Helse sør-øst vurderer å skrote milliardprosjekt
Adm. dir Cathrine M Lofthus i helse sør-øst. Les mer Lukk
Helseregionen kommer ikke godt ut av den eksterne granskingen fra revisjonsfirmaet PricewaterhouseCoopers (PwC). Ord som «utilstrekkelig» brukes for å beskrive styringen med prosjektet.
– Vi må erkjenne at tidsplanen i prosjektet har vært for ambisiøs, og at risikoanalysene ikke er fulgt godt nok opp, sier administrerende direktør Cathrine M. Lofthus etter et ekstraordinært styremøte i helseregionen onsdag.
Styret har besluttet at man ikke vil gå videre før situasjonen er grundig utredet. Avtalen er verdt minst 5 milliarder kroner over sju år, ifølge Dagens Medisin.
– Jeg kan heller ikke utelukke at gjennomgangen kan resultere i at prosjektet blir terminert, sier Lofthus. Hva det vil koste å eventuelt avvikle avtalen, har helseregionen ikke kommentert.
Manglet kontroll
Granskingen konkluderte med at helseforetakene manglet kontroll over hvem som hadde tilgang til pasientopplysninger da IT-driften skulle overtas av det amerikanske selskapet Hewlett Packard, nå DXC.
Ifølge den foreløpige rapporten hadde 34 personer hovedsakelig i Bulgaria tilgang til sensitive helsedata, og sju av disse hadde faktisk koblet seg til de aktuelle serverne i Helse sør-øst.
Revisjonsselskapet påpeker at det er mer eller mindre umulig å undersøke om de faktisk har åpnet sensitiv informasjon, og at de ikke er i stand til å bekrefte eller avkrefte forklaringene til de aktuelle IT-ansatte.
Varsler nådde ikke fram
Det går fram av rapporten at flere ansatte forsøkte å varsle, men at informasjonen ikke ble videreformidlet helt til toppledelsen.
Det kan ikke være noen unnskyldning, mener Norges Ingeniør- og Teknologorganisasjon (NITO), som mener ledelsen hadde et bredere selvstendig ansvar.
– Når tillitsvalgte har forsøkt å varsle, har man som leder et plikt til å sørge for at det er systemer som fanger det opp, sier NITOs president Trond Markussen til NTB.
Organisasjonen mener det er maktpåliggende at lovverket endres og at tilsynet må skjerpes.
– Lovverket er så fragmentert, det må samordnes. Helseministeren burde be Nasjonal sikkerhetsmyndighet om deres vurdering og definere dette som samfunnskritisk infrastruktur, sier han.
– I dag har verken Helsetilsynet, Datatilsynet eller NSM noen myndighet til å pålegge foretakene tiltak. Dette må endres, legger han til.
Vil ha nasjonal oppfølging
Helseminister Bent Høie (H) mener granskingsrapporten viser at det er utfordringer å gripe fatt i på nasjonalt nivå. Han vil ta initiativ til at det nedsettes et arbeid for å se nærmere på problemstillingene.
Helseministeren understreker imidlertid at bruk av private aktører i IT-sammenheng er helt nødvendig og noe man må forholde seg til.
– Man er avhengig av private underleverandører fordi det offentlige ikke produserer denne typen tjenester og utstyr, sier Høie.
Han sier at han har tillit til styret, tilføyer at han kommer til å vurdere «alle sider» ved saken når han får gått grundig inn i rapporten.
Granskingsrapporten fra PwC er i to deler. Den andre delrapporten legges fram på et ekstraordinært styremøte i slutten av juni.