Ansatte har sendt flere bekymringsmeldinger til Sykehuspartners ledelse
– Man bør sette seg ned og i regionen erkjenne hvorfor dette feilet, heter det fra en av lederne i IT-prosjektet, som har sendt bekymringsmelding til Sykehuspartners ledelse. Administrerende direktør Mariann Hornnes vil ikke svare før granskingen av IT-avtalen er klar.
Denne artikkelen er mer enn fem år gammel.
IT-selskapet som vant det omstridte anbudet om å modernisere IT-strukturen i Helse Sør-Øst, skulle 1.mai ta over prosjektet fra Sykehuspartner HF, som har ansvaret for å forvalte avtalen.
Denne overføringen ble nylig stoppet, fordi Helse Sør-Øst har leid et eksternt konsulentselskap for å granske avtalen.
Avtalen, som er verdt minst fem milliarder kroner, innebærer en outsourcing av datatjenester. Dette ble Helse Sør-Øst kraftig advart mot, og nylig kom det frem at utenlandske IT-arbeidere har hatt tilgang til norske pasientjournaler.
I Sykehuspartner HF, som altså fram til 1. mai hadde ansvaret for giga-prosjektet, er ledelsen flere ganger blitt advart mot å la et eksternt selskap håndtere prosjektet.
– Manglende kontroll
I en - av flere - bekymringsmeldinger til ledelsen i Sykehuspartner, beskriver en av lederne i IT–prosjektet manglende kontroll og manglende tiltak for å etablere en felles måte å håndtere sikkerheten på i Helse Sør-Øst.
I bekymringsmeldingen, som nylig ble sendt ledelsen, heter det at «det i årevis har vært et skrikende behov for en felles måte å håndtere sikkerhet på helt siden etableringen av Sykehuspartner».
– Bør sterkt vurdere å terminere hele avtalen
I meldingen skriver lederen at vedkommende mener «at man bør sterkt vurdere å terminere hele avtalen. Deretter bør man sette seg ned og i regionen erkjenne hvorfor dette feilet og hva som nå bør skje».
Les mer fra bekymringsmeldingen lenger ned i saken
– Mange har følt at de ikke er blitt hørt
Foretakstillitsvalgt for SAN i Sykehuspartner HF, Nanette Loennechen, peker på at bekymringsmeldingen er én av flere som er kommet fra ansatte, både muntlig og via eposter til ledelsen.
– Internt har det vært en veldig stor skepsis hele veien til at dette skulle gjennomføres slik som planlagt, sier hun til Dagens Medisin.
– Mange har følt at de ikke er hørt når de har sagt fra om farene i forbindelse med datasikkerheten.
– Kjernen i dette er at man vet at disse systemene ikke kan driftes uten at man får tilgang til pasientdata. Derfor reiser det et politisk spørsmål om slik drift skal kunne foregå på utsiden av Helse Sør-Øst. En slik outsourcing kan ikke gjennomføres uten en bred politisk enighet.
– Kritiske spørsmål uten svar
Torsdag var det allmøte for de ansatte i Sykehuspartner HF, der administrerende direktør Mariann Hornnes skal ha informert om situasjonen.
Loennechen forteller at det ble stilt mange kritiske spørsmål som ikke kunne besvares tilfredsstillende.
– Ledelsen viste også til at dette er spørsmål Helse Sør-Øst RHF må svare ut, sier hun.
Vil ikke svare før granskingen er ferdig
Administrerende direktør i Sykehuspartner HF, Mariann Hornnes svarer, via kommunikasjonsavdelingen ved Sykehuspartner, at hun ikke vil si noe om saken før granskingen er klar. Hun svarer ikke på spørsmål fra Dagens Medisin om hvordan de har håndtert bekymringsmeldingene, eller hvilke tilbakemeldinger hun har gitt til ansatte som har varslet. Hun svarer heller ikke på hvordan hun ser på de store problemene med prosjektet eller hvordan hun ser på at det er kommet flere bekymringsmeldinger.
– Synspunktene og problemstillingen som reises er kjent for ledelsen. Det er iverksatt en ekstern gjennomgang av programmet og vi vil ikke kommentere noe mer før resultatet av den foreligger, heter det i en epost fra kommunikasjonssjef i Sykehuspartner, Trude Julie Dommerud.
I bekymringsmeldingen beskrives blant annet konsekvensene av de manglende tiltakene rundt sikkerheten slik:
– Med en regional sikkerhetsmodell så sikrer man at de enkelte helseforetakene er omforent om hvilke sikkerhetskrav som gjelder og hvordan disse kravene anvendes i forbindelse med etablering av nye tjenester eller endring av eksisterende tjenester. Dette behovet ble kommunisert tydelig av interne ressurser løpende under hele anskaffelsen. Det ble også jevnlig kommunisert av alle de potensielle strategiske partnerne under de fleste dialogmøtene.
– Grunnen til at dette er viktig er at sikkerhetskrav er nødvendige for å sikre at man har tilstrekkelig kontroll på konfidensialitet, tilgjengelighet og integritet i tjenestene. Samtidig så er det viktig at man har en balansert tilnærming til sikkerhet gitt at dette kan drive kompleksitet og kostnad i løsningene. Med andre ord så må man balansere kostnader opp mot funksjonalitet og sikkerhet i de enkelte tjenester. Det vil sjelden være mulig å ha absolutt maksimal sikkerhet, ei heller veldig høy sikkerhet kombinert med lave kostnader for eksempel. Uheldigvis så har man ikke gjort noen tiltak som har startet en prosess rundt å etablere en felles regional sikkerhetsmodell. Konsekvensen av dette synliggjøres i form av diskusjoner rundt sonemodell og de pågående offentlige diskusjonene rundt tilgang til pasientjournaler.
– Manglende kontroll på tjenester og applikasjoner har medført at man har en aldrende infrastruktur fordi man ikke har kontroll på hvilke tjenester man skal levere og hva disse tjenestene består av i form av applikasjoner og infrastruktur. Det betyr også at man ikke klarer å prise tjenestene. Dette er forhold som ble påpekt av Riksrevisjonen høsten 2016 og som har vært kjent i Sykehuspartner i en årrekke.
Omstridt avtale
Det var den amerikanske IT-giganten HPE, nå DXC, som fikk den omstridte avtalen med Helse Sør-Øst: Den har høstet mye kritikk fordi fagfolk har advart mot at en outsourcing til utlandet ville være en trussel mot pasientsikkerheten. Blant annet sa sikkerhetseksperter avisen Computerworld snakket med tidligere i vår, at de mente det var uansvarlig å outsource IT-driften.
Og nylig avdekket NRK at IT-arbeidere fra Asia og Øst-Europa har hatt tilgang til sensitiv pasientinformasjon i Helse Sør-Øst.
«Den store milepælen» avlyst
Nå er altså overdragelsen av prosjektet fra Sykehuspartner til DXC, av foretakene omtalt som «den store milepælen», utsatt på ubestemt tid.
Denne beslutningen ble ifølge Helse Sør-Øst tatt den 19. april, drøyt halvannen uke før det skulle skje.
Neste uke skal resultatet av granskingen legges frem.