Norge

Ekstern rapport: Minst 34 IT-ansatte hos Helse Sør-Østs underleverandører hadde tilgang på helseopplysninger

Ifølge en PwC-rapport hadde minst 34 personer hos Helse Sør-Østs underleverandører tilgang til helseopplysninger om pasienter og epost til ansatte.

Rikshospitalet er et av flere sykehus som drives av Helse Sør-Øst.
  • NTB

PricewaterhouseCoopers (PwC) la onsdag fram de foreløpige konklusjonene sine fra granskningen av IT-skandalen i Helse Sør-Øst. Anslaget er konservativt, opplyser revisjonsselskapet til NRK.

– Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, sier Arne Muri i PwC til kanalen.

Ifølge den foreløpige gjennomgangen har sju av disse 34 personene faktisk koblet seg til de aktuelle serverne i Helse Sør-Øst. Muri mener dette viser at helseforetaket har gitt høyere rettigheter til flere IT-ansatte enn det som var nødvendig.

Videre viser rapporten at det er mer eller mindre umulig å undersøke om disse IT-arbeiderne faktisk har åpnet informasjon om pasienter eller ansatte i Helse Sør-Øst, ifølge NRK.

Les også

NRK: Utenlandske IT-arbeidere har hatt tilgang til pasientdata om 2,8 millioner nordmenn

Kritikk

Revisjonsselskapet retter også kritikk mot helseforetaket i sine foreløpige konklusjoner. PwC påpeker blant annet at datterselskapet Sykehuspartner HF ikke har god nok kontroll på hvem som får tilganger.

Datterselskapet hadde fått oppgaven med å forvalte avtalen med den eksterne leverandøren som skal drifte IKT- infrastrukturen i foretaksgruppen. I etterkant av skandalen gikk Thomas Bagley av både som styreleder i Sykehuspartner og som teknologidirektør i helseforetaket.

Rapporten er resultatet av en ekstern gransking styret i Helse Sør-Øst ba om. Dette etter en NRK-avsløring som viste at opptil 100 IT-arbeidere i Bulgaria og Malaysia hadde hatt tilgang og utvidede rettigheter til helseforetakets datasystemer over en toukersperiode i slutten av april.

Les også

Direktør trekker seg etter IT-skandalen i Helse sør-øst

Manglende info

Rapporten konkluderer videre med at informasjonssikkerheten ikke har blitt godt nok vurdert, og at styret i helseforetaket ikke har fått god nok informasjon om risikoene ved prosjektet.

Styret har blant annet fått beskjed om at personell som drifter infrastruktur ikke skulle ha tilgang til personsensitive opplysninger, og at den eksterne partneren ikke ville få tilgang til pasientdata.

Styreleder Cathrine M. Lofthus sier til kanalen at det kan bli aktuelt å bryte avtalen med underleverandøren.

– Funnene i denne rapporten er alvorlige. Det er jeg den første til å beklage, sier helseforetakets administrerende direktør Cathrine M. Lofthus til NRK.

Les også

Bekymret opposisjon krever svar om IT-arbeideres tilgang til pasientopplysninger

Må svare Høie

Helseminister Bent Høie (H) ba i begynnelsen av mai om en nærmere redegjørelse fra Helse Sør-Øst, og skulle etter planen motta denne samme dag som den eksterne rapporten fra PwC ble lagt fram.

Statsråden uttalte at han ville avvente denne redegjørelsen før han vurderte videre oppfølging av saken.

Helse Sør-Øst er det største av Norges fire regionale helseforetak, og ifølge NRK kan IT-arbeiderne ha hatt tilgang til pasientdata for så mange som 2,8 millioner mennesker.