- FOR AMBISIØS: Administrerende direktør i Helse sør-øst, Cathrine M. Lofthus, sier at tidsplanen har vært for ambisiøs. Foto: Terje Pedersen / NTB scanpix
- FOR AMBISIØS: Administrerende direktør i Helse sør-øst, Cathrine M. Lofthus, sier at tidsplanen har vært for ambisiøs. Foto: Terje Pedersen / NTB scanpixVis mer

Helse sør-øst vurderer å skrote milliardprosjekt

Overså interne varsler og manglet kontroll på flere områder da IT-infrastrukturen skulle flagges ut.

Helseregionen kommer ikke godt ut av den eksterne granskingen fra revisjonsfirmaet PricewaterhouseCoopers (PwC). Ord som «utilstrekkelig» brukes for å beskrive styringen med prosjektet.

- Vi må erkjenne at tidsplanen i prosjektet har vært for ambisiøs, og at risikoanalysene ikke er fulgt godt nok opp, sier administrerende direktør Cathrine M. Lofthus etter et ekstraordinært styremøte i helseregionen onsdag.

Styret har besluttet at man ikke vil gå videre før situasjonen er grundig utredet. Avtalen er verdt minst 5 milliarder kroner over sju år, ifølge Dagens Medisin.

- Jeg kan heller ikke utelukke at gjennomgangen kan resultere i at prosjektet blir terminert, sier Lofthus. Hva det vil koste å eventuelt avvikle avtalen, har helseregionen ikke kommentert.

Manglet kontroll

Granskingen konkluderte med at helseforetakene manglet kontroll over hvem som hadde tilgang til pasientopplysninger da IT-driften skulle overtas av det amerikanske selskapet Hewlett Packard, nå DXC.

Ifølge den foreløpige rapporten hadde 34 personer hovedsakelig i Bulgaria tilgang til sensitive helsedata, og sju av disse hadde faktisk koblet seg til de aktuelle serverne i Helse sør-øst.

Revisjonsselskapet påpeker at det er mer eller mindre umulig å undersøke om de faktisk har åpnet sensitiv informasjon, og at de ikke er i stand til å bekrefte eller avkrefte forklaringene til de aktuelle IT-ansatte.

Det kan ikke utelukkes at IT-ansatte i utlandet fortsatt har slik tilgang, sier Are Muri i revisjonsselskapet til NRK.

- Dette er tilganger av en slik karakter at de har eller vil kunne tilegne seg eller andre brukere administratorrettigheter på én eller flere servere. Det er ikke mulig å hindre at slike brukere får tilgang på helseinformasjon, påpeker han.

Varsler nådde ikke fram

Det går fram av rapporten at flere ansatte forsøkte å varsle, men at informasjonen ikke ble videreformidlet helt til toppledelsen.

Det kan ikke være noen unnskyldning, mener Norges Ingeniør- og Teknologorganisasjon (NITO), som mener ledelsen hadde et bredere selvstendig ansvar.

- Når tillitsvalgte har forsøkt å varsle, har man som leder et plikt til å sørge for at det er systemer som fanger det opp, sier NITOs president Trond Markussen til NTB.

Organisasjonen mener det er maktpåliggende at lovverket endres og at tilsynet må skjerpes.

- Lovverket er så fragmentert, det må samordnes. Helseministeren burde be Nasjonal sikkerhetsmyndighet om deres vurdering og definere dette som samfunnskritisk infrastruktur, sier han.

- I dag har verken Helsetilsynet, Datatilsynet eller NSM noen myndighet til å pålegge foretakene tiltak. Dette må endres, legger han til.

Vil ha nasjonal oppfølging

Helseminister Bent Høie (H) mener granskingsrapporten viser at det er utfordringer å gripe fatt i på nasjonalt nivå. Han vil ta initiativ til at det nedsettes et arbeid for å se nærmere på problemstillingene.

Helseministeren understreker imidlertid at bruk av private aktører i IT-sammenheng er helt nødvendig og noe man må forholde seg til.

- Man er avhengig av private underleverandører fordi det offentlige ikke produserer denne typen tjenester og utstyr, sier Høie.

Han sier at han har tillit til styret, tilføyer at han kommer til å vurdere «alle sider» ved saken når han får gått grundig inn i rapporten.

Granskingsrapporten fra PwC er i to deler. Den andre delrapporten legges fram på et ekstraordinært styremøte i slutten av juni.

(NTB)