Skriftleg spørsmål fra Kjersti Toppe (Sp) til helse- og omsorgsministeren

Dokument nr. 15:1169 (2016-2017)
Innlevert: 24.05.2017
Sendt: 26.05.2017
Svart på: 08.06.2017 av helse- og omsorgsminister Bent Høie

Kjersti Toppe (Sp)

Spørsmål

Kjersti Toppe (Sp): Rapporten om journalskandalen i Helse Sør -Øst er svært alvorlig, og helse ministeren har ikke kunne garantere at IT- arbeideres tilgang til svært sensitive helseopplysninger nå er stengt.
Mener regjeringen fremdeles at det er forsvarlig å drifte helsevesenets IT- systemer fra utlandet, eller vil regjeringen sørge for en tydelig politikk overfor helseforetakene som hindrer at liknende kan skje i fremtiden, og mener statsråden at regjeringen har ansvar for situasjonen vi nå er?

Bent Høie (H)

Svar

Bent Høie: Redegjørelsen fra PwC viser at det har vært en svikt i Sykehuspartner HF sitt arbeid med planlegging av overføringen av drift av IKT-infrastruktur til den private leverandøren. Svikten har knyttet seg til håndtering av tilgangsstyring til den eksterne leverandøren.
Spesialisthelsetjenesten kan i dag ikke drive sine teknologiske løsninger og IKT-systemer uten bruk av private leverandører på en eller annen måte. Norske pasienter må ha tilgang til moderne teknologi innen røntgen, laboratorium, pasientjournalsystemer og velferdsteknologi mm. Det er viktig at norske pasienter gis tilgang til disse teknologiske mulighetene. Dette krever også at vi klarer å bruke internasjonale leverandører av teknologi på en god måte. Spørsmålet er etter min oppfatning ikke om vi skal ha internasjonale leverandører, men om vi gjør dette på en god måte der hensynet til informasjonssikkerhet ivaretas.
Når det gjelder de konkrete vurderingene rundt bruk av private, det være seg norske eller internasjonale leverandører, så må disse gjøres av de som har ansvaret for tjenesten. Regjeringen mener at offentlig sektor skal bruke det private markedet når det er hensiktsmessig og kan bidra til en kostnadseffektiv og kvalitativt god drift av offentlige tjenester. På enkelte områder må det offentlige ha egenregi på tjenesteleveransene, etter en vurdering av de som har ansvaret.
I denne saken er det Helse Sør-Øst RHF som har vurdert tjenesteutsettingen av modernisering og drift av IKT-infrastrukturen i regionen. Modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for en tilfredsstillende organisering av foretakets samlede virksomhet, jf. lov om helseforetak § 28. Videre tilligger det styret i Helse Sør-Øst RHF å fatte vedtak om at moderniseringen skal gjennomføres ved bruk av ekstern leverandør. Helse Sør-Øst RHF og helseforetakene har det samlede ansvaret for informasjonssikkerhet og håndtering av personsensitive data i regionen.
Det nasjonale lovverket er generelt ikke til hinder for at IKT-tjenester kan leveres av utenlandske leverandører. IKT-saken i Helse Sør-Øst har engasjert mange. Flere har pekt på at det ikke nødvendigvis er fruktbart å skille mellom norske og utenlandske leverandører. Det avgjørende spørsmålet er om man skal gi tilgang og hva slags tilganger som eventuelt blir gitt. Det må gjøres konkrete vurderinger knyttet til både informasjonssikkerhet generelt, og nasjonal sikkerhet.
Jeg vil avslutningsvis nevne at jeg møtte alle styrene og administrativ ledelse i de fire helseregionene den 29. mai i år. På møtet satte jeg denne saken og tilgangskontroll på dagsorden. Jeg la vekt på betydningen av at de regionale helseforetakene lærer av hverandres erfaringer og gjennom dette utvikler bedre løsninger i fremtiden. Det er viktig at alle nå går gjennom egne systemer og rutiner knyttet til tilgangsstyring.