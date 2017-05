Kjønnssykdommer, aborter, psykiske lidelser og medisinbruk. Dine mest sensitive helseopplysninger har vært tilgjengelige for 110 IT-arbeidere i Øst-Europa og Asia siden midten av mars, ifølge NRK. Det betyr ikke nødvendigvis at du står naken i skolegården, sånn i overført betydning. Men det kan bety at noen vet mer om deg enn det som er behagelig å tenke på.

Bakteppet er at Helse Sør-Øst har flagget ut IT-driften til den amerikanske IT-giganten HPE. I prosessen har sikkerheten åpenbart vært for dårlig, til tross for at helseminister Høie i Stortingets spørretime i oktober ga inntrykk av at opplegget var sikkert som Fort Knox.

Avsporinger

I den gryende debatten er noen opptatt av at det er nettopp bulgarere som har hatt tilgang til helsedataene. Det høres litt Balkan-nifst ut, men er en avsporing, det er selvsagt helt likegyldig hvor IT-arbeiderne er fra. Andre er opptatt av risikoen ved å sette ut tjenester til private underleverandører. Det er faktisk også en avsporing. Det samme kunne like gjerne skjedd dersom sykehusets egne ansatte hadde håndtert det (det har de også, 150 ansatte er overført fra Sykehuspartner, eid av Helse Sør-Øst, til HPE).

Problemet er at systemet ikke er godt nok satt opp. Hos systemeieren, altså Helse Sør-Øst, er de eksperter på mye rart, men vet åpenbart ikke hvilke IT-risikoer de skal se etter, og heller ikke hvordan systemet skal settes opp for å håndtere dem.

Det offentlige er verstingen på dette området, ifølge Datatilsynets direktør Bjørn Erik Thon. Jeg tror han har rett. I politikken og forvaltningen er det mer populært å bruke penger på å redde skoleplasser og sykehjemsplasser enn på en diffus, potensiell fremtidig risiko. Det gjør skandaler som denne til gjengangere. Det er ikke lenge siden sist heller.

Truer viktige samfunnsfunksjoner

Nødnettet er et digitalt samband for politi, brannvesen, helsevesenet og andre viktige samfunnsfunksjoner, inkludert Statoil, NVE, Statkraft, Forsvaret, Slottet og Jernbaneverket. Det er omfattet av Sikkerhetsloven og skal driftes fra Norge. Likevel ble nødnettet driftet av indiske IT-arbeidere uten sikkerhetsklarering i lang tid.

Da skandalen ble avslørt, innrømte direktør Tor Helge Lyngstøl i Direktoratet for nødkommunikasjon at de ikke hadde sjekket om IT-selskapene overholdt avtalen om drift i Norge, men at det uansett var vanskelig å sjekke hvem som har tilgang, og at det greieste nok var å anta at alt gikk etter boken.

I 2012 viste det seg at amerikanske GE Healthcare hadde hentet ut pasientopplysninger fra norske helseforetak siden 2006 og lagret dem på amerikanske servere. GE meldte selv fra om svikten da de oppdaget den.

Nylig viste det seg at skoleplattformen Itslearning fortsatt lagrer all informasjon om elevene på flere skoler i Rogaland, inkludert anmerkninger, fravær og karakterer, fem år etter at avtalen ble sagt opp.

Og så videre. Listen er lang.

Helseministeren krever svar

Det er for tidlig å si hva som har skjedd denne gangen. NRK mener å kunne dokumentere at 110 utenlandske IT-arbeidere har logget seg på systemet, og at de har hatt mulighet til å hente ut pasientdata uten å legge igjen spor. Helse Sør-Øst innrømmer at utenlandske IT-arbeidere har hatt tilgang, men mener det dreier seg om 16, ikke 110, og at tilgangen nå er stengt. Kanskje har ikke NRK gode nok kilder. Kanskje har direktør Cathrine M. Lofthus i Helse Sør-Øst ikke gode nok kilder, kanskje pynter hun på virkeligheten. Helseministeren, stakkar, er usikker på sikkerheten, og har bedt om mer informasjon.

Mens han venter, mister nordmenn tillit til helsevesenet.

Kan føre til tillitskrise

Har noen lastet ned detaljer om den gangen du fikk gonoré i Benidorm, antidepressivaene du fikk da du fylte 40 eller fotsoppen som nekter å slippe taket, betyr det at det finnes en risiko for at disse hemmelighetene vil bli avslørt på nettet, eller til og med at du kan bli utpresset. Sikkerhetshullet kan få konsekvenser for hver enkelt av oss. Men det kan også få konsekvenser på samfunnsnivå.

Pasientdata på avveie kan skape en tillitskrise. Ryker tilliten vi har til helsevesenet, slik at vi ikke tør snakke med fastlegen om det som plager oss, er det en veldig farlig situasjon.

Difi har gjort en del for å unngå offentlige IT-skandaler, men er åpenbart ikke i mål. Fra tid til annen dukker debatten om en havarikommisjon for offentlige IT-prosjekter opp, uten at det så langt har materialisert seg i noe håndfast. Den debatten bør reises igjen. Det er vanskelig å se hva vi har å tjene på å la være å pirke i hvor det går galt. Finne årsakene, ikke bare symptomene, som fastlegen kanskje ville sagt.

Da kan vi få riktig medisin, og forhåpentligvis forebygge pinlige, offentlige sykdommer i fremtiden.