Abonner

Det blir ingen outsourcing før tidligst i 2018 i sykehusene – må gjøre en rekke tiltak før det anses som trygt

Oslo universitetssykehus avdeling Ullevål. Illustrasjonsfoto.
Oslo universitetssykehus avdeling Ullevål. Illustrasjonsfoto. Bilde: Scanpix
Del
Kommenter
Martin Braathen Røise
9. juni 2017 - 11:29

Tjenesteutsettingen i Sykehuspartner skulle egentlig finne sted 1. mai 2017, men nå er det avklart at det ikke blir noe av før tidligst 2018 etter at det ble avdekket at utenlandske IT-arbeidere hadde tilgang til 2,8 millioner pasienters sensitive helsedata.

Avgjørelsen ble tatt i et møte med Helse Sør-Øst fredag 2. juni.

Må gjøre en rekke tiltak

– Tjenesteutsettingen er et omfattende oppdrag, og på bakgrunn av dette vil det ikke bli gjennomført en virksomhetsoverdragelse i 2017, sier administrerende direktør Mariann Hornnes.

Følgende tiltak må nemlig gjennomføres før en tjenesteutsetting anses som trygg:

  • System for tilgangsstyring må gjennomgås, forsterkes og implementeres
  • Metodikk for risiko- og sårbarhetsanalyser knyttet til informasjonssikkerhet må gjennomgås, forsterkes og implementeres
  • Fornyede risiko- og sårbarhetsanalyser må gjennomføres og forankres med helseforetakene som databehandleransvarlige
  • Nødvendige endringer knyttet til leveranse og leveranseplaner i kontrakten som ivaretar IKT-informasjonssikkerhet på en trygg og sikker måte må utredes
  • Plan for styrking av styring, ledelse og gjennomføring av prosjektet må utarbeides.

34 personer hadde tilgang

Administrerende direktør, Mariann Hornnes, i Sykehuspartner mener at partnerskap med HPE er en god løsning. <i>Foto: Sykehuspartner</i>
Administrerende direktør, Mariann Hornnes, i Sykehuspartner mener at partnerskap med HPE er en god løsning. Foto: Sykehuspartner

Ifølge en ekstern gransking fra PricewaterhouseCoopers (PwC) hadde minst 34 personer hos Helse sør-østs underleverandører tilgang til helseopplysninger om pasienter og epost til ansatte.

– Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, forklarte Are Muri i revisjonsselskapet til NRK for noen uker siden.

Revisjonsselskapet rettet kritikk mot helseforetaket i sine foreløpige konklusjoner. PwC påpekte blant annet at datterselskapet Sykehuspartner HF ikke hadde god nok kontroll på hvem som fikk tilganger.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Defendable AS
– Ingen tvil om at Gran kommune var heldige

Teknologidirektør trakk seg

Ifølge gjennomgangen  til PwC hadde sju av de 34 personene faktisk koblet seg til de aktuelle serverne i Helse sør-øst.

I etterkant av skandalen gikk Thomas Bagley av både som styreleder i Sykehuspartner og som teknologidirektør i helseforetaket.

Medarbeidere gikk ut i digi.no allerede i september i fjor og advarte ledelsen i Helse Sør-Øst og Sykehuspartner om at det ikke var mulig å drifte IKT-infrastrukturen uten å få tilgang til SQL-serverne hvor pasientdataene ligger lagret.  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Fra usikkerhet til spesialingeniør
Les mer
Fra usikkerhet til spesialingeniør
Ny i dag
Kommunal Landspensjonskasse
Utvikler
Leonhard Nilsen & Sønner AS
IT Security Manager
Teknisk Ukeblad Media AS
Ansvarlig for data og innsikt
Digitaliseringsdirektoratet (Digdir)
Seniorutviklere
Sporveien
Avdelingsingeniør automasjon
En tjeneste fra