Dine pasientdata skal sendes til amerikansk sky – Datatilsynet advarer
I løpet av noen uker skal Helse Sør-Øst ta i bruk en skytjeneste for å håndtere nordmenns pasientdata. Datatilsynet advarer om at USA ikke er ansett som et trygt land å sende slike opplysninger til, og ber dem sette på bremsen.
På et møterom i 7. etasje i Helse Sør-Øst sitt kontor i Oslo prøver to sjefer å forklare hvorfor landets største helseforetak vil legge persondata av pasientene ut på en amerikanskeid sky.
– Vi skal bruke skytjenester for å lage en god tjeneste for pasienter når de møter opp på sykehuset og når de forlater det. Systemet vil registrere pasientens oppmøte på poliklinikker, navn og personnummer, og på hvilken poliklinikk de skal til, sier administrerende direktør Terje Rootwelt i Helse Sør- Øst.
Helse Sør- Øst begynner utrullingen av skytjenesten i løpet av våren.
Sensitive persondata på sky
Skyløsningen vil ha informasjon om pasienten for eksempel har kreft, har hjerteproblemer, er lungesyk, har underlivssykdom, rusproblemer eller er psykisk syk.
Dette er sensitive persondata som uvedkommende ikke bør få tak i.
Landets største helseforetak har ansvaret for helsetjenester til 3,1 millioner nordmenn. Blant pasientene befinner det seg landets samfunnstopper innen politikk, samfunnsliv og næringsliv.
Nå vil altså sensitiv persondata fra disse pasientene kunne bli tilgjengelige på en amerikanskeid skyløsning.
Les også:Landets største helseforetak vil kutte i personvernombud
USA og amerikanske selskaper ikke trygt
Ifølge norsk og europeisk lovgivning kan man ikke dele personopplysninger med land utenfor Europa, som USA. Årsaken er det ikke finnes noen avtale om slik overføring mellom EU og USA.
– I dag er ikke USA ansett som et trygt land å sende personopplysninger til, sier direktør Line Coll i Datatilsynet.
Faren er at sensitive persondata kan bli utlevert til andre lands myndigheter, dersom de krever det.
– Slik vi har forstått det så tar leverandøren av dette systemet forbehold om at de kan utlevere dataene til myndigheter i land utenfor Europa. Det er i utgangspunktet ikke lov, sier Coll.
Ledelsen i Helse Sør Øst påpeker at underleverandøren ikke befinner seg i USA, men i Irland, og at all databehandling skjer i Europa. Men selskapet som står for skytjenesten er eid av det amerikanske Microsoft. Ledelsen i Helse Sør -Øst innrømmer at skyleverandøren ikke kan garantere at data ikke blir utlevert.
– Nei, de kan ikke garantere det, sier Rootwelt.
Helse Sør-Øst mener at amerikansk etterretning ikke vil være interessert i de norske pasientdata og at det er liten sannsynlighet for at de vil det i fremtiden.
– Vi har sett på det amerikanske lovverket, våre jurister har vurdert at det er ingen grunn til at de skulle ville ha informasjon om helsedata, og det har aldri skjedd tidligere, og da mener vi at det i praksis ikke vil være en mulighet for det, sier Rootwelt.
Ifølge et notat fra Helse Sør- Øst som NRK har fått tilgang til mener de at Microsoft aldri har mottatt krav om innsyn fra amerikanske myndigheter på europeiske offentlig virksomheter.
Datatilsynet har ikke samme vurdering som Helse Sør-Øst.
– At man ser det som lite sannsynlig at opplysningene vil bli utlevert til amerikanske myndigheter, er ikke relevant fra vår side, sier direktør Coll i Datatilsynet.
Datatilsynet advarte for noen uker siden om at presset økonomi og kostnadskutt i sykehusene kan føre til svekket IT-sikkerhet og dårligere personvern. Tilsynet mener at øremerkete midler til IT-sikkerhet i helsesektoren er nødvendig.
Skytjeneste nå
Datatilsynet har gitt Helse Sør Øst en rekke råd som handler om å beskytte sensitive pasientdata, slik at persondata ikke blir delt og at skyløsningen dermed blir lovlig.
– Vi har gitt helt konkrete og praktiske råd til Helse Sør Øst om hvordan personopplysninger i dette systemet kan beskyttes, for eksempel ved kryptering eller pseudnominsering. Slik at pasientdata ikke er lesbare for leverandøren, amerikanske myndigheter eller for 3 lands myndigheter. Vi regner med at Helse Sør Øst tar rådene våre på alvor, sier Line Coll, direktør i Datatilsynet.
Men ledelsen i Helse Sør Øst mener at det ikke er mulig å gjøre opplysningene utilgjengelig for selskapet bak skytjenesten ved kryptering eller pseudonymisering i Helselogistikk
– Det lar seg ikke gjøre sammen med betalingsløsningen. Den må jo vite identiteten til pasientene, påpeker Rootwelt.
Persondata vil være synlig for skyleverandøren under behandlingsperioden inntil pasienten har betalt for helsetjenestene. Det kan være opptil en periode på 30 dager.
Direktøren understreker likevel at kryptering skjer under transport av data og ved lagring.
– Vi mener informasjonssikkerheten blir bedre. Utviklingen går i retning av å bruke skyløsninger, og spørsmålet er hvordan vi kan gjøre dette på en trygg måte, sier Rootwelt.
En løsning er å vente
Datatilsynet fremhever at en løsning er at Helse Sør- Øst venter med skytjeneste inntil EU og USA er enige om en avtale om deling av personopplysninger.
Men Helse Sør Øst har ikke tid til å vente. Landets største helseforetak bygger en rekke nye sykehus og de er planlagt med digitale løsninger og skytjeneste.
– Vi trenger å komme videre med hensyn til de nye sykehusene som bygges. Hadde vi ikke ansett dette som en lovlig eller forsvarlig, så hadde vi selvsagt valgt en annen løsning, men det hadde vært krevende fordi planlegging av de nye sykehusene er kommet så langt. Det hadde sikkert blitt mer kostbart og mer tungvint for pasienter og for de ansatte på sykehuset, understreker Rootwelt.
– Hvis de ikke innfører tiltak for å beskytte persondata blir de ansvarlige for at personopplysninger blir overfør til et land hvor det i utgangspunktet ikke er lovlig å gjøre det, sier Coll i Datatilsynet.