IKT-skandalen: Helse Sør-Øst bryter milliardkontrakt og kansellerer gigantprosjekt
Det enorme prosjektet som skulle modernisere IKT-strukturen på alle sykehusene i Helse Sør-Øst, kanselleres.
Denne artikkelen er mer enn fem år gammel.
Kontrakten som Helse Sør-Øst har med selskapet DXC ble torsdag avbestilt.
Dette skjedde i et lukket styremøte i Helse Sør-Øst på Hamar torsdag morgen.
Kostnadsramme: 5 milliarder
Styret har videre besluttet at driften av IKT-infrastrukturen ikke skal tjenesteutsettes, slik det var forutsatt i kontrakten med DXC, noe som innebærer at kontrakten avbrytes.
Avtalen hadde en kostnadsramme på fem milliarder kroner, over syv år, da den ble inngått.
Styret i Helse Sør-Øst har gitt Sykehuspartner HF - som hadde ansvaret for å forvalte avtalen - oppdraget med å etablere et nytt program for å standardisere og utvikle IKT-infrastrukturen i regionen.
Skal forhandle om avslutning
Det er derfor Sykehuspartner som nå skal forhandle med DXC om hvordan man skal avslutte avtalen:
Det skal forhandles om mulig gjenbruk av arbeidet som er gjort, og de investeringene som er utført frem til prosjektet ble satt på vent, noe som skjedde for ett år siden.
Helse Sør-Øst om tap så langt: 112 millioner
Sykehuspartner har betalt 280 millioner kroner til DXC som oppgjør for arbeid som er utført fra programmet startet opp i oktober 2016 – og fram til det ble satt på vent i mai 2017.
«I tillegg kommer kostnader til utredning som har pågått fram til nå og leie- og leasingkostnader for inneværende år», heter det videre fra Helse Sør-Øst.
Av de 280 millionene, som ble utbetalt i 2017, er 112 millioner å regne som tap.
– Det må antas at tapet kan øke ved avbestilling av kontrakten, heter det fra Helse Sør-Øst og styreleder Svein Gjedrem
– Det er for tidlig å si noe om den endelige økonomiske konsekvensen før forhandlingene er gjennomført, sier han.
Nytt IKT-prosjekt
Det svært omfattende prosjektet, kalt Imod (Infrastrukturmoderniseringsprogrammet), legges ned i sin nåværende form.
I stedet etableres det et nytt program for å standardisere og utvikle regionens IKT-infrastruktur, et arbeid som altså Sykehuspartner får ansvaret for.
– Sykehuspartner skal i dette arbeidet legge vekt på informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt, uttaler Svein Gjedrem.
Og videre:
– Alle helseforetakene i regionen skal ta del i arbeidet som databehandlingsansvarlige.
– Sykehuspartner har allerede iverksatt mange tiltak for å bedre sikkerheten, og de skal ikke standardisere og utvikle infrastrukturen alene. De skal lede dette i et samspill med leverandørmarkedet etter en vurdering av egen kompetanse og kapasitet, sier Gjedrem.
– Nå er det viktig at vi kommer raskt i gang med et målrettet arbeid og konkrete prosjekter. Personvern og informasjonssikkerhet må ivaretas på en god måte. Gode IKT-løsninger er en forutsetning for å nå målene vi har for gode og helhetlige helsetjenester, sier Gjedrem.
Styret trekker frem at risikovurderingen ved å outsource «har endret seg vesentlig siden kontrakten ble inngått», og at både nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste viser til økt risiko for cyberangrep og endret trusselbilde for datasikkerhet.
Styret i Helse Sør-Øst, har i behandlingen av saken, lagt vekt på nye, sikkerhetsfaglige anbefalinger fra Nasjonal sikkerhetsmyndighet, og viser til at noe av dette er gradert informasjon, uttaler de.
Fikk ingen anbefaling fra Sykehuspartner
Egentlig skulle Sykehuspartner HF komme med en anbefaling til Helse Sør-Øst om hva man skulle gjøre med avtalen, og nylig skrev Dagens Medisin at administrerende direktør Cathrine Lofthus krevde svar fra Sykehuspartner.
Men Sykehuspartner hadde ikke noen klar anbefaling ferdig, fordi de ønsket flere avklaringer før de kunne konkludere.
Derfor er styrevedtaket i Helse Sør-Øst torsdag gjort uten at det foreligger en endelig anbefaling fra Sykehuspartner. Det kommer frem av Lofthus’ anbefalinger til styret, i styreprotokollen fra torsdagens møte.
Ble advart
Avtalen Helse Sør-Øst inngikk med den amerikanske IT-giganten DXC (daværende HPE), fikk massiv kritikk. Fagfolk og sikkerhetseksperter advarte mot at en outsourcing til utlandet ville utgjøre en trussel mot pasientsikkerheten, noe som avisen Computerworld omtalte.
NRK avdekket deretter at IT-personell i Asia og Øst-Europa hadde hatt tilgang til sensitiv pasientinformasjon i Helse Sør-Øst.
Prosjektet var ment å skulle overdras fra Sykehuspartner (Helse Sør-Østs IT-selskap) til DXC den 1.mai i fjor. Men den 19. april ble overføring utsatt på ubestemt tid. Samtidig bestilte Helse Sør-Øst en gransking av saken fra konsulentselskapet PwC
Konklusjonen fra granskingen var knusende, og konkluderte med at Helse Sør-Øst hadde hatt manglende kontroll på de fleste områdene hva prosjektet angikk.
Avtalen med DXC gir Sykehuspartner HF en ensidig rett til å avbestille alle ytelsene mot å betale kompensasjon.
Dette var planen for gjennomføringen: Den 1.mai 2017 skulle IKT-selskapet DXC som vant anbudet om å modernisere IKT-strukturen i Helse Sør-Øst, ta over prosjektet fra Sykehuspartner HF, som har ansvaret for å forvalte avtalen. Denne overtagelsen ble omtalt som selve milepælen i prosjektet, da man skulle gå inn i «Moderniseringsfasen», som skulle vare frem til oktober 2019.
Den 1.november 2019 skulle en «ferdig modernisert infrastruktur» være klar, «ny drifts- og tjenestemodell er fullt ut etablert» og det het at selskapet «eier og drifter modernisert infrastruktur og ivaretar kontinuerlig levetidsoppdateringer», fra denne datoen, ifølge referatet fra det første felles arbeidsmøtet mellom helseforetakene om prosjektet, som ble holdt 30. november 2016.
Dette har skjedd:
September 2016: Styret i Helse Sør-Øst RHF beslutter å inngå kontrakt med en ekstern partner for å gjennomføre IKT-infrastrukturmodernisering.
Oktober 2016: Sykehuspartner HF inngår kontrakt med vinneren av anbudskonkurransen, Hewlet-Packard Norge AS om IKT-infrastrukturdrift og infrastrukturmodernisering. Kontrakten ble senere overført til Enterprice Services Norge AS som er en del av konsernet DXC Technology.
Mai 2017: NRK avdekker at utenlandske IT-arbeidere har tilgang til sensitive personopplysninger for pasienter tilhørende i Helse Sør-Øst.
Mai 2017: PwC får i oppdrag fra Helse Sør-Øst å granske saken, og hele prosjektet settes på vent. Foreløpig rapport leveres i mai.
Mai 2017: Styreleder i Sykehuspartner HF og teknologidirektør i Helse Sør-Øst, Thomas Bagley går av med øyeblikkelig virkning.
Juni 2017: Endelig PwC- rapport konkluderer blant annet med:
- 36 personer fra eksterne leverandører har hatt tilgang til helseopplysninger. Sykehuspartner HF har ikke tilstrekkelig kontroll på tilgangsstyring og ikke tilstrekkelig sporbarhet på tilgang til helseopplysninger
- Mangelfulle risikovurderinger
- Sentral informasjon om mangelfullrisikostyring kom aldri frem til administrerende direktør Cathrine Lofthus til tross for flere varsler i linjen. Sykehuspartner HF rapporterte ikke risikoen i formell linje. Konsekvensen ble upresis og mangelfull informasjon til styret i Helse Sør-Øst.
Juni 2017: Administrerende direktør i Sykehuspartner HF, Marianne Hornnes går av med øyeblikkelig virkning.
Juni 2018: Styret i Helse Sør-Øst beslutter å bryte kontrakten med DXC om IKT-infrastruktur i Helse Sør-Øst. Sykehuspartner HF får i oppdrag å etablere et nytt program for standardisering og modernisering av regionens IKT-infrastruktur .