Abelia

Innhold

Alt kan utkontrakteres!

Kommentar, IKT

Publisert

Administrerende direktør Bjørn Erik Thon i Datatilsynet og administrerende direktør Håkon Haugli i Abelia.

Alle tjenester kan utkontrakteres dersom man gjør solide vurderinger på forhånd, mener administrerende direktør Bjørn Erik Thon i Datatilsynet og administrerende direktør Håkon Haugli i Abelia.

Men virksomhetene må forstå, akseptere og redusere risiko. Nytt regelverk bidrar til bedre IT-sikkerhet, skriver Bjørn Erik Thon og Håkon Haugli i denne kommentaren.

Sikkerhetsutfordringer ved utkontraktering av IT har fått mye oppmerksomhet det siste året, ikke minst gjennom moderniseringsprosjektet i Helse Sør-Øst som gikk galt. Nå har de ni involverte sykehusene fått en bot fra Datatilsynet på til sammen 7,2 millioner kroner på grunn av manglende risikovurdering og sikkerhetsledelse.

En spørreundersøkelse tidligere i år viste at nesten halvparten ikke stoler på at det offentlige tar gode valg om utkontraktering til utlandet. Det er et tydelig varsku. Samtidig må vi erkjenne at utkontraktering av IT-tjenester til utlandet er helt avgjørende for et velfungerende marked med gode og funksjonelle løsninger. Det forutsetter imidlertid kompetanse og infrastruktur der informasjonssikkerhet og personvern er godt ivaretatt.

Ny lærdom, ny lov

Mye lærdom er trukket ut av saken i Helse Sør-Øst. Det har blitt tydelig at ansvar for sikkerhet og personvern i en virksomhet må forstås av beslutningstakerne og behandles på lik linje med det økonomiske ansvaret.

Samtidig har vi fått EUs personvernforordning inn i norsk lov fra 20. juli. Den har gitt oss et universelt rammeverk for vurdering av risiko og personvernkonsekvenser før noe utkontrakteres. Nå må man ta stilling til hvordan planlagte IT-prosjekt vil påvirke evnen til å ivareta rettighetene til de registrerte. Jo mer data, sensitive data og sammenstilling av data, jo flere plikter og grundige vurderinger.

For å ta gode valg ved utkontraktering trenger man kvalitet i prosesser, kunnskap og kartlegging. Ledelsen må ha en klar forståelse av sitt ansvar for informasjonssikkerhet og vurdere hvilken risiko som kan aksepteres.

Planlegg i god tid

Den reviderte personopplysningsloven stiller krav til virksomhetenes plikt til å vurdere risiko og personvernkonsekvenser allerede på planleggingstidpunktet. Både offentlige og private virksomheter har plikt til å sikre personvern og informasjonssikkerhet. Når man inngår en kontrakt med en ekstern leverandør, forplikter man seg til å gjennomføre avtalen i samsvar med de forutsetningene som lå til grunn for tilbudet. Vi mener derfor at de som følger den nye loven vil være godt rustet til å ivareta sikkerhet og personvern ved utkontraktering.

Saken i Helse Sør-Øst har hatt stor betydning for utkontraktering, uavhengig av sektor. Risikoanalyser og forankring i ledelsen er helt avgjørende for å lykkes. I Helse Sør-Øst har man endret rutinene for organisering av konsernovergripende prosjekter for å sikre nødvendig forankring av ansvar. Ledelsen har uttalt at man i det videre arbeidet skal legge vekt på informasjonssikkerhet og personvern, risikovurderinger og gjenbruk av investeringer og planverk som er gjort så langt.

Tillit og ansvar

I kjølvannet av saken har Direktoratet for e-helse publisert en rapport som fastslår at utkontraktering av IT-tjenester kan og må skje, forutsatt at det gjøres i samsvar med regelverket, og at virksomheten foretar alle nødvendige vurderinger i forkant av en slik beslutning.

Nasjonal sikkerhetsmyndighet (NSM) har laget en god liste over sikkerhetsfaglige anbefalinger ved utkontraktering: Oversikt og kontroll på hele livsløpet, god bestillerkompetanse, gode risikovurderinger for å kunne ta riktig beslutning, riktige og gode krav til IT-tjenesten og til leverandør, og riktig beslutning på riktig nivå.

Alle tjenester kan utkontrakteres dersom man gjør solide vurderinger på forhånd, og de gir grønt lys. Ansvar for etterlevelse av lovpålagte krav om sikkerhet og personvern forblir hos virksomheten. Grønt lys forutsetter derfor at man har tillit til at tjenestetilbyderen ivaretar virksomhetens plikter – uavhengig av leverandørens nasjonalitet. Vi må kunne stole på at de som behandler opplysninger på våre vegne tilfredsstiller våre krav til sikkerhet og personvern. Det gjelder også hvis de bruker underleverandører.

(Denne kommentaren er tidligere publisert i Dagsavisen.)

Lurer du på noe? Kontakt meg gjerne:

Fant du det du lette etter?

Fant du det du lette etter?

Gi oss gjerne en kommentar i tillegg - hvordan kan vi forbedre oss? Du er anonym med mindre du oppgir din e-postadresse slik at vi kan kontakte deg.

Takk for kommentaren!

Kommentar sendt

Hei!

Hei!

Vil du få vårt ukentlige nyhetsbrev på e-post?

Avmeldingen er mottatt!

Din e-post:

 

Meld deg på 1 nyhetsbrev: