Gransking slakter IT-prosjektet i Helse Sør-Øst
Det eksterne konsulentfirmaet som har vurdert Helse Sør-Østs omlegging av ny IT-infrastruktur, konkluderer med manglende kontroll på de fleste områder.
Denne artikkelen er mer enn fem år gammel.
OSLO/GREV WEDELS PLASS (Dagens Medisin): Administrerende direktør i Helse Sør-Øst, Cathrine Lofthus, måtte konstatere at jobben med å modernisere IT-infrastrukturen i Norges største helseforetak får slakt i en ny rapport.
Sykehuspartner HF, som har ansvaret for moderniseringen og som skulle overlevere prosjektet til en ekstern leverandør, har liten kontroll på hva som skjer med pasientopplysninger, fastslår PwC.
PwC er det eksterne konsulentselskapet som nylig fikk i oppdrag av Helse Sør-Øst å granske prosjektete, etter at det ble avdekket at utenlandske IT-ansatte hadde hatt tilgang til pasientopplysninger.
Onsdag var det ekstraordinært styremøte i Helse Sør-Øst, og PwCs representanter redegjorde for et foreløpig resultat av granskingen de har gjort.
De konkluderer:
Sykehuspartner har ikke tilstrekkelig kontroll på tilgangsstyring. De har heller ikke tilstrekkelig sporbarhet på tilganger til helseopplysninger. Videre har minst 34 personer tilknyttet avtalen hatt mulighet til å få tilgang til helseopplysninger.
Det er heller ikke dokumentert at det foreligger databehandleravtaler, altså avtaler mellom den som eier dataene og dem som skal behandle dem, med underleverandører.
Videre konkluderer rapporten:
Sentrale informasjonssikkehetsrisikoer knyttet til kontrakten er ikke blitt tilstrekkelig vurdert.
Svakheter i metodikk for risikovurderinger og uklarheter i beskrivelsen av nivå for akseptabel risiko innenfor informasjonssikkerhet.
Det heter også at «presentasjonen til styret i Helse Sør-Øst var upresis og at varsler om dette «ikke er kommunisert til administrerende direktør i HSØ RHF».