Helse sørøst får krass kritikk og milliongebyr etter IT-outsourcing
Datatilsynet mener flere lover ble brutt da Helse sørøst vedtok å outsource IT-infrastrukturen. Sykehusene i foretaket er ilagt milliongebyr.
Sissel M. Rasmussen
Hvert av sykehusene og Sykehuspartner må betale 800.000 kroner hver i overtredelsesgebyr. Til sammen må foretakene ut med 10 millioner kroner for lovbruddene, melder NRK.
NRK avslørte tidligere i år at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang til pasientjournaler i Helse sør-øst.
Datatilsynet har lagt fram en 33 sider lang rapport der tilsynet konkluderer med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet.
• Frykter at norske pasientdata kan havne i Bulgaria
Ingen formildende omstendigheter
Tilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt.
– Vår vurdering er at det ikke finnes formildende omstendigheter i denne saken, skriver Datatilsynet.
Tilsynet mener dessuten at medienes omtale av saken har bidratt til å begrense konsekvensene ettersom Helse sør-øst da stanset fremdriften i prosjektet.
Vurderte ikke risiko
Ledelsen i Helse sør-øst sier til NRK at det er for tidlig å kommentere innholdet i rapporten, men at de vil gå grundig inn i dette.
Det var i mai NRK avdekket at IKT-arbeidere i Asia og Øst-Europa har hatt tilgang til datasystemet til Helse sør-øst. Det førte til at lederen for Sykehuspartner, Mariann Hornnes, trakk seg fra stillingen, og det kom krav fra flere hold om at øverste leder for helseforetaket, Cathrine Lofthus, måtte gå av.
• Mange arbeidsløse får kutt i dagpengene
Sikkerhetsloven
Etter loven er alle sykehusene juridiske enheter, de er pålagt å følge loven for hvordan pasientopplysninger skal behandles. Datatilsynet mener at saken grenser opp til Sikkerhetslovens virkeområde og skriver at helsesektoren har en særlig plikt til å ta hensyn til personvernet.
Konsulentselskapet PricewaterhouseCoopers gjennomførte i vår en ekstern undersøkelse som viste at 36 personer med tilknytning til den eksterne leverandøren hadde hatt utvidede administratorrettigheter. Det innebar at de hadde tilgang til helseopplysninger, men også at det er begrenset sporbarhet. Dermed er det vanskelig å etterprøve hvordan tilgangen er benyttet.
I tillegg hadde 86 personer hatt tilgang av mindre omfattende karakter, konstateres det i PwC-rapporten.
(©NTB)
• Følg oss på Facebook
