Helse Sørøst må ut med 280 millioner kroner til IT-leverandøren DXC som hadde ansvaret for det omstridte IKT-prosjektet i helseforetaket fram til mai i fjor.
Prosjektet, som skulle modernisere all IT-infrastrukturen i Norges største helseforetak, ble stanset etter at NRK avdekket at utenlandske IT-arbeidere hadde hatt tilgang til sensitive personopplysninger. Helse Sørøst er nå i forhandlinger med selskapet DXC, og det skal tas en beslutning om hele, eller deler av avtalen skal avsluttes.
– Vi regner med å kunne sende en styrebehandlet sak til Helse Sørøst i løpet av dette første halvåret, sier Gro Jære, konstituert direktør i helseforetakets datterselskap Sykehuspartner til Dagens Medisin.
Partene har så langt forhandlet seg fram til at helseforetaket må betale 280 millioner kroner for den tiden DXC var inne i bildet – fra oktober 2016 til mai 2017, da moderniseringsprosjektet ble stanset og satt på vent.
Ettersom kontrakten ennå ikke er avsluttet, må Helse Sørøst også i 2018 betale et månedsbeløp til det amerikanske IKT-selskapet.
– Løpende kostnader for leasing av utstyr, lisenser og annet, som leverandøren var forpliktet til å kjøpe før programmet ble besluttet stanset, er per desember 2017 cirka fire millioner i måneden, og er for 2017 inkludert i avtalen på nær 280 millioner kroner. Den kontrollerte nedpakkingen har hatt ambisjon om at mye av dette skal kunne gjenbrukes ved en eventuell oppstart, sier Jære.
Verken Helse Sørøst eller Sykehuspartner ønsker å opplyse om prosjektets totale kostnader, ettersom man fortsatt sitter i forhandlinger.
Da prosjektet ble satt bort til HPE, nå DXC, ble det av Helse Sørøst og Sykehuspartner omtalt som «den store milepælen». Både fagfolk og sikkerhetseksperter advarte imidlertid om at en outsourcing til utlandet ville utgjøre en trussel mot pasientsikkerheten, noe de fikk rett i.
3. mai i fjor avslørte NRK at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang og utvidede rettigheter til datasystemene til helseforetaket. Det ga dem mulighet til å gå inn i pasientjournaler og kopiere innholdet uten å legge igjen spor.
Konsulentselskapet PricewaterhouseCoopers konkluderte i en rapport med at Sykehuspartner, som forvaltet avtalen med DXC, ikke hadde god nok kontroll på hvem som fikk tilgang og rettigheter til datasystemene. Skandalen førte til at hele Sykehuspartners styre ble skiftet ut.
Datatilsynet konkluderte i oktober med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før Sykehuspartner satte ut IT-driften til utlandet. Tilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt, og har varslet millionbøter til sykehusene som er omfattet av prosjektet.
Senterpartiet og Sosialistisk Venstreparti ba etter Datatilsynets konklusjon om at helseminister Bent Høie (H) stiller i Stortinget og gir en bred redegjørelse av saken. De mener tilliten til statsråden er svekket etter IKT-skandalen.
(©NTB)