Skriftlig spørsmål fra Rasmus Hansson (MDG) til helse- og omsorgsministeren

Dokument nr. 15:1054 (2016-2017)
Innlevert: 04.05.2017
Sendt: 04.05.2017
Besvart: 09.05.2017 av helse- og omsorgsminister Bent Høie

Rasmus Hansson (MDG)

Spørsmål

Rasmus Hansson (MDG): 13.9.17 svarte helseministeren meg om utflagging av Helse Sør-Østs IKT-systemer. Han svarte "at avtalen ivaretar alle krav til informasjonssikkerhet og personvern i lov og forskrift" og "Personell som drifter infrastruktur skal ikke ha tilgang til personsensitiv informasjon". NRK melder at utenlandske IKT-ansatte har fått tilgang til sensitive data om Helse Sør-Østs pasienter.
Hva vil ministeren gjøre med denne uholdbare situasjonen?

Bent Høie (H)

Svar

Bent Høie: Personell som drifter infrastrukturen i Helse Sør-Øst skal ikke ha tilgang til personsensitive data. Helse Sør-Øst RHF har informert meg om at man i forbindelse med en overføring av drift av IKT-infrastrukturen fra Sykehuspartner til Hewlett Packard Enterprise (HPE) vil etablere et informasjonssikkerhetsregime som ivaretar dette absolutte hensynet.

For å belyse saken på en god måte, er det viktig å skille mellom dagens situasjon og situasjonen etter at HPE har overtatt driftsansvaret. Svarene jeg har gitt til Stortinget har knyttet seg til sistnevnte, mens de tilgangene det har vært fokus på de siste dagene er knyttet til dagens situasjon hvor virksomhetsoverføring er under planlegging.

Jeg vil først utdype hvordan systemet ifølge informasjon fra Helse Sør-Øst RHF vil være etter at driftsansvaret er overført fra Sykehuspartner til HPE.

Avtalen med HPE stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. Det er gjennom krav om risiko- og sårbarhetsanalyser stilt spesifikke krav til informasjonssikkerhet før drift kan utføres fra lokalisasjon utenfor Norge. Gitt at disse kravene oppfylles, kan driftsoppgaver utføres fra utlandet. Primært vil dette si fra land i EU/EØS-området. Drift fra utlandet skal således godkjennes av det enkelte helseforetak i Helse Sør-Øst, og av Helse Sør-Øst RHF, som databehandlingsansvarlige.

Helse Sør-Øst RHF har opplyst om at alt personell som virksomhetsoverføres til HPE vil få en endret og mer begrenset tilgang enn i dag. Det vil ikke bli gitt domenerettigheter til ansatte i HPE. Alle tilganger vil bli tildelt etter tjenstlig behov og vurdert opp mot risiko- og sårbarhetsanalyser. Dersom personell urettmessig skaffer seg tilgang utover dette, så vil dette være brudd på informasjonssikkerhetsinstruksen og avtaleregimet. Dersom det også innebærer å skaffe seg tilgang til pasientopplysninger, vil det i tillegg kunne være et straffbart forhold etter både nasjonalt og europeisk lovverk.

Før driften av IKT-infrastruktur overføres til HPE, vil dagens sikkerhetsregime og kontrollmekanismer videreføres og videreutvikles. Ytterligere tiltak vil måtte på plass før evt. drift fra utlandet, og foreløpige risiko- og sårbarhetsanalyser har vist at det i så fall må gjennomføres tiltak som kryptering av filområder med personsensitiv informasjon.

Helse Sør-Øst RHF mener at man med de tiltakene som er beskrevet ovenfor har flere "lag" av tiltak som vil hindre at personell fra HPE får tilgang til personsensitive data.

Det har oppstått en situasjon knyttet til forberedelse av virksomhetsoverføringen fra Sykehuspartner til HPE, hvor det er skapt en usikkerhet både om hvilke tilganger som er gitt og hvorvidt HPE-ansatte gjennom dette har fått innsyn i personsensitive data. Jeg har bedt Helse Sør-Øst RHF om en redegjørelse om saken, der jeg forventer at dette er blant de tema som vil bli belyst. Jeg viser videre til svar på spørsmål nr. 1064 til skriftlig besvarelse til stortingsrepresentant Torgeir Michaelsen.