Sykehusene risikerer millionbøter etter IT-skandalen i Helse Sør-Øst

OSLO/ULLEVÅL SYKEHUS (Dagens Medisin): Datatilsynet varsler nå millionbøter til sykehusene som er omfattet av Helse Sør-Østs IT-anskaffelsesprosjekt:

Nok en gang får Helse Sør-Østs jobb med å modernisere IT-infrastrukturen i Norges største helseforetak, slakt. PwC, det  eksterne konsulentselskapet som fikk i oppdrag av Helse Sør-Øst å granske prosjektet, etter at det ble avdekket at utenlandske IT-ansatte hadde hatt tilgang til pasientopplysninger, var heller ikke nådig i sin kritikk før sommeren.
Nå gir Datatilsynet ledelsen i Helse Sør-Øst kraftig kritikk for blant annet mangelfull sikkerhetsledelse og manglende etterlevelse av regelverket.

Datatilsynet skriver også at de ser det som meget alvorlig at Helse Sør-Øst RHF ikke har sørget for at prosjektet er gjennomført på en måte som sikrer forankring i de behandlingsansvarlige helseforetakene.
Det er den enkelte sykehusdirektør som er databehandlingsansvarlig og derfor er det sykehusene, og ikke Helse Sør-Øst, som får kritikken og som eventuelt vil måtte betale.

Det er sendt 9 vedtak om overtredelsesgebyr på til sammen 7,2 millioner, skriver NRK, som først omtalte saken.

OUS-direktøren: Kun overordnet orientert

Administrerende direktør ved Oslo universitetssykehus, Bjørn Erikstein, sier til Dagens Medisin at han ser svært alvorlig på kritikken.

– Det er ingen god sak for sykehuset som sådan, når vi får så kraftig kritikk fra Datatilsynet.

– Dette er Helse Sør-Østs prosjekt; så hvor mye tenker du at dette er deres sak, og hvor mye er det OUS’ sak?

– Datatilsynet er tydelig på at vi som helseforetak ikke har gjort jobben vår. Vi vil ta en selvstendig gjennomgang, og vi vil se på saken ut fra fag og jus og har fire uker på oss til å gi et svar på varselet. Dette vil få betydning for hvordan vi arbeider med sikkerhet, personvern og risikostyring.

– Hvor mye har du og OUS vært involvert i saken?

– Vi har ikke vært direkte involvert i anskaffelsen, for det er Helse Sør-Øst og Sykehuspartner som har drevet prosjektet. Vi er blitt overordnet orientert om hvor man er, men vi har ikke vært direkte involvert i arbeidet.

– Tar kritikken på største alvor
– Når man ser det som nå skjer; Skulle du ønske du hadde vært mer involvert?

– Det er jo alltid lett å være etterpåklok, men det viktige nå er at vi tar Datatilsynets grundige vurdering og sterke kritikk på største alvor. Dette er et tilsynsorgan med stor legitimitet. De er tydelige på at det enkelte helseforetak ikke har gjort selvstendige risikovurderinger i forbindelse med  dette prosjektet.

– Vi, sykehusene, er selvstendige rettssubjekter, og det betyr at det er vi som har ansvaret for driften. Så selv om vi er del av et kollektivt system, fritar dette oss ikke fra ansvaret.

Datatilsynet skriver også følgende i sin rapport:

– Det er grunn til å understreke at saken er spesiell fordi det er første gang norske helseforetak har besluttet å legge drift av hele helseregionens IKT-infrastruktur til ekstern leverandør i utlandet. Driften omfatter behandling av helseopplysninger om mer enn halve Norges befolkning og saken er av den grunn også prinsipiell med tanke på liknende prosjekter som er under planlegging i helsesektoren.

Les også:

Direktøren i sykehuspartner slutter med umidddelbar virkning

Uklare svar om direktør-avgangen i Helse Sør-Øst

Ny IT-jobb for avgått direktør i HSØ

Sykehuspartner har monopol på IKT-tjenester til én milliard – får sterk kritikk fra Riksrevisjonen