Forventningene var store, og salen var nesten fullsatt da Tekna inviterte til debatt om nasjonal sky under Arendalsuka. Man hadde invitert et bredt sammensatt panel, for spørsmålet om nasjonal suverenitet på offentlige og skjermingsverdige data fordrer mange hensyn om teknologi, leveransemodeller, sikkerhet, effekt og kostnader. Under innledningen ble det delt noen refleksjoner om hvorvidt det er lurt at vi flytter «alle dataene våre til India, Ukraina, eller et stan-land av noe slag», før innleder konkluderte med at «og så var det datalekkasjer og litt uheldig at Helse Sør-Øst mistet tilgangen på pasientdata nede i et eller annet land i 2018».
Diskusjonen om nasjonal sky er viktig og fortjener gode premisser for debatt. Det er derfor både beklagelig og uheldig at publikum presenteres for en feilaktig påstand om at helsedata kom på avveie som en følge av tjenesteutsettingen, samtidig som en slik hendelse settes i en kontekst til fordel for nasjonal sky.
Som sikkerhetsleder for Helse Sør-Østs IKT-leverandør Sykehuspartner HF i perioden 2013-2023 hadde jeg gleden av å bidra til å lede en kompetent og engasjert organisasjon gjennom flere krevende hendelser, herunder den avbrutte tjenesteutsettingen til DXC.
Ikke på avveie
Det var mange gode grunner til at tjenesteutsettingen ble satt i bero i 2017, før den til slutt ble kansellert i 2018, men pasientopplysninger på avveie var ikke en grunn.
Til tross for grundige undersøkelser finnes det ikke noe som helst grunnlag for å si at pasientopplysninger kom på avveie, hvilket også er konklusjonen i PwCs uavhengige gjennomgang. Gjennom sitt arbeid fant PwC, i likhet med Sykehuspartner HF selv, ingen indikasjoner på uautorisert tilgang til personopplysninger.
Gitt de kontrollmekanismene som var på plass, vurderte PwC det som «lite sannsynlig» at tjenesteutsettingen resulterte i at pasientopplysninger var kommet på avveie. Det er heller ikke riktig at data ble flyttet (eller forsøkt flyttet) til et tredjeland, slik det ble sagt på Arendalsuka – avtalen forutsatte lagring og prosessering fra norske datasentre.
Forbilledlig åpne
Det er laget mange gode vurderinger av hva som gikk galt under tjenesteutsettingen og hvorfor avtalen til slutt – og helt korrekt – ble terminert. Informasjonssikkerhetshensyn var en viktig del av dette, men å tolke dette som personopplysninger på avveie, er en feilkobling. Sykehuspartner HF og Helse Sør-Øst RHF gjennomførte sammen en rekke viktige tekniske og organisatoriske tiltak i kjølvannet av at kontrakten ble avsluttet, og man har vært forbilledlig åpne med erfaringsdeling i etterkant – både i og utenfor helsesektoren.
Forhåpentligvis inngår disse lærdommene nå også som del av pensum for utdanningen av fremtidens IT-ledere ved landets universiteter. Datatilsynets behandling av saken viser også godt noen av de organisatoriske utfordringene som spesialisthelsetjenesten dessverre fremdeles står i når det gjelder vurdering av risikoaksept og beslutning om innføring av nye digitale løsninger.
Vi er alle tjent med at diskusjonen om nasjonal sky og behandlingen av offentlige data bygger på fakta og at vi så langt som mulig unngår å skape feilaktige inntrykk av at pasientopplysninger har kommet på avveie. Jeg er bekymret for at denne typen påstander kan bidra til å svekke befolkningens tillit til helsetjenestene.
Dataangrep mot kommune: Stengte nettforbindelsen og ba hjemmetjenesten forberede seg på det verste
Tillit
Helsesektoren behøver mer digitalisering, flere teknologiske hjelpemidler og mer digital kompetanse. Alle offentlige utredninger, det være seg Perspektivmeldingen, Helsepersonellkommisjonen eller Stortingsmelding 9 2023–2024, peker i samme retning: Teknologi kan og bør være en av de største innsatsfaktorene for å redusere konsekvensene av personellmangelen.
Sektoren er avhengig av et leverandørmarked som også består av internasjonale aktører. Flere av disse leverandørene tilbyr innovasjon, kompetanse og teknologi som kommer norske innbyggere til gode hver eneste dag i form av bedre pasientsikkerhet, bedre helselogistikk, lavere kostnader og styrket informasjonssikkerhet. Helseforetakene er underlagt sikkerhetsloven, og de har både kultur og kompetanse til å gjøre gode og korrekte vurderinger når det gjelder skjermingsverdighet av data og informasjonssystemer. Disse prosessene bør vi også ha tillit til, og både virksomhetene og departementet tar slike bekymringer på alvor.
Nasjonal sky vil potensielt øke omstillingsrisikoen ved å innføre større kompleksitet, økte kostnader og redusere helsesektorens mulighetsrom i leverandørmarkedet. Dette er alle sammen forhold som vil kunne redusere digitaliseringstakten i sektoren, og som nødvendiggjør at vi gjør gode, balanserte vurderinger.
Vi står bedre rustet til å gjøre de gode vurderingene sammen om vi unngår å la hendelser som ikke inntraff, bli et sannhetsvitne for hvorfor nasjonal sky er riktig vei fremover.
Vi bør ta sikte på å bli verdens tryggeste digitale samfunn