| 2016 | 8 | FAGBLADET ~ 63 – Dyrere og dårligere tjenester «Det eksisterer dessverre et marked for å selge personopplysninger. » «Dersom kontrakten forutsetter at de får tilgang til sensitive helseopplysninger, er det svært problematisk.» PER HÅKON MELAND, SINTEF GISLE HANNEMYR, INSTITUTT FOR INFORMATIKK Ledende forskere i datasikkerhet mener det er svært problematisk om Helse Sør-Øst gir amerikanske firmaer tilgang på norske helsedata. – Tjenesten blir både dyrere og vanskeligere å ivareta når it-personalet befinner seg i utlandet, ikke forstår norsk eller er kjent med norsk kutyme for forvaltning av it-systemer. I Norge har vi dessuten lange tradisjoner for brukermedvirkning og medbestemmelse ved utvikling og forvaltning av it-systemer, sier Gisle Hannemyr, forsker ved Institutt for informatikk. USIKRE FORHOLD I INDIA Også seniorforsker Per Håkon Meland ved Sintef er skeptisk. – Har en virksomhet support på dataene i USA eller India, blir dataene behandlet der. Da hjelper det ikke at serverne står i Norge, påpeker Meland. Han undrer seg over hvordan norsk lov skal etterleves og følges opp i land hvor det er lav kjennskap til denne loven og hvor norske myndigheter har små tilsynsmuligheter. – I India har det vært et problem at det er stor gjennomtrekk blant de ansatte. Folk forsvinner fort, og det er vanskelig å sikkerhetsklarere medarbeiderne. I tillegg eksisterer det dessverre et marked for å selge personopplysninger, forteller Meland. SENSITIVE OPPLYSNINGER Hannemyr mener i det minste at Helse Sør-Øst bør sørge for å kryptere pasientdataene for å hindre tilgang på sensitiv informasjon. – Dersom kontrakten med Hewlett Packard Enterprise eller Computer Sciences Corporation forutsetter at de får tilgang til sensitive helseopplysninger, er det svært problematisk, mener Hannemyr. Han peker på faren for at amerikanske myndigheter, med bakgrunn i den såkalte Patriot Act (en lov som gir store muligheter til å overvåke), kan få tilgang på sensitive opplysninger. Myndighetene kan rett og slett instruere selskaper om å utlevere data og informasjon de sitter på, noe varsleren Edward Snowden avslørte at de gjorde i stort omfang. – PERSONVERNET ER IVARETATT Kommunikasjonssjef Gunn Kristin Sande i Helse Sør-Øst mener imidlertid at personvernhensyn vil bli ivaretatt, selv om amerikanske selskaper drifter serverne og it-tjenestene for. – Serverne som inneholder helseopplysninger skal stå i Norge, og all drifting av infrastrukturen skal skje i EU/EØS. Både Hewlett Packard og Computer Sciences Corporation har driftsenheter i EU. Avtalen vår betyr at om de skal behandle helsedata utenfor EU, må vi godkjenne det på forhånd, sier hun. * fbaargang2016 fbseksjonFEL