Alle helsedata er ikke like sensitive

Kronikk: Gunnar Mørne, leder for helse og offentlig sektor i Sopra Steria

SKAL MAN dømme etter den massive dekningen og de påfølgende reaksjonene, er dette for en skandale å regne. Men i motsetning til hva mange later til å tro, er det ikke nødvendigvis slik at vi får et bedre sikkerhetsnivå ved å holde alt innenfor Norges grenser. Det er heller ikke slik at man trenger like høy sikkerhet for alle opplysninger.

I et informasjonssikkerhetsperspektiv vil jeg gå så langt som å si at vi i dag mangler en faktabasert, objektiv og edruelig holdning til dataene våre. Samfunnet behandler alle helsedata som om det sto om liv eller død. Da forsvinner selvsagt all fleksibilitet og alle muligheter til pragmatiske løsninger.

STRENGT DEFINERT. Som Kommunal- og moderniseringsdepartementet (KMD) skrev i sitt digitaliseringsrundskriv sist måned, må man ha et definert forhold til informasjonssikkerhet. Men å definere alt inn i den strengeste kategorien, er etter min mening å ta det for langt, ettersom man da også tar ut den reelle effekten av enhver tjenesteutsettingsstrategi.

Jeg tror nettopp dette er årsaken til at mediene kjører så hardt på Helse Sør-Østs håndtering av IKT-tjenesteutsettingen, og at lederne i Helse Vest ikke vil godkjenne en app som kan måle blodsukkerverdiene til tolv år gamle Oliver. Disse lederne er nemlig pålagt å forholde seg til et regelverk som ikke tar hensyn til at helsedata også kan være ganske lite sensitive. Oliver må reise på leir med skolen uten appen, og Helse Sør-Øst får stadig mindre manøvreringsrom. Datatilsynets nylige vedtak om bøter til helseforetakene viser på en grundig måte hvor komplekst saksområdet er.

Når samfunnet behandler alle helsedata som om det sto om liv eller død, forsvinner naturligvis all fleksibilitet og alle muligheter til pragmatiske løsninger.

VI MÅ REDEFINERE. Bevisstgjøringen rundt den digitale tjenesteutsettingens utfordringer og muligheter har ført til store endringer i EU-regelverket, som nå treffer oss med full styrke i form av den nye personvernsforordningen (GDPR). På hjemmefronten har Kommunal- og moderniseringsdepartementet blitt enda klarere på hvor offensive offentlige virksomheter skal være i forhold til tjenesteutsettingsstrategier og -effektivisering.

Dette betyr at tiden nå er inne for å redefinere vår forståelse av informasjonssikkerhet. Sensitive data skal vi fortsatt passe godt på. Men spørsmål om hva som er godt nok, hva vi legger i begrepet sensitiv pasientinformasjon, hvilke veiledere som skal utvikles for helseledere slik at de kan ta bedre beslutninger – og hvor hardt vi skal straffe feil – må vi begynne å behandle på en mer realistisk, og ikke idealistisk, måte.

MULIGHETENE. En mulighet kan være å gjøre som den nye personvernforordningen DPR ber oss om; å etablere bransjenormer slik man i stor grad har lyktes med i helsesektoren gjennom de ti siste årene.

Normsekretariatet i helsesektoren jobber i dag med tilpassing til GDPR. For å sikre gode krav, god oppfølging og felles tilnærming, kan dette være et meget godt sted å legge inn innsatsen. Her finnes veiledere som hjelper leverandører å levere riktige løsninger, samtidig som det blir enklere å stille gode krav fra det offentliges side. Her har man anbefalinger rundt sikkerhetsrevisjoner og sikkerhetsarkitektur, bruk av databehandler, tilbakerapportering fra IKT-driften og mye annet. Men for at dette skal fungere, må myndighetene også være seg sitt ansvar bevisst og gi en vurdering av leverandørenes tilpassinger.

DOMINO-EFFEKTEN. Det er to elementer jeg vil advare mot: For det første er jeg bekymret for dominoeffekten av Helse Sør-Øst-saken. Vi har mye å lære av den, men grunnforutsetningene har ikke endret seg: Man skal ha et offensivt forhold til tjenesteutsetting, og man skal holde seg innenfor lovverket.

Dette betyr i praksis at de som setter ut tjenester og deres leverandører, må ha kontroll på både informasjonen og styringsprosessene. Men for at det offentlige Norge ikke skal avskrekkes fra å lage sine egne tjenesteutsettelsesstrategier i frykt for å komme i samme situasjon som Helse Sør-Øst, må man simpelthen sikre at dette er en realitet allerede før tjenesteutsetting finner sted. Kun slik kan alle involverte bli kjent med rammene før kontrakten trer i kraft.

BEHANDLINGSKVALITETEN. For det andre må vi ikke komme dit at vi tror alt er trygt så lenge det holdes innenfor Norges grenser. Sikkerhet og sikkerhetstiltak må følge informasjonen, og ikke organisatoriske grenser, landegrenser eller nettverksgrenser.

Intensjonen med pasientjournalloven er til syvende og sist den behandlingskvalitet man tilbyr pasientene. Da må måten vi behandler helsedata på, understøtte denne intensjonen, i stedet for å bli et hinder på veien dit.

Interessekonflikt/disclaimer: Sopra Steria er et konsulentselskap med 1300 ansatte som i stor grad jobber med digitalisering av offentlig sektor. De har en lang rekke offentlige kunder innenfor helse, deriblant Helse Sør-Øst og Sykehuspartner.

Kronikk og debatt, Dagens Medisin 19/2017