NRK: Utenlandske IT-arbeidere har hatt tilgang til pasientdata om 2,8 millioner nordmenn

Ifølge NRK har 110 IT-arbeidere i Asia og Øst-Europa hatt tilgang og utvidede rettigheter til Helse Sør-Østs datasystem.

Der skal de ha hatt muligheten til å gå inn og kopiere pasientjournaler, uten å legge igjen spor.

Pasientjournaler inneholder opplysninger om eksempelvis psykiske problemer, kjønnssykdommer, medisinbruk, aborter eller andre helseforhold.

Helseforetaket er det største i landet, hvor 2,8 millioner nordmenn hører under. De har ansvar for spesialisthelsetjenestene i Oslo, Akershus, Østfold, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder.

Nødnettet ble driftet av India-ansatte som ikke var sikkerhetsklarert: Direktoratet for nødkommunikasjon ser alvorlig på et brudd i rutinene

Helseforetaket innrømmer

Helse Sør-Øst innrømmer overfor TV-kanalen at utenlandske IT-arbeidere har hatt tilgang, men hevder omfanget er mindre enn det NRK får opplyst fra andre kilder.

– Forrige torsdag fikk jeg informasjon om at 16 bulgarere hadde tilgang til sensitiv informasjon, sier administrerende direktør Cathrine Lofthus i Helse Sør- Øst til NRK.

Cathrine Lofthus, administrerende direktør i Helse Sør-Øst. **Foto:** Torstein Bøe / NTB scanpix

NRK skriver at de konfronterte Helse Sør-Øst med problemstillingen for to uker siden.

Da nektet de for at utenlandske IT-arbeidere hadde en slik tilgang.

– De utenlandske IT-konsulentene skal ikke ha tilgang til pasientsensitive opplysninger eller gis tilgang til det. De skal ikke ha tilgang til denne type systemer, sa helseforetakets teknologidirektør Thomas Bagley ifølge NRK.

Helseforetaket skal i ettertid ha ønsket å trekke dette intervjuet.

NRK: Titalls kilder og dokumentasjon

I sin omtale av saken skriver NRK at de har et titall kilder om at omfanget har vært større enn det Helse Sør-Øst hevder.

De hevder at de også har dokumentasjon som viser navnene til de 110 utenlandske IT-arbeiderne som har hatt muligheten til å logge inn på helseforetakets servere.

Fjernsynskanalen skal ha logger som viser hvor ofte den enkelte har logget inn.

Rikshospitalet er et av flere sykehus som drives av Helse Sør-Øst. **Foto:** Jon Olav Nesvold / NTB scanpix

NRK vil ikke vise denne dokumentasjonen, fordi flere av dem som har bidratt med denne, har risikert jobbene sine.

Sikkerhetsbrudd i Nødnettet: Sikkerhetsmyndigheten starter tilsyn og PST starter etterforskning

Flagger ut IKT-driften

Bakgrunnen for at de utenlandske ansatte har fått tilgang til dataene, er at Helse Sør-Øst holder på å sette ut IKT-driften til det amerikanske selskapet Hewlett Packard Enterprise. De skal drifte IT i Helse Sør-Øst fra Bulgaria, Malaysia og India.

I forbindelse med denne utflaggingen har helseforetaket gjentatte ganger sagt at de utenlandske IT-arbeiderne vil få begrenset tilgang slik at de ikke vil få se personsensitiv informasjon.

Helseminister Bent Høie fremhevet dette forrige uke i Stortinget:

«Avtalen med HPE stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. Det er videre stilt spesifikke krav til blant annet informasjonssikkerhet dersom drift skal utføres fra lokalisasjon utenfor Norge.»

Frykter offentlig IKT-krøll som følge av kommunereformen: IKT Norge er bekymret