HELSEDATA: Nito: - Hva var det vi sa?

IKKE BRA NOK: Nito-president Trond Markussen ber nå om at lovverket endres så snart som mulig. (Foto: Silvia Tormo/Pixabay, pressefoto: Nito)

Nito: - Hva var det vi sa?

Pasientdata har ikke vært godt nok sikret, mener Nito-sjef Trond Markussen. Organisasjonen krever at dagens lovverk for ikt-sikkerhet endres​.

Pricewaterhousecoopers (PwC) la onsdag fram de foreløpige konklusjonene sine fra granskningen av it-skandalen i Helse Sør-Øst. Anslaget er konservativt. Det opplyser revisjonsselskapet til NRK.

Ifølge Arne Muri i PwC er dette tilganger av en slik karakter at de har eller vil kunne tilegne seg selv eller andre brukere administratorrettigheter på én eller flere servere.

- Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, sier Arne Muri, til NRK.

Ifølge rapporten til PwC skal minst 34 it-ansatte hos Helse Sør-Østs underleverandører ha hatt tilgang på helseopplysninger.

Lite kontroll

Datterselskapet Sykehuspartner HF har ikke hatt god nok kontroll på hvem som får tilganger, hevder Nito.

- Dessverre samstemmer PwC sine konklusjoner med Nitos oppfatninger; pasientdataene har ikke vært sikret godt nok, det sier Nito-president Trond Markussen, i en melding på Nitos sider. Han ber nå om at lovverket endres så snart som mulig.

Slik oppsummerer Nito situasjonen rundt informasjonssikkerhet nå:

Den eksterne gjennomgangen fra PwC bekrefter det Nito har sagt hele tiden: Ikt-sikkerheten rundt pasientdataene har ikke vært sikret godt nok.

Vi synes HSØ-direktørens uttalelser om at hun ikke visste noe, er underlig. Det har vært uttallige varsler fra blant andre tillitsvalgte.

Hva kan HSØ lære av dette: HSØ og Sykehuspartners ledelse må lytte til ingeniørene, til fagekspertene. Hadde de gjort det hadde ikke dette skjedd.

Pasientdataene har ikke vært sikret godt nok.

Nå må helseministeren på banen: Lovverket må endres. Nito har krevd og krever at dagens lovverk for ikt-sikkerhet endres: Lovverket har klare mangler. Lov- og regelverk om informasjonssikkerhet må samordnes. I dag er krav til fagmiljøenes arbeid med informasjonssikkerhet for fragmentert. Helseministeren burde bedt Nasjonal sikkerhetsmyndighet (NSM) om deres vurdering og definert dette som samfunnskritisk infrastruktur.

Tilsynet må skjerpes: Per dags dato har ikke Helsetilsynet, Datatilsynet eller NSM noen myndighet til å pålegge foretakene tiltak. Dette må endres.

ehelse