Skriftlig spørsmål fra Sverre Myrli (A) til helse- og omsorgsministeren

Dokument nr. 15:969 (2016-2017)
Innlevert: 07.04.2017
Sendt: 07.04.2017
Besvart: 28.04.2017 av helse- og omsorgsminister Bent Høie

Sverre Myrli (A)

Spørsmål

Sverre Myrli (A): Hvordan kan helse- og omsorgsministeren forsvare at han har godkjent bortsettingen av kritisk IKT-infrastruktur i Helse-Sør-Øst?

Begrunnelse

Helse Sør-Øst har vedtatt å sette bort drift av kritisk IKT-infrastruktur til et utenlandsk selskap, noe som er en av Europas største IKT-outsourcinger.
På styremøte i Sykehuspartner HF 5. april 2017 ble styremedlemmene gjort oppmerksomme på at driftspersonell i det utenlandske selskapet får tilgang til sensitiv pasientinformasjon, stikk i strid med mandatet for bortsettingen og tidligere forsikringer fra Sykehuspartner, Helse Sør-Øst og helse- og omsorgsministeren.

Bent Høie (H)

Svar

Bent Høie: Styret i Helse Sør-Øst RHF vedtok 8. september 2016 at videre modernisering av regionens IKT-infrastruktur skal skje ved bruk av ekstern leverandør. De la til grunn at en modernisering av en felles IKT-infrastruktur er avgjørende for det videre arbeidet med digitalisering av kliniske og administrative arbeidsprosesser i sykehusene. Helse Sør-Øst RHF har informert om at den nye IKT-infrastrukturen også vil gi en bedre beskyttelse av helse- og personopplysninger enn dagens løsning i Helse Sør-Øst.
Arbeidet med modernisering av foretaksgruppens IKT-infrastruktur ligger innenfor styrets ansvar for å sørge for en tilfredsstillende organisering av foretakets samlede virksomhet, jf. Lov om helseforetak § 28. Det tilligger derfor styret i Helse Sør-Øst RHF å fatte vedtak om at moderniseringen skal gjennomføres ved bruk av ekstern leverandør.
Helse Sør-Øst RHF har informert departementet om at Sykehuspartner HF fortsatt skal være ansvarlig for den samlede IKT-leveransen til helseforetakene i Helse Sør-Øst, og er den formelle avtalepart med Hewlett Packard Enterprise (HPE). Helse Sør-Øst RHF har videre informert departementet om at avtalen med HPE ivaretar alle krav til informasjonssikkerhet og personvern i lov og forskrift.
Avtalen med HPE stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. Det er videre stilt spesifikke krav til blant annet informasjonssikkerhet dersom drift skal utføres fra lokalisasjon utenfor Norge. Gitt at disse kravene oppfylles og risikovurdering godkjennes, kan driftsoppgaver utføres fra utlandet. Primært vil dette si fra land i EU/EØS-området. Drift fra utlandet skal uansett godkjennes av det enkelte helseforetak i Helse Sør-Øst og Helse Sør-Øst RHF.
Representanten Myrli viser i sitt spørsmål til informasjon fremkommet på styremøte i Sykehuspartner HF den 5. april i år. Helse Sør-Øst RHF har informert departementet om protokolltilførsel fra de ansattevalgte styremedlemmene under sak 025-2017 Virksomhetsoverdragelse til HPE. Her hevdes det at teknikere hos ekstern leverandør vil få de samme tilgangene og dermed de samme mulighetene til å hente ut sensitiv informasjon som teknikere i Sykehuspartner HF har per i dag. Videre stilles det spørsmål om hvilke beskyttelsesmekanismer som skal iverksettes for å forhindre innsyn og når vil disse være på plass.
Helse Sør-Øst RHF har informert om at risiko- og sårbarhetsanalysene som Sykehuspartner HF gjennomfører viser hvilke tiltak som må iverksettes før en virksomhetsoverdragelse kan finne sted. Alt personell som virksomhetsoverføres til HPE og øvrige aktuelle ansatte i HPE vil få endrede og begrensede tilgangsrettigheter, herunder at det ikke gis rettigheter til domeneadministrasjon.
For leveranser av driftstjenester fra utlandet gjennomføres ytterligere risiko- og sårbarhetsanalyser, som også berører forhold knyttet til det særskilte landet, inkludert forhold rundt lokal lovgivning. Med bakgrunn i dette vil det stilles krav til ytterligere tiltak for å beskytte personsensitiv informasjon. Foreløpige analyser har identifisert at det i så fall må gjennomføres tiltak som blant annet kryptering av filområder med personsensitiv informasjon, ytterligere begrensninger i tilganger til tjenester etc.
Enhver driftsoppgave som utføres i Helse Sør-Østs IKT-infrastruktur av eksterne leverandører må utføres ved bruk av den regionale leverandørportalen. Denne har strenge sikkerhetsmekanismer som blant annet hindrer leverandørene å kopiere informasjon ut fra Helse Sør-Østs systemer og til egen infrastruktur eller systemer.
Infrastrukturen vil bli overvåket av Sykehuspartner HF for å avdekke eventuell irregulær aktivitet. Helse Sør-Øst RHF mener at man med de tiltakene som er beskrevet og gjennom videre arbeid med risiko- og sårbarhetsanalyser vil sørge for det etableres tilstrekkelig med sikkerhetsmekanismer slik at informasjonssikkerhet og personvern ivaretas på en forsvarlig måte før drift overføres til HPE.
Avslutningsvis vil jeg vise til at Regjeringen bygger sin politikk på målet om en mest mulig effektiv bruk av fellesskapets ressurser, og at flere private tjenestetilbydere kan bidra til å løse fellesskapets oppgaver. Jeg er positiv til å konkurranseutsette denne typen ikke-medisinske tjenester. Helse Sør-Øst vurderer at en slik avtale vil gi raskere modernisering og lavere driftskostnader. Det gir sykehusene mer penger til pasientbehandling. Det er Helse Sør-Øst RHF sin vurdering at samarbeidet med ekstern leverandør i moderniseringen av IKT-infrastrukturen, vil styrke deres arbeid med pasientbehandling og pasientsikkerhet.