Skriftlig spørsmål fra Ruth Grung (A) til helse- og omsorgsministeren

Dokument nr. 15:1481 (2016-2017)
Innlevert: 14.08.2017
Sendt: 14.08.2017
Besvart: 22.08.2017 av helse- og omsorgsminister Bent Høie

Ruth Grung (A)

Spørsmål

Ruth Grung (A): Både Norge og Sverige har hatt uheldige erfaringer som følge av outsourcing av IKT-tjenester. Norge trenger et sterkt kompetent IKT-miljø for å utvikle løsninger som passer norske helsetjenester, pasientene og som er sikre.
Hva gjør ministeren for at vi har innovative miljøer til å utvikle EPJ og uten risiko for at sensitiv pasientinformasjon kommer på avveier eller blir hacket?

Bent Høie (H)

Svar

Bent Høie: Det er viktig at innbyggerne har tillit til at helseopplysninger blir behandlet og lagret på en trygg og sikker måte. Godt personvern og god informasjonssikkerhet er en forutsetning for utvikling og bruk av pasientjournalsystemene. Dette stiller krav til både teknologi, prosesser og mennesker. Arbeidet med informasjonssikkerhet er derfor en høyt prioritert oppgave i helse- og omsorgssektoren.

Helse- og omsorgssektoren er helt avhengig av gode innovative miljøer for å utvikle de elektroniske pasientjournalene. Slike miljøer finner vi hos både nasjonale og internasjonale private leverandører. Disse leverandørene har en sentral rolle i å tilpasse og innføre nye løsninger i helse- og omsorgstjenesten, gjennomføre nødvendig service og vedlikehold, og til en viss grad også bistå i drift og forvaltning.

Jeg har opprettet Direktoratet for e-helse som et fagdirektorat på IKT-området i helse- og omsorgssektoren. Sentrale oppgaver er nasjonal styring og koordinering av IKT-utvikling i samarbeid med helseforetak, kommuner, fagmiljøer og interesseorganisasjoner. Direktoratet har en myndighets- og premissgiverrolle i forbindelse med informasjonssikkerhet og personvern, og har sammen med Norsk Helsenett SF et nasjonalt ansvar for å ivareta informasjonssikkerheten i nasjonale tjenester og løsninger i helsetjenesten.

Jeg har gitt Direktoratet for e-helse i oppdrag å identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. Direktoratet skal som en del av oppdraget utarbeide en overordnet status for bruk av nasjonale og internasjonale leverandører som kontinuerlig eller episodisk arbeider inn mot virksomhetenes datasystemer. Sluttrapport for dette oppdraget skal leveres 1. november 2017.

Direktoratet for e-helse har sekretariatet for Norm for informasjonssikkerhet (Normen). Normen er utarbeidet av leverandørene og aktørene i sektoren i samarbeid, og er et viktig verktøy for å ivareta informasjonssikkerhet i den enkelte virksomhet. Norsk Helsenett SF drifter HelseCERT, som er sektorens nasjonale senter for informasjonssikkerhet. Senteret er et viktig verktøy for å forebygge, avdekke og håndtere trusler mot sikkerheten.

Forskrift om IKT-standarder i helse- og omsorgssektoren trådte i kraft 1. september 2015. Forskriften pålegger aktørene i sektoren å bruke elektroniske journalsystemer, å oppdatere adresseregisteret i helsenettet og å bruke standardiserte meldingsformater for utveksling av pasientinformasjon mellom aktørene. Forskriften bidrar til at elektronisk kommunikasjon skjer effektiv og sikkert.

Fra 1. januar 2017 trådte forskrift om ledelse og kvalitetsforbedring i helsetjenesten i kraft. Alle virksomheter er pålagt å ha internkontroll. I forskriften fremgår det at det er toppledelsen som har ansvaret for at virksomheten planlegges, gjennomføres, evalueres og kontrolleres.

Det viktigste tiltaket for å hindre at personsensitiv data eller annen informasjon kommer på avveie er det målrettede og systematiske arbeidet som gjøres med informasjonssikkerhet i hver enkelt virksomhet. Dette gjelder enten virksomheten utfører utvikling og drift av IKT selv, kjøper utstyr eller benytter ulike former for tjenesteutsetting.

Jeg viser for øvrig til brev fra statsråd Jan Tore Sanner adressert til Stortingets president 1. august 2017. Sanner skriver blant annet

"(..) det er ikke noe motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Det digitale sårbarhetsutvalget peker i sin rapport på at tjenesteutsetting kan gi økt teknisk sikkerhet fordi leverandøren ofte har både bedre kompetanse og mer ressurser enn kunden. Det understrekes at det alltid er kunden – den offentlige virksomheten – som har ansvaret for at det stilles krav til informasjonssikkerhet og for å følge opp leverandøren etter at kontrakt er inngått".