Helse Sør-Øst legger igjen sensitive helsedata på amerikansk sky – har de ikke lært av tidligere feil?
Helse Sør-Øst, Norges største helseforetak, har satt i gang planer om å lagre pasientdata på en amerikansk skytjeneste. Dette reiser alvorlige spørsmål om sikkerheten rundt sensitive helsedata – spesielt i lys av en tidligere stor IT-skandale der millioner av pasientjournaler havnet i feil hender.
En ny risiko for norske pasientdata?
Ifølge de nyeste planene skal alle 15 sykehusene under Helse Sør-Øst kobles opp mot en amerikansk sky-tjeneste. Denne beslutningen har skapt stor bekymring. Spesielt fordi USA som eier de fleste internasjonale skytjenester, ikke har en avtale med Europa som beskytter personvern på samme måte som europeiske land. Dette ble understreket i den såkalte Schrems-dommen fra 2020 som slo fast at USA ikke er et trygt sted å oppbevare europeiske personopplysninger.
Line Coll, direktør i Datatilsynet, har påpekt at USA ikke er et trygt land å sende personopplysninger til. Men til tross for dette, mener Helse Sør-Øst at risikoen er håndterbar. Det er en beslutning som får flere eksperter til å reagere.
En ukritisk tillit til amerikanske løsninger
Eilsabet Haugsbø, visepresident i Tekna, en organisasjon for ingeniører og IT-eksperter, uttrykker sin bekymring. Hun mener at det er problematisk å bruke amerikanske skytjenester for å lagre sensitive pasientdata. Risikoen for at tredjepartsland som USA kan få tilgang til disse dataene, er betydelig.
– “Det er risikabelt å lagre helsedata i skytjenester som kan være underlagt amerikansk lovgivning, som tillater innsyn i data uten samtykke fra norske myndigheter,” sier Haugsbø til NRK.
Videre er hun skeptisk til at Helse Sør-Øst ikke har samarbeidet med andre helseforetak om en felles, sikker løsning. Ifølge Haugsbø bør det være en enhetlig tilnærming til behandling og lagring av pasientdata i hele helsevesenet.
Helse Sør-Øst – har de glemt historien?
Dette er ikke første gang Helse Sør-Øst er i søkelyset for håndtering av sensitive pasientdata. For noen år tilbake måtte hele styret i helseforetaket gå av etter at det ble avslørt at IT-arbeidere i blant annet India, Bulgaria og Malaysia hadde tilgang til pasientjournalene til 2,8 millioner nordmenn. Dette førte til at helseforetaket ble pålagt å betale store bøter.
Likevel ser det ut til at Helse Sør-Øst nå er på vei til å gjøre de samme feilene på nytt. De har valgt å satse på en amerikansk skytjeneste, til tross for at flere av de andre store helseforetakene i Norge har valgt alternative løsninger som bedre ivaretar personvernet. For eksempel bruker Helse Nord en norsk skyløsning, som sikrer at dataene ikke blir delt med utenlandske myndigheter.
Fagforbund og politikere krever handling
Det er ikke bare IT-eksperter og helseansatte som er bekymret. Både Fagforbundet og SV krever at regjeringen griper inn og sørger for at sensitive pasientdata ikke havner i hendene på utenlandske aktører. Marian Hussein, helsepolitisk talsperson for SV, mener Helse Sør-Øst ikke har lært av sine tidligere feil og at nødvendige risikovurderinger ikke er blitt gjort.
– “Det virker som om Helse Sør-Øst har glemt de erfaringene de har fra tidligere. Det er på høy tid at regjeringen etablerer en nasjonal og sikker skytjeneste for helsedata,” sier Hussein.
En skjult risiko for nasjonal sikkerhet
Data om toppledere, politikere og personer i maktposisjoner i Oslo og Østlandet kan være svært verdifulle for både utenlandske etterretningstjenester og organiserte kriminelle. Dette gjør pasientdata til et strategisk mål for aktører som kan utnytte dem for politisk eller økonomisk vinning.
USA har vært kjent for å hente inn data om både nasjoner og personer, som Edward Snowden avslørte i 2013. Det har lenge vært en bekymring at sensitive data om norske statsborgere kan ende opp i feil hender.
Hva nå?
Helse Sør-Øst har bekreftet at de planlegger å benytte den amerikanske skytjenesten, til tross for sterke advarsler fra både eksperter og politikere. I lys av de alvorlige konsekvensene dette kan ha for både pasientenes personvern og nasjonal sikkerhet, er det på høy tid at det settes større press på helseforetaket for å finne en tryggere løsning.
Flere mener at det er på tide at regjeringen etablerer en nasjonal, sikker skytjeneste for helsedata som ikke er avhengig av utenlandske aktører som kan kreve innsyn. Inntil da er det en stor usikkerhet knyttet til hvordan norske pasientdata blir behandlet – og hvem som egentlig har tilgang til dem.
Kort oppsummert: Helse Sør-Øst er igjen i fokus for potensielt å utsette sensitive pasientdata for stor risiko. Ved å lagre disse dataene på amerikanske skytjenester, kan de bli utsatt for innsyn fra amerikanske myndigheter og andre utenlandske aktører. Bekymringene fra eksperter og politikere vokser, og spørsmålet er om Helse Sør-Øst har lært av sine tidligere feil, eller om vi står på kanten av en ny helseskandale.
Les også: Betrodde medarbeidere holdt tilbake informasjon om risikoen ved outsourcing
MÅ HA TILTAK: Line Coll, direktør i Datatilsynet har forslått kryptering som et tiltak Helse Sør Øst kan gjennomføre for å beskytte persondata til pasienter.
Men ledelsen i Helse Sør Øst mener at det ikke er mulig å gjøre opplysningene utilgjengelig for selskapet bak skytjenesten ved kryptering eller pseudonymisering i Helselogistikk
– Det lar seg ikke gjøre sammen med betalingsløsningen. Den må jo vite identiteten til pasientene, påpeker Rootwelt.
Ledelsen i Helse Sør Øst påpeker at underleverandøren ikke befinner seg i USA, men i Irland, og at all databehandling skjer i Europa. Men selskapet som står for skytjenesten er eid av det amerikanske Microsoft. Ledelsen i Helse Sør -Øst innrømmer at skyleverandøren ikke kan garantere at data ikke blir utlevert.
HVA VIL DET SI AT HELSEPERSONELL HAR TAUSHETSPLIKT?
Taushetsplikten betyr blant annet at helsepersonell:
• Har plikt til både å tie selv og til aktivt å hindre at uvedkommende får tilgang til helseinformasjonen din.
• Er bundet av taushetsplikten for alle opplysninger de har fått i egenskap av å være helsepersonell.
• Er bundet av taushetsplikten også etter at de har sluttet i jobben.
• Ikke kan utlevere opplysninger til politiet uten samtykke så lenge det ikke er fare for liv og helse.
Men om det så krypteres må det likevel utleveres om USA ber om det og det å hacke kryptert informasjon er relativt enkelt for dem som har peiling på slikt. Det er f.eks Microsoft som står bak Windows.
HACKER WINDOWS PÅ 43 SEKUNDER
Under ett minutt tar det å hacke seg inn i Microsoft BitLocker, krypteringsteknologien som brukes i Windows. Ikke bare det, men det eneste som trengs er en Raspberry Pi Pico som bare koster litt mer enn 50 kroner.
HELSEDATA – VALUTA HACKERNE VIL STJELE
Det anslås med 90% sikkerhet at virksomheter i norsk helsesektor er et mål for spionasje og kan bli utsatt for økonomisk motiverte angrep.
DE 14 STØRSTE DATABRUDDENE I HELSEVESENET I USA [Oppdatert 2024]
HELSEDATA ER BEMERKELSESVERDIG SÅRBARE FOR HACKING: Tilkoblede helsetjenester øker risikoen – PubMed