– Ikke nødvendigvis høyere risiko å sette ut IT-drift

– Det er ikke nødvendigvis sånn at sikkerhetsrisikoen er høyere når driften er outsourcet enn når jobben gjøres internt. Uansett hvem som gjør jobben må det være sikringssystemer på plass, sier Torgeir Waterhouse, direktør for internett og nye medier i bransjeorganisasjonen.

NRK har avslørt at utenlandske IT-arbeidere har hatt tilgang til sensitive helseopplysninger som følge av at Helse sør-øst er i ferd med å sette ut driften av IT-systemene til det amerikanske selskapet Hewlett Packard Enterprise.

Waterhouse påpeker at ting som ansattes lojalitet og følelse av moralsk forpliktelse også kan virke inn på sikkerheten, men mener at en avtale som det Helse sør-øst har inngått, må regulere hvordan sensitive opplysninger skal håndteres. Og en slik avtale må følges opp av den som setter ut arbeidsoppgavene.

Han understreker at han ikke kjenner til den konkrete avtalen. Men generelt mener han det er for lite kunnskap i det offentlige om IT-sikkerhet.

– Det går fint an å lage tekniske skott, men så kan det være noen driftsoppgaver som gjør at man trenger tilgang til alt, sier Waterhouse.

Men dersom innholdet i databasen er kryptert, kan en IT-arbeider ha tilgang til databasen, uten å ha tilgang til innholdet.

Waterhouse mener det er svært alvorlig at utenlandske IT-arbeidere har hatt tilgang til pasientinformasjon de ikke skal ha hatt tilgang på. Han mener dette er alvorlig, uavhengig av om informasjon er kommet på avveie eller ikke. Det er viktig å avdekke hva som er skjedd, og lære av det, påpeker han.

– Kanskje vi skulle hatt en havarikommisjon for denne typen hendelser av denne størrelsen, foreslår han.