Nyheter

Alt kan utkontrakteres!

Men virksomhetene må forstå, akseptere og redusere risiko. Nytt regelverk bidrar til bedre IT-sikkerhet. Av Bjørn Erik Thon, direktør Datatilsynet og Håkon Haugli, direktør Abelia

Dette er et debattinnlegg som gir uttrykk for skribentens holdninger og meninger. Du kan sende inn debattinnlegg til debatt@dagsavisen.no.

Av Bjørn Erik Thon, direktør Datatilsynet og Håkon Haugli, direktør Abelia

Sikkerhetsutfordringer ved utkontraktering av IT har fått mye oppmerksomhet det siste året, ikke minst gjennom moderniseringsprosjektet i Helse Sør-Øst som gikk galt. De ni involverte sykehusene fikk et gebyr fra Datatilsynet på til sammen 7,2 millioner kroner på grunn av manglende risikovurdering og sikkerhetsledelse.

En spørreundersøkelse tidligere i år viste at nesten halvparten ikke stoler på at det offentlige tar gode valg om utkontraktering til utlandet. Det er et tydelig varsku. Samtidig må vi erkjenne at utkontraktering av IT-tjenester til utlandet er helt avgjørende for et velfungerende marked med gode og funksjonelle løsninger. Det forutsetter imidlertid kompetanse og infrastruktur der informasjonssikkerhet og personvern er godt ivaretatt.

Ny lærdom, ny lov

Mye lærdom er trukket ut av saken i Helse Sør-Øst. Det har blitt tydelig at ansvar for sikkerhet og personvern i en virksomhet må forstås av beslutningstakerne og behandles på lik linje med det økonomiske ansvaret.

Samtidig har vi fått EUs personvernforordning inn i norsk lov fra 20. juli. Den har gitt oss et universelt rammeverk for vurdering av risiko og personvernkonsekvenser før noe utkontrakteres. Nå må man ta stilling til hvordan planlagte IT-prosjekt vil påvirke evnen til å ivareta rettighetene til de registrerte. Jo mer data, sensitive data og sammenstilling av data, jo flere plikter og grundige vurderinger.

For å ta gode valg ved utkontraktering trenger man kvalitet i prosesser, kunnskap og kartlegging. Ledelsen må ha en klar forståelse av sitt ansvar for informasjonssikkerhet og vurdere hvilken risiko som kan aksepteres.

Planlegg i god tid

Den reviderte personopplysningsloven stiller krav til virksomhetenes plikt til å vurdere risiko og personvernkonsekvenser allerede på planleggingstidpunktet. Både offentlige og private virksomheter har plikt til å sikre personvern og informasjonssikkerhet. Når man inngår en kontrakt med en ekstern leverandør, forplikter man seg til å gjennomføre avtalen i samsvar med de forutsetningene som lå til grunn for tilbudet. Vi mener derfor at de som følger den nye loven vil være godt rustet til å ivareta sikkerhet og personvern ved utkontraktering.

Saken i Helse Sør-Øst har hatt stor betydning for utkontraktering, uavhengig av sektor. Risikoanalyser og forankring i ledelsen er helt avgjørende for å lykkes. I Helse Sør-Øst har man endret rutinene for organisering av konsernovergripende prosjekter for å sikre nødvendig forankring av ansvar. Ledelsen har uttalt at man i det videre arbeidet skal legge vekt på informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt.

Tillit og ansvar

I kjølvannet av saken har Direktoratet for e-helse publisert en rapport som fastslår at utkontraktering av IT-tjenester kan og må skje, forutsatt at det gjøres i samsvar med regelverket, og at virksomheten foretar alle nødvendige vurderinger i forkant av en slik beslutning.

Nasjonal sikkerhetsmyndighet (NSM) har laget en god liste over sikkerhetsfaglige anbefalinger ved utkontraktering: Oversikt og kontroll på hele livsløpet, god bestillerkompetanse, gode risikovurderinger for å kunne ta riktig beslutning, riktige og gode krav til IT-tjenesten og til leverandør, og riktig beslutning på riktig nivå.

Alle tjenester kan utkontrakteres dersom man gjør solide vurderinger på forhånd, og de gir grønt lys. Ansvar for etterlevelse av lovpålagte krav om sikkerhet og personvern forblir hos virksomheten. Grønt lys forutsetter derfor at man har tillit til at tjenestetilbyderen ivaretar virksomhetens plikter – uavhengig av leverandørens nasjonalitet. Vi må kunne stole på at de som behandler opplysninger på våre vegne tilfredsstiller våre krav til sikkerhet og personvern. Det gjelder også hvis de bruker underleverandører.

Mer fra: Nyheter