Kommentar

Pinlige sykdommer: Helseministeren usikker om sikkerhet

  • Joacim Lund
    Joacim Lund
    kommentator

NRK og Helse Sør-Øst forteller to helt ulike historier. Helseminister Bent Høie har bedt om en forklaring. Foto: Poppe, Cornelius / NTB scanpix

Dine sensitive helsedata kan være på avveie. Den ubehagelige sannheten er denne: Norske ledere kan for lite, de prioriterer galt – og det offentlige er verstingen.

Kommentar
Dette er en kommentar. Den gir uttrykk for skribentens analyser og meninger.

Kjønnssykdommer, aborter, psykiske lidelser og medisinbruk. Dine mest sensitive helseopplysninger har vært tilgjengelige for 110 IT-arbeidere i Øst-Europa og Asia siden midten av mars, ifølge NRK. Det betyr ikke nødvendigvis at du står naken i skolegården, sånn i overført betydning. Men det kan bety at noen vet mer om deg enn det som er behagelig å tenke på.

Bakteppet er at Helse Sør-Øst har flagget ut IT-driften til den amerikanske IT-giganten HPE. I prosessen kan sikkerheten ha vært for dårlig, til tross for at helseminister Høie i Stortingets spørretime i oktober ga inntrykk av at opplegget var sikkert som Fort Knox.

Les også

NRK: Utenlandske IT-arbeidere har hatt tilgang til pasientdata om 2,8 millioner nordmenn

Avsporinger

Noen er opptatt av at det er bulgarere som har hatt tilgang til helsedataene. Det høres litt Balkan-nifst ut, men er en avsporing. Det er likegyldig hvor IT-arbeiderne er fra. Andre er opptatt av risikoen ved å sette ut tjenester til private underleverandører. Det er faktisk også en avsporing. 150 ansatte er overført fra Sykehuspartner, eid av Helse Sør-Øst, til HPE. De har antakelig vært involvert i håndteringen.

Jeg har bare sett to kilder i denne saken, NRK og Helse Sør-Øst. De forteller to ulike historier, og jeg vet ikke hvilken som er nærmest sannheten. Men er det en skandale, er ikke det en skandale, om man kan si det slik.

Det offentlige er nemlig verstingen på sikkerhet, ifølge Datatilsynets direktør, Bjørn Erik Thon. I politikken og forvaltningen er det mer populært å bruke penger på skoler og sykehjem enn på en potensiell fremtidig risiko. De vet dessuten ikke hvilke IT-risikoer de skal se etter, og heller ikke hvordan systemet skal settes opp for å håndtere dem. Dermed blir IT-skandaler i det offentlige et vanlig syn.

Det er ikke lenge siden sist heller.

Les også

Bekymret opposisjon krever svar om IT-arbeideres tilgang til pasientopplysninger

Truer viktige samfunnsfunksjoner

Nødnettet er et digitalt samband for politi, brannvesen, helsevesenet og andre viktige samfunnsfunksjoner, inkludert Statoil, NVE, Statkraft, Forsvaret, Slottet og Jernbaneverket. Det er omfattet av Sikkerhetsloven og skal driftes fra Norge. Likevel ble nødnettet lenge driftet av indiske IT-arbeidere uten sikkerhetsklarering.

Da skandalen ble avslørt, innrømte direktør Tor Helge Lyngstøl i Direktoratet for nødkommunikasjon at de ikke hadde sjekket om IT-selskapene overholdt avtalen om drift i Norge, men at det uansett var vanskelig å sjekke hvem som har tilgang, og at det greieste nok var å anta at alt gikk etter boken.

I 2012 viste det seg at amerikanske GE Healthcare hadde hentet ut pasientopplysninger fra norske helseforetak siden 2006 og lagret dem på amerikanske servere.

Nylig viste det seg at skoleplattformen Itslearning fortsatt lagrer all informasjon om elevene på flere skoler i Rogaland, inkludert anmerkninger, fravær og karakterer, fem år etter at avtalen ble sagt opp.

Og så videre. Listen er lang.

Helseministeren krever svar

Det er for tidlig å si hva som har skjedd denne gangen. NRK mener å kunne dokumentere at 110 utenlandske IT-arbeidere har logget seg på systemet, og at de har hatt mulighet til å hente ut pasientdata uten å legge igjen spor.

Helse Sør-Øst innrømmer at utenlandske IT-arbeidere har hatt tilgang, men mener det dreier seg om 16, ikke 110, og at tilgangen nå er stengt. Kanskje har ikke NRK gode nok kilder. Kanskje har direktør Cathrine M. Lofthus i Helse Sør-Øst ikke gode nok kilder. Helseministeren, stakkar, har i alle fall ikke gode nok kilder. Han er usikker på sikkerheten.

Kan føre til tillitskrise

Skulle det stemme at noen har hatt tilgang til detaljer om den gangen du fikk gonoré i Benidorm, antidepressivaene du fikk da du fylte 40 eller fotsoppen som nekter å slippe taket, slik NRK hevder, betyr det at det finnes en risiko for at disse hemmelighetene vil bli avslørt på nettet, eller til og med at du kan bli utpresset.

Men det kan også få konsekvenser på samfunnsnivå.

Ryker tilliten vi har til helsevesenet, slik at vi ikke tør snakke om det som plager oss, er det en farlig situasjon.

Difi har gjort en del for å unngå offentlige IT-skandaler, men er ikke i mål. Fra tid til annen dukker debatten om en havarikommisjon for offentlige IT-prosjekter opp, uten at det så langt har materialisert seg i noe håndfast. Den debatten bør reises igjen. Det er vanskelig å se hva vi har å tjene på å la være å pirke i hvor det går galt. Finne årsakene, ikke bare symptomene, som fastlegen kanskje ville sagt.

Først da kan vi få resept på riktig medisin.

Les mer om

  1. IT-sikkerhet
  2. Nødnett
  3. Helse Sør-Øst (HSØ)