IKT-Norge mener det ikke er mer risikofullt å outsource sykehusene

[NTB - digi]

IKT-Norge mener det ikke er mer risikofullt å outsource sykehusene

[Bolson]

Waterhouse har her misset flere hovedpoeng i kritikken. Kritikken er ikke primært mot outsourcing - men at man outsourcer til en aktør som skal drifte avtalen med personell i andre land. Man mister da faktisk en lang rekke av de verktøyene (juridisk etc) som er viktige for å ivareta sikkerhet.

 

Man bruker driftspersonell i land som f.eks er på 55 og 75 plass på Transparency International sin index, https://www.transparency.org/, med en score på 49 og 41. Norge er på 6 plass med score på 85. Altså land der uten tvil kultur og lovverk ikke er up to date i forhold til dette.

 

Et annen moment som misses er at oppdragsgiver må være kompetent nok til å outsource. En organisasjon som går på blemmer av dette kaliber er ikke kompetent nok, og burde av eier vært pålagt å bygge opp intern kompetanse først. Kompetente oppdragsgivere vil også være en fordel for IKT-Norge sine medlemmer.

 

Ellers er det mye korrekt i Waterhouse sine kommentarer - særlig det siste med "havarikommisjon" for alvorlige hendelser av denne type er en ide som bør vurderes videre.

[GOAXT8WU]

Et annet aspekt er jo sikkerheten ift krig ( og den kommer før eller siden). Satser man 100% på at alle internett-linjer fungerer eller er det kanskje best å ha server på ca. samme sted som sykehuset....

 

Og hva hjelper "avtaler" mot at en ansatt selger hele databasen? Ingenting - og det blir sikkert umulig å bevise hvem som har gjort det uansett.

[Bent Vangli]

Kryptering av innholdet i databasen er vel ikke alltid en god løsning. Riktignok vil det hindre innsyn, men hvordan lager man effektive søk i store krypterte datavolum? Kryptering vil fungere greit nok dersom mekanismene er sterke og effektive nok om en bare har svært begrensede behov av typen en om gangen oppslag, men for generelle søk i informasjonen vil kryptering umuliggjøre effektive løsninger. Et eller annet sted må informasjonen være tilgjengelig for databasemotoren.

 

Et annet aspekt er jurisdiksjon. Har Norge råderett over informasjonen og gjelder norsk lov på data lagret i et annet land med en annen lovgiving? Avtaler med bedrifter er ikke tilstrekkelig, da de vil overstyres av bedriftens eget lands lover og regimer. Kanskje er det til og med krav om hemmelige innsyn. Kort sagt, uten holdbare internasjonale avtaler om datavern mellom involverte land, vil outsourcing, ut av norsk jurisdiksjon, alltid være mere risikofylt enn å ha det lagret innenlands.

 

Mvh Bent

[Anders Jensen]

Hei Torgeir, vi kan jo være enige om hvordan ting burde sett ut i Kardemomme by, men i virkeligheten har du dette; https://www.diskusjon.no/index.php?showtopic=1772197&p=23873397

 

"Helse Sør Øst har valgt å ikke kryptere noen av databasene med helseopplysninger, så alle med root tilgang eller tilgang til Windows/Linux filsystem kan fritt kopiere hva de vil av databasefiler, og lese innholdet i fred og ro et annet sted, uten noen form for audit. Det er ikke noe problem å stjele en kopi av EPJ, PAS, PACS, RIS uten audit, når du har full tilgang til Windows/Linux."

 

Den massive tekniske gjelda og iboende kompleksiteten i et system som det Sykehuspartner drifter ligger i all hovedsak på system nivå, ikke på infrastruktur nivå. Nå skal de altså outsource den enkle biten med den vanskelige delen på toppen, som over hodet ikke er egnet for å kjøre på ekstern infrastruktur.

 

Så kan en jo lure på hvorfor det er så dårlig stilt på system nivå. Det tror jeg krever et veldig langt svar, men gjengangeren er at verken IT eller ledelse i de aller fleste organisasjoner nasjonalt eller internasjonalt har spesielt god kompetanse på å drifte IT systemer over tid. Det er et umodent fagfelt, drevet av en dysfunksjonell leverandørmodell. De som har lykkes har stort sett drevet intern utvikling og basert systemene i størst mulig grad på åpne standard komponenter. Det gir dem frihet til å endre seg raskt i egen retning etter egne behov uavhengig av tredjeparter som til eksempel leverandører. Jeg tror det er nøkkelen til suksess, og vi ser heldigvis nokså mange og betydelige investeringer i slike systemer i offentlig sektor nå. Jeg kan vel knapt telle antall offentlige organisasjoner på to hender som holder på å investere i åpne "cloud native/PaaS" systemer med egen utviklet kode på toppen. Det er sånn vi kan håndtere levende systemer i praksis, ikke ved den gamle "death by RFP/offentlig anskaffelse" metoden hvor en ikke eksisterende omnipotent innkjøper ser 10 år inn i fremtida og bestiller et "fremtidsrettet system". Sett dette opp mot HSØ som enda ikke har klart å konsolidere sine instanser av DIPS, da de er mer opptatt av å få skyflet ut folk de tror de ikke har bruk for. Er det fortsatt 8 eller 9 instanser? Hvor mange av de kjører på en database som støtter kryptering? Og hva med alle de andre systemene nevnt ovenfor?

 

Hvis du har et medisinlager som består av en container hvor du bare har kastet alt oppi og nesten alle med kompetanse til å rydde opp er sagt opp slik at de gjenværende løper rundt å brannslukker mesteparten av tiden, da er det nokså langt frem til du får implementert en audit log som fungerer for medisinlageret ditt. Du må skape et strukturert miljø før du kan automatisere det, så også med tilgangskontroll. Det er her HSØ og mange organisasjoner med IT trøbbel feiler. De har ustrukturerte miljøer og avskaffet endrings dyktigheten.

 

Disclaimer: Jeg har tidligere vært ansatt i Sykehuspartner og følt på de eviglange oppsigelseprosessene deres som kun fører til at folk blir apatiske et års tid og så finner seg ny jobb selv, mens Sykehuspartner så må ansette nye folk i ettertid. Dette innlegget står for min egen regning og ikke nåværende arbeidsgiver.

 

Mvh

Anders Jensen

Infrastruktur arkitekt

Norsk Tipping AS

[uname -i]

Og i en annen sak i dagens VG og mye mindre alvorlig, så er Waterhouse frampå og mener det ikke nødvendigvis er leverandørens feil at NIFs medlemsregister er åpent som en låvedør. 

[flogvit]

står for min egen regning og ikke nåværende arbeidsgiver.

 

Mvh

Anders Jensen

Infrastruktur arkitekt

Norsk Tipping AS

 

Kanskje ikke skrive under med arbeidsgiver hvis du ønsker å skrive det privat?

[TorHansen]

Dette er i beste fall naivt og kunnskapsløst. Det mest sannsynlige er imidlertid at IKT Norge gråter for sin og sine medlemmers syke mor. De ofrer gjerne personvernet til norske borgere for litt gyllen outsourcingprofitt!

[Anders Jensen]

 

står for min egen regning og ikke nåværende arbeidsgiver.

 

Mvh

Anders Jensen

Infrastruktur arkitekt

Norsk Tipping AS

Kanskje ikke skrive under med arbeidsgiver hvis du ønsker å skrive det privat?

Jeg ønsket å gjøre et poeng ut av at det finnes andre organisasjoner i offentlig sektor som har andre tilnærminger enn den valgt i Sykehuspartner, da mente jeg det var relevant å deklarere mine avhengigheter samtidig som jeg gjør det klart at dette er min personlige mening. Jeg foretrekker å spille med åpne kort, spesielt når jeg må kritisere.

[toreae]

Det som er ille er at det er sikkert svært mange som har jobbet med dette, som har sett galskapen i det, men som ikke har hatt baller nok til å si opp jobben. Og gå til avisen og si at dette ville de ikke være med på.

 

-Hva skal vi gjøre etter oljen? Jo da skal vi satse på IT!

Å Kjøpe tjenester er ikke det samme som å satse på. Og vi klarer ikke engang å kjøpe tjenestene, uten å rote det til.

[oppat]

Sånn teoretisk Waterhouse - hva er problemet med å outsource forsvaret til India?

 

Kan man ikke sørge for at sikkerheten til f.eks. cyberkommandoen blir like godt ivaretatt av profesjonelle i India som i Norge?

 

Hva er det egentlig cyberkommandoen har som innleide indere ikke har? Hvis f.eks. cyberkommandoen analyserer kryptert trafikk så spiller det vel ingen rolle om de sitter her eller der?

[oppat]

Sånn teoretisk Waterhouse - hva er problemet med å outsource forsvaret til India?

 

Kan man ikke sørge for at sikkerheten til f.eks. cyberkommandoen blir like godt ivaretatt av profesjonelle i India som i Norge?

 

Hva er det egentlig cyberkommandoen har som innleide indere ikke har? Hvis f.eks. cyberkommandoen analyserer kryptert trafikk så spiller det vel ingen rolle om de sitter her eller der?

 

Dette er ingen spøk. Hvis vi ikke kan tjenesteutsette cyberkommandoen - hvorfor skal vi kunne tjenesteutsette de funksjonene cyberkommandoen beskytter?

 

Jeg forventer en grundig redegjørelse for hvordan sikkerhetsgruppen i forsvaret skiller seg fra sikkerhetsgruppen i helse-Norge.

[roflol]

Det som er ille er at det er sikkert svært mange som har jobbet med dette, som har sett galskapen i det, men som ikke har hatt baller nok til å si opp jobben. Og gå til avisen og si at dette ville de ikke være med på.

 

-Hva skal vi gjøre etter oljen? Jo da skal vi satse på IT!

Å Kjøpe tjenester er ikke det samme som å satse på. Og vi klarer ikke engang å kjøpe tjenestene, uten å rote det til.

 

lol, for noe våss, Norge er og kommer til og bli avhengig av olje, vi hopper over it industrien og satser på noe anna.

[linux-fan]

"ansattes lojalitet"

Turnover i veldig mange outsourcing-bedrifter er normalt skyhøy, og årsak til lav timepris er fordi dette er juniorer. De som blir på samme plass i en slik organisasjon er normalt ikke spesielt flinke eller har en helt annen timepris.

Lojalitet til kunde eller eget selskap?

 

"en slik avtale må følges opp av den som setter ut arbeidsoppgavene."

Behov for oppfølging kan gjøre hele outsourcingen meningsløs.

Mer morsomt og effektivt å faktisk utføre IT selv enn å bare holde på med powerpoint, eposter, opplæring av ressurser som stadig forsvinner, etc.

[toreae]

@roflol Vi kommer ikke til å være avhengig av oljen når oljen har tatt slutt! Det er politikerne som har sagt at vi skal satse på IT, og det er politikerne som har bestemt at det skal outsourses.

[Emancipate]

@roflol Vi kommer ikke til å være avhengig av oljen når oljen har tatt slutt!

Jo, det er akkurat det som er problemet.

[toreae]

Vi kommer til å være avhengig av oljen fram til den tar slutt. Så blir det smertefult.

[Superprofessor X]

"IKT-Norge mener det ikke er mer risikofullt å outsource sykehusene"

 

Det har ikke så mye å si... Poenget er at de gir penger til og støtter utenlandske privatfirma istedenfor å støtte private norske firma.

Nå blir det altså vanskeligere for norske bedrifter å konkurrere mot de som fikk jobben og pengene i både internasjonale og nasjonale sammenhenger.

 

Jeg kunne gjort den jobben ganske mye bedre enn de som ble ansatt til å gjøre det.

Hadde jeg vært sjefen ville systemet blitt uhackelig og mer effektivt, pluss at jeg hadde betalt skatt som ville gått til norske statsborgere.

[Emancipate]

...

Endret 7. mai 2017 av Emancipate

[ism_InnleggNO]

Det er mange problemer ved å outsource til utlandet, og dette gjelder ikke bare IT+sikkerheten.

 

Ja, man sparer penger på kort sikt, men man taper kunnskap og kompetanse og det kan komme til å koste mye mer enn man sparer i utgangspunktet.