Sikkerhetsloven kan trygge helsedata

Med lagring og drift av samfunnskritiske registre i Norge får norske myndigheter bedre kontroll med at selskapene følger norske lover og regler.

Publisert

Denne artikkelen er mer enn fem år gammel.

Innlegg: Trond Markussen, president i Norges ingeniør- og teknologorganisasjon (Nito)
Per Øyvind Hodøl, nestleder i Nitos IKT-fagutvalg

NITO HAR siden 2016 bedt om at IKT-infrastrukturen i helsevesenet underlegges sikkerhetsloven. Våre medlemmer har hatt en sterk faglig bekymring for hva slags konsekvenser outsourcingen fra Helse Sør-Øst RHF medfører for pasientsikkerheten og helseberedskapen i landet. RHF-et har fremmet innvendinger knyttet til IKT-sikkerhet, men har ikke blitt lyttet til av verken helseforetak eller departement i utsettingen av IKT-tjenester i Helse Sør-Øst.

I ettertid viser erfaringene at de faglige innvendingene var berettiget.

FORENKLINGEN. Utfordringen har vært forståelsen blant beslutningstakere for at denne konkrete outsourcingen ikke er en hvilken som helst tjenesteutsetting, men omfatter samfunnskritiske systemer. Datatilsynet støtter dette synet basert på omfanget av utkontrakteringen. Ved denne typen tjenesteutsetting er det behov for å vurdere konsekvenser for nasjonal sikkerhet.

Nito mener det blir for enkelt å redusere spørsmålet om tjenesteutsetting til et spørsmål om hvorvidt det finnes rettslige hindre. Det må være rimelig å anta at det finnes andre tungtveiende faglige argumenter enn de rent tekniske juridiske hindrene. Behovet for nasjonal sikkerhet er et slikt tungtveiende faglig argument.

SIKKERHETSLOVEN. Faren for at det oppstår lange og uoversiktlige verdikjeder på leverandørsiden, gjerne på tvers av sektorer, land og kontinenter, er til stede, og at norsk lov ikke vil gjelde. Sikkerhetsloven vil legge føringer som bidrar til å rydde opp i slike forhold dersom infrastrukturen i helsevesenet underlegges loven.

På grunn av utfordringen med IKT-leverandørenes globale struktur mener vi også at informasjon knyttet til nasjonale sikkerhetsinteresser må driftes og lagres i Norge. Som vi påpekte i november 2016, er det med dagens teknologi umulig å holde driftspersonellet fullstendig atskilt fra helseopplysningene. Vi vet den dag i dag ikke hva de hundre superbrukerne som hadde tilgang til Helse Sør-Østs pasientdata, har foretatt seg, og vi vil heller aldri få vite det.

KONTROLL. Med lagring og drift av samfunnskritiske registre i Norge får norske myndigheter bedre kontroll med at selskapene følger norske lover og regler. Når personell befinner seg i Norge kan norske myndigheter blant annet gjennomføre bakgrunnssjekk, foreta etterforskning og gjennomføre tilsyn.

Det er gledelig dersom Stortinget involverer seg i de nasjonale sidene ved IKT-sikkerheten og mer generelt, beredskapen i helsesektoren. Endringene i IKT-risikobildet må få konsekvens for hvordan myndighetene håndterer IKT-sikkerhet. Dersom sikkerhetsloven kommer til anvendelse vil kvaliteten på sikkerheten måtte vurderes på en betydelig mer omfattende måte.

Ingen oppgitte interessekonflikter

Kronikk og debatt, Dagens Medisin 12/2018

Powered by Labrador CMS