<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

Datatilsynet med krass kritikk og milliongebyr etter IT-outsourcing i Helse sør-øst

Datatilsynet mener flere lover ble brutt da Helse sør-øst vedtok å outsource IT-infrastrukturen. Sykehusene i foretaket er ilagt milliongebyr.

Publisert 27. okt. 2017
Oppdatert 27. okt. 2017
Lesetid: 2 minutter
Artikkellengde er 295 ord
lead

Hvert av sykehusene og Sykehuspartner må betale 800.000 kroner hver i overtredelsesgebyr. Til sammen må foretakene ut med 10 millioner kroner for lovbruddene, melder NRK.NRK avslørte tidligere i år at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang til pasientjournaler i Helse sør-øst.Datatilsynet har lagt fram en 33 sider lang rapport der tilsynet konkluderer med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet.Ingen formildende omstendigheterTilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt.– Vår vurdering er at det ikke finnes formildende omstendigheter i denne saken, skriver Datatilsynet.Tilsynet mener dessuten at medienes omtale av saken har bidratt til å begrense konsekvensene ettersom Helse sør-øst da stanset fremdriften i prosjektet.Vurderte ikke risikoLedelsen i Helse sør-øst sier til NRK at det er for tidlig å kommentere innholdet i rapporten, men at de vil gå grundig inn i dette.Det var i mai NRK avdekket at IKT-arbeidere i Asia og Øst-Europa har hatt tilgang til datasystemet til Helse sør-øst. Det førte til at lederen for Sykehuspartner, Mariann Hornnes, trakk seg fra stillingen, og det kom krav fra flere hold om at øverste leder for helseforetaket, Cathrine Lofthus, måtte gå av.SikkerhetslovenEtter loven er alle sykehusene juridiske enheter, de er pålagt å følge loven for hvordan pasientopplysninger skal behandles. Datatilsynet mener at saken grenser opp til Sikkerhetslovens virkeområde og skriver at helsesektoren har en særlig plikt til å ta hensyn til personvernet.Konsulentselskapet PricewaterhouseCoopers gjennomførte i vår en ekstern undersøkelse som viste at 36 personer med tilknytning til den eksterne leverandøren hadde hatt utvidede administratorrettigheter. Det innebar at de hadde tilgang til helseopplysninger, men også at det er begrenset sporbarhet. Dermed er det vanskelig å etterprøve hvordan tilgangen er benyttet.I tillegg hadde 86 personer hatt tilgang av mindre omfattende karakter, konstateres det i PwC-rapporten.(©NTB)