Skriftlig spørsmål fra Sverre Myrli (A) til helse- og omsorgsministeren

Dokument nr. 15:1593 (2016-2017)
Innlevert: 22.09.2017
Sendt: 22.09.2017
Besvart: 22.09.2017 av helse- og omsorgsminister Bent Høie

Sverre Myrli (A)

Spørsmål

Sverre Myrli (A): I forbindelse med IKT-skandalen i Helse Sør-Øst skriver helse- og omsorgsministeren i brev til kontroll- og konstitusjonskomiteen av 7. september 2017 at han ser det som lite sannsynlig at eksternt IKT-personell skal ha hatt tilgang til helseopplysninger.
Mener altså helse- og omsorgsministeren nå at eksterne likevel ikke har hatt tilgang til pasienters helseopplysninger?

Begrunnelse

I brev til Stortingets kontroll- og konstitusjonskomite av 7. september 2017 skriver helse- og omsorgsministeren:

«Jeg oppfatter at PwC med denne konklusjonen ser det som lite sannsynlig at eksternt IKT-personell tilknyttet Hewlett-Packard Norge AS/Enterprise Services Norge AS skal ha hatt tilgang til helseopplysninger i sitt arbeid med denne saken.»

Bent Høie (H)

Svar

Bent Høie: Det sitatet som representanten Myrli viser til må sees i sammenheng med den teksten som står i forkant og som leder frem til dette avsnittet i mitt svar til kontroll- og konstitusjonskomiteen. Den teksten er som følger:

I rapporten fremgår det at PwC har gjort ytterligere undersøkelser knyttet til hvorvidt de aktuelle tilgangene har vært benyttet til å urettmessig skaffe seg innsyn i helseopplysninger. Deres konklusjoner under punkt 3.3 Har personell tilknyttet kontrakten aksessert helseopplysninger er som følger:

"Kombinasjonen av omfanget av de utvidete administratorrettighetene som er gitt og manglene i loggmaterialet PwC har gjennomsøkt gjør det vanskelig å utelukke om personell tilknyttet ESN-kontrakten har aksessert helseopplysninger. Imidlertid tilsier aktiviteten PwC har gjennomført at eventuell aksessering av helseopplysninger i vesentlig grad har måttet vært gjennomført med hensikt og med en innsats for å skjule spor. Dette medfører at en slik aktivitet trolig må ha innebefattet både forberedelser og systematisk skjuling av spor i etterkant. Sett i sammenheng med de relativt omfattende kravene til bakgrunnssjekk og personellkontroll hos HPE/ESN, som er stilt gjennom kontrakten, fremstår dette som lite sannsynlig."

Det er på bakgrunn av disse resonnementene jeg oppfatter at PwC ser det som lite sannsynlig at eksternt IKT-personell tilknyttet Hewlett-Packard Norge AS/Enterprise Services Norge AS skal ha benyttet tilgangene til å gå inn og hente ut helseopplysninger.
Jeg kan forstå at den setningen som representanten viser til, hvis den hadde stått uten informasjonen som gis i avsnittene over i brevet til komiteen, kunne blitt oppfattet som om eksternt IKT-personell ikke har hatt tilgang og mulighet til å skaffe seg helseopplysninger. Det er et dokumentert faktum at det har blitt gitt tilganger til Helse Sør-Østs IKT-system. Det har vært en svikt i tilgangsstyringen, men PwCs gjennomgang og vurderinger konkluderer med at det fremstår som lite sannsynlig at disse tilgangene faktisk har vært misbrukt til urettmessig å ha skaffet seg helseopplysninger.