Skriftleg spørsmål fra Torgeir Micaelsen (A) til helse- og omsorgsministeren

Dokument nr. 15:1064 (2016-2017)
Innlevert: 04.05.2017
Sendt: 05.05.2017
Svart på: 09.05.2017 av helse- og omsorgsminister Bent Høie

Torgeir Micaelsen (A)

Spørsmål

Torgeir Micaelsen (A): Hvilken informasjon ble gitt til helseministeren av Helse Sør Øst 27.04.17, og er informasjonen som ble gitt i Stortingets spørretime 03.05.17 og i svar på skriftlig spørsmål 15:969 (2016-2017) uttømmende og korrekt?

Grunngiving

Stortinget har siden oktober 2016 stilt spørsmål ved om Helse Sør Øst sin outsourcing av enkelte IKT-tjenester til en ekstern, utenlandsk leverandør vil ivareta pasientsikkerheten. Statsråden har i sine svar uttalt at en modernisering av IKT-infrastrukturen vil øke sikkerhetsnivået og sikkerheten knyttet til pasientdata.
NRK kunne 03.05.17 avsløre en rekke sider ved den aktuelle saken som Stortinget ikke var kjent med. Det kan nå synes som informasjonen som tidligere er gitt fra statsråden til Stortinget, ikke er korrekt.
Statsråden skriver i svar på skriftlig spørsmål datert 28.04.17 (Dokument nr. 15:969 (2016-2017)) at Helse Sør-Øst RHF har informert om at den nye IKT-infrastrukturen vil gi en bedre beskyttelse av helse- og personopplysninger enn dagens løsning i Helse Sør-Øst.
Denne informasjonen fremstår som uriktig. I etterkant av dette svaret, har statsråden hatt en rekke anledninger til å rette opp informasjonen. Dette er ikke blitt gjort.
Det er avgjørende at helseministeren forklarer når og hvordan han fikk rede på at sensitive data om flere millioner norske pasienter kan ha kommet på avveie.
Det er avgjørende for Stortinget å vite hva statsråden og hans departement hadde av konkrete opplysninger torsdag 27.04.17, dagen før han forsikret Stortinget om at alt var under kontroll. Det er alvorlig at Stortinget har fått informasjon som ikke viser seg å være i samsvar med virkeligheten.

Bent Høie (H)

Svar

Bent Høie: For å belyse saken på en god måte er det viktig å skille mellom dagens situasjon og situasjonen etter at Hewlett Packard Enterprise (HPE) har overtatt driftsansvaret. Svarene jeg har gitt til Stortinget har knyttet seg til sistnevnte, mens de tilgangene det har vært fokus på de siste dagene er knyttet til dagens situasjon hvor virksomhetsoverføring er under planlegging.
Styret i Helse Sør-Øst RHF vedtok 8. september 2016 at videre modernisering av regionens IKT-infrastruktur skal skje ved bruk av ekstern leverandør. De la til grunn at en modernisering av en felles IKT-infrastruktur er avgjørende for det videre arbeidet med digitalisering av kliniske og administrative arbeidsprosesser i sykehusene. Helse Sør-Øst RHF har informert om at den nye IKT-infrastrukturen også vil gi en bedre beskyttelse av helse- og personopplysninger enn dagens løsning i Helse Sør-Øst.
Arbeidet med modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for en tilfredsstillende organisering av foretakets samlede virksomhet, jf. lov om helseforetak § 28. Det tilligger derfor styret i Helse Sør-Øst RHF å fatte vedtak om at moderniseringen skal gjennomføres ved bruk av ekstern leverandør.
Helse Sør-Øst RHF har informert departementet om at Sykehuspartner HF fortsatt skal være ansvarlig for den samlede IKT-leveransen til helseforetakene i Helse Sør-Øst, og er den formelle avtalepart med HPE. Helse Sør-Øst RHF viser i denne sammenheng til foretaksmøte i Sykehuspartner HF den 15. september 2016, hvor Sykehuspartner HF ble gitt ansvar for å inngå og forvalte avtalen med den eksterne leverandøren som skal drifte og modernisere IKT-infrastrukturen i foretaksgruppen.
Helse Sør-Øst RHF har informert departementet om at avtalen med HPE ivaretar alle krav til informasjonssikkerhet og personvern i lov og forskrift. Avtalen stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger.
Det er gjennom krav om risiko- og sårbarhetsanalyser stilt spesifikke krav til informasjonssikkerhet før drift kan utføres fra lokalisasjon utenfor Norge. Gitt at disse kravene oppfylles, kan driftsoppgaver utføres fra utlandet. Primært vil dette si fra land i EU/EØS-området. Drift fra utlandet skal således godkjennes av det enkelte helseforetak i Helse Sør-Øst, og av Helse Sør-Øst RHF, som databehandlingsansvarlige.
Helse Sør-Øst RHF har opplyst om at alt personell som virksomhetsoverføres til HPE vil få en endret og mer begrenset tilgang enn i dag. Det vil ikke bli gitt domenerettigheter til ansatte i HPE. Alle tilganger vil bli tildelt etter tjenstlig behov og vurdert opp mot risiko- og sårbarhetsanalyser. Dersom personell urettmessig skaffer seg tilgang utover dette, så vil dette være brudd på informasjonssikkerhetsinstruksen og avtaleregimet. Dersom det også innebærer å skaffe seg tilgang til pasientopplysninger, vil det i tillegg kunne være et straffbart forhold etter både nasjonalt og europeisk lovverk.
Før driften av IKT-infrastruktur overføres til HPE, vil dagens sikkerhetsregime og kontrollmekanismer videreføres og videreutvikles. Ytterligere tiltak vil måtte på plass før evt. drift fra utlandet, og foreløpige risiko- og sårbarhetsanalyser har vist at det i så fall må gjennomføres tiltak som kryptering av filområder med personsensitiv informasjon.
Helse Sør-Øst RHF mener at man med de tiltakene som er beskrevet ovenfor har flere "lag" av tiltak som vil hindre at personell fra HPE får tilgang til personsensitive data.
Helse Sør-Øst RHF har besluttet at det skal gjennomføres en ekstern revisjon, og jeg vil få en redegjørelse fra Helse Sør-Øst RHF den 24. mai. Jeg forventer at den eksterne revisjonen vil inneholde en vurdering av både det regimet som skal etableres før drift kan overføres til HPE, og av det som har skjedd i planleggingsfasen.
Når det gjelder det direkte spørsmålet representanten Micaelsen reiser om informasjonen gitt til meg og til Stortinget om saken, så er den preget av at vi har fått ny informasjon fra ledelsen i Helse Sør-Øst RHF etter at svarbrevet til representanten Myrli ble sendt 28. april.
Den informasjonen som ble gitt meg den 27. april er alminnelig kjent: "De ansatte i HPE som i dag har fått tilgang til vår IKT-infrastruktur har fått denne gjennom den såkalte leverandørportalen på lik linje med andre leverandører. Leverandørportalen har egne sikkerhetsmekanismer". Departementet oppfattet ikke at HPE-ansatte med dette hadde fått tilgang til personsensitiv informasjon. Vi oppfattet da at tilgangen gjennom leverandørportalen beskyttet personsensitiv informasjon gjennom sikkerhetsmekanismer som beskrevet over. Disse ble også beskrevet i svaret til Myrli. Jeg vil ellers påpeke at svaret som ble sendt til representanten Myrli var knyttet til den planlagte situasjonen etter at HPE har overtatt driftsansvar, jf. omtale innledningsvis. Vi hadde på det tidspunktet ikke kjennskap til at det hadde blitt gitt tilganger som kunne gi mulighet for å tilegne seg personsensitive data under planleggingen av overføringen.
Representanten Micaelsen spør videre om hvilken informasjon jeg hadde fått da jeg møtte i Stortingets spontanspørretime den 3. mai. Departementet mottok 2. mai en orientering fra administrerende direktør i Helse Sør-Øst RHF. Vi hadde tidligere samme dag fått en intervjuforespørsel fra NRK som beskrev tilgang til personsensitive data. I informasjonen fra Helse Sør-Øst RHF av 2. mai går det frem at det var gitt midlertidige tilganger for en begrenset periode for 12 ansatte i HPE for opplæring. Disse tilgangene ble gitt via leverandørportalen og begrenset seg til en definert periode. Disse tilgangene ble lukket 27. april da opplæring var gjennomført. Det ble også informert om at det var 16 personer fra HPE som hadde hatt midlertidig tilgang til infrastrukturen for kartlegging. Disse tilgangene ble kun benyttet i Sykehuspartners lokaler og under kontroll av Sykehuspartner HF. Disse tilgangene var også lukket. Disse opplysningene ga jeg i mitt svar på spørsmål fra representanten Kjersti Toppe i spontanspørretimen den 3. mai. Da var også saken til NRK publisert. Der mener de å kunne dokumentere tilgang av et helt annet omfang. Jeg kunne derfor ikke lenger være trygg på at den informasjonen jeg hadde fått fra Helse Sør-Øst RHF var korrekt. Derfor gjorde jeg det i spontanspørretimen klart at jeg ville be Helse Sør-Øst RHF om en redegjørelse for saken, blant annet fordi jeg opplevde at det var et sprik mellom orienteringer fra Helse Sør-Øst RHF og medias fremstilling av saken. Denne redegjørelsen vil gi grunnlag for en bedre forståelse av fakta i saken, og også gi Helse Sør-Øst RHF et bedre grunnlag for å vurdere om det er behov for ytterligere tiltak for å sikre informasjonssikkerheten i regionen.