Spørsmål fra Helse- og omsorgskomiteen
om helseministerens redegjørelse for Stortinget om IKT-området i Helse
Sør-Øst 14. februar 2019
Jeg viser til brev
av 4. mars i år fra Stortingets helse- og omsorgskomité med spørsmål
knyttet til min redegjørelse for Stortinget 14. februar i år om
IKT-området i Helse Sør-Øst. Jeg viser også til min redegjørelse
for Stortinget 30. januar 2018 om tilgangsstyring og informasjonssikkerhet
i Helse Sør-Øst.
I arbeidet med
innstillingen ber komiteen om svar på følgende:
Spørsmål 1. Riksrevisjonen
uttrykker i Dokument 3:2 (2018–2019) Riksrevisjonens kontroll med
forvaltningen av statlige selskaper – 2017, at Stortinget burde ha
fått en samlet orientering om status for Helse Sør-Østs arbeid innen
IKT-området. Hva er grunnen til at statsråden ikke selv har tatt
initiativ til en slik orientering før etter at Riksrevisjonen påpekte
dette, og vil det i fremtiden sikres at Stortinget holdes orientert
i liknende saker?
Svar:
Riksrevisjonens
kontroll med forvaltningen av statlige selskaper for 2017 har tatt
opp Helse Sør-Øst sitt arbeid med felles regional radiologiløsning
og Digital fornying. Dette er saker som jeg tidligere har informert Stortinget
om gjennom svar på spørsmål til skriftlig besvarelse og i Stortingets
spørretime. Jeg har også presentert de to sakene, inkludert hvilke
tiltak Helse Sør-Øst RHF har gjort for å rette opp feil og avvik,
i forbindelse med Stortingets behandling av sin kontroll med forvaltningen
av statlige selskaper for 2017.
I min redegjørelse
for Stortinget 14. februar i år uttrykte jeg meg positiv til Riksrevisjonens
undersøkelser av vår sektor, da de ofte gir et godt grunnlag for
ytterligere forbedringer.
Jeg mener det bør
høre til unntakene at det gis egne redegjørelser utenom de ordinære
prosessene i Stortinget. Når det gjelder redegjørelsen 14. februar
i år, så var jeg glad for å få anledning til å gi en samlet redegjørelse for
Stortinget med mulighet for å rette opp noen misforståelser og påstander
som har kommet i sakens anledning. Jeg fikk også anledning til å
redegjøre for hvilke organisatoriske grep Helse Sør-Øst har gjort,
og gi en presentasjon av en rekke vellykkede og viktige IKT-prosjekter
i Helse Sør-Øst.
Spørsmål 2. Riksrevisjonen
har påpekt at det målbildet for arbeidet med Digital fornying i
Helse Sør-Øst som ble presentert Stortinget høsten 2013, ikke er
blitt realisert. I sin redegjørelse nevnte statsråden en rekke underprogrammer,
men unnlot å si noe om arbeidet for å få på plass en fullverdig
regional laboratorieløsning for Helse Sør-Øst. Kan statsråden opplyse
komiteen om status for prosjektet og når det er sannsynlig at det
kommer på plass?
Svar:
Helse Sør-Øst RHF
har informert departementet om at alle helseforetakene i Helse Sør-Øst
i dag har løsninger for alle de store laboratoriefagområdene patologi,
medisinsk biokjemi, farmakologi, mikrobiologi, immunologi og blodbank.
Helse Sør-Øst har
hatt et regionalt laboratorieprosjekt siden 2012, med mål om å etablere
én laboratorieløsning innen områdene patologi, medisinsk biokjemi, farmakologi,
mikrobiologi, immunologi og blodbank. Det ble i styresak (058-2012)
lagt til grunn at løsningen skulle tas i bruk ved Sykehuset Østfold
HF først og deretter innføres i de øvrige helseforetakene i regionen.
I april 2017 behandlet
styret i Helse Sør-Øst RHF sak (042-2017) om status i prosjektet
og besluttet å innføre laboratorieløsning for patologi ved alle
helseforetak i regionen. Arbeidet er delt inn i to innføringsfaser,
etter innføringen ved Sykehuset Østfold. Den første innføringsfasen
har fokus på å erstatte dagens patologisystem for de helseforetakene
som har DocuLive Patologi, dvs hos Sykehuset i Vestfold, Akershus
universitetssykehus og Oslo universitetssykehus. Den andre innføringsfasen har
fokus på å erstatte dagens patologisystem for de helseforetakene
som har Sympathy. Dette er Sørlandet sykehus, Vestre Viken, Sykehuset
Telemark og Sykehuset Innlandet.
Det er en målsetning
å ha èn installasjon av laboratoriedataløsningen, men i påvente
av en ny felles regional infrastrukturplattform, vil det etableres
tre installasjoner av laboratoriedataløsningen. Dette viser noe
av kompleksiteten i arbeidet med å etablere regionale løsninger
samtidig som en felles standardisert og modernisert plattform ikke
er på plass.
Samlet sett er prosjektet
forsinket og har blitt dyrere enn lagt til grunn i styresak 042-2017.
Hovedårsakene til forsinkelsene og de økte kostnadene er behovet
for å etablere tre installasjoner, og utviklingen av funksjonalitet
i løsningen. Det pågår fortsatt detaljert planlegging for andre
innføringsfase, men antatt forsinkelse er 1,5 år.
Patologifaget er
prioritert fordi det er det fagområdet som per i dag har størst
behov for bedre IKT-løsninger. Dette fordi det er et økende prøveomfang,
samtidig som arbeidsmengden knyttet til hver prøve er i sterk vekst,
spesielt innen kreftbehandling. Det er i dag stor grad av manuelle
rutiner og lite støtte til gode arbeidsprosesser. I tillegg er det
fokus på overgang til digitale løsninger innen patologi med digitale
snitt og kunstig intelligens til hjelp i tolkning av prøvene.
Ved innføring av
regionalt journalinnsyn vil prøvesvar fra andre sykehus innen regionen
gjøres tilgjengelig for de behandlere som har behov for det. I den
grad helseforetakene av ulike grunner vil ha behov for å bytte ut
sine eksisterende løsninger innenfor laboratorieområdene utenom
patologi, er det naturlig at de tar i bruk den regionale løsningen,
laboratoriedatasystemet LabVantage Medical Suite.
Spørsmål 3. I redegjørelsen
til Stortinget omtalte statsråden flere ganger sviktende rutiner
for anskaffelser i helseforetakene. Hvilke konkrete tiltak gjøres
for å bedre bestillerkompetansen i foretakene?
Svar:
Helse Sør-Øst RHF
har styrket involveringen og forankringen i helseforetakene ved
anskaffelser av nye løsninger. Det er definert tydeligere beslutningspunkter
i anskaffelsesløpet, satt detaljerte krav til hvilke beslutningsunderlag
som skal foreligge og hvilke aktører som skal involveres i beslutninger.
Det er særlig lagt opp til en tettere involvering av toppledelsen
i det enkelte helseforetak før man beslutter en felles anskaffelse.
Helse Sør-Øst RHF
har styrket den juridiske kompetansen innen anskaffelser og IKT.
Det er videre sørget for at anskaffelser ledes av en intern forhandlingsleder.
Jeg vil også her
vise til min redegjørelsen 14. februar i år, hvor jeg redegjorde
for at Helse Sør-Øst har iverksatt en ny organisering av teknologi-
og e-helse-området i regionen. De endringene som er iverksatt skal
blant annet bidra til tydeliggjøring av roller og ansvar, og ansvaret
er lagt i den ordinære linjen. Endringene skal sikre at helseforetakene
blir bedre involvert, og at beslutninger blir bedre forankret både
i helseforetakene og i ledelsen i det regionale helseforetaket.
Fra og med tertialrapporten
for 1. kvartal 2018 er rapporteringen i Helse Sør-Øst endret slik
at det skal rapporteres til styret på hvert styrevedtatt prosjekt.
På denne måten ønsker Helse Sør-Øst å få tydeliggjort utfordringene
knyttet til gjennomføringen av de enkelte prosjektene i IKT-porteføljen.
Dette vil også sette styrene i helseforetakene i bedre stand til
å følge opp de prosjektene de har vedtatt. Det er fokus på avviksrapportering
med beskrivelse av tiltak for å lukke påviste avvik.
Spørsmål 4. I sin
redegjørelse påpekte statsråden behovet for tiltak for å redusere
risiko og kompleksitet i IKT-prosjektene i helseforetakene. Kan
statsråden opplyse hvilke konkrete tiltak som er planlagt fremover?
Svar:
I min redegjørelse
presenterte jeg de tiltakene Helse Sør-Øst RHF har gjennomført for
å redusere risiko og kompleksitet i IKT-prosjektene i helseforetakene
i regionen.
I redegjørelsen
viste jeg også til at det pågår mange store og viktige IKT-prosjekter
i alle helseregioner. Jeg vil prioritere å følge opp dette arbeidet
i min styringsdialog, både med helseregionene, Direktoratet for
e-helse og Norsk Helsenett.
Jeg har ved flere
anledninger tatt opp utfordringene knyttet til blant annet informasjonssikkerhet
med ledelsen i helseforetakene, senest i møte med alle sykehusdirektørene
og direktørene for de regionale helseforetakene i november 2018.
Her viste jeg til at det er særlig behov for tiltak for å redusere
risiko og kompleksitet i IKT-prosjektene, og sikre riktig organisering.
I de felles foretaksmøtene
med de regionale helseforetakene i januar 2018 og januar 2019 stilte
jeg krav til alle helseregioner om å følge opp Riksrevisjonens funn, merknader
og anbefalinger i IKT-saker. De regionale helseforetakene rapporterer
fra dette arbeidet i årlig melding og i oppfølgingsmøter med departementet.
I det felles foretaksmøtet
med de regionale helseforetakene nå i januar ba jeg også helseregionene
om å samarbeide gjennom erfaringsoverføring. Dette for å skape god
sikkerhetskultur og utvikle kompetanse for å forebygge, avdekke
og iverksette skadereduserende tiltak mot blant annet uautorisert
tilgang til sektorens datanettverk. Direktoratet for e- helse og
Norsk Helsenett deltar også i dette arbeidet. Aktørene må i fellesskap
bidra til å redusere risiko og kompleksitet i sektorens IKT-prosjekter,
og å sikre riktig organisering med klare ansvarslinjer og ledelsesforankring.
Når det gjelder
Helse Sør-Øst spesielt, har denne regionen delt opp kompliserte
prosjekter i mindre prosjekter, eller lagt til grunn en mer stegvis
tilnærming. Det settes krav til at hvert steg skal ha en selvstendig kost/nytteverdi
og ikke forutsette at man gjennomfører alle stegene for å nå et
langsiktig mål. Erfaringer underveis skal vektlegges før man eventuelt
går videre til neste fase.
Antall beslutningsnivåer
mellom administrerende direktør i Helse Sør-Øst RHF og prosjektene
er redusert og alle prosjekter forankres med de administrerende
direktørene i helseforetakene i regionen. Helse Sør-Øst vurderer
i større grad å gjenbruke eksisterende løsninger istedenfor å bytte
dem ut med nye. I dette arbeidet er standarder for deling av data
viktig for å sikre informasjonsutveksling mellom systemer.
Videre har Helse
Sør-Øst RHF startet en gjennomgang av kriteriene for hva som organiseres
som prosjektarbeid, og hva som kan håndteres som utviklingsarbeid
i eksisterende forvaltningsorganisasjon. Det er fokus på å avslutte
prosjektene straks det er mulig å overføre løsning og rutiner til
forvaltningsorganisasjonen. Dette vil bidra til å gjøre prosjektene
mindre og dermed også redusere kompleksitet og risiko.
Den viktigste endringen
er likevel at regionen basert på de erfaringer som er gjort, har
nyansert strategien i valget mellom felles løsninger og integrasjonsløsninger.
Særlig for områder hvor det finnes velfungerende systemstøtte, har
det vist seg krevende å gjennomføre systembytte for at løsningene
skal bli like. Behovet for informasjonsutveksling kan ivaretas ved
at systemene snakker sammen. På områder hvor alle helseforetakene har
behov for nye løsninger har man gode erfaringer med å anskaffe og
innføre nye løsninger i fellesskap. Eksempler på dette er elektronisk
løsning for medikamentell kreftbehandling, elektronisk kurve- og
medikasjonsløsning, digitalt mediearkiv og løsning for klinisk logistikk.
Spørsmål 5. Riksrevisjonen
mener det er sterkt kritikkverdig at arbeidet med felles radiologiprogram ikke
ble styrt etter nytte og risiko, og at styrende organer ikke forvaltet
styremyndigheten sin på en målrettet og god måte og ikke fulgte
opp leverandørene godt nok. Hva gjør departementet konkret for å
hindre at dette gjentar seg i liknende anskaffelser i helseforetakene
i fremtiden?
Svar:
I foretaksmøtet
i januar i år stilte jeg som nevnt krav om å følge opp Riksrevisjonens
funn og merknader. Riksrevisjonens undersøkelse i Helse Sør-Øst
er relevant for alle de regionale helseforetakene og det er behov
for tiltak for å redusere risiko og kompleksitet i IKT-prosjekter.
Det må legges vekt på riktig organisering med presise ansvarslinjer,
at ledelsen må være involvert og forelegges sentrale beslutninger
og at styrene må gjøres i stand til å følge opp det enkelte prosjekt.
Dette krever at informasjon om prosjektene forelegges ledelsen fortløpende.
I dette foretaksmøtet
påpekte jeg også viktigheten av at de regionale helseforetakene
samarbeider innen IKT-området og at regionene utveksler erfaringer
og lærer av hverandre. De regionale helseforetakene er bedt om innen
1. mai 2019 å vurdere hvordan samarbeidet innen IKT-området bør
organiseres.
Som nevnt over har
jeg også ved flere anledninger tatt opp utfordringene knyttet til
IKT-prosjekter med ledelsen i helseforetakene, senest i møte med
alle sykehusdirektørene og direktørene for de regionale helseforetakene
i november 2018. Her viste jeg til at det er særlig behov for tiltak
for å redusere risiko og kompleksitet i IKT-prosjektene, samt å
sikre riktig organisering. Jeg vil også framover prioritere å følge
opp arbeidet med IKT-prosjekter i styringsdialogen med de regionale
helseforetakene.
Spørsmål 6. Riksrevisjonen
viser til at arbeidet med radiologiprogrammet gir grunn til bekymring
for pasientsikkerheten, mens det kommer frem i tilsvaret fra Helse-
og omsorgsdepartementet at Helse Sør-Øst mener det må skilles mellom
uønskede hendelser og forsvarlig helsehjelp. Er det dokumentert
at det ikke er gitt uforsvarlige tjenester som konsekvens av radiologiprogrammet
i Sykehuset Innlandet, og at pasientsikkerheten ikke har vært truet?
Svar:
Radiologiprogrammet
ble satt i produksjon i Sykehuset Innlandet i september 2016. Styringsgruppen konkluderte
i februar 2017 med at leveransen ikke var i samsvar med kontrakten.
Dette skyldtes kritiske og alvorlige feil hvor ekstra tiltak, inkludert
manuelle rutiner, ble iverksatt for å opprettholde pasientsikkerheten. I
brev datert 19. juni 2017 skriver styreleder i Sykehuset Innlandet
HF til Helse Sør-Øst RHF om den regionale radiologiløsningen:
«Styret utrykker stor bekymring
for pasientsikkerheten. Styret ber om at Helse Sør-Øst RHF, som
ansvarlig avtalepart, bidrar til at Sykehuspartner og leverandør prioriterer
personellressurser og kompetanse til radiologiprosjektet i Sykehuset
Innlandet. De alvorlige feilene i et svært viktig verktøy for diagnostikk
og vurderinger av behandlingsopplegg må bli rettet.»
Det er på det rene
at det er meldt om uønskede hendelser og avvik som skyldes feil
og mangler i radiologiprogrammet. Styret i Sykehuset Innlandet HF
har varslet eier om sin bekymring for pasientsikkerheten. Samtidig
har Sykehuset Innlandet HF i forbindelse med innføringen av radiologprogrammet
og problemene knyttet til dette fortløpende iverksatt en rekke tiltak
og rutiner for at pasientbehandlingen skulle være sikker, trygg
og forsvarlig. Dette har vært manuelle kontrollrutiner og andre
risikoreduserende tiltak. Det er grunnlag for å si at pasientsikkerheten
i utgangspunktet har vært truet, men at tjenestene likevel har vært
forsvarlige siden sykehuset har satt inn supplerende tiltak for
å sikre dette.
Spørsmål 7. Når
det økonomiske tapet er utregnet for Sykehuset Innlandet, er det
også tatt med kostnadstap som følge av merarbeid på sykehusene,
med for eksempel manuelle kontrollrutiner og andre risikoreduserende
tiltak?
Svar:
Helse Sør-Øst RHF
har informert departementet om at tapet på 114 mill. kroner ikke
inkluderer kostnadstap som følge av merarbeid på sykehusene. Det bokførte
tapet på 114 mill. kroner er ikke belastet Sykehuset Innlandet,
men tatt som et tap i regnskapet til Helse Sør-Øst RHF.
Opprinnelig skulle
pilotprosjektet ved Sykehuset Innlandet danne grunnlaget for etableringen
av regional radiologiløsning. Øvrige helseforetak skulle være med
å dekke deler av kostnadene i henhold til en omforent fordelingsnøkkel.
Tapsføringen er en konsekvens av at det regionale prosjektet ble
stoppet, og at løsningen ikke vil bli innført i de øvrige helseforetakene
i regionen, bortsett fra Vestre Viken som har RIS/PACS fra Carestream
og Akershus universitetssykehus som har PACS fra Carestream. Det
har altså ikke vært meningen å belaste Sykehuset Innlandet med disse
kostnadene.
Sykehuset Innlandet
er kompensert for deler av den merkostnaden helseforetaket hadde
knyttet til innføring av løsningen. Kompensasjon er gitt både i
form av engangskompensasjon på totalt 11 mill. kroner, og ved løpende
frikjøp av ressurser som har bidratt inn i det regionale innføringsprosjektet.
I tillegg har Sykehuset Innlandet blitt kompensert for merkostnader
i driften på totalt 15 mill. kroner for 2017 og 2018.
Spørsmål 8. Da
styret i Helse Sør-Øst i 2016 besluttet å inngå samarbeid med ekstern
leverandør om moderniseringen av helseregionens IKT-infrastruktur,
var departementet og statsråden informert om dette på forhånd, og
var det kontakt mellom departementet/statsråden og styret i forkant
av styremøtet om denne saken?
Svar:
Departementet var
informert om arbeidet til Helse Sør-Øst RHF, inkludert om behovet
for å få godkjent bruk av finansiell leasing i forbindelse med avtaleinngåelse.
Min styringsmessige
befatning med saken om outsourcing av IKT-infrastrukturen i Helse
Sør-Øst skjedde i foretaksmøtet 15. september 2016, Sak 3 IKT-infrastrukturmodernisering
i Helse Sør-Øst – godkjenning av finansiell leasing jf. vedtektene
§12 Låneopptak. Følgende beslutning fremgikk i protokollen
fra dette foretaksmøtet:
"Styret i Helse Sør-Øst RHF behandlet
i sak 069-2016 IKT-infrastrukturmodernisering i Helse Sør-Øst. Styret besluttet
ved behandling av saken en modernisering av foretaksgruppens IKT-infrastruktur
og at dette gjennomføres ved ekstern leverandør. Da deler av denne
tjenesteavtalen kan bli kategorisert som finansiell leasing, ble saken
oversendt til behandling i foretaksmøte.
Helse Sør-Øst RHF gjennomgikk saken.
Foretaksmøtet understrekte at avtalen
om modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor
styrets ansvar for å sørge for en tilfredsstillende organisering
av foretakets samlede virksomhet, jf. Lov om helseforetak § 28.
Det tilligger derfor styret i Helse Sør-Øst RHF å fatte vedtak om
at moderniseringen skal gjennomføres ved ekstern leverandør.
Foretaksmøtet viste til vedtektene
§ 12, sist endret 7. januar 2015, hvor det bl.a. heter:
"Helse Sør-Øst RHF gis anledning
til å inngå finansielle leieavtaler med en kontraktsverdi på inntil
100 mill. kroner pr. avtale. Finansielle leieavtaler utover dette beløpet
må forelegges foretaksmøtet."
Foretaksmøtet tok til etterretning
at deler av tjenesteavtalen kan bli kategorisert som finansiell
leasing og at beløpet kan overstige 100 mill. kroner.
Foretaksmøtet vedtok:
Foretaksmøtet godkjenner, ut fra
sak 069-2016 med tilhørende vedtak i styret i Helse Sør-Øst RHF,
at deler av tjenesteavtalen som omtales i saken kan innebære finansiell
leasing og at beløpet kan overstige 100 mill. kroner".
I foretaksmøtet
slo jeg altså fast at arbeidet med modernisering av foretaksgruppens
IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for
en tilfredsstillende organisering av foretakets samlede virksomhet,
jf. lov om helseforetak § 28. Videre at det tilligger styret i Helse
Sør-Øst RHF å fatte vedtak om at moderniseringen skulle gjennomføres
ved bruk av ekstern leverandør. Helse Sør-Øst RHF og helseforetakene
har det samlede ansvaret for informasjonssikkerhet og håndtering
av personsensitive data i regionen. Min beslutning i foretaksmøtet
knyttet seg utelukkende til adgangen til å benytte finansiell leasing
for deler av tjenesteavtalen.
Spørsmål 9. Styret
i Helse Sør-Øst besluttet i juni 2018 at driften av IKT-infrastruktur
ikke skulle settes ut til en ekstern aktør. Vil dette vedtaket og
erfaringene fra Helse Sør-Øst hindre at liknende skjer i andre regionale
foretak?
Svar:
I felles foretaksmøte
med de regionale helseforetakene januar i år viste jeg til viktigheten
av at de regionale helseforetakene samarbeider innen IKT-området
og at regionene utveksler erfaringer og lærer av hverandre. Dette
vil selvfølgelig også omfatte erfaringene fra Helse Sør-Øst med
å sette driften av IKT-infrastruktur ut til en ekstern aktør.
I juni 2017 ga jeg
Direktoratet for e-helse i oppdrag å utvikle en god og felles forståelse
av hva som skal til for å ha en trygg og riktig bruk av både nasjonale
og internasjonale leverandører. Direktoratet la frem rapport om
dette arbeidet i desember 2017. I foretaksmøte i januar 2018 ba
jeg de regionale helseforetakene om å legge anbefalingene i denne
rapporten til grunn i sitt videre arbeid med informasjonssikkerhet.
Direktoratet for
e-helse slår fast at det ikke er grunnlag for å konkludere med at
noen typer tjenester aldri kan overlates til private leverandører.
Det fremgår imidlertid av rapporten at det alltid må gjøres gode
risikovurdereringer, det må foreligge databehandlingsavtaler og
man må forsikre seg om at helseopplysninger håndteres på en trygg
og sikker måte.
Spørsmål 10. Er
samlet tap gjort kjent nå? Det vises i redegjørelsen til at dette
vil bli lagt fram i forbindelse med regnskapsavleggelse for 2018.
Svar:
Helse Sør-Øst RHF
har informert departementet om at det i regnskapet for 2017 er et
bokført tap knyttet til avtalen med DXC på totalt 112 mill. kroner.
Det er i forbindelse med regnskapet for 2018 gjennomført ytterligere
nedskriving med 86 mill. kroner. Årsregnskapet for 2018 er ennå
ikke avlagt, men vil bli behandlet i styret 25. april 2019.
Avslutningsoppgjøret
med DXC omfatter kjøp av maskin- og programvarer for 141,4 mill.
kroner, samt 10,2 mill. kroner til forhåndsbetalt vedlikehold og support
av dette utstyret (lisenser). Disse beløpene er knyttet til utstyr
som skal brukes og er derfor ikke å betrakte som et tap.
Utover dette er
det betalt ca. 60 mill. kroner som kompensasjon til DXC for påløpte
kostnader hos DXC og deres underleverandører.
Spørsmål 11. Statsråden
uttaler at de overordnede krav for driften av spesialisthelsetjenesten
er hans ansvar, men at de regionale IKT-prosjektene er en del av helseforetakenes
ansvar for å yte forsvarlige helsetjenester til befolkningen. Mener
statsråden at han og regjeringen ikke kunne ha gjort noe annerledes,
og hvordan vil statsråden beskrive departementets ansvar for IKT
i forhold til lov om nasjonal sikkerhet?
Svar:
Det følger av spesialisthelsetjenesteloven
§ 2-1 at staten har det overordnede ansvaret for at befolkningen gis
nødvendig spesialisthelsetjeneste. Denne plikten oppfylles blant
annet ved at staten ved departementet er eier av de regionale helseforetakene.
De regionale helseforetakene har etter spesialisthelsetjenesteloven § 2-1
a ansvaret for å sørge for at personer med fast bopel eller oppholdssted
innen helseregionen tilbys spesialisthelsetjeneste i og utenfor
institusjon.
I Ot. prp. nr. 66
(2000-2001) uttales det følgende om rollefordelingen mellom eier
og foretak:
"Eier har ikke noe direkte ansvar
for den løpende driften av foretaket. Eierens rolle er å etablere
foretaket, tilføre foretaket forsvarlig kapitalgrunnlag, fastsette
vedtekter, andre rammer og mål for virksomheten og velge et styre
som på vegne av eier skal forvalte foretaket. I tillegg ligger det i eierrollen
å følge opp foretakenes drift og resultater i forhold til fastsatte
krav og i nødvendig utstrekning iverksette korrektive tiltak. Det
er foretaksledelsens ansvar å sørge for at de mål eier setter for
virksomheten realiseres best mulig med grunnlag i de ressurser som
er stilt til rådighet for foretaket." (Min understrekning).
Uttalelsen viser
at den løpende driften ligger til helseforetakene å forvalte. Eier
skal tilrettelegge for at helseforetakene kan oppfylle sitt sørge-for-ansvar,
og kan gi overordnende føringer på hvordan driften skal gjennomføres.
Det betyr imidlertid ikke at ikke eier kan gripe inn og fatte vedtak
i foretaksmøte om enkeltsaker. I noen tilfeller er det krav til
at beslutningene løftes til eier, jf. helseforetaksloven § 30 om
saker av vesentlig betydning. I tilfeller hvor dette gjøres vil
beslutningsgrunnlaget normalt være basert på det kunnskapsgrunnlaget
som det underliggende helseforetak har utarbeidet. Det kan i den
forbindelse vises til følgende uttalelse i Ot. prp. nr. 66 (2000-2001)
som gjelder helseforetaksloven § 30 og saker av vesentlig betydning:
"Etter bestemmelsens annet ledd
er ansvaret for å forelegge saker som angår helseforetak, lagt på
det regionale helseforetaket som er eier av helseforetaket. Saken vil
dermed bli behandlet i styret i regionalt helseforetak før saken
kommer til foretaksmøtet." (Min understrekning)
Uttalelsen viser
at det normale er at sakene utredes av underliggende helseforetak,
og som dermed har ansvaret for å sikre et forsvarlig beslutningsgrunnlag.
I denne saken har
jeg respektert denne lovregulerte ansvarsfordelingen, men samtidig
har jeg også hatt en særlig oppfølging av disse sakene og gitt styringskrav både
til Helse Sør-Øst RHF og de øvrige regionene i foretaksmøtene (jf
omtale ovenfor). Jeg har også etablert tiltak på myndighetssiden
i min statsrådsperiode. Direktoratet for e-helse ble opprettet 1. januar
2016 på bakgrunn av behovet for sterkere nasjonal styring og bedre organisering
av IKT-feltet i helse- og omsorgssektoren. Departementet opprettet
også en egen avdeling for e-helse i 2016.
I følge sikkerhetsloven
har departementene, inkludert Helse- og omsorgsdepartementet, ansvar
for det forebyggende sikkerhetsarbeidet innenfor sitt ansvarsområde,
og skal identifisere og holde oversikt over hva som skal beskyttes
etter loven. Det loven skal beskytte er skjermingsverdig verdier.
En skjermingsverdig verdi kan være informasjon, informasjonssystem,
infrastruktur eller objekt. Hvorvidt verdien er skjermingsverdig eller
ikke, vurderes opp mot hvilken betydning verdien har for nasjonale
sikkerhetsinteresser og grunnleggende nasjonale funksjoner, ref.
svar på spørsmål 13.
Spørsmål 12. Helse
Sør-Øst har ifølge redegjørelsen endret måten anskaffelser gjøres
på, blant annet at det som hovedregel skal være en intern forhandlingsleder, og
at det legges større vekt på erfaring med tidligere anskaffelser
og å ivareta ulike behov i regionen. Har dette fått konsekvenser
også i andre helseregioner, som Helse Midt-Norge og anskaffelsen
for Helseplattformen?
Svar:
Helse Midt-Norge
har nå avsluttet sin anskaffelse og kontrakt er signert (sjekkes
opp mot når brevet sendes). I begge anskaffelsene knyttet til Helseplattformen
(PAS/EPJ og IAM – identitets- og tilgangsstyring) besto forhandlingsteamet
av både interne og eksterne ressurser.
Etter at kontrakt
er signert, er det interne kontraktsforvaltere som tar hånd om kontrakten,
og det blir hentet inn ekstern juridisk kompetanse ved behov. De
interne kontraktsforvalterne ble koblet på forhandlingsprosessen
relativt tidlig slik at de er godt kjent med premisser osv. når
kontrakten nå er signert.
Når det gjelder
Helse Nord og Helse Vest har de for tiden ingen store anskaffelser
innen IKT-området på gang. Ved eventuelle fremtidige anskaffelser
legger jeg til grunn at de vektlegger erfaringene fra Helse Sør-Øst, jf
krav i foretaksmøtet i januar i år.
Spørsmål 13. Når
vil arbeidet om departementers vurdering av om IKT-infrastruktur
skal være definert som skjermingsverdig informasjon underlagt sikkerhetsloven,
bli ferdigstilt?
Svar:
Den nye sikkerhetslovens
virkeområde omfatter statlige, fylkeskommunale og kommunale organer,
og omfatter således hele den offentlige helsetjenesten.
Formålet med den
nye sikkerhetsloven er i likhet med dagens sikkerhetslov å trygge
nasjonale sikkerhetsinteresser (NSI), og særlig landets suverenitet,
territorielle integritet og demokratiske styreform. Den nye sikkerhetsloven
er innrettet med sikte på å beskytte viktige samfunnsfunksjoner
som understøtter disse interessene. Disse funksjonene er kalt grunnleggende
nasjonale funksjoner (GNF). Med dette menes tjenester, produksjon
og andre former for virksomhet som er av en slik betydning at et
helt eller delvis bortfall av funksjonen vil få konsekvenser for
statens evne til å ivareta nasjonale sikkerhetsinteresser (NSI).
I lys av ny sikkerhetslov
med forskrifter arbeider alle sektorene med å identifisere grunnleggende
nasjonale funksjoner (GNF), og virksomheter som kan ha vesentlig
og avgjørende betydning for disse funksjonene. Helse- og omsorgsdepartementet
vil gi oppdrag til etatene og foretakene om å kartlegge verdier
(informasjon, informasjonssystemer, objekter og infrastruktur) som har
vesentlig og avgjørende betydning for GNFene, samt foreta skadevurderinger
av verdiene. På grunnlag av disse vurderingene skal de foreslå hvilke
verdier de vurderer som skjermingsverdige. Departementet vil vurdere innspillene
opp mot hvilken betydning de foreslåtte skjermingsverdige verdiene
har for GNFet og deres evne til å understøtte de nasjonale sikkerhetsinteressene,
jf. sikkerhetslovens § 1-5 a-e.
Departementet skal
innenfor sitt ansvarsområde fatte vedtak om at loven helt eller
delvis skal gjelde for virksomheter som (a) behandler sikkerhetsgradert
informasjon, (b) råder over informasjon, informasjonssystemer, objekter
eller infrastruktur som har avgjørende betydning for grunnleggende
nasjonale funksjoner og (c) driver aktivitet som har avgjørende
betydning for GNF, jf. sikkerhetsloven § 1-3. Departementet tar
sikte på å ferdigstille arbeidet med å identifisere skjermingsverdige
verdier i løpet av 2019.