At utenlandske konsulenter fikk full tilgang til pasientjournaler, er en full IT-skandale i helsevesenet.

Innholdet i en pasientjournal er de mest personlige og sensitive opplysningene myndighetene har om borgerne. Nå har IT-konsulenter i Asia og Øst-Europa i en periode hatt full tilgang til journalene til 2,8 millioner pasienter i Helse Sør-Øst, meldte NRK onsdag.

Det bør føre til en kraftig gjennomgang av sikkerhetsrutinene og IT-leverandørene til helseforetaket.

Personvern har alltid vært den største utfordringen for digitale pasientjournaler. I dette tilfellet er det snakk om IT-arbeidere som har hatt tilgang, ikke om autorisert helsepersonell.

Slike sikkerhetsbrudd rammer tilliten til systemet. I verste fall kan det tenkes at folk vegrer seg for å gi informasjon til leger. Havner sensitiv informasjon i feil hender, kan den brukes til utpressing og trusler.

Prinsippet er enkelt: Private helseopplysninger er private, og de må holdes private. Det er myndighetenes jobb.

Det var i fjor høst at Helse Sør-Øst bestemte seg for å flagge ut IT-infrastrukturen til et utenlandsk selskap. Tillitsvalgte var kritiske, nettopp fordi sensitiv informasjon kunne komme på avveie.

I Stortinget forrige uke sa helse- og omsorgsminister Bent Høie (H) at utenlandske IT-arbeidere ikke skulle få tilgang, og understreket at selve datasentrene var i Norge. Den forsikringen var ikke god nok.

Når denne type arbeid flyttes ut, får helseforetaket mindre kontroll. Selv om arbeidet utføres av et profesjonelt selskap, kan strenge sikkerhetsrutiner lett bli glemt nedover i systemet. Ikke minst når selskapet overfører jobben til underleverandører.

Helse Sør-Øst bør vurdere om IT-arbeidet må flyttes tilbake til Norge.

Noe av det mest urovekkende, er at helseforetaket tilsynelatende ikke har klart å få oversikt. For to uker siden sa Helse Sør-Øst bombastisk til NRK at konsulentene ikke skal ha hatt tilgang, men onsdag var budskapet et annet.

NRK og Helse Sør-Øst strides om hvor stort omfanget har vært. Mens myndighetene sier at det kun er 16 bulgarere som har hatt tilgang på informasjonen, sier NRK at de har dokumentasjon på at 110 utenlandske IT-arbeidere har hatt tilgang.

Tydeligvis har NRK og deres kilder i helseforetaket visst mer om problemet enn ledelsen.

Det har ikke vært mangel på advarsler om at digitale pasientjournaler og utflytting av IT-ansvaret kunne føre til akkurat det som nå har skjedd. Neste gang noen advarer om faren for personvernet, bør politikerne lytte.