Stortinget - Møte tirsdag den 30. januar 2018

Dato: 30.01.2018
President: Olemic Thommessen

Innhold

Sak nr. 3 [10:34:51]

Redegjørelse av helseministeren om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst. (Det vil bli foreslått debatt umiddelbart etter redegjørelsen)

Talere

Statsråd Bent Høie []: Det er nødvendig for helsetjenesten at befolkningen har tillit til vår håndtering av pasientopplysninger. Når svakheter avdekkes, er det viktig å møte dette med en åpen debatt. Jeg vil derfor takke for muligheten til å redegjøre for IKT-saken i Helse Sør-Øst. Jeg vil videre ta opp spørsmålet om tilgang til pasientopplysninger og informasjonssikkerhet i spesialisthelsetjenesten mer generelt, dette som en oppfølging av spørsmål til skriftlig besvarelse fra representanten Wilkinson. Jeg finner det også naturlig å gå inn på de siste ukers hendelser knyttet til dataangrepet mot servere i Helse Sør-Øst.

I Norge er det bred enighet om at befolkningen skal ha tilgang til offentlig finansierte helsetjenester med høy kvalitet. Den overordnede oppgaven for regjeringen er å sikre et bærekraftig velferdssamfunn. Vi må utvikle en bærekraftig helsetjeneste hvor bruk av teknologi gjør det mulig for helsepersonell å arbeide effektivt, levere helsetjenester på nye måter, behandle pasienter hjemme og gjøre pasienten til en aktiv partner. Da må vi ta i bruk de fremste metoder og teknologi i verden, og også forholde oss til at mye av teknologiutviklingen skjer i andre land enn i Norge.

En moderne helsetjeneste er avhengig av private leverandører av IKT-løsninger og medisinsk-teknisk utstyr. Dette stiller særlige krav til arbeidet med informasjonssikkerhet og personvern, og dette har høy prioritet.

Informasjonssikkerhet dreier seg også om å håndtere risiko og sette i verk tiltak slik at pasientopplysninger sikres på en tilfredsstillende måte. Dette krever et kontinuerlig og systematisk arbeid. Regelverket på dette området angir i begrenset grad konkrete krav eller valg av sikkerhetsnivå for de tekniske løsningene.

Hvilket sikkerhetsnivå som er nødvendig, skal vurderes opp mot opplysningenes tilgjengelighet, integritet og konfidensialitet. Med tilgjengelighet menes at opplysningene skal være tilgjengelige når det er et legitimt behov for det. Integritet handler om å sikre at data er komplette og korrekte. Med konfidensialitet menes at helseopplysningene skal være sikret mot at uvedkommende får kjennskap til dem.

Godt personvern krever at alle de tre nevnte hensynene tilgjengelighet, integritet og konfidensialitet ivaretas. Det stiller ikke bare høye krav til valg av tekniske løsninger. Det stiller også høye krav til styring, ledelse og organisering.

I pasientbehandlingen kan rask tilgang til riktig informasjon være kritisk. Manglende tilgang til oppdaterte og korrekte pasientopplysninger kan føre til feilbehandling og skade på pasienten. Korrekte og oppdaterte opplysninger må være tilgjengelige for rett person til rett tid. Personvernlovgivningen skal sikre at disse opplysningene blir brukt på riktig måte.

I helse- og omsorgstjenesten er det lagt stor vekt på konfidensialitetsaspektet. Dette må ses i sammenheng med taushetsplikten som gjelder for helsepersonell. I diskusjonen om informasjonssikkerhet har det å hindre uautorisert bruk og at uvedkommende får tilgang til pasientopplysninger, kanskje fått størst oppmerksomhet.

Jeg kommer senere tilbake til IKT-moderniseringen i Helse Sør-Øst. På bakgrunn av saken ga jeg i juni 2017 Direktoratet for e-helse i oppdrag å utvikle en god og felles forståelse om hva som skal til for å ha en trygg og riktig bruk av både nasjonale og internasjonale leverandører.

Et stort antall aktører var involvert i arbeidet: sentrale kompetansemiljøer, pasientorganisasjoner, fagorganisasjoner, tillitsvalgte, brukerorganisasjoner og IKT-næringen. Det ble også innhentet erfaringer fra andre samfunnsaktører, slik som Finanstilsynet, Telenor og Statoil.

Direktoratet for e-helse leverte rapporten til departementet 30. november 2017. Rapporten er ikke en kontroll- eller tilsynsrapport, men et normativt grunnlag for videre utvikling. Dette er i tråd med den rollen direktoratet er gitt.

Rapporten bekrefter at helse- og omsorgssektoren er helt avhengig av private leverandører, både nasjonale og internasjonale, innen IKT-området. Ansatte hos disse leverandørene vil i arbeidet kunne få tjenestemessig nødvendig tilgang til pasientinformasjon.

Det må alltid foretas en helhetlig risikovurdering av alle tjenester som inneholder pasientinformasjon. Dette er spesielt viktig ved bruk av eksterne leverandører. Direktoratet for e-helse mener at helse- og omsorgssektoren generelt må ha en relativt lav aksept for risiko.

Jeg vil nå konsentrere meg om to hovedtema i rapporten. For det første: Er det tjenester som ikke bør overlates til eksterne leverandører? Og for det andre: Hvilke tiltak bør iverksettes for å ivareta informasjonssikkerheten ved bruk av eksterne leverandører?

Direktoratet for e-helse mener det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til eksterne leverandører. Det trenger altså ikke å være et motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Det må imidlertid alltid foreligge nødvendige risikovurderinger og databehandleravtaler for å ivareta hensynet til informasjonssikkerheten. I gjeldende rett er det ikke forbud mot at norske virksomheter benytter nasjonale eller utenlandske IKT-leverandører fra EU/EØS-området. Ved bruk av IKT-leverandører utenfor EU/EØS-området er det særskilte krav som må oppfylles.

I denne sammenheng vil jeg komme med noen ytterligere kommentarer. Tjenesteutsetting av IKT-oppgaver er vanlig i alle sektorer og i alle typer virksomheter. Kommunal- og moderniseringsdepartementet har tidligere gjennomført undersøkelser om organiseringen av IKT-drift i offentlig sektor. Disse viser en klar tendens i retning økt bruk av tjenesteutsetting. Eksterne IKT-leverandører kan sikre tilgang til oppdatert teknologi, bidra til at helse- og omsorgstjenesten får tilgang til nødvendig kompetanse, og derigjennom bidra til økt kvalitet på tjenestene.

I Nasjonal sikkerhetsmyndighets rapport Helhetlig IKT-risikobilde 2017 framkommer det at tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, og lavere og mer forutsigbare kostnader. Det kan også bidra til fokusering på virksomhetens kjernevirksomhet. Men samtidig kan utsetting føre til økt risiko dersom det gir redusert kontroll over den komplekse verdikjeden. Derfor er det viktig å ha grundige vurderinger i hvert enkelt tilfelle av om ekstern eller intern drift gir best sikkerhet.

Lov om offentlige anskaffelser regulerer anskaffelser av varer og tjenester. Anskaffelsesreglene gjelder for tilbydere fra EØS-området. I tillegg gjelder reglene for virksomheter som er gitt rettigheter etter WTO-avtalen om offentlige innkjøp eller andre internasjonale avtaler som Norge er forpliktet av. En rekke land utenfor EØS-området er omfattet av slike avtaler. Det innebærer at det heller ikke nødvendigvis er mulig å avskjære tilbydere fra land utenfor EØS-området fra å delta i konkurransen. Jeg vil også minne om at mye av teknologiutviklingen på helseområdet skjer utenfor Europa.

Oppdragsgivere skal stille krav til informasjonssikkerhet og innføre kontrollmekanismer som reduserer risiko til et akseptabelt nivå. Krav og kontroll må utformes på bakgrunn av en grundig risikovurdering av konkrete løsninger. Deretter må leverandørene sannsynliggjøre at de vil oppfylle sikkerhetskravene ved å beskrive tiltak i sine tilbud og framlegge sikkerhetsdokumentasjon. De regionale helseforetakene og helseforetakene må vurdere om kravene er oppfylt. Leverandører som ikke oppfyller kravene, kan ikke tildeles kontrakt. I denne vurderingen kan forholdene til leveranselandet tas i betraktning.

Det er imidlertid svært begrenset anledning til å avvise tilbud med den begrunnelse at oppdragstaker er etablert i, eller vil levere tjenester fra, et annet EØS-land. Det er ifølge anskaffelsesreglene mulig hvis dette har betydning for rikets sikkerhet, og når det er nødvendig for å ivareta vesentlige sikkerhetsinteresser. Det skal mye til for at beskyttelse av pasientopplysninger utfordrer rikets sikkerhet, i hvert fall dersom det stilles krav til leverandørene og kontrollmekanismer basert på risikovurderinger.

Da vil jeg gå over til tiltakene som foreslås i rapporten fra Direktoratet for e-helse. Dette er dels tiltak og forbedringer virksomheter i sektoren selv må gjøre, og dels tiltak som må følges opp sentralt.

Når det gjelder tiltak som må gjennomføres i sektoren, trekkes god ledelsesforankring og styring fram. Ansvar og roller når det gjelder informasjonssikkerhet, må være klare, og det må finnes gode prosesser og rutiner for når utenforstående skal kunne trekkes inn i arbeidet med IKT-systemer og medisinsk-teknisk utstyr som inneholder pasientopplysninger.

Helhetlig risikovurdering er et annet hovedpunkt. Når tjenester overlates til private leverandører, må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer fram og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensninger som ligger i de eksisterende tekniske løsningene. Det er viktig med både regelmessig oppfølging og nye risikovurderinger når det gjøres endringer i tjenesten eller i leveransestrukturen.

Et tredje forhold som trekkes fram, er behov for kompetanse. Helsesektoren må ha tilstrekkelig kompetanse, kapasitet og struktur for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Det er vesentlig at sikkerhetshensyn ivaretas i alle faser, fra planlegging av en anskaffelse til avslutning av kontrakten. Dette krever god bestillerkompetanse i virksomhetene.

Rapporten peker også på forhold som må følges opp sentralt. Det første gjelder avklaring av databehandlingsansvar i forholdet mellom regionale helseforetak og helseforetak. Databehandlingsansvaret ligger i dag i det enkelte helseforetak. Dette kan skape uklarhet i styring og ansvar ved anskaffelser og innføring av regionale løsninger og ved løsninger på tvers av sektoren. Direktoratet for e-helse mener det må utredes om databehandlingsansvaret slik det er i dag, er forenlig med strategier for etablering av fellesløsninger i helse- og omsorgssektoren. Videre anbefales en oppdatering av Norm for informasjonssikkerhet i helse- og omsorgssektoren. Dette omfatter bl.a. rutiner for helhetlig risikostyring, nasjonal standard for tilgangsstyring og standardiserte databehandlingsavtaler. Sektoren arbeider allerede godt for å oppdatere normen i tråd med dette. Dette arbeidet ledes i dag av Direktoratet for e-helse.

Jeg har i foretaksmøte i de regionale helseforetakene 16. januar bedt de regionale helseforetakene om å legge anbefalingene i rapporten til grunn i det videre arbeidet med informasjonssikkerhet.

Når det gjelder spørsmålet om databehandlingsansvar, er det påbegynt et utredningsarbeid. Det tas sikte på at dette vil bli sendt på ordinær høring i løpet av denne våren.

Kontroll- og konstitusjonskomiteen stilte i brev av 9. mai og 6. juni 2017 viktige spørsmål om IKT-saken i Helse Sør-Øst. Disse ble besvart av meg i brev av 15. mai, 1. juni og 13. juni. Komiteen var bl.a. opptatt av hvem som hadde hatt urettmessig tilgang til informasjon, og hvorvidt informasjonen om norske pasienter kunne ha kommet på avveier. Det framgår av min korrespondanse med kontroll- og konstitusjonskomiteen hvilke tiltak jeg har tatt initiativ til i denne saken. Komiteen har på bakgrunn av mine orienteringer avsluttet saken.

Jeg har i forbindelse med denne redegjørelsen bedt alle de regionale helseforetakene om å utarbeide oversikter over de tilganger som er gitt til eksterne leverandører. Oversiktene viser hvor i verden personell hos eksterne leverandører har tilgang til personopplysninger. De regionale helseforetakene og Norsk Helsenett SF i tett dialog med NSM/NorCERT har vurdert det slik at disse listene ikke bør offentliggjøres av hensyn til den økte risikoen det medfører. Det er en omfattende bruk av eksterne leverandører når det gjelder både IKT-løsninger og medisinsk-teknisk utstyr.

Regionene benytter relativt like tekniske løsninger i sin tilgangsstyring og -kontroll. Det er gjerne etablert portalløsninger hvor leverandørene kan gis tidsbegrensede tilganger/fjernaksess når det gjelder service, support, oppdateringer mv. Jeg vil trekke fram Helse Vest som et eksempel. Denne regionen har avtaler med 129 private leverandører for å bidra til forvaltning, overvåkning og feilretting av hundrevis av ulike IKT-løsninger og medisinsk-tekniske systemer. Av de 129 leverandørene til Helse Vest har 51 av leverandørene tilgang til løsninger som inneholder sensitive personopplysninger. Dette innebærer imidlertid ikke at alle disse har tilgang til pasientjournaler. Det er ofte avgrensede, fragmenterte dataelementer som det er krevende å knytte til identifiserbare pasienter og undersøkelser. Potensielt kan disse 129 private leverandørene ha til sammen opptil 467 autentiserte medarbeidere som ved behov kan gis tilgang til Helse Vest sine systemer.

Majoriteten av leverandørene i Helse Vest gis tidsbegrenset tilgang via kryptert VPN for å utføre avtalte oppgaver. VPN er et virtuelt privat nettverk, en datateknikk som anvendes for å skape sikre «punkt-til-punkt»-forbindelser gjennom internett. Noen få sentrale leverandører kan gis kontinuerlig kryptert VPN-tilgang for overvåkning og oppfølging av sine løsninger over tid eller for avtalte prosjektperioder. Helse Vest har under etablering løsninger for kontinuerlig loggføring av krypterte VPN-tilganger, både tidsbegrensede og kontinuerlige. Slik samhandling må håndteres på en systematisk måte.

Disse tallene kan oppfattes som høye – kanskje også skremmende høye. Vi må imidlertid ta inn over oss at dette er normalsituasjonen både i den norske spesialisthelsetjeneste og i andre land med tilsvarende avansert spesialisthelsetjeneste som vi har i Norge. Det er behov for private leverandører hvor noen har avgrenset tilgang for drift, service, support og oppdatering av systemene og medisinsk-teknisk utstyr. Det er imidlertid avgjørende at det foretas risikovurderinger hvor sikker informasjonshåndtering settes først og ivaretas gjennom databehandleravtaler med de aktuelle leverandørene. Dette regimet er beskrevet i Direktoratet for e-helse sin nevnte rapport fra 2017.

Jeg skal nå konsentrere meg om den konkrete IKT-saken i Helse Sør-Øst. Denne regionen har en lite ensartet IKT-infrastruktur, og deler av denne tilfredsstiller ikke moderne krav. Dette innebærer økt risiko for at uønskede hendelser kan gå ut over pasientsikkerheten. Det har derfor over flere år pågått et arbeid for å samle og konsolidere IKT-infrastrukturen i helseforetaket. Dette arbeidet ledes av Helse Sør-Øst sin felles tjenesteleverandør, Sykehuspartner.

Fusjonen mellom Helse Sør og Helse Øst i 2007 økte kompleksiteten i arbeidet med å utvikle felles regionale IKT-løsninger og infrastruktur. Fusjonen medførte ifølge Helse Sør-Øst at man bl.a. som følge av lov om offentlige anskaffelser på enkelte områder måtte starte på nytt med å utvikle enhetlige IKT-løsninger og infrastruktur.

Sykehuspartner drifter i dag en infrastruktur som har mer enn 40 datasentre, over 10 000 servere og en portefølje på i størrelsesorden 3 000 applikasjoner. Antall applikasjoner er dels et resultat av ulike teknologiske valg, bl.a. som følge av ulik historie i de to tidligere regionene. I denne situasjonen er det vanskelig og dyrt å etablere regionale tjenester i Helse Sør-Øst. Det er høye kostnader forbundet med å oppdatere og modernisere IKT-infrastrukturen. Generelt kreves en betydelig ressursinnsats for å sikre trygg og stabil drift og tilfredsstillende kvalitet på tjenestene, noe som er avgjørende for informasjonssikkerheten.

Med bakgrunn i de nevnte utfordringene startet Helse Sør-Øst høsten 2013 en foranalyse av alternative tilnærminger til modernisering av IKT-infrastrukturen. Arbeidet med infrastrukturmoderniseringen ble ledet av Helse Sør-Øst RHF i nært samarbeid med Sykehuspartner. Flere helseforetak i regionen har også deltatt. Alle helseforetakene var godt orientert om arbeidet gjennom det såkalte Fornyingsstyret. Her deltok alle de administrerende direktørene i helseforetakene i regionen, konserntillitsvalgte og brukerrepresentanter.

I 2014 ble det konkludert med at det var ønskelig å iverksette en prosess med sikte på å inngå partnerskap med en ekstern leverandør for å modernisere og drifte IKT-infrastrukturen. Styret ble orientert om dette i styremøte i oktober 2014. Styret har etter dette ved flere anledninger blitt orientert om innretning og status i arbeidet. Styret besluttet i styremøte i september 2016 at infrastrukturmoderniseringen skulle skje i samarbeid med en ekstern leverandør. Styret besluttet også at kontrakt med den mest fordelaktige leverandøren skulle inngås av Sykehuspartner. Hewlett Packard Enterprise, forkortet HPE, ble valgt som leverandør, og Sykehuspartner inngikk kontrakt den 14. oktober 2016.

Høsten 2016 iverksatte Sykehuspartner et eget program for modernisering av IKT-infrastrukturen. Man planla opprinnelig for en overføring av driftsansvaret og ansatte fra Sykehuspartner til HPE 1. mai 2017. Den opprinnelige kontrakten ble våren 2017 overført fra HPE til Enterprise Services Norge AS, som er en del av konsernet DXC Technology. Sistnevnte er resultatet av en fusjon mellom CSC og HPE, der den aktuelle delen av HPE inngår.

Fram mot virksomhetsoverdragelsen 1. mai 2017 ble det stilt flere spørsmål knyttet til tilgangsstyring og informasjonssikkerhet. Jeg fikk også flere spørsmål fra Stortinget knyttet til dette. Jeg oppfattet at det var motstridende opplysninger mellom det som framkom i media, og den informasjonen jeg mottok fra Helse Sør-Øst, og ba derfor om en grundig redegjørelse fra Helse Sør-Øst.

Administrerende direktør i Helse Sør-Øst RHF besluttet å iverksette en ekstern gjennomgang av moderniseringsprogrammet i regi av foretakets revisor, PwC. Basert på bl.a. en foreløpig rapport fra PwC ble det i styremøte 24. mai 2017 besluttet å stille moderniseringsprogrammet i bero. Det ble i mai og juni 2017 foretatt endringer i den administrative ledelsen i Sykehuspartner og Helse Sør-Øst, og hele styret i Sykehuspartner ble byttet ut.

PwC la fram den endelige rapporten 22. juni 2017. Denne bekreftet svikt i de forberedelsene som ble gjort for å overføre drift til den private leverandøren. PwCs eksterne gjennomgang viste at det hadde vært svikt både i tilgangsstyringen og i risikovurderingene. Samtidig slo den eksterne gjennomgangen fast at det var lite sannsynlig at de aktuelle tilgangene faktisk hadde blitt benyttet til å hente ut sensitive pasientopplysninger. Et viktig forhold å feste seg ved var at PwC i sin gjennomgang bekreftet behovet for en modernisering av IKT-infrastrukturen.

PwCs undersøkelser viste at personer med tilknytning til ekstern leverandør hadde hatt utvidede administratorrettigheter som innebar mulighet for tilgang til pasientopplysninger. PwC har i sin endelige rapport verifisert at alle disse tilgangene er stengt. PwCs undersøkelser har ikke avdekket misbruk eller forsøk på misbruk av tilgang til pasientopplysninger.

PwC påviste i sin gjennomgang at det har manglet databehandleravtaler i enkelte ledd, dvs. mellom Enterprise Services Norge AS og deres underleverandører. Videre viste PwC-rapporten at system for gjennomføring av risikovurderinger ikke fungerte som en effektiv kontrollmekanisme. Uklare kriterier for risikoaksept førte til uklarhet med hensyn til hvem som kunne akseptere hvilke risikoer. Dette kan ha ført til at relevante risikoer ikke ble løftet opp i organisasjonen. I tillegg viste rapporten at sentrale risikoer knyttet til informasjonssikkerhet i kontrakten ikke var tilstrekkelig vurdert. Det ble også påvist svakheter ved organiseringen og styringen av programmet.

Datatilsynet engasjerte seg også tidlig i IKT-saken i Helse Sør-Øst. De sendte den 26. mai 2017 brev til alle helseforetakene i Helse Sør-Øst. Som databehandlingsansvarlige ble helseforetakene bedt om å redegjøre bl.a. for hvilke risikovurderinger som lå til grunn for beslutningen om å tjenesteutsette ansvaret for IKT-drift og leveranse av IKT-infrastruktur i regionen. Helseforetakene ble bedt om å oversende en oversikt over hvor mange eksterne leverandører som hadde tilgang til sykehusenes informasjonssystem, videre hvilke land leverandørene har tilgang fra, hvilke typer tilganger leverandørene har til hvilke systemer og til hvilke personopplysninger, samt formålet med de gitte tilgangene.

Datatilsynet har gitt et foreløpig varsel til helseforetakene om vedtak om overtredelsesgebyr for brudd på personopplysningsforskriften, personopplysningsloven og pasientjournalloven. Det foreligger ennå ikke et endelig vedtak.

De avvikene og kritikkverdige forholdene som er omtalt i Datatilsynets forhåndsvarsel, er i all hovedsak knyttet til manglende risikovurderinger, manglende ledelsesforankring og mangelfullt system for å sikre at helseforetakene blir satt i stand til å ta sitt lovpålagte ansvar som databehandlingsansvarlige. De forhold som framkommer av Datatilsynets brev, er i tråd med de funn PwC tidligere har gjort i sine gjennomganger.

Det er alminnelig enighet om at det er begått feil i håndteringen av tjenesteutsettingen i Helse Sør-Øst. Verken helseforetakene i Helse Sør-Øst eller det regionale helseforetaket gjorde godt nok forarbeid eller gode nok risikovurderinger. Mitt inntrykk er at det er gjort en rekke risikovurderinger i dette arbeidet, men at disse ikke har vært tilstrekkelige eller gjennomført på alle områder. Det er viktig at alle risikovurderinger dokumenteres, og at det sikres forankring hos ledelsen.

Arbeidet med å modernisere infrastrukturen i Helse Sør-Øst har vist seg å være svært krevende. Administrerende direktør i Helse Sør-Øst har derfor besluttet å etablere informasjonssikkerhet som et eget ansvarsområde i foretaksledelsen. Helse Sør-Øst har iverksatt tiltak for å forsterke sine risiko- og sårbarhetsanalyser. Videre er det regionale helseforetaket i samarbeid med helseforetakene i regionen i gang med å se på hvordan risikovurderinger og ledelsesforankring generelt kan settes bedre i system i regionen. Som Datatilsynet påpeker, bør det bl.a. etableres rutiner som ivaretar helseforetakenes autonomi ved felles beslutninger.

I styremøtet til Helse Sør-Øst den 28. juni 2017 ba styret administrerende direktør om å gå i dialog med Sykehuspartner for å sikre gjennomføring av prosjekter og aktiviteter som er viktige for å bedre informasjonssikkerheten, og sørge for sikker og stabil drift. Styret understreket også at terminering av avtalen skulle utredes videre, og at det måtte startes et arbeid med å utrede hvordan en modernisering av IKT-infrastruktur kunne gjennomføres i regi av Sykehuspartner, dersom avtalen termineres. Styret forutsatte bred involvering og medvirkning av de ansatte og tillitsvalgte.

Helse Sør-Øst utreder nå to alternativer for gjennomføring av moderniseringsarbeidet. God kontroll med informasjonssikkerhet og personvern er helt avgjørende premisser i arbeidet. Grunnlaget for vurderingene er lov og forskrift, Direktoratet for e-helse sine anbefalinger samt policyer og sikkerhetsarkitektur i Helse Sør-Øst.

Det planlegges nå for risikovurdering av tjenesteutsetting, nåværende IKT-infrastruktur og alternative modeller. Videre planlegges det for en egen konsekvensvurdering av personvernet. Helseforetakene skal gjøre selvstendige vurderinger av restrisiko og konsekvensvurdering av personvernet. Det vil være dialog med Datatilsynet i forbindelse med dette arbeidet.

Når programmet med modernisering av IKT-infrastrukturen ble stilt i bero, innebar dette betydelige forsinkelser og ekstra kostnader. Jeg mener likevel at det var en helt nødvendig beslutning. Sykehuspartner inngikk ved nyttår en avtale med DXC om oppgjør for kostnader fra oktober 2016 og fram til programmet ble stilt i bero, samt leasing- og lisensavtaler ut 2017. Kostnadene summerer seg til nær 280 mill. kr. Det er derfor for tidlig å si noe om reelle økonomiske tap, da en vil ha nytte av deler av det som er utviklet. Hvor mye som kan gjenbrukes, avhenger bl.a. av om DXC fortsatt vil ha en rolle i det videre arbeidet.

Riksrevisjonen har tidligere påvist avvik bl.a. når det gjelder tilgangsstyring for helsepersonell i alle regioner. Helseregionene arbeider nå med å lukke de påviste avvikene.

Sykehuspartner arbeider med en rekke tiltak knyttet til infrastrukturen. Hoveddelen av tiltakene er nødvendige og ønskelige for regionen, uavhengig av alternativ for modernisering av IKT-infrastruktur, og er en del av den generelle styrkingen av arbeidet med informasjonssikkerheten i regionen. Dette gjelder bl.a. arbeidet med å styrke tilgangsstyringen. Videre innføres det løsning for sporing og logging av tilganger til infrastrukturen. Fagmiljøene innen informasjonssikkerhet styrkes, og i budsjettet er det satt av ressurser til det videre arbeidet med informasjonssikkerhet.

Det er igangsatt aktiviteter i regionen knyttet til styrking av informasjonssikkerhet også utover det arbeidet som pågår i Sykehuspartner. Det arbeides med forberedelser for å ivareta nye krav som følger av EUs personvernforordning i regionen. Ellers vil Helse Sør-Øst innføre en løsning for mønstergjenkjenning knyttet til helsepersonells tilgang til elektronisk pasientjournal gjennom systemet DIPS. Mønstergjenkjenning innebærer at det gjennomføres en automatisert statistisk analyse av alle oppslag i pasientjournalene med utgangspunkt i vanlige bruksmønstre. Gjennom denne systematiske gjennomgangen av loggene vil det avdekkes om det er oppslag i pasientjournalene som avviker fra vanlige oppslagsmønstre. Oppslag som avviker fra det normale, kontrolleres og følges opp manuelt.

Jeg har tidligere nevnt at risikovurderinger skal knyttes til tre elementer: tilgjengelighet, integritet og konfidensialitet. Selv om feil er avdekket, mener jeg det også er viktig å minne om at det ikke er noe som tyder på at opplysninger har kommet på avveier, at opplysninger har vært utilgjengelig for dem som skal yte helsehjelp, eller at opplysninger har blitt endret eller misbrukt.

Som kjent har Helse Sør-Øst blitt utsatt for et omfattende hackerangrep fra en avansert og profesjonell aktør. Saken er politianmeldt og er under etterforskning. Så langt er det ingen tegn til at det har gått ut over pasientbehandlingen, pasientsikkerheten, eller at pasientinformasjon er på avveier, men det siste kan ikke utelukkes.

Mandag 8. januar ble Sykehuspartner varslet av Norsk Helsenett om at det pågikk unormal aktivitet mot datasystemer i helseregionen Helse Sør-Øst. Norsk Helsenett har gjennom sin HelseCERT ansvaret for overvåkning av trafikken i det norske helsenettet. I denne saken har HelseCERT tett samarbeid med NorCERT i Nasjonal sikkerhetsmyndighet, NSM.

Lørdag 13. januar avdekket undersøkelsene ny informasjon som tilsa at angrepet var mer alvorlig enn tidligere antatt. Derfor ble Helsedirektoratet gitt ansvar for koordinering av beredskapsarbeidet på vegne av Helse- og omsorgsdepartementet, i tråd med Nasjonal helseberedskapsplan.

Datainnbruddet ble søndag 14. januar politianmeldt av Sykehuspartner, og formell etterforskning ble innledet av PST. PST skal bl.a. avdekke om det kan innhentes opplysninger til fordel for en fremmed stat, og avdekke eventuelle konsekvenser av dette. Dette er et komplekst og sammensatt angrep, som det vil ta tid å få oversikt over.

Alle tilgjengelige og relevante ressurser er satt sammen for å bistå Helse Sør-Øst. Arbeidet koordineres gjennom Felles Cyberkoordineringssenter, FCKS, som består av NSM, PST, Etterretningstjenesten og Kripos. Det jobbes for fullt med å skaffe oversikt, begrense skader og gjenopprette normaltilstand. Helse Sør-Øst har i sin oppfølging lagt vekt på å samarbeide og dele informasjon med de andre helseregionene.

Av hensyn til etterforskningen er det begrenset hvor mye jeg kan si om innholdet i det pågående arbeidet. Jeg vil imidlertid understreke at det er et tett og godt samarbeid mellom helse- og justissektoren i denne saken.

Arbeidet med IKT-moderniseringen i Helse Sør-Øst og diskusjonen rundt tilgangsstyring og informasjonssikkerhet har skapt utrygghet. Denne utryggheten må vi ta ned, bl.a. gjennom å være tydelige på kravene til tilgangskontroll. Jeg har derfor stilt krav i foretaksmøtet i de regionale helseforetakene om å følge opp anbefalingene i rapporten fra Direktoratet for e-helse. Vi må også være ærlige på hvilke tilganger det er nødvendig å gi. Jeg mener det er viktig at de regionale helseforetakene nå har utarbeidet oversikt over utenlandske leverandører som har tilgang til norske pasientopplysninger i spesialisthelsetjenesten. En klar forutsetning for å gi slike tilganger er at lovreglene følges. Dette gjelder både reglene i personopplysningsloven og de særlige reglene om behandling av helseopplysninger. Disse reglene i lovverket skal sikre at grunnleggende personvernhensyn blir ivaretatt.

Viktige forhold som trekkes fram fra Direktoratet for e-helse, er behovet for tilstrekkelige risikovurderinger, god og reell ledelsesforankring og styring samt tilstrekkelig kompetanse. Ledelsen i helseforetakene, inkludert styret, må ha tilstrekkelig kompetanse for å kunne utøve reell styring og kontroll også på dette området. Jeg har derfor i foretaksmøtet 16. januar i år styrket styret i Helse Sør-Øst med kompetanse innen IKT og informasjonssikkerhet.

I offentlig sektor har vi generelt et behov for å arbeide med forebyggende informasjonssikkerhet. Som ledd i dette arbeidet er Direktoratet for forvaltning og IKT, Difi, utpekt som statsforvaltningens kompetansemiljø for informasjonssikkerhet og sikkerhet i IKT-anskaffelser. Formålet med arbeidet er å legge til rette for en helhetlig tilnærming til informasjonssikkerhet i forvaltningen. I tillegg er NSM tillagt en kompetanse og veiledningsfunksjon på informasjonssikkerhetsområdet utover sikkerhetslovens virkeområde.

NSM peker på at digitaliseringen av samfunnet hele tiden skaper nye verdier og utviklingsmuligheter. Men den digitale, nasjonale sårbarhetsflaten utvides, og risikoen øker. Gjennom flere år har NSM sett en jevn økning av antall målrettede cyberangrep mot norske interesser, både offentlige og private. Disse angrepene utgjør en trussel mot våre verdier. Mange virksomheter beskytter seg ikke godt nok. Nøkkelen til å skape motstandsdyktige systemer innen forebyggende sikkerhet ligger i styring og styrking av sikkerhetsarbeidet. Helsesektoren har tatt initiativ til et tettere samarbeid med NSM på dette området for å sikre kunnskap og systematikk i forebyggende sikkerhetsarbeid.

Regjeringen har også høsten 2017 oppnevnt et IKT-sikkerhetsutvalg, som skal utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av ansvar.

Som jeg har sagt tidligere, må vi ta i bruk de fremste metoder og teknologier i verden for å sikre befolkningen en helsetjeneste av høy kvalitet. En moderne helsetjeneste er avhengig av eksterne leverandører på IKT-området. Det innebærer at det må stilles krav til informasjonssikkerhet og personvern i avtaler med disse. Bare slik vil en oppnå befolkningens tillit, noe som er en forutsetning for å lykkes med digitaliseringen i helse- og omsorgstjenesten.

Presidenten: Presidenten vil nå, i henhold til Stortingets forretningsordens § 45, foreslå at det åpnes for en kort kommentarrunde, begrenset til ett innlegg på inntil 5 minutter fra hver partigruppe og et avsluttende innlegg fra statsråden på inntil 5 minutter.

– Det anses vedtatt.

Ingvild Kjerkol (A) []: Mandag 8. januar i år var nok et bevis på at IKT-sikkerheten i Helse Sør-Øst er for dårlig, og det er alvorlig – det må understrekes. Det begynner å gjenta seg at helseministeren må orientere Stortinget om sikkerhetsbrudd i den største helseregionen vår, hvor 60 pst. av pasientene hører hjemme.

Det er lett å forstå kompleksiteten, av statsrådens lange innledning, men det endrer ikke det faktum at dette er en tjeneste som må ha tillit. Pasienter og befolkning må ha tillit til helsetjenesten. Derfor må IKT-sikkerheten være god. Så er det også sånn, som statsråden sier, at teknologiutvikling ofte skjer i andre land, det er markedsdrevet, og vi ønsker det beste utstyret inn i våre sykehus.

Den rapporten som Nasjonal sikkerhetsmyndighet kom med i september, slår fast at sårbarheten øker ettersom vi digitaliserer sektor for sektor, og i det perspektivet vet vi at helsetjenesten vår skal gjennom en rekke store IKT-investeringer i framtiden. Da blir spørsmålet: Hvordan er vi rigget? Er det godt nok? Det er spørsmålet Stortinget alltid må stille.

Mine spørsmål dreier seg om når statsråden har visst – jeg skjønner at han ikke kan fortelle alt – også knyttet til det oppdraget han sendte til Direktoratet for e-helse, som påpeker det vi allerede har hatt et visst inntrykk av, at det må være et helhetlig sikkerhetsperspektiv som gjelder. Men de går likevel ikke så langt at de vil anbefale at man ikke outsourcer. Det krever betydelig kompetanse, både hos leverandør – åpenbart, men leverandøren er tross alt på et marked – og hos dem som skal eie, drifte og integrere deler av et system i en helhet.

Spørsmålene mine til statsråden, som jeg håper han kan svare på, er: Hva er kostnadsbildet for Helse Sør-Øst? Hva er konsekvensen av å måtte avvikle avtaler midt i en periode, slik jeg forstår at de må gjøre nå overfor viktige leverandører? Hvordan vil man sikre at de som roper om sikkerhet, Sykehuspartner, de mange ansatte, blir hørt? Det gjennomgående sikkerhetsperspektivet er riktignok et lederansvar, men det er statsrådens ansvar å sikre at RHF-ene gjennomgående har dette perspektivet.

Og helt til slutt: Helseministeren må peke nedover i sin ansvarslinje. Det oppfatter jeg at helseministeren gjør – kanskje i litt for stor grad. Stortinget må peke på statsråden, og sikkerhet må rett og slett bli viktigere for helseministeren. Stortinget har krav på å vite om kostnadsutviklingen. Vi står foran store investeringer. En annen helseregion starter nærmest helt på scratch og skal kjøpe IKT-løsninger for både seg selv og 30–40 kommuner. Sikkerhetsperspektivet må opp, og de som roper høyt blant de ansatte, og har gjort det gjennom hele denne prosessen, må bli hørt.

Kjersti Toppe (Sp) []: Denne saka er meir alvorleg enn det denne utgreiinga gir inntrykk av. At helseopplysningar om halve Noregs befolkning ikkje er trygge, rokkar ved tilliten til helsestellet vårt, men det er òg ein fare for rikets sikkerheit. Forsvarleg behandling av helseopplysningar er ein del av kjerneoppgåvene til helsestellet, og sviktar vi her, sviktar vi heile helsestellet.

Styret i Helse Sør-Aust gjorde eit vedtak den 8. september 2016 om vidare modernisering av regionens infrastruktur skulle skje ved bruk av eksterne leverandørar. Den 10. november 2016 sa helse- og omsorgsministeren følgjande frå Stortingets talarstol:

«Den eksterne leverandørens tjenester er som nevnt begrenset til IKT infrastruktur, altså ikke pasientjournalsystemer eller pasientadministrative systemer. Avtalen med tjenesteleverandøren stiller klare krav om at alle datasentre skal stå i Norge, inkludert all lagring av pasientdata (…).

Personell som drifter infrastrukturen, skal ikke ha tilgang til systemer (…) eller administrative systemer hvor personopplysninger behandles.

Driften av disse systemene skal fortsatt leveres av Sykehuspartner HF. Ifølge Helse Sør-Øst RHF vil alle personopplysninger forbli fysisk i Norge, og tilgangen til disse vil fremdeles skje fra Norge og være begrenset til Sykehuspartner og helseforetakene selv. Dette innebærer at personopplysningene ikke skal overføres til andre land eller noen form for skytjeneste.»

Så tok kontroll- og konstitusjonskomiteen tak i det som var ei villeiing av Stortinget. Da svarer helseministeren i brev tilbake:

«Mine svar i interpellasjonsdebatten omhandlet det sikkerhetsregimet som skal være på plass etter at driften er overført til ekstern leverandør.»

Det vi vart fortalde i Stortinget, omhandla altså ikkje kva som kunne skje i planleggings- og oppfølgingsfasen. Dette står jo ikkje til truande.

Så til det å skylda på nokon nedover i systemet: I denne saka har helse- og omsorgsministeren konsekvent skyldt på helseforetaka. I brev til kontroll- og konstitusjonskomiteen i fjor vår viser han til spesialisthelsetenestelova. I brevet står det:

«Eiers adgang til å styre i foretaksmøter bør bare brukes i tilfeller hvor det er nødvendig for å ivareta eiers overordnede ansvar og interesser.»

Ja, nettopp! Var det ein gong ein burde ha gripe inn overfor helseforetaka, var det når ein ikkje var sikker på at helseopplysningane våre var trygge. Det er ein fare, ikkje for pasient og sjukehus, men for rikets sikkerheit. Det er klart at helseministeren visste kva som kom til å vera i kontrakten, men kontrakten var stor, han var på mange, mange tusen sider, så her har ein heller ikkje vore informert. Men det er det ein statsråd sitt ansvar å vera.

Når det gjeld kostnader, var det nettopp at dette skulle føra til meir pengar til pasientbehandling, som var eit av argumenta som statsråden i brev til Stortinget sa var grunnen til at ein var positiv til konkurranseutsetjing. No veit vi at dette har kosta – hittil – 280 mill. kr. Enno er ikkje Helse Sør-Aust ute av avtalen. Sjukehuspartnar har hatt over 300 mill. kr på dette prosjektet. Ein forsøkte å halda hemmeleg denne summen. Datatilsynet har gitt bøter på fleire millionar. Helse Sør-Aust har brukt over 50 mill. kr på strakstiltak for å ryddja opp. Vi står igjen med eit Helse Sør-Aust som har eit sårbart IKT-system som no er utsett for angrep. Dette er alvorleg.

Men det som er det viktige spørsmålet no, er om statsråden vil sikra at grunnleggjande IKT-infrastruktur i helsesektoren vert definert som kritisk nasjonal infrastruktur og kjem inn under sikkerheitsloven. Det er det som no må skje. Alt anna som har vorte sagt i utgreiinga, er meir forklaringar eller bortforklaringar. Men vil statsråden sikra at departementet hans definerer grunnleggjande IKT-infrastruktur i helsesektoren inn under sikkerheitsloven, og vil han hindra framtidig outsourcing av utvikling og drift av kritiske nasjonale IKT-tenester og system innanfor helsesektoren?

Nicholas Wilkinson (SV) []: Jeg vil takke statsråden for at han kommer til Stortinget.

Vi er her i dag fordi folk i Asia, Øst-Europa og Israel har hatt tilgang til helsedata til 2,8 millioner nordmenn. Vi er igjen utsatt for hacking. Vi er her fordi det er livsfarlig når helsedata kommer på avveier, som i Storbritannia, der de måtte stenge ned flere sykehus. Vi er her fordi helseministeren ikke har kontroll på våre sensitive pasientopplysninger. Vi er alle enige om at vi skal investere i IKT. Det vi er uenige om, er hvordan vi skal gjøre det.

Vi må rydde unna en veldig viktig misforståelse som statsråden gjentar igjen og igjen. Vi er alle her – også SV – enige om at vi skal bruke private leverandører. Det statsråden ikke har redegjort for, er det aller viktigste, nemlig den virkelige uenigheten, som er at vi ikke skal privatisere selve grunnsystemet i IKT. Grunnsystemet er som blodet som pumper i kroppen vår. Det pumper liv inn i hele helsevesenet. Det er de ansatte som gjør jobben, men uten informasjon om pasienter, tilgang til maskiner, deling og overføring av informasjon kan de ikke gjøre jobben sin. Vi vil alle bruke private, men vi kan ikke privatisere selve blodet i helsevesenet. Det er det statsråden har godtatt. Statsråden sier i sin redegjørelse at dette handler om bruk av private. Det har vi altså ryddet av veien.

Så refererer statsråden til rapporten fra Direktoratet for e-helse og sier at de mener at dette er greit. Da er det enten statsråden eller direktoratet som svarer feil. Vi har kontaktet direktoratet og spurt. De sier at rapporten kun snakker om å forstå dagens regelverk og hva som er mulig – ikke en normativ forklaring på hva som er lurt å gjøre, slik statsråden her påstår.

Så blir det påstått fra statsråden at det ikke er en motsetning mellom informasjonssikkerhet og privatisering. Nei, man kan kjøpe enkelte moduler, men som enhver IT-ekspert kan fortelle oss, er det slik at hvis du åpner grunnsystemene, så må de kunne ha tilgang bakveien, og da kan de få tilgang til pasientinformasjon. Dette er feil. Hvis man privatiserer grunnsystemene i IT, så får de tilgang, da kan de få tilgang til våre pasientdata.

Jeg er veldig enig med statsråden når han sier at dette bl.a. skjer fordi sikkerhetsvurderingene ikke har vært gode nok. Da er det viktig for oss i SV å presisere helt tydelig at dét er statsråden sitt ansvar. Etter vedtaket i Helse Sør-Øst 8. september 2016 ba noen av de beste ekspertene vi har, om et møte med statsråden: Fagforbundet, NITO og EL og IT Forbundet. De skrev at en tverrfaglig gruppe har sett på dette, de advarer om IKT-sikkerheten, de advarer og forteller at det kan gjøres bedre og billigere i offentlig regi, at det er tryggere og kan gi bedre klinisk sikkerhet. Det kom på toppen av at de også advarte styret i Helse Sør-Øst om at dette var farlig.

Likevel svarer statsråden 14. september 2016 at statsråden er kjent med området – og dermed ikke kunne avsette tid til et møte. Statsråden har blitt advart av noen av de beste på feltet. Styret i Helse Sør-Øst har hatt personer som har talt mot dette. Likevel er det gjennomført, med statsrådens unnskyldning. Og han unnskylder seg her med at tilgangene ikke er brukt. Det er litt som å unnskylde at man glemte å låse alle bankhvelvene og så si at ja, ja, men det var ingen som forsynte seg. Problemet her er at vi har utsatt norske helsedata for alvorlig fare.

Statsråden sier også i sin redegjørelse at styret i Helse Sør-Øst nå økes med IKT-kompetanse. Den kompetansen fantes fra før, ifølge fagforeningene, og de advarte på det sterkeste mot dette.

Så nå må vi løse problemene som Høyre–Fremskrittsparti-regjeringen stelte i stand. Hvordan vi bygger helsevesenet i dag, bestemmer hvordan vi får det i morgen. I dag priser vi oss lykkelige over at datidens politikere sikret statlig eierskap og trygghet over veier, jernbane og naturressurser som vann og olje – på tross av motstand fra høyresiden. Nå står vi foran et slikt veiskille i helsevesenet. Alt avhenger av den digitale infrastrukturen. Det er blodet i helsevesenet vårt. Vi kan velge mellom IKT-skandaler og privatisering og det å bygge opp sterk offentlig kontroll – for å sikre vårt felles helsevesen, stoppe privatiseringsavtalene i Helse Sør-Øst, som statsråden godtok mot gode råd, ta dette inn i sikkerhetsloven og sikre nasjonal kontroll og drift med våre viktige pasientopplysninger og helsedata.

Ketil Kjenseth (V) []: Takk til statsråden for en grundig orientering.

Jeg vil starte der representanten Wilkinson avsluttet, med hvem som har stelt i stand dette. Statsråden var innom fusjonsprosessen mellom Helse Sør og Helse Øst, som ble til Helse Sør-Øst, og pekte på at Sykehuspartner, som i dag er Helse Sør-Østs IKT-foretak, har 40 datasentre, 10 000 dataservere og 3 000 applikasjoner. Da synes jeg det er på tide at vi får en diskusjon om helheten i norsk helsesektor og hvordan digitaliseringen begynner å prege en så stor sektor. Bare spesialisthelsetjenesten tar snart 150 mrd. kr av statsbudsjettet, og legger vi til en primærhelsetjeneste som har nesten det samme, er det en stor økonomisk virksomhet for staten, men den er mer og mer gjennomsyret av digitalisering.

En sektor vi ikke snakker om her, er kommunesektoren. Jeg har stilt spørsmål til utredningsseksjonen om hvor mange dataservere vi har i kommunal sektor som organiserer våre pasientdata, og svaret er enkelt og brutalt: Det vet ingen i Norge. Men det beste anslaget de kan gi, er mellom 20 000 og 60 000 dataservere som samler inn personinformasjon om oss i kommunene. Halvparten av kommunene bruker den finske leverandøren Tietos system Gerica til å organisere pasientdataene. Det er en privat leverandør. Det leder meg også over til Estland, som blir brukt som et av de eksemplene vi skjeler til, og som har et veldig lite antall dataservere – i stort kan vi nesten snakke om bare en, men de sier at de har 13, en for hver offentlig sektor, og Tieto er en av dem som har vært med på å utvikle X-Road-plattformen i Estland, som gjør at de kan ha så mye persondata om den estiske befolkningen samlet på et fåtall dataservere.

Men Estland forholder seg også til utlandet. De har grønne datasentre på andre kontinenter, for om datasentrene i verste fall blir tatt ned av Russland, eller det skjer en naturkatastrofe, skal pasientdataene være oppe og gå i form av et datasenter i et annet land. Så at dette bare er et nasjonalt anliggende, er vi langt fra å kunne si, og vi må diskutere helheten i hele denne virksomheten som helt har fått leve sitt eget liv med veldig mange beslutningstakere og aktører som en kan lure på i hvilken grad har hatt pasientens beste in mente.

Det er den store debatten her: I og med at det er et så stort mangfold, er det også krevende å komme seg videre og fatte beslutninger for hvordan en skal gjøre det. Debatten om samfunnskritisk infrastruktur er åpenbart en del av dette, og da må vi også diskutere sikkerhetsloven, for denne debatten startet for alvor høsten 2016, da Helse Sør-Øst hardnakket hevdet at det ikke var mulig å få tilgang til pasientdata gjennom den avtalen en var i ferd med å inngå med Hewlett Packard Enterprise, HPE, den gangen. Det er ettertrykkelig slått fast at det hadde de selv ikke greie på – det er faktisk mulig. Derfor må vi diskutere sikkerhetslovgivningen og hvem som skal sikkerhetsklareres for å kunne forvalte pasientdataene i Norge.

Det er også en annen sak vi må diskutere: hvilke aktører som skal få drifte applikasjonene oppå de digitale motorveiene. Et annet land som er interessant å se til, er Australia, som er kjent for å ha helse som sin største eksportartikkel, men også et ganske privatisert helsevesen. Det interessante er at der er det faktisk staten som programmerer og drifter de digitale motorveiene for helsesektoren, og så slipper de inn de private programmererne og aktørene for å utvikle og drifte dem. Da ruller de også ut store programmer for å lære opp helsesektoren, og det må vi også begynne å diskutere: den kompetansen som helsepersonell er nødt til å få, og som de i dag ikke har i sin utdanning.

Så vil jeg sette et stort spørsmålstegn ved om brukerne virkelig har vært involvert i disse prosessene i Helse Sør-Øst. Sykehuspartner har ikke et brukerråd, og når Helse Sør-Øst har diskutert disse sakene, har brukerrådet vært plassert på gangen og ikke fått delta i diskusjonene, og de er heller ikke vedtaksføre i Helse Sør-Øst. Så jeg tror at vi også skal diskutere det – vi må i mye større grad involvere brukerne her, slik at flere forstår hva som egentlig skjer i denne sektoren nå.

Olaug V. Bollestad (KrF) [] (helse- og omsorgskomiteens leder): IKT er en utfordring. IKT er en utfordring også ved at utviklingen ofte går fortere enn vi klarer å følge med på.

Når det gjelder Helse Sør-Øst, ble den opprettet 1. juni i 2007. Så mitt spørsmål er ikke bare til statsråden, men også til de partiene som da satt i regjering – om de hadde foretatt gode nok risikovurderinger for at to helseforetak skulle slå seg sammen. Jeg synes det er betimelig å stille også dem spørsmål her. Det er ingen unnskyldning for at vi er der i dag, men spørsmålet er: Hvilket grunnarbeid ble gjort da? Og er det noen av de resultatene vi nå sitter igjen med? Det tror jeg er noe av forklaringen, men ikke hele.

IKT står sentralt. Vi vil aldri komme utenom dette i helsevesenet. Det handler om røntgen. Det handler om robotoperasjoner. Det handler om journalsystem. Det handler om blodprøver. Det handler om EKG. Det handler om våre pasientopplysninger, som vi er helt avhengige av, og som er sentrale for folk flest. Da må folk vite: Kan jeg ha tillit til de opplysningene som foreligger, og til dem som jobber der? Kan jeg ha tillit til at jeg kan få opp mine opplysninger i Oslo som i Stavanger, hvis jeg skulle bli alvorlig syk?

Jeg må ha trygghet for at de som ikke skal ha opplysninger, ikke får dem, for at de som skal ha opplysninger, får dem, og for at de opplysningene de får, er riktige. Jeg må være trygg på at jeg får opp disse opplysningene når jeg trenger det aller mest. Og jeg må ha trygghet for at de som skal ivareta disse opplysningene, ikke misbruker opplysningene mine. Jeg må vite at taushetsplikten blir ivaretatt, at mitt personvern blir ivaretatt, og at mine opplysninger skal være for dem som trenger å ha tilgang til dem. Hvem får så tilgang til disse opplysningene? Det blir det store spørsmålet.

Til slutt, for å få en hel hånd, som IKT egentlig er, og som jeg som pasient er helt avhengig av: Tillit, trygghet, taushetsplikt, tilgang og en total risikovurdering må være viktig for at jeg skal kunne si at det er greit, vi har sikkerhet rundt våre IKT-løsninger og våre pasientopplysninger.

Etter å ha hørt utredningen fra statsråden er jeg opptatt av: Hvilket tidsperspektiv er det for det arbeidet som nå pågår i Helse Sør-Øst? Dette er et kritisk arbeid, å vite at vi både har risikovurderinger og får iverksatt de tiltakene på beredskapssiden som trengs, samtidig som det pågår et arbeid for å få systemet og tilliten blant befolkningen som har sine pasientopplysninger i journalsystemet til Helse Sør-Øst, opp å gå, slik at en klarer å gi pasientopplysningene, journalsystemene og IKT-løsningene i Helse Sør-Øst et annet omdømme enn de har i dag.

Mitt andre spørsmål til statsråden er: Hvordan kvalitetssikrer – som nå skal gjøres – statsråden de IKT-løsningene som er i Helse Midt-Norge, i Helse Nord og i Helse Vest? Hva slags risikovurderinger blir gjort?

Vi vet alle at vi vil være avhengige av gode og sikre plattformer for å være sikre på at den helsehjelpen som trengs, skal vi få, ut fra at opplysningene om oss er sikret. Derfor ønsker jeg å få svar fra statsråden på disse spørsmålene.

Abid Q. Raja hadde her overtatt presidentplassen.

Seher Aydar (R) []: Dette er en alvorlig sak, ikke minst fordi det har vært så mange som har advart – advarsler som har blitt oversett. NITO, Fagforbundet og EL og IT Forbundet ba om et møte med statsråden fordi de var bekymret for at tilgangen til sensitive pasientopplysninger ikke kom til å bli godt nok ivaretatt dersom helseforetaket brukte ansatte i utlandet. Men departementet svarte at de ikke hadde behov for et møte, fordi statsråden kjente godt nok til saken. Både tillitsvalgte, fagfolk og sikkerhetseksperter advarte mot utflagging av IKT-driften i Helse Sør-Øst til utlandet. Mitt spørsmål er: Hva er grunnen til at helseministeren valgte ikke å lytte til disse advarslene? For valget om ikke å lytte til advarslene har hatt store konsekvenser for pasientsikkerheten.

Retten til privatliv slås fast i artikkel 12 i menneskerettighetserklæringen. Helsemyndighetenes håndtering av pasientdata bryter 2,8 millioner norske personers menneskerettigheter. Få steder er denne rettigheten viktigere enn i møte med helsevesenet. Det kan dreie seg om sensitive opplysninger som man absolutt ikke ønsker at andre personer enn helsepersonell skal ha tilgang til.

Helseministeren kan ikke lenger fraskrive seg ansvaret. Ansvarsfraskrivelse bryter ned tilliten, tilliten mellom samfunnet og helsevesenet. Når du møter helsevesenet i en sårbar situasjon, forventer du at dine helseopplysninger er trygge, og at de ikke skal komme på avveier. Det er nemlig den tryggheten som er så avgjørende for tilliten. Helseministeren må sørge for at tilliten ikke brytes ned.

Tillit må alltid bygges, og den må bearbeides. Det er mange helsearbeidere rundt om i landet som sørger for det hver eneste dag. Men i dette tilfellet er helseministeren ansvarlig for et overtramp mot privatlivet til pasienter, et overtramp som kan skape mistillit.

Da Datatilsynet ga ut rapporten som viste tydelig at det hadde vært flere lovbrudd i den tjenesteutsatte infrastrukturen, skrev de også følgende i sin rapport:

«Det er grunn til å understreke at saken er spesiell fordi det er første gang norske helseforetak har besluttet å legge drift av hele helseregionens IKT-infrastruktur til ekstern leverandør i utlandet. Driften omfatter behandling av helseopplysninger om mer enn halve Norges befolkning og saken er av den grunn også prinsipiell med tanke på liknende prosjekter som er under planlegging i helsesektoren.»

Her må helseministeren ta ansvar. Og denne gangen må helseministeren lytte til de tillitsvalgte og til fagfolk. Utflagging og privatisering går ut over pasientsikkerheten. Det bør derfor ikke gjentas. Det er ikke bra for pasientene, ikke for ansatte og ikke for tilliten. Noen private selskapers ønske om å tjene mer penger er ikke viktigere enn pasientsikkerhet og trygghet i helsevesenet. Vi må lære av feilene og ikke gjenta dem.

Bård Hoksrud (FrP) []: Jeg vil starte med å si at pasientdata og pasientinformasjon er viktig, og det opplever jeg at alle i denne salen er veldig enige om. Det handler om at befolkningen kan stole på at informasjonen om dem blir ivaretatt på en god måte, derfor er dette et så utrolig viktig område.

Jeg hørte på representanten Wilkinson, og han brukte en ganske høy utestemme. Det hender ofte at jeg også gjør det, men det var en voldsomt høy utestemme fra representanten Wilkinson og en ganske høy sigarføring – jeg skal kanskje ikke si det, men det var litt det jeg tenkte på. Det var vel ikke alt som fungerte utmerket under de rød-grønne når det gjaldt IKT-systemer. Dessverre har det vært utfordringer på det området.

Jeg synes statsråden på en veldig god måte redegjorde for situasjonen og hvordan man nå jobber for å lukke det som er oppdaget, og hindre at man i framtiden skal oppleve at man f.eks. får innbrudd, som angrepet vi hadde den 8. januar. Jeg opplever at statsråden er veldig klar og har sendt klare og tydelige bestillinger nedover om hvordan dette skal håndteres. Jeg registrerte også at statsråden sa at han hadde styrket styret i Helse Sør-Øst med denne typen kompetanse, og det tror jeg også er veldig viktig. Sikkerhet er utrolig viktig, for det handler om pasientene og alle dem som skal bruke dette, og at man skal være trygg på at de opplysningene som ligger der, er sikret på en god måte. De opplysningene som pasientene gir fra seg, kan faktisk være de opplysningene som gjelder når det står om minutter eller sekunder. Derfor er det så viktig at man har tiltro og tillit til disse opplysningene.

Jeg er nok ikke helt med i det koret som enkelte representanter fra opposisjonen som har vært oppe på talerstolen, er med i. Men jeg er helt enig i at det er alvorlig, at det må tas tak i, og at det blir tatt tak i. Det er helt avgjørende, og jeg opplever at statsråden på en veldig god måte har redegjort for det her i Stortinget. Jeg registrerer også at SV nå har sagt at private skal kunne få lov til å levere deler av dette, og det tror jeg er viktig. Jeg tror at når det gjelder mye av dette, trenger man å bruke de private for å levere gode tjenester og for å sikre at vi skal være helt i tet og ha de beste IKT-systemene – de som er sikre, og som ivaretar pasientene på best mulig måte.

Jeg synes det har vært en god redegjørelse, men dette viser også at helseforetakene må fortsette å jobbe med dette. Direktoratet jobber godt med dette, og det må man fortsette å gjøre også framover. Vi, fra Fremskrittspartiets side, er i hvert fall veldig opptatt av å sikre at man ivaretar opplysningene på en sikker og trygg måte. Man kan kanskje aldri sikre seg mot å oppleve nye angrep – det er dessverre slik at noen ønsker å ødelegge denne typen systemer – men det er i hvert fall viktig at man gjør alt man kan for å sikre det på best mulig måte.

Statsråd Bent Høie []: Jeg skal forsøke å svare på en del av spørsmålene som så langt har kommet i denne runden – for det første spørsmålet fra Kjerkol om kostnadsbildet: Som jeg sa i min redegjørelse, er det etablert en avtale mellom Helse Sør-Øst og firma på 280 mill. kr, som også omfatter lisensavtaler i 2017. Hvor mye av dette som vil kunne sies å være penger som er tapt eller bortkastet, er det ikke mulig å svare på nå, for det er helt avhengig av hvor mye av disse investeringene som kan brukes videre i prosessen. Det er igjen avhengig av hvilken løsning Helse Sør-Øst videre lander på, så det er det ikke mulig å svare på nå.

Spørsmålet om hvordan de som roper på sikkerhet, skal bli hørt, har jeg fulgt opp overfor både direktoratet og helseforetakene, med understreking av betydningen av bl.a. at de tillitsvalgte involveres i arbeidet, som det bl.a. har blitt gjort i arbeidet med rapporten som Direktoratet for e-helse la fram i september.

En rekke representanter har vært inne på spørsmål knyttet til sikkerhetsloven. Stortinget har nå en ny sikkerhetslov til behandling. Jeg bestemte relativt tidlig at helseregionene skulle omfattes av sikkerhetsloven, det er også tilfellet i dag, og det betyr at de vil bli omfattet av den nye sikkerhetsloven. De regionale helseforetakene og Norsk Helsenett etablerte i 2015 en sikkerhetsorganisasjon og sendte da departementet en egenerklæring om at de hadde etablert sikkerhetstiltak for å kunne håndtere sikkerhetsgradert informasjon. Virkeområdet til den nye loven utvides hvis den blir vedtatt som foreslått. Flere av RHF-enes funksjoner kan bli omfattet av bestemmelser om objekter, infrastruktur, sikkerhet med bakgrunn i et endret risikobilde, den teknologiske utviklingen og de siste hendelser i arbeidet i de regionale helseforetakene, med tiltak for bl.a. å sikre IKT-infrastrukturen. Det er også etablert et samarbeid mellom Helse- og omsorgsdepartementet og Nasjonal sikkerhetsmyndighet, der de regionale helseforetakene, Direktoratet for e-helse, Helsedirektoratet og Norsk Helsenett deltar.

I foretaksmøtet 16. januar ba jeg også helseregionene om å gjennomgå tiltak som gjør at både helseregionene og helseforetakene er klare for å implementere den nye sikkerhetsloven når den trer i kraft. Da må det selvfølgelig også til en ny vurdering av f.eks. hvilke objekter som er sikringsverdige på bakgrunn av den loven som Stortinget vedtar.

Ellers var det en del i framstillingen av historien i representanten Toppes innlegg som jeg vil betegne som alternativ, men de som ønsker å finne svar på dette, kan lese svarene jeg har gitt kontroll- og konstitusjonskomiteen, som gikk inn på en del av de spørsmålene.

Jeg er også glad for at representanten Wilkinson er så tydelig på at SV er enig i at en moderne helsetjeneste er avhengig av private underleverandører for å kunne gi moderne og skikkelige helsetjenester, ikke minst den digitaliseringen som vi står overfor.

Når det gjelder spørsmålet om grensen går ved IKT-infrastrukturen eller ikke, er det ikke noen veldig tydelige anbefalinger om det. Både rapporten fra Nasjonal sikkerhetsmyndighet og rapporten fra Direktoratet for e-helse er veldig tydelige på hvilke forutsetninger som uansett må ligge til grunn, uavhengig av om en velger å ha en privat tjenesteleverandør eller utvikler dette i offentlig regi. Det er grunn til å si at IKT-infrastrukturen som Helse Sør-Øst har i dag, er utviklet i offentlig regi. Sårbarheten i den tror jeg er tydelig for oss alle i dag. IKT-infrastrukturen som utvikles og forvaltes av det offentlige, er ikke noen garanti for sikkerhet. Dette må være en konkret vurdering, ikke minst må en gjøre gode risikoanalyser. Det er nettopp det som bl.a. sviktet i prosessen i Helse Sør-Øst. Det hadde også vært nødvendig uavhengig av hvilken løsning som er den beste.

Tidsperspektivet, som representanten Bollestad tok opp, er at Helse Sør-Øst i løpet av våren vil ta beslutninger om hvilke løsninger de velger for igjen å sette moderniseringen av IKT-infrastrukturen på sporet igjen. Jeg er enig i at det er helt essensielt at det arbeidet starter opp igjen, for vi har en for sårbar IKT-infrastruktur i Helse Sør-Øst, bl.a. på bakgrunn av den historiske utviklingen, som jeg også har redegjort for. Det er også slik at jeg har stilt strengere krav til risikovurdering gjennom de ulike oppdragene. Det gjelder alle helseregionene, også andre helseregioner enn Helse Sør-Øst.

Presidenten: Presidenten vil foreslå at helseministerens redegjørelse om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst vedlegges protokollen. – Det anses vedtatt.

Da går vi til sak nr. 2, som ved en inkurie ble hoppet over.