rIsIkO
personvern i forkant. Det ville sannsynligvis også
utløst en ny bestemmelse i GDPR om å gjennomføre
forhåndsdrøftelser med Datatilsynet.
I EUs nye forordning blir det tydelig beskrevet
at man skal gjennomføre en risikovurdering og
deretter en personvernkonsekvensvurdering.
Det står også i hvilke tilfeller vurderingene skal
gjennomføres og hva de skal inneholde. I tillegg
pålegges virksomheten å høre de som blir berørt
en av de mest konkrete
endringene fra dagens
regelverk er størrelsen på
bøtene Datatilsynet kan gi.
av den planlagte behandlingen,
når dette er nødvendig
for å sikre deres
interesser.
Alhaug presiserer at Datatilsynet
ikke er mot tjenesteutsetting,
eller at den nye
forordningen vil umulig
gjøre slike tiltak i framtiden. Men hun mener at
den oppskriftsmessige måten loven er utformet
på gir mindre rom for droppe å vurdere
konsekvenser for informasjonssikkerhet og
personvern.
– Det nye regelverket er et stort løft for personvernet
og borgernes rettigheter. Mindre er overlatt
til tilfeldighetene og det er mindre rom for
skjønn. Dette er en annen måte å gi lov på enn vi
er vant til i Norge fra før, sier hun.
Økonomi foran personvern
Datatilsynets rapport bekrefter Svein Øverlands
oppfatning om at det har vært mangelfull kommunikasjon
mellom ledelsen i HSØ, helseforetakene
og Sykehuspartner. Dette har ført til mot
satt oppfatning om hvorvidt de utenlandske
arbeiderne må ha tilgang på pasientdataene eller
ikke for å utføre jobben med å modernisere og
drifte ITinfrastrukturen.
– Det er jo et symptom på at personvern ikke
har blitt tilstrekkelig diskutert i styrerommet.
Dette er jo et fordyrende punkt. Ut fra det vi har
fått av dokumentasjon, ser det ut til at beslutningene
som ble tatt, i hovedsak handlet om å nå
definerte mål om effektivisering og modernisering
innenfor en gitt kostnadsramme, sier
Alhaug.
Store spørsmål før igangsetting
Hun mener at man må stille flere grunnleggende
spørsmål før man setter i gang anskaffelses
prosessen. Å vente med risikovurdering til etter
at prosjektet er igangsatt, holder dermed ikke.
– Ett spørsmål er om man i det hele tatt kan
sette ut absolutt alt, slik Helse SørØst
har gjort,
eller om man bør beholde deler av systemet
innenfor virksomhetens kontroll. Svarene man
får, bør legge føringer for utlysningsteksten, sier
hun.
En av de mest konkrete endringene fra dagens
regelverk er størrelsen på bøtene Datatilsynet
kan gi. Boten på 7,2 millioner kroner som ble
fordelt utover ni av helseforetakene i HSØ blir
bare småtteri sammenlignet med bøtenivået den
nye forordningen gir. Der er taket satt til 20
millioner euro, eller fire prosent av virksomhetens
samlede årlige omsetning, altså den summen
som blir størst.
Helse sør-Øst rHf
Helse Sør-Øst RHF er det største av landets fire
regionale helseforetak (RHF), med 78.000
ansatte. De sørger for spesialhelsetjenester for
2,9 millioner nordmenn.
Som en del av den mangeårige satsingen Digital
Fornying skal IKT-infrastrukturen i Helse Sør-Øst
moderniseres, standardiseres og harmoniseres.
Ett av målene er at alle enhetene skal få samme
system for blant annet pasientjournaler, laboratoriedata,
radiologi og digital samhandling.
1. november 2016 inngikk Helse Sør-Øst en avtale
med Hewlett Packard Enterprise (HPE).
Kontrakten har en varighet på syv år med tre års
opsjon og en verdi opp til 6,9 milliarder kroner.
I mai 2017 avslørte NRK at titalls utenlandske
IT-arbeidere hadde tilgang til sensitiv
pasientdata. På bakgrunn av en rapport hvor
revisjonsselskapet PwC påpekte manglende
risikovurdering, satte HSØ prosjektet på vent.
Endelig avgjørelse er ikke gjort før publisering.
Som følge av avsløringen har teknologidirektør
Thomas Bagley og administrerende direktør i
Sykehuspartner Mariann Hornes trukket seg fra
sine stillinger. Styret i Sykehuspartner har også
blitt byttet ut.
I oktober 2017 varslet Datatilsynet om
overtredelsesgebyr på 800.000 kroner til ni
helseforetak i Helse Sør-Øst, til sammen 7,2
millioner. Tilsynet kom samtidig med hard
kritikk av ledelsen for ikke å ha oppfylt sine
plikter.
Kilder: Helse Sør-Øst, Datatilsynet, NRK
16
temahefte-48