Stortinget - Møte tirsdag den 12. juni 2018

Dato: 12.06.2018
President: Tone Wilhelmsen Trøen
Dokumenter: (Innst. 386 S (2017–2018), jf. Dokument 8:197 S (2017–2018))

Innhold

Sak nr. 12 [17:54:46]

Innstilling fra helse- og omsorgskomiteen om Representantforslag fra stortingsrepresentantene Kjersti Toppe, Emilie Enger Mehl, Per Olaf Lundteigen, Nicholas Wilkinson, Torgeir Knag Fylkesnes og Mona Fagerås om å be regjeringen definere grunnleggende IKT-infrastruktur i helseforetakene inn under sikkerhetsloven (Innst. 386 S (2017–2018), jf. Dokument 8:197 S (2017–2018))

Talere

Presidenten: Etter ønske fra helse- og omsorgskomiteen vil presidenten foreslå at taletiden blir begrenset til 3 minutter til hver partigruppe og 3 minutter til medlemmer av regjeringen.

Videre vil presidenten foreslå at det – innenfor den fordelte taletid – blir gitt anledning til replikkordskifte med inntil fem replikker med svar etter innlegg fra medlemmer av regjeringen, og at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.

– Det anses vedtatt.

Torill Eidsheim (H) [] (ordførar for saka): I denne saka er det sett fram tre ulike forslag, og alle er frå eit mindretal. Arbeidarpartiet, Senterpartiet og SV stiller seg bak forslaga nr. 1 og 2, mens det berre er Senterpartiet og SV som stiller seg bak forslag nr. 3.

For å sikre effektivisering av det norske samfunnet er vi avhengige av å nytte digitaliseringa fullt ut. Då må IKT-løysingar og digitale tenester vere tilstrekkeleg sikre og pålitelege. Verksemder og privatpersonar må ha tillit til at system og nettverk både fungerer slik dei skal, og vareta personvernet til den enkelte.

God IKT-sikkerheit og evne til å handtere uønskte digitale hendingar er ein føresetnad for at ein skal kunne oppnå denne tilliten. Alle dei regionale helseføretaka har eit overordna ansvar for å sikre pasientinformasjonen som dei forvaltar og sjå til at systema er oppdaterte og blir utvikla på ein slik måte at dei varetar behovet for ein trygg og effektiv IKT-infrastruktur. Det er viktig at ein har tatt lærdom av uheldig informasjonshandtering. Helseføretaka har hatt ulik tilnærming til korleis ein har løyst oppgåvene sine, og det er heilt vesentleg at føretaka riggar ei sikker og god utvikling av IKT-infrastrukturen sin, og at ein drar vekslar på erfaring og god praksis i dei ulike føretaka. Likevel er det grunn til å understreke at det er departementa som har det overordna ansvaret for førebyggjande sikkerheitstenester i sin sektor.

Fleirtalet – med Kristeleg Folkeparti, Venstre, Framstegspartiet og Høgre – ser at det er gjort ei rekke tiltak og lovendringar i det siste som vil sikre eit forsvarleg sikkerheitsnivå. Når den nye sikkerheitslova trår i kraft, vil alle verksemder igjen gjennomføre nye risikovurderingar knytte til skjermingsverdig informasjon og informasjonssystem, objekt eller kritisk infrastruktur av avgjerande betyding for å støtte opp under grunnleggjande nasjonale funksjonar. Vurderingar knytte til drift, forvalting og utvikling heng tett saman, og det er verksemdene sjølve som melder inn desse behova, og så er det opp til departementa å konkludere.

Ingvild Kjerkol (A) []: Arbeiderpartiets mål er at pasienter ved norske sykehus skal være trygge på at behandlingen kommer raskt i gang, og at tjenesten skal gis i et planlagt og uavbrutt pasientforløp. Helsetjenestenes IKT-systemer er grunnleggende for å oppnå disse målsettingene. Pasientinformasjonen må flyte på en måte som sikrer god og riktig behandling og ivaretar datasikkerheten.

For trygg og sikker databehandling er det tre ting som er ganske avgjørende. Det ene er selvfølgelig konfidensialitet, at pasientdata ikke kommer på avveier eller havner hos noen som ikke skal ha tilgang til dem. Det andre er integritet, at ingen uvedkommende skal kunne bryte seg inn i systemene og ta over styringen av dem. Det tredje er tilgjengelighet, nemlig at pasientinformasjon blir tilgjengelig i alle deler av tjenesten som har betydning for pasientens behandling og kvaliteten på den behandlingen man får.

Dessverre har IKT-skandalen i Helse Sør-Øst vist at dette ikke har vært godt nok ivaretatt. Uvedkommende har kunnet få tilgang til sensitive pasientdata om 2,8 millioner nordmenn som hører til i Helse Sør-Øst-området. Dermed har sensitiv pasientinformasjon kunnet komme på avveier, og uvedkommende har kunnet kartlegge en infrastruktur som kunne ha blitt brukt til sabotasje for å lamme Norge.

Høyrepartiene i regjeringen må ta lærdom av dette. Vi mener at framtidig outsourcing av utvikling og drift av kritiske nasjonale IKT-tjenester og -system innenfor helsesektoren må kvalitetssikres betydelig, og at argumentene for å løse disse oppgavene i egenregi er de beste.

Den 8. januar 2018 ble Sykehuspartner, som er et foretak under Helse Sør-Øst, varslet om at det pågikk unormal aktivitet i datasystemene i regionen. Helseforetaket mistenkte at profesjonelle sto bak, og PST og Kripos ble koblet inn i saken.

IKT-skandalen i Helse Sør-Øst har vist at regjeringen ikke sikrer helseopplysningene til Norges befolkning godt nok, og at dette utgjør en fare for rikets sikkerhet. At helseopplysningene til halve Norges befolkning ikke har vært trygg, rokker ved tilliten til helsetjenesten. Forsvarlig behandling av helseopplysninger er en kjerneoppgave for vår felles helsetjeneste.

Jeg vil ta opp de mindretallsforslagene i innstillingen som Arbeiderpartiet står inne i.

Presidenten: Da har representanten Ingvild Kjerkol tatt opp de forslagene hun refererte til.

Kjersti Toppe (Sp) []: IKT-skandalen i Helse Sør-Aust førte til at uvedkomande har kunna få tilgang til sensitive pasientdata om 2,8 millionar nordmenn. Vi må ta lærdom av dette og sikra at grunnleggjande IKT-infrastruktur i helseføretaka må verta definert som kritisk nasjonal infrastruktur som kjem inn under sikkerheitslova.

Dette forslaget burde ha vore unødvendig. Vi synest det er beklageleg at både Høgre, Framstegspartiet, Venstre og Kristeleg Folkeparti ikkje støttar oss i dette. Vi meiner òg at outsourcing av utvikling og drift av kritisk nasjonal IKT-teneste og -system i helsesektoren vert avslutta, og at nye avtalar ikkje vert inngått. Høgre, Framstegspartiet, Venstre og Kristeleg Folkeparti støttar oss heller ikkje i dette. Senterpartiet får berre støtte av SV i innstillinga for forslaget om at informasjon knytt til nasjonale sikkerheitsinteresser må verta drifta og lagra i Noreg.

Høgre, Framstegspartiet, Venstre og Kristeleg Folkeparti argumenterer i innstillinga for at det er så vanskeleg å få dette til, det er så vanskeleg å avgrensa det, og at dette må grundig greiast ut før ein eventuelt kan konkludera. Denne argumentasjonen held ikkje mål, i alle fall ikkje etter den situasjonen vi har vore oppe i no i helsevesenet. Dei kan heller ikkje visa til eitt einaste høyringssvar som byggjer opp under desse påstandane. På høyringa i komiteen var det unison støtte til representantforslaget frå fagmiljøa, Legeforeningen, Fagforbundet; NITO, EL og IT Forbundet – som alle meiner at forslaget må gjennomførast.

I den nye sikkerheitslova er ansvaret for å definera grunnleggjande nasjonale funksjonar lagt til fagdepartementa. Det veit vi, men IKT-skandalen har vist at Helsedepartementet ikkje har forstått dette ansvaret. I sikkerheitslova kapittel 6 vert det gitt to alternative vilkår for at eit informasjonssystem skal kunna sjåast på som skjermingsverdig: anten at systemet behandlar skjermingsverdig informasjon, eller at systemet i seg sjølv har avgjerande betyding for grunnleggjande nasjonale funksjonar. Begge desse vilkåra er oppfylte når vi snakkar om grunnleggjande IKT-infrastruktur i helsevesenet.

Dette forslaget burde ha vore unødvendig, men Helsedepartementet og regjeringa har ikkje forstått ansvaret.

Det er klart at sikkerheitsbrot i datasystemet i helseføretaket utgjer ein vesentleg nasjonal sikkerheitsrisiko. Sjukehus er viktig for å sikra grunnleggjande sikkerheit i Noreg, og grunnleggjande IKT-system er avgjerande for at sjukehusa våre skal fungera. Difor burde det ikkje vera tvil om at grunnleggjande IKT-infrastruktur i helseføretaka kjem inn under krav i sikkerheitslova – og med det vil eg ta opp forslag nr. 3, som Senterpartiet er med på.

Presidenten: Da har representanten Kjersti Toppe tatt opp det forslaget hun refererte til.

Sheida Sangtarash (SV) []: Jeg er bekymret. Jeg er bekymret for folks tillit til helsevesenet. Jeg er bekymret for at folk ikke tør å gi fra seg opplysninger i framtiden om egen helse fordi de er redde for sitt personvern. Når man søker helsehjelp, må man være trygg på at informasjonen man deler, blir tatt vare på. Det er et politisk ansvar å sikre systemer og nettverk som både fungerer og ivaretar folks personvern i helsevesenet.

Når lovverket og departementets praksis ikke sikrer helseopplysninger til Norges befolkning, når helseopplysningene til halve Norges befolkning ikke har vært trygge, er vi i en alvorlig situasjon. Og det er helseministerens ansvar å rydde opp.

Det er alvorlig når uvedkommende har fått tilgang til sensitive pasientdata. Det er derfor vi mener at Norge må sikre at grunnleggende IKT-infrastruktur i helsesektoren må bli definert som kritisk nasjonal infrastruktur som kommer inn under sikkerhetsloven. Det er derfor vi mener at outsourcing og drift av kritiske nasjonale IKT-tjenester og -systemer i helsesektoren må avsluttes, og det er derfor vi mener at informasjon knyttet til nasjonale sikkerhetsinteresser må bli driftet og lagret i Norge. Eksperter fra NITO, EL og IT Forbundet og Fagforbundet har levert høringssvar og mener dette kan gjennomføres. Det er skuffende at regjeringspartiene ikke vil være med på forslagene uten å kunne dokumentere hvorfor.

Statsråd Bent Høie []: Helse- og omsorgsdepartementet vurderte i 2014 forholdet mellom sikkerhetsloven og de regionale helseforetakene, helseforetakene og Norsk Helsenett SF. Nasjonal sikkerhetsmyndighet, NSM, bisto i dette arbeidet, som konkluderte med at disse virksomhetene er omfattet av sikkerhetsloven. Dette omfatter da også grunnleggende IKT-infrastruktur i helseforetakene. Ny sikkerhetslov, som Stortinget behandlet i februar og mars i år, er forventet å tre i kraft 1. januar 2019. Den vil ha et utvidet virkeområde.

Et særlig viktig spørsmål i representantforslaget er vurderingen av om hele eller deler av IKT-infrastrukturen i helseforetakene er skjermingsverdig etter den nye loven. Dette forutsetter at IKT-infrastrukturen er av betydning for å trygge Norges suverenitet, territorielle interesse og demokratiske styreform og andre nasjonale sikkerhetsinteresser, jf. § 1-1.

Etter den nye loven er ansvar for slike vurderinger lagt til departementet, og det er etablert et samarbeid med NSM, helseregionene, Norsk Helsenett, Helsedirektoratet, Direktoratet for e-helse og Sykehusbygg. De skal identifisere grunnleggende nasjonale funksjoner, identifisere virksomheter i sektoren som kan ha skjermingsverdige verdier, identifisere mulige skjermingsverdige verdier og vurdere og peke ut konkrete skjermingsverdige verdier. Disse vurderingene og eventuelle behov for forebyggende sikkerhetstiltak vil i seg selv kunne være sikkerhetsgradert informasjon.

Det er svært viktig at befolkningen har tillit til helsetjenestenes håndtering av pasientopplysninger. Dette var jeg tydelig på i min redegjørelse i Stortinget 30. januar i år, om tilgangsstyring og informasjonssikkerhet i Helse Sør-Øst. Jeg var også tydelig på at befolkningen skal ha tilgang til offentlig finansierte helsetjenester av høy kvalitet. Det krever det fremste innen teknologi og metoder, slik at helsepersonell kan arbeide effektivt, levere helsetjenester på nye måter, behandle pasienter utenfor sykehus og gi pasientene større kontroll over egen behandling og helse. Mye av denne teknologiutviklingen skjer og tilbys internasjonalt.

Økt digitalisering stiller også økte krav til arbeid med informasjonssikkerhet og personvern. Etter gjeldende rett er det begrenset anledning til å avvise utenlandske IKT-leverandører på generelt grunnlag, med den begrunnelsen at de er etablert i eller vil levere tjenester for et annet land. Det må gjennomføres konkrete vurderinger i hvert enkelt tilfelle, og det ses på risikovurderinger og mulighet for å ivareta kravene til sikkerhet. Dette bildet er i stadig endring, og det er helt nødvendig å samarbeide tett med nasjonale myndigheter som arbeider med disse spørsmålene for å gjøre gode, konkrete vurderinger.

Presidenten: Det blir replikkordskifte.

Kjersti Toppe (Sp) []: Bakgrunnen for representantforslaget var at statsråden under utgreiinga gjentatte gonger møtte oss med at helseføretaka er lagde inn under tryggingslova, på spørsmål om at vi meiner at IKT-systemet må inn under tryggingslova. Så kom det etter kvart fram at sjølv om helseføretaka vart lagde inn under tryggingslova, var ikkje departementet ferdig konkludert i spørsmålet om IKT-infrastrukturen, heilt eller delvis, skulle inn under tryggingslova. Dette er no eit ansvar som er lagt til departementet.

I brevet til komiteen står det at det framleis vert vurdert, og eg ville spørja statsråden om kva regjeringa og han som statsråd vil jobba for i denne saka. Vil han jobba for, og synest han det er rimeleg, at IKT-infrastrukturen kjem inn under tryggingslova?

Statsråd Bent Høie []: Jeg tror at representanten her blander sammen to ulike forhold. IKT-infrastrukturen som er en del av helseforetakene, er selvsagt underlagt sikkerhetsloven, fordi helseforetakene også er underlagt sikkerhetsloven. Det som jeg tror representanten er på jakt etter, er et svar på om deler av eller hele IKT-infrastrukturen er skjermingsverdige objekter etter sikkerhetsloven. Det er en vurdering som gjøres helt konkret. Vurderingen knyttet til dette er nå et sentralt spørsmål med tanke på den nye sikkerhetsloven som trer i kraft den 1. januar 2019, og jeg redegjorde i mitt innlegg for de prosessene som er på gang for å gjøre de konkrete vurderingene.

En del av de vurderingene kan også være unntatt offentligheten, nettopp av hensyn til rikets sikkerhet, men det er et vurderingsarbeid som nå pågår.

Kjersti Toppe (Sp) []: Eg har ikkje misforstått. Det var sjølvsagt det siste som statsråden svarte på, som heile tida har vore eit spørsmål: om IKT-infrastrukturen i helseføretaka vil kunna vera tryggingsgradert informasjon som dermed må leggjast inn under tryggingslova. Men eg høyrer at statsråden ikkje har eit spesielt svar på det, ut frå hans eiga meining.

Men i tryggingslova kapittel 6 vert det angitt to alternative vilkår for at informasjon skal verta sett på som skjermingsverdig: anten at systemet behandlar skjermingsverdig informasjon, eller at systemet i seg sjølv har avgjerande betyding for grunnleggjande nasjonale funksjonar. Meiner statsråden at den grunnleggjande IKT-infrastrukturen i helsevesenet ikkje er eit system som behandlar skjermingsverdig informasjon, og ikkje er eit system som i seg sjølv er av avgjerande betyding for grunnleggjande nasjonale funksjonar?

Statsråd Bent Høie []: Jeg må igjen, på bakgrunn av det representanten sa, si at det høres ut for meg som om representanten ikke skiller mellom hva som er omfattet av sikkerhetsloven, og hva som er tiltakene under sikkerhetsloven. IKT-infrastrukturen i helseforetakene er omfattet av sikkerhetsloven, slik at det ikke må være noen tvil om det.

Til spørsmålet som representanten stiller, og som jeg også opplevde at representanten i sitt innlegg var skråsikker på – og jeg er for så vidt imponert hvis en kan være det nå: Der foregår det et betydelig arbeid der bl.a. Nasjonal sikkerhetsmyndighet er inne på rådgiversiden. Formålet er nettopp å identifisere om det er informasjon, informasjonssystemer, objekter eller kritisk infrastruktur som kan ha avgjørende betydning for å understøtte grunnleggende nasjonale funksjoner. Det skal i tillegg gjennomføres en verdi- og skadevurdering ved helt eller delvis bortfall av disse funksjonene. På bakgrunn av det skal departementet konkludere.

Kjersti Toppe (Sp) []: Eg må berre spørja opp att, for eg har ikkje fått svar på spørsmålet mitt. I tryggingslova kapittel 6 vert det gitt to alternative vilkår for at eit informasjonssystem skal verta sett som skjermingsverdig: anten at systemet behandlar skjermingsverdig informasjon, eller at systemet i seg sjølv har avgjerande betyding for grunnleggjande nasjonale funksjonar. Meiner statsråden at grunnleggjande IKT-system i helsevesenet ikkje skal falla inn under desse to vilkåra, sidan statsråden er usikker på om ein skal definera grunnleggjande IKT inn under tryggingslova som skjermingsverdig informasjon?

Statsråd Bent Høie []: Som jeg har sagt flere ganger: Vurderingen av dette arbeidet foregår nå som en forberedelse til innføring av den nye sikkerhetsloven til neste år, der Stortinget nettopp har lagt vekt på at IKT-infrastruktur har fått det som en på en folkelig måte kan kalle høyere verdi, i forbindelse med disse vurderingene.

Dette er ingen enkle vurderinger. Derfor er det satt i gang et omfattende arbeid på det, og på bakgrunn av de rådene vi får og den gjennomgangen man har, vil selvfølgelig departementet som nå er ansvarlig for å trekke disse konklusjonene, gjøre det. Men det er ikke slik at dette arbeidet er ferdigstilt, slik at jeg kan svare på representantens forslag. Det er også en for generell beskrivelse av infrastrukturen som representanten gjør, til at det er mulig å svare på det.

Presidenten: Replikkordskiftet er omme.

De talerne som heretter får ordet, har også en taletid på inntil 3 minutter.

Torill Eidsheim (H) []: Helse- og omsorgssektoren er avhengig av internasjonale leverandørar innan IKT-området. Det verkar ikkje fornuftig å innrette systemet vårt slik at det etter gjeldande reglar blir krav til at norske verksemder ikkje kan nytte internasjonale eller utanlandske IKT-leverandørar frå EU/EØS-området.

Eg har lyst til å nemne at sikkerheitsloven introduserer bruk av objektsikring som metode. Denne metoden har utgangspunkt i sikring av fysiske objekt. IKT-infrastruktur omfattar for så vidt store mengder fysiske objekt, men risiko og sårbarheit er som oftast knytt til drift og forvaltning av dei logiske objekta. Det er ikkje lett å sjå at ei tilnærming basert på objektsikring vil tilføre noko nytt til dagens arbeid med IKT-sikkerheit. Det er meir sannsynleg at ei komplett etablering av gjeldande anbefalte tiltak frå Nasjonal sikkerheitsmyndigheit for IKT-sikkerheit vil ha vesentleg betre effekt på sikkerheitsnivået for helseføretaka.

Det er i tillegg stor fare for at bruk av sikkerheitsloven for IKT-infrastruktur kanskje kan kome til å hindre eit effektivt samarbeid med dei internasjonale leverandørane i beredskapssituasjonar, der nettopp tett samarbeid med desse er heilt avgjerande for å redusere konsekvensane av driftsproblema. Nettopp difor er dette samarbeidet for å kome fram til konklusjonane om kva som skal definerast inn og ut, heilt vesentleg.

Teknologiske løysingar utviklar seg raskt, og blokkjeder er eitt eksempel på teknologi som kan vise seg å løyse utfordringar knytte til sikker lagring. Kopiar av blokkjeder blir som kjent lagra på mange ulike maskiner, og i opne blokkjeder veit ein ikkje i kva land kopiane er lagra. Eit krav til drift og lagring i Noreg, i samsvar med det forslagsstillarane her foreslår, meiner eg vil heilt utilsikta kunne hindre positiv utvikling av sikker lagring.

Presidenten: Flere har ikke bedt om ordet til sak nr. 12.