Skriftlig spørsmål fra Nicholas Wilkinson (SV) til helse- og omsorgsministeren

Dokument nr. 15:162 (2017-2018)
Innlevert: 31.10.2017
Sendt: 01.11.2017
Besvart: 17.11.2017 av helse- og omsorgsminister Bent Høie

Nicholas Wilkinson (SV)

Spørsmål

Nicholas Wilkinson (SV): Kan statsråden gi en fullstendig liste over hvor i verden folk har tilgang til norsk pasientinformasjon, og si om noen av disse har hatt eller har urettmessig tilgang til slik informasjon?

Begrunnelse

Det er viktig at vår sensitive pasientinformasjon er trygg. Det er et nasjonalt helsepolitisk ansvar. 3. mai 2017 meldte NRK at IT- arbeidere fra Asia og Øst- Europa har hatt tilgang til sensitiv pasientinformasjon til 2,8 millioner nordmenn hjemmehørende i Helse Sør-Øst. Informasjonen førte til at Kontroll- og konstitusjonskomiteen den 09.05.17 startet en brevkorrespondanse med helse- og omsorgsministeren om saken. Norsk helsevesen vil trenge også utenlandske tilbydere av informasjonsteknologi. Men om sensitiv data skal deles må vi vite at det skjer på en trygg og kontrollert måte. Og vi skal vite hvor i verden folk har tilgang på våre data. Spesielt fordi flere land har andre sikkerhetsutfordringer, eller behandler personlige data på andre måter enn vi gjør i Norge. De færreste ønsker at Kina eller Iran skal administrere norske sensitive pasientopplysninger. Helse Sør-Øst fikk våren 2017 gjennomført en ekstern evalueringsrapport fra firmaet PWC. Den viste en svikt i Sykehuspartner HF sin gjennomføring av prosjektet med outsourcing av IKT og at Sykehuspartner HF ikke har hatt sentral oversikt over hvilke tilganger som er blitt gitt og at beslutninger om tilganger er tatt på for lavt nivå. Helse Sør-Øst RHF besluttet på bakgrunn av avsløringene å stille outsourcingsprosjektet i bero. Vi har manglet informasjon om hvor folk har tilgang i dette prosjektet. Derfor spør jeg nå om informasjon angående IKT og pasientsikkerhet ellers i helsenorge.
24.10.17 meldte NRK at Helse Sør-Øst har hemmeligholdt og stengt ned tilganger gitt IT-arbeidere i Israel. 27.oktober 2017 leverte Datatilsynet sin rapport som konkluderer med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet. Tilsynet mener at flere paragrafer i pasientjournalloven og personopplysningsloven er brutt. I Stortingets spørretime 25.10.17 kunne statsråd Høie ikke garantere at det ikke er pasientinformasjon på avveie, og stadfestet at utenlandske aktører har tilgang til pasientsensitiv informasjon. Sammen med Kjersti Toppe har jeg bedt om at statsråden kommer til Stortinget for å redegjøre om situasjonen for IKT-sikkerheten. Om statsråden kommer innen en måned kan svar på dette spørsmålet gjerne utsettes til statsråden kan legge det fram i Stortinget sammen med sin redegjørelse for sikkerhetssituasjonen.

Bent Høie (H)

Svar

Bent Høie: For å kunne gi befolkningen tilgang til moderne helsetjenester med den kvaliteten vi ønsker, er helsetjenesten helt avhengig av et samarbeid med private leverandører av både IKT-løsninger og medisinsk-teknisk utstyr. Dette samarbeidet krever at man har systemer for å kunne håndtere blant annet sensitiv pasientinformasjon, siden mange av disse teknologiske løsningene vil inneholde slik informasjon. Jeg har som kjent bedt Direktoratet for e-helse om å utvikle en god og felles forståelse av hva som skal til for en trygg og riktig bruk av både nasjonale og internasjonale leverandører, enten det er bruk av ulik teknologi eller leveranse av drift av IKT-løsninger. Arbeidet skal skje i samarbeid med sentrale kompetansemiljøer, fagorganisasjoner, tillitsvalgte og brukerorganisasjoner. Direktoratet har også blitt bedt om å samarbeide med Nasjonal sikkerhetsmyndighet (NSM) i dette arbeidet. Som representanten Wilkinson er inne på, så ligger det utfordringer knyttet til både lovverk og sikkerhetspolitiske forhold i samarbeidet med utenlandske leverandører. Det er viktig å få klarhet i disse forholdene for å få et helhetlig bilde av situasjonen knyttet til bruk av utenlandske leverandører. Direktoratet for e-helse vil levere på oppdraget innen 1. desember i år.
I brev fra stortingsrepresentantene Wilkinson og Toppe av 30. oktober i år, ble jeg oppfordret til å komme til Stortinget for å redegjøre om sak om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst. I mitt svarbrev av 14. november i år fremgår det at jeg er positiv til en slik redegjørelse i Stortinget. Tidspunkt og form er per i dag ikke klarlagt.
I ovennevnte spørsmål til skriftlig besvarelse åpner representanten Wilkinson for at jeg kan komme tilbake til svar på spørsmålet i forbindelse med nevnte redegjørelse. Jeg mener det vil være en hensiktsmessig måte å få frem det totale bildet knyttet til tilgangsstyring i spesialisthelsetjenesten, herunder tilganger for utenlandske leverandører. Det er etter min oppfatning også nyttig å se dette bildet i sammenheng med Direktoratet for e-helse sitt svar på ovennevnte oppdrag.