HArD krItIkk: seniorrådgiver grete Alhaug har sammen med en teknolog veronika Bur i Datatilsynet gransket Helse sør-Øst sitt tjenesteutsettingsprosjekt. De kom fram til at foretaket har brutt flere lover. – Det var ingen risikovurdering, sier hun. Boten ble 7,2 millioner kroner. avslørte NRK at titalls ITarbeidere i Bulgaria og Asia har hatt tilgang til sensitiv pasientdata til over halvparten av Norges befolkning. Dette var stikk i strid mot hva som ble forklart for styret, nemlig at de som skulle overta driften av IKTinfrastrukturen, ikke skulle ha tilgang til pasientdataene. – Den dialogbaserte anskaffelsen var preget av stor grad av hemmelighold, med henvising til at det gjaldt forretningshemmeligheter. Videre var det ikke nok kontakt med egne fagfolk, og det ble ikke utført gode nok risikovurderinger. Mange av de ansatte visste hele veien at de utenlandske ITarbeiderne ville få tilgang til disse pasientdataene, sier Øverland. – Må rydde i eget hus først Han hadde selv løpende kontakt med ansatte Sykehuspartner, foretaket som er databehandler og leder prosjektet. De kunne fortelle at det ikke var mulig å gi ITarbeidere tilgang til infrastrukturen uten å samtidig gi tilgang til pasientdataene. Øverland mener moderniseringsprosjektet er høyst nødvendig, men er overbevist om at sikkerheten best overholdes innenfor helseforetakenes egne vegger. – Du må rydde i eget hus før du skal sette ut noe. Når du har stålkontroll, kan du vurdere å sette ut deloppgaver. Men her var tanken å sette ut hele IKTinfrastrukturen uten å ha ryddet først. Da øker risikoen betydelig, sier han. Ikke god nok risikovurdering Det var ikke bare Fagforbundets hovedtillitsvalgt som tidlig så faresignalene ved utflaggingsprosjektet. Høsten 2016 mottok Datatilsynet flere 14 temahefte-48