16. januar informerte Politiets sikkerhetstjeneste (PST) om at det var åpnet etterforskning etter at uvedkommende hadde brutt seg inn i datasystemer for pasientopplysninger i landets største helseregion. PST mistenker at opplysninger samles inn til fordel for en fremmed stat. Helse Sør-Øst kan ikke utelukke at pasientopplysninger er kommet på avveie.
I fjor stanset den samme helseregionen et moderniseringsprosjekt som blant annet innebar outsourcing av IT-infrastrukturen. Prosjektet ble stanset etter at det ble kjent for helseministeren at utenlandske IT-arbeidere i forbindelse med prosjektet hadde tilgang til pasientopplysninger. Ved behandling av statsbudsjettet for 2018 var helse- og omsorgskomiteen tydelige på at «godt personvern og god informasjonssikkerhet er en forutsetning for digitalisering».
Men det er ikke ny teknologi og nye driftsmodeller som er trusselen mot personvernet. Det er mangel på oppdatert teknologi, kompetanse og vedlikeholdsressurser. Uheldige sikkerhetshull må ikke få definere tempoet i digitaliseringsarbeidet. De må bli en vekker for all sikkerhetstenkning og alt sikkerhetsarbeid.
Det er nemlig hevet over enhver tvil at helsesektoren har et stort behov for digitalisering og innfasing av helt nye analyse- og behandlingsverktøy. Samtidig mener de fleste av oss at opplysninger om egen helse er å betrakte som spesielt sensitive personopplysninger, og noe vi absolutt ikke ønsker at uvedkommende skal få innsyn i.
– Dagens løsninger er ikke gode nok
En svakhet i helsesektoren er omfanget av ulike datasystemer og manglende samordning mellom de ulike systemene. Arbeidet med «Én innbygger – én journal», skal sikre at helsepersonell har enkel og sikker tilgang til opplysninger om pasienten uansett hvor i landet pasienten blir syk.
Ny teknologi gir ofte bekymringer for at pasientopplysninger kan komme på avveie. Samtidig hører vi historier om papirjournaler som er forsvunnet, eller må fraktes mellom sykehus i taxi. Papirjournaler og analoge løsninger for håndtering av helseopplysninger medfører risiko for at opplysninger forsvinner, eller leses av mennesker som ikke burde ha tilgang til dem. Dagens løsninger er definitivt ikke gode nok hva gjelder personvern.
Innføring av ny teknologi gir helt nye muligheter til å kryptere og implementere et hierarki med ulike tilgangskontroller og ikke minst loggføringsløsninger som ikke kan manipuleres. Alt ligger til rette for bedre sikkerhet for persondata.
Der digitaliseringsprosjekter har gitt usikkerhet om pasientopplysningers sikkerhet, er det tilgangsrettighetene som ikke er godt nok administrert og loggført. Datainnbrudd i operative systemer kan bare forebygges med tilstrekkelige ressurser og oppdatert teknologi.
Det trengs gode kontrollrutiner
Ny teknologi for helsetjenesten åpner for at opplysninger fra flere kilder kan kobles sammen, og dermed gi et mer helhetlig bilde av pasienten. Det er bra for diagnostisering og behandling. Det er liten tvil om at nye digitale løsninger kan bistå helsepersonell i deres vurderinger og beslutninger. Det kan bedre kvaliteten i tjenestene og sikre en mer optimal bruk av ressursene.
Men sofistikerte løsninger gir også større skadepotensial dersom pasientdata kommer på avveie. Likevel kan bruk av ny teknologi i større grad enn papirjournaler og analoge løsninger legge til rette for bedre personvern og informasjonssikkerhet.
Innbyggerne i Norge vil gjøre krav på den beste tilgjengelige helsebehandlingen. Ingen kan da med troverdighet forsvare at papirer fortsatt skal sendes med taxi av hensyn til sikkerheten – eller at dagens IT-løsninger er tilstrekkelige. Det blir også umulig å forsvare at kun ansatte i norsk offentlig sektor er til å stole på og at outsourcing ikke er et alternativ. Gode kontrollrutiner trengs både i private og offentlige løsninger.
Pasientdata er avgjørende for utvikling og bruk av nye, digitale løsninger innen helsetjenesten. Vellykket digitalisering er avhengig av at tjenestene har tillit hos den enkelte og i befolkningen. For å sikre tillit må innhenting, lagring og bruk av opplysninger gjøres på en måte som ivaretar personvernet. Det er fullt mulig med teknologiløsninger som står klare til å tas i bruk også i norsk helsetjeneste.
