Tjenesteutsettingen i Sykehuspartner skulle egentlig finne sted 1. mai 2017, men nå er det avklart at det ikke blir noe av før tidligst 2018 etter at det ble avdekket at utenlandske IT-arbeidere hadde tilgang til 2,8 millioner pasienters sensitive helsedata.
Avgjørelsen ble tatt i et møte med Helse Sør-Øst fredag 2. juni.
Må gjøre en rekke tiltak
– Tjenesteutsettingen er et omfattende oppdrag, og på bakgrunn av dette vil det ikke bli gjennomført en virksomhetsoverdragelse i 2017, sier administrerende direktør Mariann Hornnes.
Følgende tiltak må nemlig gjennomføres før en tjenesteutsetting anses som trygg:
- System for tilgangsstyring må gjennomgås, forsterkes og implementeres
- Metodikk for risiko- og sårbarhetsanalyser knyttet til informasjonssikkerhet må gjennomgås, forsterkes og implementeres
- Fornyede risiko- og sårbarhetsanalyser må gjennomføres og forankres med helseforetakene som databehandleransvarlige
- Nødvendige endringer knyttet til leveranse og leveranseplaner i kontrakten som ivaretar IKT-informasjonssikkerhet på en trygg og sikker måte må utredes
- Plan for styrking av styring, ledelse og gjennomføring av prosjektet må utarbeides.
34 personer hadde tilgang
![Administrerende direktør, Mariann Hornnes, i Sykehuspartner mener at partnerskap med HPE er en god løsning. <i>Foto: Sykehuspartner</i>](https://images.gfx.no/290x/1907/1907036/Mariann-Hornnes.jpg)
Ifølge en ekstern gransking fra PricewaterhouseCoopers (PwC) hadde minst 34 personer hos Helse sør-østs underleverandører tilgang til helseopplysninger om pasienter og epost til ansatte.
– Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, forklarte Are Muri i revisjonsselskapet til NRK for noen uker siden.
Revisjonsselskapet rettet kritikk mot helseforetaket i sine foreløpige konklusjoner. PwC påpekte blant annet at datterselskapet Sykehuspartner HF ikke hadde god nok kontroll på hvem som fikk tilganger.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Teknologidirektør trakk seg
Ifølge gjennomgangen til PwC hadde sju av de 34 personene faktisk koblet seg til de aktuelle serverne i Helse sør-øst.
I etterkant av skandalen gikk Thomas Bagley av både som styreleder i Sykehuspartner og som teknologidirektør i helseforetaket.
Medarbeidere gikk ut i digi.no allerede i september i fjor og advarte ledelsen i Helse Sør-Øst og Sykehuspartner om at det ikke var mulig å drifte IKT-infrastrukturen uten å få tilgang til SQL-serverne hvor pasientdataene ligger lagret.