Endelige rapport i forbindelse med granskningen av outsourcing fra Sykehuspartner ble behandlet i ekstraordinært styremøte i HSØ 28. juni. Rapporten bekrefter NITOs innvendinger og standpunkter.
Har hoppet bukk over faglige råd
- Dette er full seier for NITO og fagorganisasjonene. Styret har hoppet bukk over de faglige rådene fra de ansatte og her ser vi konsekvensen av det, sier Trond Markussen (bildet). - Jeg er derfor veldig glad for at styret i HSØ nå tar ansvar og lover å lytte til de ansatte og fagorganisasjonene.
- Nå gjelder det at det gjøres en god jobb videre og at fagkompetansen blir lyttet til.
- Det er også veldig bra at styret ønsker å vurdere om pasientdata utgjør kritisk infrastruktur, sier Markussen. - Her håper jeg at de innser at en lignende situasjon kun kan unngås hvis pasientdata faller inn under sikkerhetsloven.
- Adm. direktør Cathrine Lofthus i HSØ understreket at fagorganisasjonene og ansatte må tas med i framtidige forslag om arbeid med sikkerhet. Deres kompetanse er viktig.
- Lofthus ber om at det utredes om IKT-sikkerheten knyttet til pasientdata faller inn under sikkerhetsloven.
- Lofthus ber Sykehuspartner om å utrede hvilke konsekvenser en avslutning av avtalen med HP vil kunne medføre.
Ikke la økonomi gå foran sikkerhet
- Vi vet det er et ønske fra regjeringen om å outsource mer fra offentlig sektor, mange steder er disse prosessene godt i gang. Skal dette lykkes vil jeg advare mot å gå for fort fram. Ikke la økonomien veie tyngre enn de faglige rådene, sier Markussen.
Rapporten viser
- 36 personer tilknyttet ESN-avtalen har hatt utvidede administratorrettigheter som innebærer mulighet for tilgang til helseopplysninger.
- Ledende personer har ikke videreformidlet viktig informasjon, noe de burde gjort.
- Det foreligger ikke en fullgod risikovurdering av den eksisterende IKT-infrastrukturen.
- Saken kunne og burde vært unngått om kunnskap om eksisterende tilstand og risiko innen IKT-infrastruktur, og mulig tilgang til helseopplysninger hadde vært bedre belyst i prosessen.
Kritisk infrastruktur
HSØ vil nå vurdere om infrastrukturen burde defineres som kritisk infrastruktur.
- Jeg er glad for at HSØ nå lytter vil foreta en vurdering av hvorvidt hele eller deler av infrastrukturen burde vært kategorisert som kritisk infrastruktur. Dette har vi bedt om lenge. Jeg mener sikkerhetsloven bør endres slik at dette ikke skjer igjen. Da unngår vi at den enkelte sektoren kan definere seg utenfor sikkerhetsloven, sier Markussen.
NRK: IT-svikt i Helse Sørøst (tidslinje)
Ansvarspulverisering
Rapporten viser at det mangler databehandleravtale mellom leverandøren HPE/ESN og underleverandører. Dette viser tydelig risikoen man løper knyttet til ansvarspulveriseringen dersom samfunnskritiske data blir offshoret.
– Det er for sent å ta på seg ansvaret når ulykken har skjedd. Nå har vi i en rekke saker fått demonstrert at ansvaret blir pulverisert nedover i systemene gjennom underleverandører man ikke har kontroll på. Vi mener derfor at alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene må driftes av ansatte i Norge, uttaler Markussen.