Helse sør-øst skroter milliardavtale om utflagging av IT
Stortingsrepresentant Kjersti Toppe (Sp) kaller saken med Helse sør-øst en eneste stor skandale. Foto: Gorm Kallestad / NTB scanpix Les mer Lukk
Styret i Helse sør-øst opplyser i en pressemelding at hele kontrakten om utflagging av IKT-infrastruktur med selskapet DXC avbestilles.
Det er ett år siden NRK avslørte at IT-arbeidere i blant annet Malaysia, India og Bulgaria hadde tilganger til pasientdata, selv før formell overtakelse av IT-systemene. Dette var i strid med alle løfter som var gitt til Stortinget, og umiddelbart ble hele avtalen satt i bero.
På et styremøte torsdag ble det vedtatt at man nå skal skrote hele avtalen, noe som trolig kommer til å koste dyrt. Det er helseforetaket Sykehuspartner HF, som har hatt ansvar for kontrakten.
– Sykehuspartner skal nå forhandle med DXC. Det vil bli avklart mulig gjenbruk av arbeidet og de investeringer som er utført fram til prosjektet ble stilt i bero. I 2017 ble det avskrevet 112 millioner kroner som tap i regnskapet. Vi regner med ytterligere avskriving i 2018, skriver helseforetaket i en pressemelding.
Fakta om IT-saken i Helse sør-øst
* Helse sør-øst valgte høsten 2016 å outsource store deler av IKT-strukturen til det amerikanske selskapet DXC. Målet var å spare store summer.
* 3. mai i fjor meldte NRK at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang og utvidede rettigheter til datasystemene til Helse sør-øst. Dette ga IT-arbeidere mulighet til å gå inn i pasientjournaler og kopiere innholdet uten å legge igjen spor.
* Helseforetaket sørger for spesialisthelsetjenester til 2,9 millioner mennesker på Østlandet og Sørlandet.
* En undersøkelse konsulentselskapet PricewaterhouseCoopers gjennomførte på oppdrag fra Helse sør-øst viser at 36 personer med tilknytning til den eksterne leverandøren hadde hatt utvidede administratorrettigheter, mens 86 andre hadde rettigheter av mindre omfattende karakter. PwC mente Helse sør-østs datterselskap Sykehuspartner HF, som forvaltet avtalen med den eksterne IT-leverandøren, ikke hadde god nok kontroll på hvem som fikk tilgang og rettigheter til datasystemene.
* Avsløringene førte til at lederen for Sykehuspartner, Mariann Hornnes, trakk seg fra stillingen. Hele styret i Sykehuspartner måtte også gå.
* I oktober meldte NRK at Helse sør-øst i det stille har stengt tilganger IT-arbeidere i Israel har hatt til sensitive pasientdata. Det viste seg at to underleverandører var gitt tilgang i strid med reglene.
* Datatilsynet la i oktober fram en 33 sider lang rapport der de konkluderte med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet. Tilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt.
* Avtalen med selskapet DXC ble stilt i bero i mai 2017. 14. juni 2018 bestemte styret i Helse sør-øst at hele avtalen skulle skrotes.
Kilde: NTB
– Endret risikobilde
Styreleder Svein Gjedrem sier at det er fort tidlig å si noe om de endelige økonomiske konsekvensene før man er ferdig med forhandlingene.
Avgjørelsen om å gå ut av avtalen begrunnes blant annet med at «risikobildet for tjenesteutsetting har endret seg vesentlig siden kontrakten ble inngått».
– Både Nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste viser til økt risiko for cyberangrep og endret trusselbilde for datasikkerhet. Datainnbruddet i Helse sør-øst i januar illustrerer dette. Ny sikkerhetslov kan gi ytterligere krav til sikkerhet, skriver Helse sør-øst.
Les også: Spør psykologen: Lurer du på noe om psykisk helse eller relasjoner?
– Manglende respekt
Stortingsrepresentant Kjersti Toppe (Sp) kaller saken en eneste stor skandale, og mener det er «ufattelig» at den ikke har fått større politiske konsekvenser.
– Det har kostet Helse-Norge dyrt, og skyldes inkompetanse og manglende respekt for advarsler fra fagmiljø, og politisk ideologi der en mangler tro på egenregi mens outsourcing og anbudsutsetting skal være normalen, sier hun i en kommentar til NTB.
Hun mener at helseminister Bent Høie burde ha grepet inn tidlig og stoppet planene.
– Han ble advart mot risikoen, men stolte blindt på helseforetaket og forklarte oss på Stortinget at dette skulle frigi midler til pasientbehandling. Nå skjer det motsatte, sier Toppe.
Les også: – Derfor blir ikke brannmenn utbrent
Høie peker på Helse sør-øst
Høie avviser kritikken og sier i en kommentar i en epost til NTB at det er Helse sør-øst som har ansvaret for best å sikre at regionen har en IKT-infrastruktur som er sikker og fremtidsrettet.
– De innstilte umiddelbart prosjektet for om lag et år siden da det ble avdekket svikt i sikkerhetssystemene. Siden er alternative løsninger utredet, og jeg er fornøyd med at de nå har landet en ny løsning, uttaler Høie.
Han legger til at det er viktig at Helse sør-øst får en IKT-infrastruktur som også møter nye sikkerhetskrav.
– Hvem betaler?
Toppe stiller på sin side spørsmål ved hvem som nå skal betale for dette.
– Er det pasienter og ansatte i Helse sør-øst, som må vente lengre på behandling eller løpe fortere på jobb? Eller vil staten og Høie ta regningen?
Norges ingeniør og teknologorganisasjon (NITO) er svært glade for at avtalen skrotes.
– Jeg vil rose styret for riktig beslutning. Endelig har rådene fra fagfolkene i NITO blitt tatt på alvor. Vi håper at helseministeren tar lærdom av dette og lytter til de faglige rådene hvis lignende situasjon oppstår, sier NITOs president Trond Markussen i en kommentar.