Sykehuspartner har valgt å inngå samarbeid med HPE om driften av kritisk norsk infrastruktur de neste årene. Ansatte i Sykehuspartner har hele tiden advart mot at helseopplysninger kan komme på avveie. Nå viser det seg at utenlandske arbeidere har hatt tilgang på kritisk pasientinformasjon.
Sykehuspartner har valgt å inngå samarbeid med HPE om driften av kritisk norsk infrastruktur de neste årene. Ansatte i Sykehuspartner har hele tiden advart mot at helseopplysninger kan komme på avveie. Nå viser det seg at utenlandske arbeidere har hatt tilgang på kritisk pasientinformasjon. (Bilde: NTB scanpix)

Outsourcing i Sykehuspartner

Ledelsen har nektet for at utenlandske IT-arbeidere kan lese pasientjournaler. Sannheten er en helt annen

De siste ukene har over 100 utenlandske IT-arbeidere hatt tilgang til 2,8 millioner nordmenns sensitive pasientdata. Det skriver NRK.

Ledelsen i Helse Sør-Øst innrømmer at IT-arbeidere fra Asia og Øst-Europa har hatt disse tilgangene, men mener omfanget er mindre og at tilgangene er gitt under opplæring. 

Ifølge NRK er prosessen med tjenesteutsettingen nå utsatt på ubestemt tid. Virksomhetsoverdragelsen skulle egentlig vært på plass allerede 1. mai.

Tilgangen er stengt

–Tilgangene de fikk var ikke permanente, og de er nå stengt. Vi har full kontroll, og vi har en navneliste, og vi har alle sikkerhetsmekanismer på plass, sier administrerende direktør Cathrine Lofthus i Helse Sør- Øst til NRK.

Dokumenter digi.no sitter på viser at det i et styremøte i Sykehuspartner 5. april ble delt opplysninger med styret om at utenlandsk driftspersonell hadde fått tilgang til sensitiv pasientinformasjon.

All informasjonen ligger lagret på norske servere, som snart skal driftes fra Bulgaria, India og Malaysia.

Opplysninger om medisinbruk og kjønnssykdommer

De sensitive opplysningene inneholder blant annet informasjon om brukere med psykiske problemer, medisinbruk, kjønnssykdommer og lignende. 

IT-arbeiderne har altså hatt tilganger utover hva avtalen om tjenesteutsettingen har tillatt, og tidligere lovnader fra sykehusledelsen.

Kathrine M. Lofthus er administrerende sjef for Helse Sør-Øst. Hun vil at modernisering av IT i landets største helseforetak skal overtas av et utenlandsk selskap, skriver NRK.
Kathrine M. Lofthus er administrerende sjef for Helse Sør-Øst. Hun vil at modernisering av IT i landets største helseforetak skal overtas av et utenlandsk selskap, skriver NRK. Foto: Pressefoto

– En eventuell avtale vil innebære at det i løpet av en treårsperiode etableres en modernisert IKT-infrastruktur. Denne vil bli bygd slik at de som drifter infrastrukturen ikke har tilgang til helse- og personopplysninger eller tilgang til å flytte slike data ut av Norge.

– Overvåking og drift vil i stor grad skje automatisert, i motsetning til dagens situasjon der det er mye manuelt arbeid knyttet til drift av IKT-infrastruktur, forklarte kommunikasjonsdirektør Gunn Kristin Sande i Helse Sør-Øst da digi.no ba om en redegjørelse for hvordan pasientsikkerheten ville bli ivaretatt i september i fjor.

Ansatte advarte mot dette i september 2016

Allerede den gang advarte de ansatte i Sykehuspartner mot at utenlandske arbeidere automatisk ville få tilgang til 2,8 millioner pasientjournaler når de driftet SQL-serverne.

I et brev datert 7. april 2017 – som digi.no har fått tilgang  til – uttrykker stortingsrepresentant Sverre Myrli (Ap) sin bekymring til helseminister Bent Høie (H), etter at han har blitt gjort kjent med sikkerhetsbristen.

«Hvordan kan helse- og omsorgsministeren forsvare at han har godkjent bortsettingen av kritisk IKT-infrastruktur i Helse-Sør-Øst?» krever Myrli svar på.

– Jeg er positiv til å konkurranseutsette denne typen ikke-medisinske tjenester. Helse Sør-Øst vurderer at en slik avtale vil gi raskere modernisering og lavere driftskostnader. Det gir sykehusene mer penger til pasientbehandling. Det er Helse Sør-Øst RHF sin vurdering at samarbeidet med ekstern leverandør i moderniseringen av IKT-infrastrukturen, vil styrke deres arbeid med pasientbehandling og pasientsikkerhet, skriver helseminister Bent Høie (H) i sitt svar til stortingsrepresentant Myrli (Ap).

(artikkelen fortsetter under)

Helseminister Bent Høie (H) sier at han har full tillitt til avgjørelsen om tjenesteutsettingen i Helse-Sør-Øst.
Helseminister Bent Høie (H) sier at han har full tillitt til avgjørelsen om tjenesteutsettingen i Helse-Sør-Øst. Foto: Carina Johansen, NTB scanpix

Fagforeningen NITO er kritiske til helseministeren

NITO-president Trond Markussen mener helseminister Høie (H) nå legger sikkerheten til pasientdataene i hendene på HPE-ansatte i Asia og Øst-Europa. 

Han stiller spørsmål ved om det er smart å la utenlandske IT-arbeidere få indirekte tilgang til nordmenns helseopplysninger. 

NITO-presidenten sier at fagforeningen mener tjenesteutsettingen og usikkerheten rundt utflaggingen er uholdbar. Sykehuspartner, Helse Sør-Øst og helseministeren påstår at de HPE-ansatte vil få begrensede tilgangsrettigheter. 

NITO: HPE har full tilgang

Dette er påstander NITOs medlemmer ikke kjenner seg igjen i.

– I desember ba HPE om fullstendig tilgang (administrator-passord og root-passord) til alle systemene i Sykehuspartner. Det betyr at HPE fikk rettigheter til domeneadministrasjon.

– Da kan de omgå krypteringen og hente ut alle opplysningene, inkludert pasientjournalene og alle andre sensitive opplysninger. HPEs ansatte har derfor i praksis fullstendig tilgang til IT-systemene, sier Markussen til eget nettsted. 

Kjent allerede 5. april

Ifølge NRK visste hverken helseministeren eller administrerende direktør Lofthus i Helse-Sør-Øst at de utenlandske IT-arbeiderne hadde så omfattende tilgang før 27. april.

Hvorfor disse opplysningene – som ble kjent i styremøtet 5. april – ikke har kommet frem til hverken Lofthus eller helseminister Høie før helt i slutten av april, er foreløpig ukjent.

Ansattrepresentat Nannette Loennechen i Sykehuspartner har hele tiden uttrykt sin bekymring rundt sikkerheten ved tjenesteutsettingen.

– Det er på tide å stoppe opp

Nå kan det vise seg at både hennes og de ansattes bekymringer i Sykehuspartner viser seg å stemme. 

Til NRK sier Loennechen at hun er sjokkert over omfanget av opplysninger de utenlandske IT-arbeiderne har hatt tilgang til.

Ansattrepresentnant Nanette Loennechen i Sykehuspartner sier at de ansatte ikke har følt seg hørt.
Ansattrepresentnant Nanette Loennechen i Sykehuspartner sier at de ansatte ikke har følt seg hørt. Foto: Privat

Ifølge NRK har flere av arbeiderne logget seg inn på sykehusserverne etter at de har reist fra Norge og opplæringen har vært avsluttet.

– Det er på tide å stoppe opp, og se nøye på hva denne avtalen egentlig inneholder. Hvor er det informasjonen om tilgangene stopper opp? Jeg er ikke sikker på at ledelsen egentlig har forstått helt konsekvensene av avtalen om utflagging, sier konserntillitsvalgt Nannette Loennechen til NRK.

Kommentarer (70)

Kommentarer (70)
Til toppen