regionens arbeid innen IKT-området, har Helse Sør-Øst gjennomført en rekke vellykkede og viktige IKT-prosjekter.

• DIPS er innført som pasientjournal i alle helseforetak i regionen, både innen somatikk og psykisk helsevern. I tillegg er alle journalløsninger standardisert, slik at de bl.a. har samme oppsett og automatisert tilgangsstyring. Dette legger til rette for et pågående prosjekt som omhandler innsynsløsning mellom DIPS-installasjonene i regionen. Løsningen innebærer at en lege som f.eks. behandler en kreftpasient ved Sykehuset Østfold, kan lese journaldokumenter fra pasientens opphold ved Radiumhospitalet. Løsningen gir leger mulighet til å søke opp alle dokumenter som finnes på en pasient i de ulike helseforetakene i regionen. Løsningen vil være enkel i bruk, siden alle dokumenter er standardisert på samme måte i alle DIPS-installasjonene i regionen, og legen kan ut fra en oversikt velge ut de journaldokumentene det er aktuelt å lese. Dette er et viktig skritt på veien mot «Én innbygger – én journal».

• E-resept og kjernejournal er innført i alle helseforetak.

• Regional økonomi- og logistikkløsning er innført ved Akershus universitetssykehus, Sykehuset Østfold, Sykehuset i Vestfold, Sykehuset Telemark, Sunnaas sykehus, Vestre Viken, Sykehuspartner og Helse Sør-Øst RHF.

• Elektronisk kurve- og medikasjonsløsning er innført ved Akershus universitetssykehus, Oslo universitetssykehus, Sykehuset Østfold og Sykehuset Telemark. Ved Sykehuset Østfold er det innført såkalt lukket legemiddelsløyfe. Dette innebærer at helsepersonellet har elektronisk oversikt over hvilket medikament som er gitt til hvilken pasient, av hvilken helsearbeider og på hvilket tidspunkt. Dette har resultert i en klar nedgang i antall legemiddelfeil ved helseforetaket.

• Regional løsning for medikamentell kreftbehandling er tatt i bruk ved Sykehusapotekene, Oslo universitetssykehus, Sykehuset i Vestfold, Sykehuset Østfold, Vestre Viken og Sørlandet sykehus. Som ledd i løsningen er det etablert et regionalt kurbibliotek som inneholder en oversikt over alle kurer som blir gitt til pasienter med kreft. Kurbiblioteket ajourføres hver gang nye kreftmedisiner tas i bruk, og ansvaret for dette er lagt til Oslo universitetssykehus. På den måten legger den elektroniske løsningen til rette for både likeverdige og desentraliserte helsetjenester ved at alle pasienter i regionen er sikret lik behandling for samme kreftform uavhengig av hvilket sykehus behandlingen blir gitt ved.

• Elektronisk fødejournal er innført som standardisert løsning for alle helseforetakene i regionen.

Det er med andre ord en lang liste over omfattende, viktige og vellykkede IKT-prosjekter i Helse Sør-Øst. Samtidig er det velkjent at det har vært problemer med gjennomføringen av andre viktige prosjekter. Jeg vil nå kommentere noen av disse, og jeg vil starte med Riksrevisjonens kontroll med forvaltningen av statlige selskaper i 2017 og deres undersøkelse av gjennomføringen av regionalt radiologiprogram i Helse Sør-Øst.

Målet med regionalt radiologiprogram var å innføre en felles radiologiløsning i regionen. Styret i Helse Sør-Øst stoppet innføringen i februar 2018 og avbestilte ytterligere leveranse. Prosjektet ble stoppet som følge av erfaringene fra pilotprosjektet ved Sykehuset Innlandet og det faktum at de ikke lyktes med å etablere en regional løsning.

Riksrevisjonen viser i den nevnte rapporten til at arbeidet med en felles radiologiløsning for helseforetakene i regionen har pågått i syv år, med betydelig ressursbruk og økonomiske tap. Videre påpekes det at det er kritikkverdig at Helse Sør-Øst ikke klarte å tydeliggjøre hvilken løsning sykehusene hadde behov for, eller å kvalitetssikre tilbudene godt nok. Riksrevisjonen mener at det er sterkt kritikkverdig at arbeidet med felles radiologiprogram ikke ble styrt etter nytte og risiko, og at styrende organer ikke forvaltet styringsmyndigheten sin på en målrettet og god måte. De mener videre at oppdragsgiveren ikke har fulgt opp leverandøren godt nok.

Helse Sør-Øst har hatt betydelige økonomiske tap knyttet til prosjektet. I regnskapet for 2017 er det bokført et tap knyttet til radiologiløsningen på 114 mill. kr. Det er ikke forventet ytterligere tap i forbindelse med regnskapsavleggelsen for 2018. Sykehuset Innlandet er kompensert for deler av den merkostnaden helseforetaket hadde knyttet til innføring av løsningen. Det bokførte tapet på 114 mill. kr er ikke belastet Sykehuset Innlandet, men tatt som et tap i regnskapet til Helse Sør-Øst.

Riksrevisjonen mener at arbeidet med radiologiløsningen kunne gi grunn til bekymring for pasientsikkerheten. Dette er Helse Sør-Øst enig i, men har også gitt uttrykk for at det er viktig å skille mellom uønskede hendelser og brudd på pasientsikkerheten. Ved melding om avvik eller uønskede hendelser skal det settes inn tiltak og gjøres endringer for å sikre forsvarlig behandling, og det skal forebygges at hendelser oppstår på nytt. Dette er innarbeidet i avvikssystemet.

Ifølge Helse Sør-Øst har Sykehuset Innlandet, basert på avviksmeldinger, satt inn flere tiltak for å ivareta pasientsikkerheten og gi forsvarlig helsehjelp. Det har vært behov for mange manuelle kontrollrutiner og risikoreduserende tiltak. I tillegg har det vært behov for å gjennomgå store serier med røntgensvar for å kontrollere feil i overføring mellom radiologisystemet og pasientjournalsystemet.

Helseforetaket har med andre ord iverksatt ekstraordinære tiltak for å sikre pasientsikkerheten.

Styret i Helse Sør-Øst vurderte som nevnt at det ikke var tilrådelig å gå videre med prosjektet. Dette har Helse Sør-Øst tatt lærdom av, og bl.a. gjort endringer i organiseringen av IKT-prosjekt i regionen. Styret besluttet videre at Oslo universitetssykehus skulle få i oppdrag å anskaffe en radiologiløsning som dekker helseforetakets behov, samtidig som avtalen skulle kunne benyttes av de øvrige helseforetakene i regionen. Sykehuset Innlandet og de andre helseforetakene i regionen deltar i arbeidet som nå ledes av Oslo universitetssykehus.

Senere i redegjørelsen vil jeg komme tilbake til tiltak som Helse Sør-Øst har iverksatt på bakgrunn av erfaringer med dette programmet.

Jeg vil nå kommentere arbeidet med å modernisere IKT-infrastrukturen i Helse Sør-Øst. I denne forbindelse vil jeg minne om bakgrunnen for prosjektet. Helse Sør-Øst har en lite ensartet IKT-infrastruktur, og deler av denne representerer en utfordring med hensyn til informasjonssikkerhet.

Fusjonen mellom Helse Sør og Helse Øst i 2007 økte kompleksiteten i arbeidet med å utvikle felles regionale IKT-løsninger og infrastruktur. Fusjonen medførte ifølge Helse Sør-Øst at man, bl.a. som følge av lov om offentlige anskaffelser, på enkelte områder måtte starte på nytt med å utvikle enhetlige IKT-løsninger og infrastruktur. De har derfor over flere år arbeidet for å konsolidere og modernisere IKT-infrastrukturen i helseforetakene.

Styret i Helse Sør-Øst besluttet i styremøte i september 2016 at infrastrukturmoderniseringen skulle skje i samarbeid med en ekstern leverandør. Styret besluttet også at Sykehuspartner, som er Helse Sør-Østs felles IKT-tjenesteleverandør, skulle inngå kontrakt med den mest fordelaktige leverandøren. Det ble etter dette inngått kontrakt med det aktuelle selskapet. Det ble samtidig lagt til grunn at deler av Sykehuspartner skulle virksomhetsoverføres til den eksterne leverandøren.

Min redegjørelse 30. januar 2018 fokuserte hovedsakelig på den svikten i tilgangsstyringen som ble avdekket i Sykehuspartners arbeid med modernisering av helseregionens IKT-infrastruktur.

Av redegjørelsen gikk det fram at styret i Helse Sør-Øst i mai 2017 besluttet å stille moderniseringsprogrammet i bero. Beslutningen var basert på en foreløpig rapport fra foretakets revisor, PwC. Endelig rapport ble lagt fram 22. juni 2017. Denne bekreftet svikt i de forberedelsene som ble gjort for å overføre drift til den private leverandøren. PwCs gjennomgang viste at det hadde vært svikt både i tilgangsstyringen og i risikovurderingene. Samtidig slo PwC fast at det var lite sannsynlig at de aktuelle tilgangene som ble gitt, faktisk hadde blitt benyttet til å hente ut sensitive pasientopplysninger. Et viktig forhold å feste seg ved var at PwC i sin gjennomgang bekreftet behovet for en modernisering av IKT-infrastrukturen.

Styret i Helse Sør-Øst behandlet i juni 2018 saken om det videre arbeidet med moderniseringen av IKT-infrastrukturen i regionen. Etter en samlet vurdering besluttet styret at kontrakten med selskapet DXC om standardisering og modernisering av IKT-infrastrukturen skulle avbestilles. Videre besluttet styret at driften av IKT-infrastrukturen ikke skulle settes ut til en

ekstern leverandør.

Avviklingen av avtalen med DXC har hatt økonomiske konsekvenser for Helse Sør-Øst. I regnskapet for 2017 er det et bokført tap knyttet til avtalen med DXC på totalt 112 mill. kr.

I oktober 2018 behandlet styret i Helse Sør-Øst det endelige oppgjøret for avbestilling av tjenesteavtalen mellom Sykehuspartner og DXC. Det går fram av styrevedtaket at det som en del av avslutningsoppgjøret er gjort et kjøp av maskin- og programvarer til 141,4 mill. kr, eksklusiv merverdiavgift. I tillegg kommer 10,2 mill. kr til forhåndsbetalt vedlikehold og support av dette utstyret. Disse beløpene er knyttet til utstyr som forventes å bli brukt videre, og er derfor ikke å betrakte som et tap. Utover dette er det betalt ca. 60 mill. kr til DXC som kompensasjon for påløpte kostnader hos DXC og deres underleverandører.

Det vil bli framlagt en oversikt over samlet tap i forbindelse med regnskapsavleggelsen for 2018. Det pågår en vurdering av hvor mye av de gjenstående verdiene som kan gjenbrukes. På nåværende tidspunkt er det balanseført 142 mill. kr.

I min redegjørelse for Stortinget 30. januar 2018 viste jeg til at det i Norge er bred enighet om at befolkningen skal ha tilgang til offentlig finansierte helsetjenester av høy kvalitet, og at dette krever at vi aktivt bruker ny teknologi for å understøtte tjenestene. Da må vi vurdere å ta i bruk de fremste metoder og teknologier i verden, og også forholde oss til at mye av teknologiutviklingen skjer i andre land enn i Norge.

På bakgrunn av saken med mangelfull tilgangsstyring i Helse Sør-Øst fikk Direktoratet for e-helse i oppdrag å utarbeide en god og felles forståelse av hva som skal til for å sikre trygg og riktig bruk av både nasjonale og internasjonale leverandører. Direktoratet leverte en rapport om dette, som har blitt et viktig dokument for sektoren.

Direktoratets rapport bekreftet at helse- og omsorgssektoren er avhengig av private IKT-leverandører, både nasjonale og internasjonale. Ansatte hos disse leverandørene må nødvendigvis få en viss tilgang til våre systemer for å installere og vedlikeholde både medisinsk-teknisk utstyr og programvare.

Det må imidlertid alltid foreligge egnede risikovurderinger og databehandleravtaler for å ivareta nødvendig informasjonssikkerhet. Dette er spesielt viktig ved bruk av eksterne leverandører.

I felles foretaksmøte med de regionale helseforetakene i januar 2018 ba jeg om at anbefalingene i rapporten fra Direktoratet for e-helse ble lagt til grunn i det videre arbeidet med informasjonssikkerhet. Jeg ba også Helse Sør-Øst om å legge særlig vekt på rapporten i sitt videre arbeid med å sikre nødvendig modernisering av IKT-infrastrukturen i sin region.

Jeg viste i min redegjørelse i januar 2018 til datainnbruddet mot Helse Sør-Øst i januar 2018. Helse Sør-Øst ble utsatt for et omfattende datainnbrudd fra en avansert og profesjonell aktør. Saken ble politianmeldt, og PST innledet etterforskning om mulig brudd på straffelovens § 121.

Bestemmelsen rammer ulovlig etterretningsvirksomhet som kan skade grunnleggende nasjonale interesser knyttet til samfunnets infrastruktur, som helseberedskapen i Norge. PST henla saken i desember 2018 på grunn av manglende opplysninger om hvem som sto bak innbruddet. Etterforskningen viste kompromittering av en server i ekstern sone. Det vil si at denne har vært tilgjengelig via internett, hvilket også var hensikten, da dette var en tjeneste rettet mot publikum.

Konklusjonen etter PSTs etterforskning er i tråd med analysen som er gjort av Sykehuspartner. Sårbarhet i tjenesten rettet mot publikum ga trusselaktøren mulighet til å utføre kommandoer på operativsystemet på serveren, og derfra etablere et fotfeste for videre aktivitet. Gjerningspersonen har deretter tatt seg ulovlig videre til intern sone og skaffet seg administratortilgang. Denne tilgangen kunne ha blitt brukt til å stjele pasientopplysninger og forskningsdata. PST har opplyst at de, basert på sin etterforskning, ikke kan fastslå om slike opplysninger er stjålet eller ikke. De har samtidig heller ingen indikasjoner på at slike opplysninger har kommet på avveier.

Helse Sør-Øst har opplyst at både Sykehuspartner og senter for informasjonssikkerhet i Norsk Helsenett, HelseCERT, har undersøkt datatrafikken i en lengre periode enn det PST har gjort, og at de heller ikke har funnet noen indikasjoner på at pasientopplysninger er tatt ut eller på annen måte misbrukt. I forkant av angrepet hadde Helse Sør-Øst besluttet at Sykehuspartners innbruddsdeteksjonssystem skulle etableres ved alle helseforetakene i regionen, et arbeid som i all hovedsak var fullført før angrepet mot Helse Sør-Øst. Systemet har vært viktig i både hendelseshåndteringen og etterforskningen, og har gitt så vel Sykehuspartner, HelseCERT og PST god innsikt i nettverkstrafikken før, under og etter angrepet.

PST viser i sin pressemelding til at norske virksomheter må utvikle en god sikkerhetskultur, gjennomføre verdivurderinger og implementere nødvendige sikkerhetstiltak for å sikre sine datanettverk. Helse Sør-Øst legger vekt på at de gjennom Sykehuspartner, og i samarbeid med helseforetakene i regionen, har hatt en ekstra oppmerksomhet på dette fra våren 2017. Samtidig samarbeider helseregionene om erfaringsoverføring for å skape god sikkerhetskultur og kompetanse for å forebygge, avdekke og iverksette skadereduserende tiltak mot uautorisert tilgang til deres datanettverk. Direktoratet for e-helse og Norsk Helsenett deltar også i dette arbeidet.

Sykehuspartner har også etablert et eget program for å styrke tilgangsstyringen og få bedre informasjonssikkerhet og personvern. I 2018 er det innenfor dette programmet prioritert tiltak for å styrke Sykehuspartners evne til å stå imot, oppdage og respondere på dataangrep. Både Sykehuspartner og Helse Sør-Øst gjennomfører også en intern evaluering av hendelsen.

Jeg oppfatter det som naturlig at PSTs undersøkelser og evalueringsrapport fra Helsedirektoratet, samt Helse Sør-Østs egen evaluering, legges til grunn for videre arbeid i alle helseregioner. Departementet tok initiativ til et møte med berørte aktører i slutten av januar hvor dette var et tema.

Overgangen fra en papirbasert til en digitalisert helse- og omsorgstjeneste endrer hvordan vi tilnærmer oss kravene til informasjonssikkerhet og behandling av helseopplysninger. Pasientjournalloven fra 2014 er en viktig del av dette skiftet. Gjennom EUs personvernforordning, GDPR, går vi ytterligere et skritt videre.

I Helse Sør-Øst er det lagt ned mye arbeid med å implementere kravene som følger av personvernforordningen. Dette omfatter både personvern generelt og informasjonssikkerhet. Styringssystemet er gjennomgått og oppdatert regionalt, og alle helseforetakene har etablert personvernombud. Konsernrevisjonen i Helse Sør-Øst har nylig gjennomført en kartlegging av status i regionen. Arbeidet for å oppfylle kravene etter personvernforordningen er imidlertid en kontinuerlig prosess.

Tiltakene har samlet hatt stor betydning for sikkerhetskulturen i regionen. Personvern og informasjonssikkerhet er nå en integrert del av alle relevante beslutningsprosesser.

Riksrevisjonen skriver i sin rapport at det er departementets ansvar å følge opp at målene som er fastsatt, nås, og merker seg videre at Helse Sør-Øst ønsker tettere styring og oppfølging.

Når det gjelder Riksrevisjonens henvisning til at Helse Sør-Øst ønsker tettere styring og oppfølging, har Helse Sør-Øst oppgitt at dette var et uttrykk for at de selv vil ha en tettere oppfølging av Sykehuspartner og arbeidet med regionale IKT-prosjekter. Her har Helse Sør-Øst allerede iverksatt flere organisatoriske og styringsmessige endringer for nettopp å svare på dette.

Jeg setter overordnede rammer for driften av spesialisthelsetjenesten gjennom mine krav til de regionale helseforetakene, bl.a. gjennom vedtak i foretaksmøtene. De regionale IKT-prosjektene, herunder det tidligere programmet Digital fornying, er imidlertid en del av det regionale helseforetakets ansvar for å yte forsvarlige helsetjenester til befolkningen.

Jeg har tatt en rekke initiativ knyttet til å styrke arbeidet med informasjonssikkerhet i helsesektoren, både i forbindelse med utfordringene ved moderniseringsprogrammet i Helse Sør-Øst i fjor, og etter datainnbruddet i januar 2018. Blant annet har jeg styrket styret i Helse Sør-Øst med kompetanse på informasjonssikkerhet.

Jeg har forsikret meg om at Helse Sør Øst har delt sine erfaringer fra datainnbruddet med de øvrige helseregionene, for på den måten å sikre kunnskapsoverføring og bidra til en styrket beredskap i sektoren. Dette har blitt fulgt opp systematisk gjennom jevnlige møter mellom regionenes informasjonssikkerhetsledere.

Jeg har ved flere anledninger tatt opp utfordringene knyttet til informasjonssikkerhet med ledelsen i helseforetakene, senest i et møte med alle sykehusdirektørene og direktørene for de regionale helseforetakene i november 2018. Her viste jeg til at det er særlig behov for tiltak for å redusere risiko og kompleksitet i IKT-prosjektene og å sikre riktig organisering.

Jeg har tidligere nevnt krav stilt i foretaksmøtet i januar 2018. I foretaksmøtet nå i januar 2019 stilte jeg krav om å følge opp Riksrevisjonens funn og merknader. Dette innebærer bl.a. at Helse Sør-Øst skal rapportere til departementet fra arbeidet med oppfølgingen.

I forbindelse med reorganiseringen av styring og oppfølging av større IKT-prosjekter har Helse Sør-Øst iverksatt flere tiltak. Det ble i mai og juni 2017 foretatt endringer i den administrative ledelsen både i Sykehuspartner og i Helse Sør-Øst, og hele styret i Sykehuspartner ble byttet ut.

Det er ellers iverksatt ny organisering av teknologiområdet og e-helseområdet i regionen. De endringene som er iverksatt, skal bl.a. bidra til tydeliggjøring av roller og ansvar, og ansvaret er lagt i den ordinære linjen. Endringene skal sikre at helseforetakene blir bedre involvert, og at beslutninger blir bedre forankret både i helseforetakene og i ledelsen i de regionale helseforetakene.

Fra og med tertialrapporten for 1. kvartal 2018 er rapporteringen i Helse Sør-Øst endret slik at det skal rapporteres til styret på hvert styrevedtatt prosjekt. På denne måten ønsker Helse Sør-Øst å få tydeliggjort utfordringene knyttet til gjennomføringen av de enkelte prosjektene i IKT-porteføljen. Dette vil også sette styret i bedre stand til følge opp de prosjektene de selv har vedtatt. Det er oppmerksomhet på avviksrapportering med beskrivelse av tiltak for å lukke påviste avvik.

Riksrevisjonens undersøkelse av innføring av regional radiologiløsning peker på flere kritikkverdige punkter knyttet til organisatoriske forhold. Dette prosjektet er, som tidligere nevnt, stoppet, og Helse Sør-Øst har endret sin strategi.

Helse Sør-Øst vil endre måten anskaffelser gjennomføres på. Dette innebærer bl.a. at det som hovedregel skal være en intern forhandlingsleder. Det skal legges større vekt på erfaring med tidligere anskaffelser og større bevissthet om å ivareta ulike behov i regionen.

Leverandørstyringen skal styrkes. Helse Sør-Øst har dessuten styrket sin juridiske kapasitet og kompetanse innenfor avtaleområdet og vil koble denne kompetansen tettere på leverandørstyringen.

IKT-prosjekter er omfattende og komplekse. Løsningene skal integreres med mange ulike systemer og griper inn i arbeidsprosesser i forskjellige deler av organisasjonen. IKT-prosjekter er derfor forbundet med høy risiko, men det er samtidig viktig å påpeke at det også er en betydelig risiko forbundet med det å ikke videreutvikle og modernisere IKT-løsningene.

I denne gjennomgangen av IKT-området i Helse Sør-Øst vil jeg også nevne IKT-hendelsen fredag 18. januar i år, der en feil hos Sykehuspartner førte til at pasientjournalsystemet DIPS var nede eller ustabilt ved helseforetakene i Helse Sør-Øst.

Alle helseforetakene i regionen med akuttbehandling av pasienter gikk i beredskap samme ettermiddag/kveld. Manuelle rutiner ble benyttet ved alle helseforetakene. Det ble ikke rapportert om fare for pasientbehandlingen.

Sykehuspartner fikk systemene i helseforetakene tilbake i normal funksjon utover fredag kveld. Helseforetakene gikk av den grunn over i normal drift og avsluttet beredskapen suksessivt utover kvelden denne fredagen, 18. januar.

Feilen ble rettet natt til mandag 21. januar, og samme ettermiddag gikk Sykehuspartner ut av beredskap og var tilbake i normal drift.

Det er ikke funnet noen indikasjon på datainnbrudd.

Sykehuspartner er i henhold til etablerte rutiner i ferd med å evaluere hendelsen og vil på bakgrunn av dette vurdere å implementere tiltak som reduserer risikoen for tilsvarende hendelser.

Hendelser som dette understreker viktigheten av at det arbeides med å modernisere IKT-infrastrukturen i Helse Sør-Øst og å få på plass gode og sikre IKT-tjenester for å redusere risikoen for driftsavbrudd på viktige pasientsystemer. Hendelsen viser også at det er risiko forbundet med drift av IKT-tjenester, og at helseforetakene i regionen har gode manuelle rutiner når IKT-hendelser oppstår.

Vi må være forberedt på at slike hendelser vil kunne skje også i framtiden, men Helse Sør-Øst vil være mer robust i møte med disse når de har fått på plass en modernisert IKT-infrastruktur.

Det er viktig at helseforetakene har en åpenhet rundt sin håndtering av informasjonssikkerhet, også knyttet til medisinsk-teknisk utstyr, og at det rutinemessig meldes fra til Datatilsynet når det skjer avvik. Dette er ikke uvanlig, og tilsynet vil relativt ofte ha slike saker til behandling.

Det går fram av denne redegjørelsen at det har vært flere uheldige og krevende hendelser i Helse Sør-Øst innen IKT-området de siste årene. Det er viktig at sektoren lærer av disse. Parallelt med disse hendelsene har det skjedd endringer i våre omgivelser, både i den teknologiske utviklingen og i det internasjonale trusselbildet. Dette krever også tiltak for å sikre informasjonssikkerheten.

Helse Sør-Øst har gjennomført flere tiltak for å redusere risiko og kompleksitet i sitt IKT-arbeid og vil fortsette dette arbeidet. Blant annet er ansvarslinjene presisert for å få en bedre forankring av beslutninger om IKT-prosjekter. Dette er i tråd med Riksrevisjonens anbefaling.

For meg har det vært viktig å ha oppmerksomhet på trygge og sikre IKT-systemer i min overordnede eierstyring.

Det pågår som kjent mange store og viktige IKT-prosjekter i alle helseregioner. Jeg vil prioritere å følge opp dette arbeidet i min styringsdialog, både med helseregionene, Direktoratet for e-helse og Norsk Helsenett.

Jeg har derfor i felles foretaksmøte med de regionale helseforetakene nå i januar bedt helseregionene om å samarbeide gjennom erfaringsoverføring – dette for å skape god sikkerhetskultur og utvikle kompetanse for både å forebygge, avdekke og iverksette skadereduserende tiltak mot bl.a. uautorisert tilgang til sektorens datanettverk. Direktoratet for e- helse og Norsk Helsenett deltar også i dette arbeidet. Disse må i fellesskap bidra til å redusere risiko og kompleksitet i sektorens IKT-prosjekter og sikre riktig organisering med klare ansvarslinjer og ledelsesforankring.

Jeg vil avslutningsvis nevne at Riksrevisjonen nå planlegger å gjennomføre en undersøkelse om helseforetakenes beskyttelse av sine IKT-systemer. Denne forventes å gi oss nyttig kunnskap for å forebygge og forsterke helseforetakenes forsvar mot nye dataangrep. Vi er generelt positive til Riksrevisjonens undersøkelser av vår sektor, og de danner ofte et godt grunnlag for ytterligere forbedring. Det har de også gjort i denne sammenheng.

Ingvild Kjerkol (A) [10:35:39]: Helseministeren bruker Stortingets talerstol til å gå i rette med Riksrevisjonen i en sak som er avgitt fra kontroll- og konstitusjonskomiteen, og hvor statsråden har hatt full anledning til å svare på den kritikken og de vurderingene som Riksrevisjonen har gjort. Jeg synes det er litt spesielt.

Men til selve redegjørelsen: Under denne helseministeren har vi dessverre hatt for mange av disse skandaleprosjektene i denne helseregionen. Det er derfor statsråden må komme til Stortinget og forklare seg igjen og igjen. Det har kostet Helse-Norge dyrt, og det skyldes for dårlige prosesser, manglende respekt for advarsler fra fagmiljøet og en åpenbar politisk ideologi der troen på outsourcing følger en klassisk høyrepolitisk logikk. Fasiten er tapte penger og tapt tillit.

Statsråden ble advart mot risikoene da det var snakk om outsourcing, men avviste det og forklarte Stortinget at dette skulle frigi midler til pasientbehandling. Det motsatte skjedde. I tillegg kommer også den mislykkede anskaffelsen av radiologisystemer som statsråden redegjorde for.

For Arbeiderpartiet er målet at pasienter ved norske sykehus skal være trygge på at behandlingen kommer raskt i gang, og at tjenesten skal gis i et planlagt og uavbrutt forløp. Helsetjenestens IKT-systemer er grunnleggende for å oppnå de målsettingene. Pasientinformasjonen må flyte på en måte som sikrer god og riktig behandling, og som ivaretar datasikkerheten.

For trygg og sikker databehandling vet vi at tre ting er avgjørende: Det er konfidensialitet – at dataene ikke kommer på avveier eller havner hos noen som ikke skal ha tilgang til dem. Det er integritet – at ingen uvedkommende kan bryte seg inn i systemene. Det er tilgjengelighet – at pasientinformasjon blir tilgjengelig i alle deler av tjenesten som har betydning for pasientens behandling og sikrer kvaliteten på behandlingen.

Dessverre har IKT-skandalen i Helse Sør-Øst vist at dette ikke har vært godt ivaretatt, og også alle disse hendelsene som har foregått, det gjentar statsråden i sin redegjørelse. Den 8. januar 2018 ble Sykehuspartner varslet om at det pågikk unormal aktivitet i systemene i regionen. Helseforetaket mistenkte at profesjonelle sto bak, og PST og Kripos ble koblet inn. Uvedkommende har kunnet få tilgang til sensitive pasientdata om 2,8 millioner nordmenn som hører til i området Sør-Øst. Dermed har sensitiv informasjon kunnet komme på avveier, uvedkommende har kunnet kartlegge en infrastruktur som kunne ha blitt brukt til sabotasje og til å lamme deler av helsetjenesten. Dette må vi ta lærdom av.

Avtalen fikk massiv kritikk da den ble inngått, fordi fagfolk og sikkerhetseksperter advarte om at en outsourcing til utenlandske aktører ville være en trussel mot pasientsikkerheten. Argumentene for og mot dette kan man diskutere. Men argumentene for å løse disse oppgavene i egen regi er veldig gode. Derfor bør man løse dette «in-house», som de andre helseregionene har gjort, og den konklusjonen kom styret i Helse Sør-Øst til i juni i fjor.

«Vi må ha kontrollen med dataene i eget selskap. Vi kom fram til at informasjonssikkerheten ikke kunne bli godt nok ivaretatt ved å sette ut driften».

Det sa styreleder Svein Gjedrem i Helse Sør-Øst i juni i fjor.

Det viser at det er best å legge de ideologiske skylappene til side. At helseopplysningene til halve Norges befolkning ikke har vært trygge, rokker ved tilliten til helsetjenesten, og forsvarlig behandling av disse opplysningene er en kjerneoppgave for helsetjenesten vår. Det er statsrådens ansvar. Det er bra og nødvendig at det digitale fornyingsarbeidet i Helse Sør-Øst fortsetter med styrke og kontroll. Det trenger pasientene.

Jeg vil til slutt foreslå at redegjørelsen blir oversendt komiteen.

Torill Eidsheim (H) [10:40:38]: Først vil eg få takke ministeren for ei grundig utgreiing om arbeidet med IKT i Helse Sør-Aust. For å sikre effektivisering gjennom auka digitalisering av det norske samfunnet må IKT-løysingar og digitale tenester vere tilstrekkeleg sikre og ikkje minst pålitelege. Verksemder og privatpersonar må ha tillit til at system og nettverk fungerer slik dei skal, og varetek personvernet til den enkelte. God IKT-sikkerheit og evne til å handtere uønskte digitale hendingar er ein føresetnad for å oppnå denne tilliten.

IKT-løysingar som skal understøtte god behandling, pasientsikkerheit, kvalitet og informasjonssikkerheit, er eit kontinuerleg arbeid. Helse Sør-Aust og dei andre regionane vil framover måtte ha ei rekkje store, pågåande IKT-prosjekt. Digitalisering av helsesektoren har ført til endringar i måten dei ulike aktørane samarbeider på, og teknologisk utvikling gjer at det er behov for dynamikk òg i dette arbeidet.

Det er kjent at det har vore problem med gjennomføringa av enkelte viktige prosjekt. Samtidig er det ein realitet at Helse Sør-Aust i dag har gjennomført ei rekkje vellykka og riktige IKT-prosjekt. Tiltak for å redusere risiko og kompleksitet i IKT-prosjekta og å sikre riktig organisering er heilt vesentleg at blir følgde opp på ein god måte.

Utfordringane i det digitale rommet er grenseoverskridande, på tvers av land, sektorar og verksemder, og denne utviklinga går svært fort. Det er veldig positivt at ministeren sette i gong ei utgreiing med mål om å få ei felles forståing av kva som skal til for å ha ein trygg og riktig bruk av både nasjonale og internasjonale leverandørar i helsetenesta.

Det er ikkje eit motsetningsforhold mellom informasjonssikkerheit og tenesteutsetjing. Trygg outsourcing krev god bestillarkompetanse, og kvar enkelt verksemd er nøydd til å gjennomføre grundige risiko- og sårbarheitsvurderingar i kvart enkelt tilfelle ved eventuell utflytting av den typen tenester.

Det er ei vesentleg oppgåve for regjeringa å sikre ei berekraftig helseteneste, og det krev at vi tek denne erfaringa vi har med Helse Sør-Aust, inn over oss og ser på alle sider av heilskapen her. Som representanten frå Arbeidarpartiet peikte på, må vi leggje dei ideologiske skylappane til side. Vi er nøydde til å ta ei heilskapleg vurdering. Vi er òg nøydde til å ta inn over oss at vi lever i ei internasjonal verd når det gjeld IKT, og det er vesentleg at vi legg forholda til rette for at våre pasientar kan dra nytte av den utviklinga som vi er avhengige av på dette området.

Åshild Bruun-Gundersen (FrP) [10:45:01]: Jeg vil takke helseministeren for en god redegjørelse om et viktig tema. Den digitale utviklingen har utrolig mange positive sider ved seg, men det er ingen tvil om at den også byr på utfordringer. Vi har hatt mange IKT-prosjekter i offentlig regi gjennom årene som har gått galt fordi man har undervurdert kompleksiteten i prosjektene. Man har heller ikke hatt den kompetansen som er nødvendig for å håndtere prosjektene, i mange av tilfellene.

Det er viktig å understreke at det også finnes gode eksempler på prosjekter som er vellykket i Helse Sør-Øst, ikke minst DIPS, innført som pasientjournal i alle helseforetakene i regionen. Dette er et viktig skritt mot én innbygger – én journal. Men det er bekymringsfullt at det er mange eksempler på prosjekter som har gått galt, ikke minst da moderniseringsprogrammet skulle gjennomføres i samarbeid med en ekstern leverandør, og det ble avdekket svikt både i tilgangsstyringen og i risikovurderingene. Dette understreker nok en gang hvor viktig det er med god kompetanse i disse prosjektene.

Vi vil i Norge være avhengig av å bruke private leverandører, både nasjonale og internasjonale, til IKT-prosjekter, også i offentlig sektor. Da må man trå varsomt og være bevisst de farene og utfordringene som kan oppstå gjennom dette. Det er derfor bra at Direktoratet for e-helse har jobbet med å utarbeide en god og felles forståelse av hva som skal til for å sikre trygg og riktig bruk av både nasjonale og internasjonale leverandører. Dette må følges opp i praksis i sektoren. Det må foreligge risikovurderinger og databehandleravtaler for å ivareta informasjonssikkerheten.

Våre helseopplysninger er noe av det mest private vi har. Vi stiller krav til de aktørene som oppbevarer denne informasjonen om oss. I denne sammenheng er datainnbruddet i Helse Sør-Øst i 2018 svært alvorlig. Vi må kunne stole på at vår helsetjeneste, som i Norge i stor grad er i offentlige hender, er i stand til å beskytte oss mot krefter som potensielt er ute etter private opplysninger om oss. Det er ikke indikasjoner på at pasientopplysninger er tatt i bruk eller misbrukt, men det er svært alvorlig at tilgangen kunne ha blitt brukt til å stjele pasientopplysninger og forskningsdata.

I Norge har vi ikke lenger råd til å være naive. IKT-sikkerheten er ekstremt viktig. Fremskrittspartiet er glad for at dette er noe som er høyt på agendaen til regjeringen. Det er veldig bra at helseministeren følger dette tett opp. PST understreker at vi må utvikle en god sikkerhetskultur, gjennomføre verdivurderinger og implementere nødvendige sikkerhetstiltak for å sikre våre datanettverk. Vi forventer at dette er noe helseministeren og resten av regjeringen følger opp, også i et langsiktig perspektiv.

Fremskrittspartiet er glad for at Riksrevisjonen planlegger å gjennomføre en undersøkelse om helseforetakenes beskyttelse av sine IKT-systemer. Det handler bl.a. om hvordan de beskytter potensielt sensitive helseopplysninger om deg og meg. Det er viktig at befolkningen har tillit til at dette gjøres på en god måte, og jeg er glad for at regjeringen og helseministeren tar dette på alvor og følger det opp.

Kjersti Toppe (Sp) [10:48:34]: Takk for utgreiinga. Eg må òg seia at eg synest det er litt spesielt at vi får ei utgreiing om ei sak som har vore til behandling i kontroll- og konstitusjonskomiteen, og som dei har lagt fram innstilling om.

Eg støttar det som representanten Ingvild Kjerkol sa om å få denne saka send over til komité.

Eg vil innleiingsvis seia at eg synest det er spesielt at statsråden tala i ein halvtime utan å nemna noko om sikkerheitslova. Stortinget vedtok for vel eit år sidan ei ny sikkerheitslov, og det som er eit tema i ho òg etterpå, er om IKT i helsevesenet skal definerast inn under sikkerheitslov om skjermingsverdig informasjon. I dag høyrer vi at statsråden viser til at det er ansvaret til helseføretaka, og at han må halda seg til det – han kan gjera litt i oppdragsdokumenta og i styringsdialogen sin, men dette er ansvaret til dei regionale helseføretaka. Det er sant, men det er ei veldig forenkling av heile dette området. Etter sikkerheitslova er det Helse- og omsorgsdepartementet som har ansvaret for førebyggjande sikkerheit i helse- og omsorgssektoren.

I dag er dei regionale helseføretaka og helseføretaka definerte inn under sikkerheitslova. Det same gjeld Norsk Helsenett. Men avgjerda om IKT-infrastrukturen skal definerast inn under sikkerheitslova, er etter lova delegert til Helse- og omsorgsdepartementet. At ein i dag ikkje seier noko om det, synest eg er veldig oppsiktsvekkjande.

Senterpartiet har saman med SV fremja forslag om akkurat dette, om å definera grunnleggjande IKT-infrastruktur i helsevesenet inn under sikkerheitslova. Eg har enno ikkje fått svar på om dette skal skje, når det skal skje, og i tilfelle kvifor ikkje. Eg meiner det er opplagt at ein del av svaret på alle desse skandaleprosjekta når det gjeld IKT, er at ein må få ei mykje tydelegare styring frå toppen. Da er sikkerheitslova ein fin plass å begynna, og det kan ikkje ein statsråd la vera å nemna når ein vel å koma til Stortinget for å gjera greie for denne situasjonen.

Blant dei prosjekta som er nemnde, har vi radiologiprogrammet i Helse Sør-Aust, som har vore i gang i sju år. Det har vore betydeleg ressursbruk og økonomisk tap, og løysinga er ikkje god nok. Dette vart Stortinget informert om i 2013. No er vi i 2019. Ein stor kritikk frå Riksrevisjonen er at Stortinget ikkje har vorte informert undervegs. Vi har lese om ting i media, men vi har ikkje fått ei utgreiing frå statsråden. Det er bra at ho er komen no – etter seks år og etter at Riksrevisjonen har etterlyst ho. Men spørsmålet mitt er: Kvifor i alle dagar har ein ikkje vorte informert om dette undervegs? Og kan vi ha tiltru til at Stortinget vert informert dersom det er andre liknande prosjekt?

Det same opplevde vi i IKT-saka i Helse Sør-Aust, med den outsourcinga som skjedde. Vi i opposisjonen tok det opp fordi vi fekk mange bekymringsmeldingar, men bekymringane vart blankt avviste. Vi fekk inga skikkeleg utgreiing. Eg føler vi vart ikkje haldne oppdaterte nok, og så skjedde det som skjedde.

Ei anna bekymring – utanom Helse Sør-Aust – er når vi ser på kva som no skjer i Helse Midt-Noreg med Helseplattforma, eit kjempeviktig prosjekt som skal sikra betre samhandling og pasientsikkerheit. Òg der får vi no bekymringsmeldingar – frå Abelia, som var på budsjetthøyringa vår sist haust. Det er stor risiko, meiner dei, det er stor fare for ikkje å utnytta konkurransen i marknaden. Det er stor fare knytt til anbodsprosessane.

Eg forventar at ein statsråd tar ansvar for at ein hindrar nye milliardtap i dei mislykka anbodsprosessane til helseføretaka, og informerer Stortinget dersom nokre slike alvorlege ting er på gang – og ikkje mange år etterpå og ting eigentleg er avslutta.

Torgeir Knag Fylkesnes (SV) [10:53:48]: Dette var ei litt vrien sak å handtere. Eg sit i kontrollkomiteen og er saksordførar for nettopp saka om selskapskontrollen, som statsråden adresserer i innlegget sitt. Vi har nettopp lagt fram innstilling, den 29. januar gjorde vi det, og den saka har ikkje vore oppe til debatt i Stortinget enno. Eg opplever at statsråden i stor grad diskuterer med Riksrevisjonen i denne utgreiinga, mens det er den diskusjonen, Riksrevisjons-debatten, som vi har hatt i kontrollkomiteen, altså at Riksrevisjonen gjennom selskapskontrollen legg eit løp og er i dialog med departementet – løpande. Der har Helsedepartementet full moglegheit til, og har også nytta seg av, å ha nær dialog med Riksrevisjonen og kome med innspel til Riksrevisjonen sine konklusjonar. Det har også påverka Riksrevisjonen sine vurderingar.

Så startar prosessen overfor Stortinget og i kontrollkomiteen, der det også har vore ein dialog med Helsedepartementet, og samla sett har vi kome med ei innstilling til Stortinget når det gjeld selskapskontroll. Derfor meiner eg det er spesielt at statsråden nyttar § 45 i forretningsordenen til å kome med ei utgreiing som går direkte inn i ei sak som vi framleis ikkje har behandla – og polemiserer med Riksrevisjonen, i form av ei utgreiing – ei utgreiing som skal leggjast ved protokollen og ikkje gå til komité, slik det er lagt opp til.

Det er ein veldig uryddig prosess, men eg trur at vi kan kome oss ut av det ved at denne utgreiinga, som er omfattande – ein halv time med tettpakka informasjon, vanskeleg for Stortinget å ta stilling til – blir behandla i komité. Da vil eg anbefale at helsekomiteen tar det, ettersom det ikkje berre er kontrollkomiteen sin etterpåklokskap som blir adressert her, men også dagens situasjon, som heilt konkret er helsekomiteen sitt domene.

Det var det problematiske. Det positive med utgreiinga er at dette faktisk er ei oppfølging av noko som ligg i innstillinga til kontrollkomiteen, der ein samla komité viser til:

«Regjeringen har også et ansvar for å informere Stortinget når store prosjekter av denne typen møter vesentlige utfordringer. I denne saken har ikke regjeringen informert samlet etter høsten 2013, selv om mange utfordringer har oppstått i etterkant. Komiteen mener at regjeringen bør ta lærdom av dette, og ber om at Stortinget får seg forelagt en samlet statusoversikt. Komiteen ber videre om at regjeringen sørger for å holde Stortinget løpende og samlet orientert framover, dersom det skulle oppstå nye utfordringer.»

Det adresserer på mange måtar det som representanten Toppe tar opp, at her er Stortinget opptatt av å vere godt informert. Ein måte å vere godt informert på er at helsekomiteen kan ettergå utgreiinga, stille spørsmål og få tid til å gå skikkeleg gjennom sakskomplekset. Da meiner eg at ein hadde fått ei ryddig behandling.

Så blir det ei utfordring for presidentskapet å finne ut korleis ein skal ta stilling til denne typen situasjonar, der vi har ei sak gåande i komité, som ikkje har vore til behandling i Stortinget enno, men der statsrådar ved å bruke § 45 i forretningsordenen kjem og uttalar seg, har orientering om den aktuelle saka. Det er ein situasjon som eg ikkje har vore borti tidlegare.

Så vil eg berre understreke alvoret i dette. Det er fleire store program i Helse Sør-Aust. Dei kostar kolossalt mykje, det er dokumentert store overskridingar, det er uklart om ein i det heile har kome i mål, ein veit ikkje når ein skal kome i mål, ein har ikkje hatt full kontroll på datalekkasjar, tilgangskontroll, dei spørsmåla der – veldig alvorleg, alle er einige i det – og pasientsikkerheita i spesielt radiologiprogrammet har lidd. Kontrollkomiteen meiner det har vore alvorleg svikt i pasientsikkerheita. Det er omgrep ein finjusterer i kontrollkomiteen, med utgangspunkt i Riksrevisjonen sine vurderingar, som viser litt av tyngda i saka. Det har vore ein kostnadsgalopp her som har vore ute av kontroll, som ein må få kontroll på.

Eg meiner det absolutt er på sin plass at helsekomiteen får utgreiinga og får gjort ein grundig jobb, sånn at Stortinget har kontroll med både pasientsikkerheit, kostnadsoverskridingar og datalekkasjar.

Geir Jørgen Bekkevold (KrF) [10:59:03]: Jeg vil også benytte anledningen til å takke helseministeren for denne redegjørelsen. Som han peker på, har det vært flere uheldige og krevende hendelser i Helse Sør-Øst innen IKT-området de siste årene, og jeg er enig med statsråden i at det er viktig at sektoren tar lærdom av dette.

Norge er kanskje et av verdens mest digitaliserte land. Vi har vært framoverlente og valgt å bruke digitale løsninger for å løse viktige samfunnsoppgaver, men det er helt klart at det også gjør oss sårbare. Nettopp derfor må sikkerhet settes i høysetet når man velger digitale løsninger. Her har man en del å gå på, det viser denne redegjørelsen, som handler om IKT-løsninger innenfor Helse Sør-Øst.

Jeg er glad for at Helse Sør-Øst følger opp Riksrevisjonens anbefaling, bl.a. med å presisere ansvarslinjene for å få en bedre forankring av beslutninger om IKT-prosjekter. Det er kjempeviktig. Jeg er også glad for at Riksrevisjonen – og det er det flere som har gitt uttrykk for – nå planlegger å gjennomføre en undersøkelse om helseforetakenes beskyttelse av IKT-systemer. Den uroen som er skapt ved at man har pekt på datainnbrudd og pasientopplysninger på avveier – det er klart det er noe vi ikke kan leve med. I likhet med statsråden er jeg veldig positiv til at Riksrevisjonen gjennomfører slike undersøkelser for på den måten å gjøre denne sektoren enda bedre.

Jeg er veldig glad for denne redegjørelsen, og jeg er opptatt av at vi ikke stopper med dette. Jeg har på vegne av regjeringspartiene lyst til å gi uttrykk for at vi ønsker det samme som representanten Kjerkol, at denne redegjørelsen blir oversendt til komiteen. Så vil komiteen kunne ta stilling til hvordan Stortinget skal behandle denne redegjørelsen videre. Vi støtter det forslaget, vi håper det kan bli tatt hensyn til, og at vi får tid i komiteen til å gå enda nøyere igjennom redegjørelsen og på det grunnlaget vurdere hvordan vi skal følge det videre opp. Men dette er jo ikke en sak som eventuelt stopper her. Når det gjelder IKT og valg av IKT-løsninger innenfor helsesektoren, vet vi at dette er et område vi kommer til å møte i flere omganger.

Jeg har også bakgrunn fra kontrollkomiteen – det var riktig nok i min første periode, og det begynner å bli noen år siden – men da var det IKT-løsninger knyttet til valg av løsninger ved Oslo universitetssykehus som viste seg å være en løsning som ikke var mulig å gjennomføre. Vi har kastet bort store ressurser på å velge løsninger som ikke har fungert. Men vi må hele tiden tenke sikkerhet, vi må tenke på hvordan vi bruker offentlige ressurser på best mulig måte – hvordan sikrer vi at de IKT-løsningene som man velger, ivaretar ikke minst pasientsikkerheten? Jeg er ganske sikker på at dette er saker som denne komiteen kommer til å måtte jobbe med også i tiden framover.

Vi støtter som sagt at dette oversendes komiteen, så får komiteen ta en vurdering av hvordan vi skal følge dette arbeidet videre opp.

Statsråd Bent Høie [11:03:06]: Takk for tilbakemeldingene. Jeg vil bare understreke at jeg ikke har gått i rette med Riksrevisjonens rapporter. Det jeg hadde behov for å understreke, var riksrevisorens kommunikasjon med media i forbindelse med framleggelsen av rapportene, som skapte et inntrykk av at en her hadde to sammenlignbare tall, som faktisk ikke er sammenlignbare, for de representerer både ulikt grunnlag og ulik tidsperiode. Disse tallene fikk mye oppmerksomhet, og det var viktig for meg å understreke at dette ikke er sammenlignbare tall.

Når det gjelder Riksrevisjonens rapporter, tror jeg hele min redegjørelse – gjennomgående – viste på hvilket alvor Helse- og omsorgsdepartementet tar riksrevisjonsrapportene, og på hvilke måter vi følger dem opp. Avslutningsvis ga jeg også uttrykk for at vi er glade for den jobben Riksrevisjonen gjør, og at vi ser fram til den rapporten som Riksrevisjonen jobber med nå, og som også sannsynligvis kommer til å bli veldig nyttig for oss i arbeidet med den videre oppfølgingen.

Jeg finner det litt underlig at en kritiserer at en får en helhetlig redegjørelse, noe det er blitt påpekt at vi burde gi Stortinget. Når en skal holde en helhetlig redegjørelse, vil det være litt vanskelig å ta ut én av riksrevisjonsrapportene som kontroll- og konstitusjonskomiteen har behandlet, for redegjørelsen omfatter jo flere rapporter fra Riksrevisjonen, bl.a. en som var oppe til behandling i Stortinget den 5. februar i år, der jeg sa at jeg ville komme tilbake med en helhetlig redegjørelse, noe jeg har gjort i dag. Det var ingen fra kontroll- og konstitusjonskomiteen som hadde negative kommentarer til det i den debatten.

Jeg vil også understreke at når det skapes inntrykk av at Stortinget ikke er informert, er det ikke det som kommer fram i Riksrevisjonens rapporter. Det som kommer fram, er at Stortinget ikke har fått en samlet informasjon. Det er det jeg har prøvd å gi her i dag. Men Stortinget har blitt informert i ulike dokumenter, saker og redegjørelser gjennom denne perioden.

Så til spørsmålet om sikkerhetsloven: Jeg, som helse- og omsorgsminister, bestemte at helseregionene skal omfattes av sikkerhetsloven – de omfattes selvfølgelig også av den nye sikkerhetsloven. Arbeidet med å definere hvilke objekter som er skjermingsverdige, pågår nå. Det er helt riktig at det er Helse- og omsorgsdepartementet som etter den gjennomgangen vil fastsette hvilke objekter som er skjermingsverdige, men det er nok litt mer komplisert enn bare å si at all IKT-infrastruktur er skjermingsverdig. Dette handler om en konkret vurdering av konkrete objekter, og det ville vært veldig rart hvis Stortinget hadde sluttet seg til Senterpartiets forslag, som ville innebære at Stortinget gikk inn og besluttet hvilke objekter som er skjermingsverdige, når loven sier at det er Helse- og omsorgsdepartementet og de andre ansvarlige departementene som skal gjøre den typen vurderinger.

Jeg ser fram til komiteens videre behandling av denne redegjørelsen. Jeg vil selvfølgelig også svare på de spørsmålene som komiteen eventuelt måtte ha i forbindelse med den behandlingen. Det var viktig å få gitt denne samlede redegjørelsen for hvordan vi vurderer situasjonsbildet nå. Det har vi nå gjort, og jeg ser som sagt fram til den videre behandlingen av saken.