Skriftlig spørsmål fra Torgeir Micaelsen (A) til helse- og omsorgsministeren

Dokument nr. 15:153 (2016-2017)
Innlevert: 28.10.2016
Sendt: 31.10.2016
Besvart: 07.11.2016 av helse- og omsorgsminister Bent Høie

Torgeir Micaelsen (A)

Spørsmål

Torgeir Micaelsen (A): Når Helse Sør-Øst nå planlegger outsourcing av IKT-tjenester, kan statsråden garantere at utenforstående ikke vil ha tilgang til sensitive pasientopplysninger eller kritiske pasientsystemer?

Begrunnelse

Helse Sør-Øst har vedtatt å outsource deler av sin IKT-tjeneste.
Erfaringer blant annet fra Statoil sin outsourcing til India, viser at dette kan by på sikkerhetsproblemer som kan være begrunnet i kulturelle og språklige problemer. Det er grunn til å tro at tilsvarende problemer kan oppstå også for andre typer virksomhet.
IKT i helsetjenesten handler ikke bare om sensitive pasientopplysninger, men også om sikkerhet i pasientbehandlingen.

Bent Høie (H)

Svar

Bent Høie: Helse Sør-Øst RHF har over flere år hatt et prosjekt for å modernisere, standardisere og harmonisere den grunnleggende IKT-infrastrukturen i regionen. Prosjektet omfatter ikke pasientjournalsystemet eller andre kliniske eller administrative systemer hvor personopplysninger behandles.
Styret i Helse Sør-Øst RHF vedtok 8. september i år, at videre modernisering av IKT-infrastrukturen skal skje ved bruk av ekstern tjenesteleverandør. En modernisering av regionens felles IKT-infrastruktur er etter deres oppfatning avgjørende for deres videre arbeid med digitalisering av kliniske og administrative arbeidsprosesser i regionen.
Helse Sør-Øst RHF har vurdert at en kontrakt med en ekstern partner vil gi en raskere og mer effektiv modernisering. De mener videre at dette vil gi regionen en bedret økonomisk bærekraft enn ved å gjennomføre moderniseringen i egen regi. Bedret økonomisk bærekraft vil gi regionen mer penger til pasientbehandling og økt samlet investeringsevne. De mener dessuten at samarbeidet med ekstern partner i moderniseringen av IKT-infrastrukturen, vil styrke regionens eget arbeid med pasientbehandling og pasientsikkerhet.
Forsvarlig behandling av personsensitive opplysninger er en forutsetning for all bruk av teknologi i spesialisthelsetjenesten. Helse Sør-Øst RHF har forsikret departementet om at ekstern leverandør har blitt pålagt å ivareta alle krav til informasjonssikkerhet og personvern i lov og forskrift. Dette er et absolutt krav i avtalen med den eksterne leverandøren, og er ivaretatt gjennom blant annet en detaljering av kravene i lov og forskrift basert på internasjonal standard for informasjonssikkerhet (ISO 27000). Avtalen forutsetter videre at det gjennomføres risikovurderinger av alle infrastrukturtiltak og –endringer før disse realiseres, samt for den samlede driftssituasjonen. Helseforetakene som databehandlingsansvarlige har en ensidig rett til å vurdere om sikkerhetstiltakene er dekkende, og må dessuten godkjenne risikovurderingene før endringer kan gjennomføres av leverandøren.
Den eksterne leverandørens tjenester er som nevnt begrenset til IKT-infrastruktur, altså ikke pasientjournalsystemer eller pasientadministrative systemer. Avtalen med tjenesteleverandøren stiller klare krav om at alle datasentre skal stå i Norge, inkludert all lagring av pasientdata og krav til separasjon av helseforetakenes data. Personell som drifter infrastrukturen skal ikke ha tilgang til systemer med personsensitiv informasjon som for eksempel pasientjournalsystemet (DIPS) eller andre kliniske eller administrative systemer hvor personopplysninger behandles. Driften av disse systemene skal fortsatt leveres av Sykehuspartner HF.
Ifølge Helse Sør-Øst RHF vil alle personopplysninger forbli fysisk i Norge, og tilgangen til disse vil fremdeles skje fra Norge, og begrenset til Sykehuspartner og helseforetakene selv. Dette innebærer at personopplysningene ikke skal overføres til andre land eller til noen form for skytjeneste. Moderniseringen av IKT-infrastrukturen vil medføre at sikkerhetsnivået i stor grad vil økes, inkludert all lagring av pasientdata og krav til separasjon av helseforetakenes data.
Jeg vil avslutningsvis nevne at Sykehuspartner HF med den valgte løsningen på IKT-området, fortsatt har det samlede ansvaret for IKT-tjenester til helseforetakene i regionen, og den eksterne partneren er å anse som en underleverandør til Sykehuspartner HF.