Personvernskandalen i Helse Sør-Øst vokser
Minst 34 ansatte hos underleverandører har hatt tilgang til helseinformasjon og trolig eposter og hjemmeområder til ansatte i Helse Sør-Øst, viser en rapport fra revisjonsselskapet PwC.
24.05.2017
av
Marianne Billing
Sist oppdatert: 24.05.2017
Den foreløpige rapporten fra revisjonsselskapet PricewaterhouseCoopers (PwC) konkluderer med at sensitive pasientopplysninger kan være på avveie.
– Rapporten bekrefter svært alvorlige mangler ved Helse Sør-Øst sin vurdering og håndtering av sensitive pasientdata. Vi konstaterer at vesentlige momenter i beslutningsgrunnlaget da styret i Helse Sør-Øst vedtok konkurranseutsetting viser seg å være uriktige, sier nestleder i Fagforbundet, Sissel M. Skoghaug.
Det amerikanske konsernet HPE som har fått ansvar for nordmenns helsedata drifter store deler av virksomheten med underleverandører fra India og Øst-Europa.
Fagforbundet advarte Helse Sør-Øst
Fagforbundet har tidligere advart – men ble ikke hørt.
– Våre tillitsvalgte og fagfolk advarte om risikoen i forkant og ba dem utsette vedtak om outsourcing, men verken administrativ ledelse, styret, eller helseministeren tok våre advarsler til etterretning. Vi foreslo samtidig å drifte dette i egenregi med de dyktige fagfolkene som allerede er ansatt i Helse Sør-Øst, men dette ønsket ble ikke imøtekommet, sier Skoghaug.
Alvorlig brudd på personopplysningsloven
I forkant gjorde Helse Sør-Øst ingen konsekvensanalyse av personvernet viser et brev de sendte til datatilsynet, ifølge NRK Nyhetsmorgen. PwC-rapporten bekrefter nå lovbrudd i form av manglende databehandleravtaler.
– Vi anser at denne saken både i omfang og alvorlighetsgrad er kanskje det mest alvorlige bruddet på personopplysningsloven vi har sett i Norge, sa avdelingsleder ved Sykehuskontoret i Fagforbundet, Hans Martin Aase, til NRK Nyhetsmorgen (radio).
Sensitive pasientopplysninger om fødsler og aborter, psykiske problemer, kreftsykdommer, medisinbruk, kjønnssykdommer, HIV og lignende kan være på avveie.
La vekt på påstått økonomisk gevinst
Aase mener har risikoen vært for altfor stor.
– De har lagt for stor vekt på påståtte økonomiske gevinster, og for lite vekt på vurdering av risikofaktorene.
Rapporten bekrefter svært alvorlige mangler i tilgangskontroll, risikovurderinger og håndtering av bekymringsmeldinger i Helse Sør-Øst sin administrasjon.
Helseutflagging satt på vent
Helse Sør-Øst har nå satt utflaggingen som har gitt IT-arbeidere i utlandet tilgang på norske pasientopplysninger, på vent.
Det var NRK som avslørte at IT-arbeidere i Bulgaria og andre land har hatt omfattende tilgang til pasientjournalene til 2,8 millioner nordmenn.
Ga mangelfull informasjon til styret
I rapporten kommer det fram at at styret i Helse Sør-Øst ikke har fått god nok informasjon om risikoene knyttet til å flagge ut IT-arbeidet.
Styret fikk blant annet beskjed om at «personell som drifter infrastruktur skal ikke ha tilgang til personsensitiv informasjon» og at «ekstern partner ikke vil ha tilgang til pasientdata».
Helse Sør-Øst-direktør måtte gå – går rett inn i ny toppjobb
I forrige uke ble det kjent at tidligere teknologidirektør i Helse Sør-Øst, Thomas Bagley får ny toppjobb i helsevesenet, etter å ha gitt mangelfull informasjon om IT-svikten for kun få uker siden.
Bagley får stillingen uten at den har vært utlyst. Ifølge NRK er stillingen nyopprettet. Det fikk Fagforbundets nestleder Sissel M. Skoghaug til å reagere kraftig.
Har ikke Fagforbundets tillit
– Vi har ikke tillit til Thomas Bagley, sa Skoghaug til NRK.
– Det er fordi han gjentatte ganger har tilbakevist våre påstander om at sikkerheten for pasientdata ikke var tilstrekkelig ivaretatt da Helse Sør-Øst konkurranseutsatte IKT-infrastrukturen, sier Skoghaug.
Atle Brynestad tok i dag over som teknologidirektør i Helse Sør-Øst.
Helseminister Høie avviste bekymringsmeldinger
Fagforbundet mener IT-skandalen i Helse Sør-Øst kunne ha vært unngått dersom bekymringene om bruk av IT-ansatte i utlandet, hadde blitt lyttet til. Sammen med El & IT og NITO ba forbundet om et møte med helseministeren for å utrykke sin bekymring. Departementet svarte at de ikke hadde behov for et møte, fordi statsråden var godt kjent med saksområdet.
Høie kan ikke love at journalskandalen er over
Hør: Sissel Skoghaug på Dagsnytt om IT-blemmen (radio).
Mer om personvernskandalen:
- NITO-president: Det er fristende med frasen «hva var det vi sa»
- Mener Høie var arrogant da han avviste bekymringsmeldinger
- NRK: Ledelsen i Helse- Sør-Øst innrømmer at utenlandske IT-arbeidere har hatt tilgang til sensitiv pasientinformasjon
- Kolberg om journalskandalen: - Noen må stilles til ansvar