Nito: - Hva var det vi sa?
Pasientdata har ikke vært godt nok sikret, mener Nito-sjef Trond Markussen. Organisasjonen krever at dagens lovverk for ikt-sikkerhet endres.
Pricewaterhousecoopers (PwC) la onsdag fram de foreløpige konklusjonene sine fra granskningen av it-skandalen i Helse Sør-Øst. Anslaget er konservativt. Det opplyser revisjonsselskapet til NRK.
Ifølge Arne Muri i PwC er dette tilganger av en slik karakter at de har eller vil kunne tilegne seg selv eller andre brukere administratorrettigheter på én eller flere servere.
- Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, sier Arne Muri, til NRK.
Ifølge rapporten til PwC skal minst 34 it-ansatte hos Helse Sør-Østs underleverandører ha hatt tilgang på helseopplysninger.
Lite kontroll
Datterselskapet Sykehuspartner HF har ikke hatt god nok kontroll på hvem som får tilganger, hevder Nito.
- Dessverre samstemmer PwC sine konklusjoner med Nitos oppfatninger; pasientdataene har ikke vært sikret godt nok, det sier Nito-president Trond Markussen, i en melding på Nitos sider. Han ber nå om at lovverket endres så snart som mulig.
Slik oppsummerer Nito situasjonen rundt informasjonssikkerhet nå:
Den eksterne gjennomgangen fra PwC bekrefter det Nito har sagt hele tiden: Ikt-sikkerheten rundt pasientdataene har ikke vært sikret godt nok.
Vi synes HSØ-direktørens uttalelser om at hun ikke visste noe, er underlig. Det har vært uttallige varsler fra blant andre tillitsvalgte.
Hva kan HSØ lære av dette: HSØ og Sykehuspartners ledelse må lytte til ingeniørene, til fagekspertene. Hadde de gjort det hadde ikke dette skjedd.
Pasientdataene har ikke vært sikret godt nok.
Nå må helseministeren på banen: Lovverket må endres. Nito har krevd og krever at dagens lovverk for ikt-sikkerhet endres: Lovverket har klare mangler. Lov- og regelverk om informasjonssikkerhet må samordnes. I dag er krav til fagmiljøenes arbeid med informasjonssikkerhet for fragmentert. Helseministeren burde bedt Nasjonal sikkerhetsmyndighet (NSM) om deres vurdering og definert dette som samfunnskritisk infrastruktur.
Tilsynet må skjerpes: Per dags dato har ikke Helsetilsynet, Datatilsynet eller NSM noen myndighet til å pålegge foretakene tiltak. Dette må endres.
