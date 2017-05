Det så svært dramatisk ut da de første sakene om den såkalte «journalskandalen» i Helse Sør-Øst (HSØ) kom i NRK for noen uker siden. Etterlatt inntrykk var at 2,8 millioner pasientjournaler lå åpne for innsyn for over 100 utenlandske IT-arbeidere.

Nå har revisjonsfirmaet PwC avgitt sin foreløpige rapport om IT-prosjektet. Rapporten konkluderer med at for mange – 34 personer – har hatt vide tilganger til systemene i HSØ som en del av endringene i IT-driften. Flere burde klart seg med mer begrensede tilganger.

Rapporten bekrefter ikke at 2,8 millioner pasientjournaler har ligget søkbare eller åpent tilgjengelig for over 100 IT-arbeidere i ulike land. Det er vesentlig fordi et slikt inntrykk selvsagt utløser stor uro blant pasienter. HSØ har jobbet dårlig med å berolige pasienter med tanke på dette. Ordet «journalskandalen» er imidlertid ikke dekkende for saken.

Saken er del av en grunnleggende diskusjon om hvorvidt spesialisthelsetjenesten kan sette ut denne typen IT-tjenester til eksterne, såkalt outsourcing, eller om det bør skje innenfor foretaket. Svaret er at det er vanskelig å se rekkevidden av den oppbygningen av ressurser helseforetakene må gjøre på IT-siden for å håndtere dette selv.

Helseforetak, som andre virksomheter, kjøper programmer og systemer fra leverandører i hele verden, også i Norge. Ofte finnes spisskompetansen knyttet til vedlikehold og utvikling hos få personer i selskapene som utviklet systemet. Deres mulighet til å løse problemer for foretakene krever en tilgang til systemer som potensielt kan misbrukes. Slik har det vært lenge. Slik sett kan vi si at norsk helsevesen befinner seg i en kontinuerlig «journalskandale». Gamle systemer, som infrastrukturen i HSØ, er ekstra sårbare fordi de krever for omfattende tilganger for dem som skal jobbe i systemene, eksterne og interne. Nettopp oppgradering av infrastrukturen, som det omtalte IKT-prosjektet er, skal bøte på mange av svakhetene med dagens tilgangskontroll.

Det vesentlige er å sikre, så langt som mulig, at muligheten for misbruk minimeres. Helt borte kan den sannsynligvis aldri bli. Vi har sett flere eksempler på misbruk internt i sykehus, i Nav og i andre systemer der tilgangen til sensitiv personinformasjon er en del av virksomheten. Problemet oppsto ikke med eksterne leverandører, men avtaler med dem krever en enda sterkere sikkerhetskultur.

Svaret er ikke å hente all IT-virksomhet tilbake til helseforetakene. Det er heller ikke å stoppe et prosjekt som vil være et bidrag til økt sikkerhet for pasientinformasjon i HSØ. Svaret er å jobbe mer dedikert med sikkerhet og personvern på alle nivå, i hele Helse-Norge. Ikke bare når det er utlendinger involvert.