HArD krItIkk: seniorrådgiver
grete Alhaug har
sammen med en teknolog
veronika Bur i Datatilsynet
gransket Helse sør-Øst sitt
tjenesteutsettingsprosjekt.
De kom fram til at foretaket
har brutt flere lover.
– Det var ingen risikovurdering,
sier hun. Boten ble 7,2
millioner kroner.
avslørte NRK at titalls ITarbeidere
i Bulgaria
og Asia har hatt tilgang til sensitiv pasientdata til
over halvparten av Norges befolkning. Dette var
stikk i strid mot hva som ble forklart for styret,
nemlig at de som skulle overta driften av IKTinfrastrukturen,
ikke skulle ha tilgang til pasientdataene.
– Den dialogbaserte anskaffelsen var preget av
stor grad av hemmelighold, med henvising til at
det gjaldt forretningshemmeligheter. Videre var
det ikke nok kontakt med egne fagfolk, og det ble
ikke utført gode nok risikovurderinger. Mange
av de ansatte visste hele veien at de utenlandske
ITarbeiderne
ville få tilgang til disse pasientdataene,
sier Øverland.
– Må rydde i eget hus først
Han hadde selv løpende kontakt med ansatte
Sykehuspartner, foretaket som er databehandler
og leder prosjektet. De kunne fortelle at det ikke
var mulig å gi ITarbeidere
tilgang til infrastrukturen
uten å samtidig gi tilgang til pasientdataene.
Øverland mener moderniseringsprosjektet
er høyst nødvendig, men er overbevist om
at sikkerheten best overholdes innenfor helseforetakenes
egne vegger.
– Du må rydde i eget hus før du skal sette ut
noe. Når du har stålkontroll, kan du vurdere å
sette ut deloppgaver. Men her var tanken å sette
ut hele IKTinfrastrukturen
uten å ha ryddet
først. Da øker risikoen betydelig, sier han.
Ikke god nok risikovurdering
Det var ikke bare Fagforbundets hovedtillitsvalgt
som tidlig så faresignalene ved utflaggingsprosjektet.
Høsten 2016 mottok Datatilsynet flere
14
temahefte-48