Skriftlig spørsmål fra Sveinung Stensland (H) til helse- og omsorgsministeren

Dokument nr. 15:2580 (2022-2023)
Innlevert: 17.06.2023
Sendt: 19.06.2023
Besvart: 26.06.2023 av helse- og omsorgsminister Ingvild Kjerkol

Sveinung Stensland (H)

Spørsmål

Sveinung Stensland (H): De andre helseforetakene går ikke på amerikansk sky med pasientdata fra sykehusene, slik som Helse Sør-Øst gjør. Usikkerheten om personvern og IT-sikkerhet er for stor, sier de. Pasienter fra Helse-Vest er ofte er gjestepasienter hos Helse Sør-Øst. Det er vanlig at pasienter fra hele landet med sjeldne eller alvorlige lidelser, behandles ved Riks- eller Radiumhospitalet.
Vil disse pasientenes data da lagres i samme sky som andre pasienter i Sør-Øst samtidig som de andre foretakene mener dette ikke er en trygg løsning?

Begrunnelse

Fra utsiden virker det som det ikke er en overordnet tanke om dette nasjonalt, i forbindelse med alvorlige pasientforløp vil Helse Sør-Øst motta en stor del av gjestepasienters data.

Ingvild Kjerkol (A)

Svar

Ingvild Kjerkol: Jeg vil innledningsvis presisere at det ikke er et generelt forbud mot bruk av amerikanskeide skytjenester etter personvernforordningen (GDPR) eller den såkalte Schrems II-dommen.
Hvert enkelt helseforetak er dataansvarlig etter personvernforordningen og må gjøre egne vurderinger om personvernspørsmål. Jeg har nylig vært i kontakt med de fire regionale helseforetakene. Tilbakemeldingene oppfatter jeg slik at de regionale helseforetakene ikke har ulike vurderinger når det gjelder overordnede strategier for bruk av skytjenester. Jeg oppfatter at ulikhetene er knyttet til tempo for overgang til bruk av skyløsninger. Tilbakemeldingene tyder derfor på at de fire regionale helseforetakene ikke har ulikt utgangspunkt når det gjelder personvern og amerikanskeide skytjenester. Pasienter fra andre deler av landet som får helsehjelp ved sykehus i Helse Sør-Øst, vil inngå i den skybaserte helselogistikkløsningen.
Skytjenester har fordeler, også med hensyn til sikring av informasjon, men det er også risiko ved dette. Da handler det om å gjøre grundige vurderinger, om å sikre systemer for å ta ned kjente og tenkbare risikoer så langt det er mulig, samt om å sikre at løsningene er innenfor de juridiske rammene i bl.a. personvernforordningen. Dette arbeidet gjør foretakene hver for seg, det samarbeides interregionalt, og det er god dialog med aktører som Norsk Helsenett SF og Nasjonale sikkerhetsmyndigheter.
Avslutningsvis viser jeg til den gode dialogen Helse Sør-Øst RHF har hatt med Datatilsynet i dette svært krevende juridiske og tekniske spørsmålet.