Skriftlig spørsmål fra Kjersti Toppe (Sp) til helseministeren

Dokument nr. 15:1848 (2017-2018)
Innlevert: 15.06.2018
Sendt: 18.06.2018
Besvart: 26.06.2018 av helseminister Bent Høie

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Styret i Helse Sør- øst har den 14. juni besluttet å terminere kontrakten om utflagging av IKT systemer i helseforetaket.
Vil helseministeren ut fra dette endre sin beslutning om å ikke hindre utflagging av grunnleggende IKT- infrastruktur i helseforetakene (jfr. stortingsdebatt 12/6-18), vil helseministeren sørge for å definere grunnleggende IKT- infrastruktur inn under sikkerhetsloven, og kan statsråden informere om hvem som skal ta kostnaden for det IKT- skandalen og terminering av kontrakten, koster?

Begrunnelse

Under overskriften «Skjerpet risikobilde», oppgir Helse Sør- Øst 14. 06.18 i pressemeldingen der de kunngjør at kontrakt om outsourcing avbestilles 14.06:

«Risikobildet for tjenesteutsetting har endret seg vesentlig siden kontrakten ble inngått. Både Nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste viser til økt risiko for cyberangrep og endret trusselbilde for datasikkerhet. Datainnbruddet i Helse Sør-Øst i januar illustrerer dette. Ny sikkerhetslov kan gi ytterligere krav til sikkerhet. I behandlingen av saken la styret i Helse Sør-Øst RHF også vekt på nye, sikkerhetsfaglige anbefalinger fra Nasjonal sikkerhetsmyndighet. Noe av dette er gradert informasjon. Styret har besluttet at driften av IKT-infrastrukturen ikke skal tjenesteutsettes slik det var forutsatt i kontrakten med DXC. Dette innebærer at kontrakten med DXC avbestilles.»

I Sikkerhetslovens kapittel 6 blir det gitt to alternative vilkår for at et informasjonssystem skal kunne ses på som skjermingsverdig: enten at systemet behandler skjermingsverdig informasjon, eller at systemet i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner. Helse Sør-Øst viser blant annet til Sikkerhetsloven for sin beslutning om å terminere kontrakt om outsourcing av IKT- infrastruktur. På spørsmål om dette i Stortinget 12. juni svarte statsråden: «Det som jeg tror representanten er på jakt etter, er et svar på om deler av eller hele IKT-infrastrukturen er skjermingsverdige objekter etter sikkerhetsloven. Det er en vurdering som gjøres helt konkret. Vurderingen knyttet til dette er nå et sentralt spørsmål med tanke på den nye sikkerhetsloven som trer i kraft den 1. januar 2019, og jeg redegjorde i mitt innlegg for de prosessene som er på gang for å gjøre de konkrete vurderingene.»
Spørsmålsstilleren mener den grunnleggende IKT- infrastrukturen i helsevesenet er et system som behandler skjermingsverdig informasjon og er et system som er av avgjørende betydning for grunnleggende nasjonale funksjoner. Spørsmålsstilleren mener IKT- skandalen i Helse Sør- Øst, Helse Sør Øst sin begrunnelse og beslutning om terminering av outsourcingen, underbygger dette og at dette ikke kan ivaretas ved outsourcing.
IKT- skandalen har allerede kostet Helse Sør- Øst 280 millioner kroner i forbindelse med at avtalen om outsourcing først ble satt på vent i mai 2017, hele avtalen skal ha en kostnadsramme på 5 milliarder og kostnadene vil øke. Det er avgjørende for befolkningen og helsetjenesten hvem som skal betale regningen for denne skandalen, en outsourcing gjort på tross av sterke faglige advarsler i mot dette. Statsråden må svare på om pasienttilbudet vil bli skjermet.

Bent Høie (H)

Svar

Bent Høie: Jeg vil innledningsvis vise til mitt nevnte innlegg i Stortinget 12. juni i år om hvorvidt grunnleggende IKT-infrastruktur i helseforetakene skal defineres inn under sikkerhetsloven. Helse- og omsorgsdepartementet har etter sikkerhetsloven ansvaret for forebyggende sikkerhet i helse- og omsorgssektoren.
Helse- og omsorgsdepartementet gjennomførte i 2014 en vurdering av sikkerhetslovens anvendelse for de regionale helseforetakene, helseforetakene og Norsk Helsenett SF. Nasjonal sikkerhetsmyndighet (NSM) bisto med råd og veiledning i denne vurderingen. Konklusjonen var at man anså at de regionale helseforetakene, helseforetakene og Norsk Helsenett SF er omfattet av sikkerhetsloven, jf. sikkerhetsloven § 2 første ledd. Dette innebærer at de regionale helseforetakene og helseforetakene som eiere av den aktuelle IKT-infrastrukturen allerede er underlagt sikkerhetsloven.
Den nye sikkerhetsloven er forventet å tre i kraft 1. januar 2019. Etter loven er det departementet som har ansvaret for å vurdere og peke ut konkrete skjermingsverdige verdier. Som jeg opplyste om i mitt innlegg i Stortinget så pågår det nå prosesser for å vurdere om hele eller deler av IKT-infrastrukturen i helseforetakene har skjermingsverdige verdier etter den nye loven. Dette forutsetter en vurdering av om IKT-infrastrukturen er av betydning for å trygge Norges suverenitet, territorielle interesser og demokratiske styreform og andre nasjonale sikkerhetsinteresser, jf. § 1-1. Dette arbeidet skjer i samarbeid med de regionale helseforetakene, Sykehusbygg HF, Helsedirektoratet, Direktoratet for e-helse, Norsk Helsenett SF og Nasjonal sikkerhetsmyndighet. Jeg vil imidlertid minne om at disse vurderingene – og eventuelt behov for forebyggende sikkerhetstiltak – i seg selv vil kunne være sikkerhetsgradert informasjon.
Når det gjelder den konkrete saken det refereres til i spørsmålet, så vil jeg vise til min redegjørelse til Stortinget 30. januar i år om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst. Generelt sett stiller en økt digitalisering i sektoren også økte krav til arbeidet med informasjonssikkerhet og personvern. Helse- og omsorgssektoren er i stor grad avhengig av å bruke eksterne IKT-leverandører for å kunne levere helsetjenester på et ønsket høyt kvalitativt nivå. Etter gjeldende rett er det begrenset anledning til å avvise utenlandske IKT-leverandører på et generelt grunnlag, med den begrunnelse at de er etablert i, eller vil levere tjenester fra et annet land. Det må gjennomføres konkrete vurderinger i hvert enkelt tilfelle, hvor det ses på risikovurderinger og mulighetene for å ivareta kravene til sikkerhet. Dette bildet er i stadig endring. Det er derfor viktig å samarbeide tett med Nasjonal sikkerhetsmyndighet som arbeider med disse spørsmålene for å gjøre gode vurderinger. De har også bidratt med råd og veiledning til Helse Sør-Øst RHF i deres vurderinger.
Helse Sør-Øst RHF har informert departementet om at kostnadene knyttet til stans i avtalen med DXC hittil er belastet Sykehuspartner HF og Helse Sør-Øst RHF, og dermed ikke sykehusenes budsjetter. Styrets beslutning om å avbestille avtalen med DXC får ingen direkte økonomisk konsekvens for sykehusene, men reduserer de samlede økonomiske resultater i foretaksgruppen i Helse Sør-Øst.