Tjenesteutsettingen i Sykehuspartner skulle egentlig finne sted 1. mai 2017, men nå er det avklart at det ikke blir noe av før tidligst 2018 etter at det ble avdekket at utenlandske IT-arbeidere hadde tilgang til 2,8 millioner pasienters sensitive helsedata.
Avgjørelsen ble tatt i et møte med Helse Sør-Øst fredag 2. juni.
Må gjøre en rekke tiltak
– Tjenesteutsettingen er et omfattende oppdrag, og på bakgrunn av dette vil det ikke bli gjennomført en virksomhetsoverdragelse i 2017, sier administrerende direktør Mariann Hornnes.
Følgende tiltak må nemlig gjennomføres før en tjenesteutsetting anses som trygg:
- System for tilgangsstyring må gjennomgås, forsterkes og implementeres
- Metodikk for risiko- og sårbarhetsanalyser knyttet til informasjonssikkerhet må gjennomgås, forsterkes og implementeres
- Fornyede risiko- og sårbarhetsanalyser må gjennomføres og forankres med helseforetakene som databehandleransvarlige
- Nødvendige endringer knyttet til leveranse og leveranseplaner i kontrakten som ivaretar IKT-informasjonssikkerhet på en trygg og sikker måte må utredes
- Plan for styrking av styring, ledelse og gjennomføring av prosjektet må utarbeides.
34 personer hadde tilgang
Ifølge en ekstern gransking fra PricewaterhouseCoopers (PwC) hadde minst 34 personer hos Helse sør-østs underleverandører tilgang til helseopplysninger om pasienter og epost til ansatte.
– Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, forklarte Are Muri i revisjonsselskapet til NRK for noen uker siden.
Revisjonsselskapet rettet kritikk mot helseforetaket i sine foreløpige konklusjoner. PwC påpekte blant annet at datterselskapet Sykehuspartner HF ikke hadde god nok kontroll på hvem som fikk tilganger.
Teknologidirektør trakk seg
Ifølge gjennomgangen til PwC hadde sju av de 34 personene faktisk koblet seg til de aktuelle serverne i Helse sør-øst.
I etterkant av skandalen gikk Thomas Bagley av både som styreleder i Sykehuspartner og som teknologidirektør i helseforetaket.
Medarbeidere gikk ut i digi.no allerede i september i fjor og advarte ledelsen i Helse Sør-Øst og Sykehuspartner om at det ikke var mulig å drifte IKT-infrastrukturen uten å få tilgang til SQL-serverne hvor pasientdataene ligger lagret.