Saksframlegg
Saksframlegg
Saksgang:
Styre | Møtedato |
Styret Helse Sør-Øst RHF | 1. juli 2020 |
Sak 074-2020
Avtale mellom Norsk Helsenett SF og Sykehuspartner HF om kryptert stamnett
Forslag til vedtak:
1. Styret godkjenner at Sykehuspartner HF inngår en avtale med Norsk Helsenett SF om tjenestekjøp av et modernisert stamnett med kryptert kommunikasjon. Avtalen har en varighet på syv år og har en estimert verdi på 323 millioner kroner eksklusive mva.
2. Styret godkjenner etablering av et prosjekt i Sykehuspartner HF for innføring av kryptert stamnett, med en styringsramme (P50) på 43 millioner kroner og kostnadsramme (P85) på 49 millioner kroner inklusive mva.
3. Styret ber om en plan fra Sykehuspartner HF for hvordan Datatilsynets pålegg om kryptert datakommunikasjon skal svares ut.
4. Xxxxxx ber om å bli holdt orientert om fremdriften i prosjektet som del av løpende rapportering om programmet STIM i regi av Sykehuspartner HF.
Hamar, 26.juni 2020
Xxxxxxxx X. Xxxxxxx administrerende direktør
1. Hva saken gjelder
Denne saken omhandler modernisering av IKT-nettverket mellom helseforetakene i Helse Sør-Øst til erstatning for dagens nettverksløsning for dette området (WAN; wide area network). Sykehuspartner HF er pålagt av Datatilsynet å etablere kryptering i kommunikasjonen mellom databehandlingsansvarlig og datasenter for helseforetakene i Helse Sør-Øst. Etablering av et kryptert og modernisert stamnett vil gi en robust, skalerbar og fleksibel infrastruktur som er i stand til å møte helseforetakenes behov for nye løsninger og tjenester over tid.
Norsk Helsenett SF er gitt i oppdrag av Helse- og omsorgsdepartementet å levere og videreutvikle en nasjonal IKT-infrastruktur for samhandling mellom aktørene i helse- og omsorgssektoren. Dette mandatet omfatter et nasjonalt sambandsnett, stamnett for elektronisk samhandling og informasjonsutveksling mellom aktørene i helse- og omsorgssektoren i Norge. Norsk Helsenett SF har alt etablert stamnett for de tre øvrige helseregionene i Norge. Saken omhandler avtale med Norsk Helsenett HF om etablering av kryptert stamnett i Helse Sør-Øst og tilhørende prosjekt i regi av Sykehuspartner HF.
2. Hovedpunkter og vurdering av handlingsalternativer
Vurdering av habilitet
Administrerende direktør er styremedlem i Norsk Helsenett SF.
Etter forvaltningsloven § 6 første ledd e) er utgangspunktet at det foreligger inhabilitet til å tilrettelegge eller treffe avgjørelse når vedkommende (her administrerende direktør) også sitter i styret i et selskap som er part i saken. Forvaltningsloven § 6 fjerde ledd fastslår imidlertid at habilitetsreglene ikke får anvendelse dersom det er åpenbart at tjenestemannens tilknytning til saken eller partene ikke vil kunne påvirke hans standpunkt og verken offentlige eller private interesser tilsier at han viker sete. Her er tjenesten som skal anskaffes innenfor det oppdraget som Norsk Helsenett SF er gitt av Helse- og omsorgsdepartementet, og det er ingen offentlige eller private interesser som tilsier at administrerende direktør ikke kan legge frem saken for styret.
Etter vurdering av habilitetsreglene er konklusjonen at administrerende direktør i henhold til forvaltningsloven § 6 fjerde ledd er habil og kan saksforberede og legge frem sak om kjøp av kryptert stamnett fra Norsk Helsenett SF for styret i Helse Sør-Øst RHF. Helse Sør-Øst RHF har bedt xxxxxxxxxxxxxx Xxxxxxx gjøre en vurdering av administrerende direktørs habilitet. Xxxxxxxxxxxxxx Xxxxxxx har kommet til samme konklusjon som juridisk direktør i Helse Sør-Øst RHF.
Bakgrunn
Sykehuspartner HF skal standardisere og modernisere IKT-infrastruktur og nettverk i Helse Sør-Øst, jf. oppdrag gitt i foretaksmøtet i Sykehuspartner HF den 14. juni 2018.
Nettverksområdet kan deles inn i tre delområder:
• IKT-nettene ved hvert helseforetak, såkalte LAN (local area network)
• IKT-nettene i de sentrale datasentrene, inkludert i felles plattform (DC LAN)
IKT-nettene mellom helseforetakene og mellom de sentrale datasentrene, såkalte WAN (wide area network). Prosjektet modernisering og kryptering av stamnettet omfatter dette delområdet.
Norsk Helsenett SF har allerede etablert stamnett for de tre øvrige helseregionene i Norge. og leverer nettverkstjenester av god kvalitet og med svært høy oppetid. Det planlegges nå at Norsk Helsenett SF også skal levere stamnett for Helse Sør-Øst. Sykehuspartner HF er pålagt av Datatilsynet å etablere kryptert nettverkstrafikk for å bedre sikring av informasjonen som utveksles mellom helseforetakene i Helse Sør-Øst, jf. brev fra Datatilsynet av 13. april 2016. Av den grunn planlegges det at stamnettet skal ha kryptert kommunikasjon.
Datatilsynet har i brev av 3. april 2019 utsatt frist for gjennomføring av pålegget til 31. desember 2021.
Modernisering og kryptering av stamnettet er et delprosjekt i programmet STIM (standardisering og IKT-infrastrukturmodernisering). Styret i Sykehuspartner HF behandlet modernisering og kryptering av stamnett i sakene 013-2020 og 047-2020.
I styresak 013-2020 Innføring av kryptert stamnett – program STIM, fattet styret i Sykehuspartner HF følgende vedtak;
1. Xxxxxx gir tilslutning til at administrerende direktør iverksetter etablering av et kryptert stamnett gjennom kjøp av dette som en tjeneste fra Norsk Helsenett SF. Tjenesten har en kostnadsramme, inkl. leveranser fra Norsk Helsenett SF, på 323 MNOK ekskl. mva. over syv år.
2. Xxxxxx gir tilslutning til at administrerende direktør etablerer et gjennomføringsprosjekt i Sykehuspartner HF for innføring av kryptert stamnett (interne prosjektkostnader), innenfor en estimert totalramme over fem år på 33 MNOK inkl. mva. med en styringsramme (P50) på 38 MNOK inkl. mva.
3. Xxxxxx ber administrerende direktør om å komme tilbake til styret med oppdatering på risiko og plan for gjennomføring. Videre en beskrivelse av vurderinger av alternativer knyttet til teknologivalg for tilkoblingen til stamnettet.
4. Xxxxxx ber administrerende direktør avklare fullmakter for prosjektgjennomføring i Sykehuspartner HF og for etablering av kryptert stamnett gjennom kjøp av tjeneste fra Norsk Helsenett SF med Helse Sør-Øst RHF.
I styresak 047-2020 Prosjekt innføring av kryptert stamnett – oppfølging av vedtak, fattet styret i Sykehuspartner HF følgende vedtak;
1. Styret tar saken til orientering og tilslutter seg revidert plan for gjennomføring av prosjekt Innføring av kryptert stamnett med en grunnkalkyle på 38 MNOK, styringsramme (P50) på 43,2 MNOK og kostnadsramme (P85) på 49,4 MNOK inkl. mva.
2. Xxxxxx ber administrerende direktør fortsette dialogen med Helse Sør-Øst RHF om fullmakt.
Utvidet egenregi
I foretaksmøtet for Norsk Helsenett SF 25. januar 2017 bes Norsk Helsenett SF om å videreføre arbeidet med regionalisert innføring av nytt stamnett. Foretaksmøtet i Norsk Helsenett SF understreker også viktigheten av statsforetakets rolle i felles nasjonal sikkerhetsinfrastruktur og i det nasjonale arbeidet med informasjonssikkerheten i helse- og omsorgssektoren. I foretaksmøtet for Norsk Helsenett SF 9. juni 2020 konstateres det at
Helse Vest, Helse Nord og Helse Midt-Norge alle er koblet over på stamnettet fra Norsk Helsenett SF og at stamnett for Helse Sør-Øst er under planlegging.
Helse Sør-Øst RHF har bedt om Helse- og omsorgsdepartementets vurdering av bruk av Norsk Helsenett SF som leverandør av kryptert stamnett. Departementet uttaler at det er deres forventning at det er Norsk Helsenett SF som er den foretrukne leverandør av denne type tjenester. Det vises i denne sammenheng til foretaksmøter i Norsk Helsenett SF. Det har helt fra etableringen av Norsk Helsenett SF vært en forutsetning at de regionale helseforetakene skal benytte seg av tjenester fra foretaket. I protokoll fra foretaksmøtet i Helse Sør-Øst RHF 26. januar 2010 fastslås det at de regionale helseforetakene skal støtte opp under den videre utviklingen av Norsk Helsenett SF og bidra til at de helsepolitiske målsetningene for etableringen realiseres.
Videre uttaler departementet at Helse Sør-Øst RHF kan basere seg på en utvidet egenregi ved kjøp av tjenester fra Norsk Helsenett SF. Dette er på samme måte som for øvrige tjenester som leveres fra Norsk Helsenett SF, og i tråd med de juridiske vurderinger som er foretatt i Helse Sør-Øst RHF. Den utvidede egenregien er begrunnet i at Helse Sør-Øst RHF og Norsk Helsenett SF har Helse- og omsorgsdepartementet som felles eier.
Gjennomføringsmodell
Sykehuspartner HF har i samarbeid med Norsk Helsenett SF utredet alternative fremgangsmåter for å innføre kryptering av stamnettet i Helse Sør-Øst og lukke pålegget fra Datatilsynet om kryptering av eksterne forbindelser, jf. styresak 013-2020 i Sykehuspartner HF. Basert på vurdering av risiko, teknisk og driftsmessig kompleksitet, gjenværende verdi på eksisterende utstyr og gevinster, er en samlet anbefaling fra Norsk Helsenett SF og Sykehuspartner HF at modernisering og kryptering av stamnettet gjøres som følger:
1. Norsk Helsenett SF utvider det nasjonale stamnettet til å dekke også Helse Sør-Øst etter nasjonal modell/design (dvs. overtar ikke Sykehuspartner HF sitt kjernenett)
2. Norsk Helsenett SF leverer kryptering direkte i stamnettet
3. Sykehuspartner HF kobler helseforetakene til stamnettet gjennom prosjektet
modernisert nett (modernisering av lokalnettene/LAN ved helseforetakene).
Denne fremgangsmåten er diskutert med Helse Vest IKT som støtter anbefalingen. Sykehuspartner HF har nå vurdert ytterligere alternativer for gjennomføring av steg 3, jf. styresak 047-2020 i Sykehuspartner HF. Dette med sikte på å:
• Redusere total gjennomføringstid for tilkobling av helseforetakene til kryptert stamnett.
• Ha en håndterbar operativ risiko for tilkobling til det krypterte stamnettet.
Sykehuspartner HF kategoriserer de ulike lokalisasjonene som skal kobles til kryptert stamnett ut fra størrelse og egenskaper. Det er vurdert som krevende å gjennomføre oppkobling til de større lokalisasjonene grunnet at lokalnett (LAN) og kjernenettet (WAN) ikke er logisk adskilt slik det er i dag. Sonemodell ved disse lokalisasjonene benytter WAN- teknologi for segmentering. Ved kobling til kryptert stamnett vil dette måtte løses på annen måte. For mindre lokalisasjoner brukes ikke WAN-teknologien for segmentering og her vil kobling til kryptert stamnett ikke innebære endringer lokalnett. Som følge av dette planlegges påkoblingen av helseforetakene til det krypterte stamnettet gjennomført som følger:
• Mindre lokalisasjoner tilkobles kryptert stamnett med eksisterende infrastruktur/LAN. Dette utgjør 15 av 270 tilkoblingspunkter. Tilkoblingen gjøres i regi av prosjekt kryptert stamnett
• Sykehuspartner HF vil fremforhandle rammeavtale for nytt nettverksutstyr og nettverkstjenester. Når denne avtalen er på plass, vil Sykehuspartner HF prioritere å modernisere den delen av nettverksinfrastrukturen/LAN som må oppgraderes for å kunne koble resterende lokalisasjoner til kryptert stamnett. Etter at alle lokalisasjoner er tilkoblet, vil Sykehuspartner HF fullføre resterende modernisering av LAN. Det vil fremmes egen styresak om anskaffelse av en slik rammeavtale.
Figuren under viser dagens nettverksinfrastruktur i Helse Sør-Øst og målbildet med kryptert stamnett levert av Norsk Helsenett HF.
Venstre del av figuren viser dagens infrastruktur, mens høyre side viser målbildet for infrastrukturen.
Prosjektomfang
Overordnet er omfanget til prosjekt kryptert stamnett å etablere et modernisert nettverk mellom helseforetakene og de sentrale datasentrene med kryptert datatrafikk. Det er Norsk Helsenett SF som skal utvide sitt nasjonale stamnett til å dekke også Helse Sør-Øst etter samme modell som for de øvrige tre regionene. Nytt i denne nasjonale modellen er at Norsk Helsenett SF bygger inn kryptering som en egenskap i stamnettet som skal dekke Helse Sør- Øst. Etableringen av tjenesten fra Norsk Helsenett SF vil omfatte følgende leveranser:
1. Utvidelse og oppgradering av Norsk Helsenett SFs nasjonale stamnett, slik at dette har nødvendig kapasitet og tilstedeværelse for elektronisk samhandling og informasjonsutveksling mellom helseforetakene i Helse Sør-Øst på en sikker og forsvarlig måte og i henhold til pålegget fra Datatilsynet
2. Tilrettelegging for tilknytning av sykehusene i Helse Sør-Øst og deres respektive lokale infrastruktur, LAN, til stamnettet
3. Tilknytning av Sykehuspartner HFs sentrale datasentre til stamnettet. Dette inkluderer datatrafikken mellom datasentrene (datacenter interconnect, DCI).
4. Tilknytning til eksterne nett slik at helseforetakene kan kommunisere med helseforetak utenfor Helse Sør-Øst og andre eksterne aktører.
Prosjektets omfang inkluderer tilkobling av 15 av 270 lokalisasjonene, dvs tilkobling som kan gjøres uten større modernisering i lokalisasjonenes LAN.
Prosjektplan
Tabellen nedenfor vises hovedaktiviteter og hovedmilepæler i prosjektplanen for innføring av modernisert og kryptert stamnett.
Overordnet milepæl /Beskrivelse | Dato | Kommentar |
MP 1 – SP har bestilt kryptert nett mellom datasentre (DCI) | 13.03.2020 | |
MP 2 – SP har bestilt ‘Core Stamnett‘ | 01.07.2020 | |
MP 3 – NHN DCI er ferdigstilt for godkjenning av SP | 20.11.2020 | Mellom sentrale datasentre |
MP 4 – NHN ferdig med detaljert løsningsdesign | 31.08.2020 | |
MP 5 – SP produksjonssetter DCI | 20.04.2021 | Mellom sentrale datasentre |
MP 6 – NHN fiberleveranse ferdigstilt og overlevert | 01.11.2021 | |
MP 7 – NHN installasjon av kommunikasjonsutstyr ferdig | 01.02.2022 | Totalt 15 lokalisasjoner i Helse Sør-Øst |
MP 8 - NHN testing av samband ferdigstilt | 01.04.2022 | |
MP 9 – SP samband etablert ved mindre lokalisasjoner | 01.06.2022 | Begrenset til 15 lokalisasjoner (av totalt 270) |
MP 10 - Kryptert stamnett klart for resterende lokalisasjoner | 01.07.2022 |
SP=Sykehuspartner HF, NHN=Norsk Helsenett SF
Gjennomføringsplanen slik den nå foreligger svarer ikke ut pålegget fra Datatilsynet før alle helseforetakene er tilkoblet det krypterte stamnettet. Dette betyr at Sykehuspartner HF med nåværende plan ikke svarer ut pålegget fra Datatilsynet innen fristen som er satt.
Sykehuspartner HF må følgelig revurdere gjennomføringsplanen, herunder om tilkobling mellom kryptert stamnett og LAN ved helseforetakene kan gjennomføres raskere. Eventuelt må Sykehuspartner HF ha dialog med Datatilsynet om risikoreduserende tiltak i en mellomperiode.
Gevinster
Innføring av modernisert og kryptert stamnett vil gi mulighet for stordriftsfordeler på tvers av de regionale helseforetakene. I tillegg vil en tett integrasjon mot en nasjonal helseinfrastruktur muliggjøre følgende gevinster:
• Tilrettelegging for økt nasjonal samhandling på tvers av helse- og omsorgssektoren og fleksibilitet til å ta i bruk nye nasjonale tjenester
• Tettere og mer robust tilknytning mot nasjonale, kritiske tjenester som kjernejournal
og e-resept
• Tilgang på nasjonal infrastruktur for tjenester slik som robust mobilt helsenett, videobaserte samhandlingsløsninger og tilkobling mot skyleverandører
• Tilrettelagt infrastruktur for utstrakt samarbeid med Norsk Helsenett SF og andre aktører om nye tjenester slik som neste generasjon nødnett, 5G og digital hjemmeoppfølging av pasienter.
Utvidelsene og tilretteleggingen av Norsk Helsenett SFs stamnett for Helse Sør-Øst skal også gi en løsning som, sammenliknet med Sykehuspartner HFs eksisterende kjernenett, representerer en mer moderne infrastruktur. Dette innebærer kvalitetsmessige gevinster i
nettverkstjenesten i form av:
• Økt tilgjengelighet og robusthet grunnet mer redundant nettverksstruktur
• Økt kapasitet og hastighet grunnet mer moderne utstyr og høyere sambandskapasitet både i stamnettet og i tilknytningene til helseforetakene
• Økt informasjonssikkerhet grunnet kryptering av kommunikasjon gjennom stamnettet
• Flere tjenestemuligheter gjennom de nye funksjonene og tjenestene som følger nytt og mer moderne nettverksutstyr
• En enklere drift- og forvaltningssituasjon, grunnet en mer oversiktlig infrastruktur og tydelige grensesnitt mellom drift- og forvaltningsenhetene i Sykehuspartner HF og Norsk Helsenett SF.
Avtalemessige forhold
Sykehuspartner HF har i dag en avtale med Norsk Helsenett SF om ulike typer leveranser, herunder leveranser av sambandskapasitet til Sykehuspartner HFs kjernenett (WAN). Det er utarbeidet et eget bilag til denne avtalen som dekker de avtalemessige forholdene knyttet til leveranser av nye WAN-/stamnett-tjenester. Bilaget innebærer ingen finansielle forpliktelser, men definerer prinsippene for bestilling og betaling av stamnett-tjenesten fra Norsk Helsenett SF. Disse prinsippene er i hovedsak følgende:
• Prisen for tjenesten er Norsk Helsenett SFs periodiserte direkte kostnader for å etablere og drifte tjenesten i tillegg til et administrasjonspåslag. Sykehuspartner HF får innsikt i Norsk Helsenett SFs direkte kostnader basert på et «åpen bok»-prinsipp.
• Stamnettet vil etableres gjennom delbestillinger fra Sykehuspartner HF i henhold til faktiske behov og slik at Sykehuspartner HFs operasjonelle, økonomiske og avtalemessige interesser er ivaretatt.
• Tilretteleggingen av Norsk Helsenett SFs stamnett, som gjøres for og betales av Sykehuspartner HF, vil øke både kapasiteten, kvaliteten og rekkevidden til Norsk Helsenett SFs stamnett. Dette vil medføre at stamnettet også vil bli mer interessant for eksisterende og nye potensielle kunder av Norsk Helsenett SF. Avtalen åpner for en nedjustering av tjenesteprisen dersom også andre kunder tar i bruk de delene av stamnettet som Sykehuspartner HF har finansiert.
Økonomi
Det er estimert at prosjektkostnadene for prosjekt kryptert stamnett i Sykehuspartner HF har en grunnkalkyle på 38 millioner kroner, styringsramme (P50) på 43 millioner kroner og kostnadsramme (P85) på 49 millioner kroner. Kostnadene er relatert til arbeidet som må gjøres av Sykehuspartner HF for innføring av kryptert stamnett, inkludert tilkobling av de enkle lokalisasjonene til det krypterte stamnettet. Det foreslås at usikkerhetsavsetningen disponeres av administrerende direktør i Helse Sør-Øst RHF.
Tjenestekjøpet fra Norsk Helsenett SF med en avtaleperiode på syv år er estimert til 323 millioner kroner eksklusive mva. Avtalen med Norsk Helsenett HF dekker etablering av stamnettet, kryptering av stamnett og etablering av tilkoblingspunkter.
Tilknytningskostnadene vil påløpe i forbindelse med at nettet blir tatt i bruk ved de enkelte helseforetakene i regi av prosjekt modernisert nett.
I tabellen under vises netto nåverdi for det totale prosjektomfanget (tall i tusen kroner, eksklusive mva).
Netto nåverdi (0 000 XXX) | 0000 | 0000 | 0000 | 0000 | 0000 | 0000 | 2026 | Totalt | |
Prosjektkostnader | -9 100 | -26 400 | -2 500 | - | - | - | - | -38 000 | |
Anskaffelseskostnader | -1 900 | -24 600 | -38 800 | -56 600 | -68 600 | -68 500 | -64 100 | -323 100 | |
Bortfallskostnader | 1 500 | 3 200 | 16 200 | 27 700 | 35 900 | 35 900 | 35 900 | 156 300 | |
Gjenbruk eksisterende utstyr | 1 900 | 1 900 | |||||||
Total kontantstrøm | -7 600 | -47 800 | -25 100 | -28 900 | -32 700 | -32 600 | -28 200 | -202 900 | |
| |||||||||
Akkumulert kontantstrøm | -7 600 | -55 400 | -80 500 | -109 400 | -142 100 | -174 700 | -202 900 | -202 900 | |
Diskonteringsrate | 6 % | ||||||||
Nåverdi (1 000 NOK) | -159 800 | ||||||||
Bortfallskostnadene på 156 millioner kroner som er angitt i tabellen over, tilsvarer eksisterende kjernenettkostnader. Disse blir faset ut når det eksisterende kjernenettet fases ut. Det er fra både Norsk Helsenett SF og Sykehuspartner HF lagt til grunn gjenbruk av det utstyret og materialet som er mulig å gjenbruke.
Tjenestekjøpet fra Norsk Helsenett SF vil faktureres Sykehuspartner HF som en månedlig leiepris. Sykehuspartner HF har gjennomført en prosess med ekstern revisor for å avklare den regnskapsmessige behandlingen av de ulike elementene i avtalen med Norsk Helsenett SF. Foreløpig konklusjon indikerer at enkelte elementer i leveransen, i størrelsesorden 50 millioner kroner, bør klassifiseres som leieavtale. Det er ikke endelig avklart om leie- elementet av avtalen er å betrakte som operasjonell eller finansiell leie. Avklaring av dette forholdet må gjøres basert på endelige avtaledokumenter med Norsk Helsenett SF. Dersom leie-elementet av tjenestekjøpet klassifiseres som finansiell leie og er over 100 millioner kroner, må dette godkjennes av foretaksmøtet i Helse Sør-Øst RHF.
I henhold til kompensasjonsordning for helseforetak, er det ikke kompensasjon for merverdiavgift for kjøp klassifisert som leie i henhold til Norsk regnskapsstandard (NRS 14). Tallene presentert i tabellen over er eksklusive merverdiavgift.
Bemanningsmessige konsekvenser
Sykehuspartner HF har lagt til grunn en reduksjon i bemanningen tilsvarende fire fulltidsekvivalenter når alle lokalisasjoner er migrert til Norsk Helsenett SFs stamnett. Frigjøringen av ressurser ligger flere år frem i tid, siden det eksisterende nettet må driftes inntil alle lokalisasjoner er tilkoblet det krypterte stamnettet. En eventuell virksomhetsoverdragelse av ansatte til Norsk Helsenett SF er på nåværende tidspunkt vurdert til ikke å være aktuelt. Dette fordi omfanget av personer som berøres er svært begrenset og overgangen vil gå over så lang tid at dette vil kunne håndteres på andre måter. Det er per i dag heller ingen forhold som skulle tilsi at ikke Sykehuspartner HF har behov for disse ressursene til andre oppgaver også i fremtiden, og uten at det påvirker gevinstuttaket.
Risiko
Risikoen ved gjennomføringen av prosjektet vurderes først og fremst å være knyttet til om Norsk Helsenett SF er i stand til å levere i henhold til Sykehuspartner HFs bestillinger og at Sykehuspartner HF ved programmet STIM er i stand til å sikre en samordnet fremdrift av dette prosjektet og prosjektet modernisert nett.
Etter etableringen av stamnettjenesten fra Norsk Helsenett SF, foreligger det også en operasjonell risiko knyttet til kvaliteten på tjenesten som leveres av Norsk Helsenett SF. Det vurderes som risikoreduserende mht kvalitet og kapasitet i det nye stamnettet at Norsk Helsenett SF bygger ferdig stamnettet og tester dette før noen tilkoblinger gjøres. Det
vurderes også som risikoreduserende å koble til de enkle lokalisasjonene straks stamnettet er ferdig utbygget og testet. Denne tilkoblingen vil bygge erfaring med det nye stamnettet som reduserer risikoen ved resterende tilkoblinger (som vil skje i regi av prosjektet modernisert nett).
Det er videre en risiko for at Sykehuspartner HF ikke klarer å innfri Datatilsynets krav innen tidsfristen som er satt. Dette må adresseres i det videre arbeidet i regi av Sykehuspartner HF og vil følges opp av Helse Sør-Øst RHF.
3. Administrerende direktørs anbefaling
Administrerende direktør anbefaler innføring av et modernisert og kryptert stamnett levert av Norsk Helsenett SF, og der Sykehuspartner HF følger opp innføringen.
Norsk Helsenett SF er et statlig eid selskap med kjernekompetanse på etablering og drift av nettverk. På samme måte som for øvrige tjenester fra Norsk Helsenett SF, leveres tjenestene med basis i utvidet egenregi. Helse Sør-Øst RHF har mange års erfaring fra samarbeid med Norsk Helsenett SF. Deres kompetanse og leveranser innenfor nettverksområdet når det gjelder ytelse, oppetider og sikkerhet vurderes som meget god. De tre øvrige regionale helseforetakene har innført stamnett fra Norsk Helsenett SF med ulike løsninger for kryptering. Oppdraget er i tråd med føringer om nasjonale løsninger og videreutvikling av digital infrastruktur gitt i oppdragsdokument og foretaksmøter i Helse Sør-Øst RHF. Det er også i tråd med oppdrag og bestilling 2020 for Sykehuspartner HF om å etablere kryptert stamnett med Norsk Helsenett SF som leverandør.
Innføring av kryptert stamnett vil innfri Datatilsynets pålegg om kryptering av elektronisk informasjonsutveksling mellom helseforetakene og øke informasjonssikkerheten i Helse Sør-Øst når alle lokalisasjonene er koblet på. Administrerende direktør konstaterer at Sykehuspartner HF med gjeldende gjennomføringsplan ikke vil innfri Datatilsynets pålegg innen fristen 31.12.2021. Dette betyr at Sykehuspartner HF enten må revurdere gjennomføringsplanen eller ha dialog med Datatilsynet om risikoreduserende tiltak i en mellomperiode.
Administrerende direktør konstaterer at det er en sterk kobling mellom de to prosjektene kryptert stamnett og modernisert nett. Administrerende direktør vurderer det som meget viktig at disse to prosjektene i størst mulig grad kjøres i parallell for å kunne koble alle helseforetak til det krypterte stamnettet så raskt som mulig for å innfri kravet fra Datatilsynet. Sentralt for prosjektet modernisert nett er anskaffelse av avtale for modernisering av LAN ved helseforetakene. Egen styresak om denne anskaffelsen og prosjekt modernisert nett i regi av Sykehuspartner HF vil legges frem for styret i Helse Sør- Øst RHF i august 2020.
Administrerende direktør understreker behovet for at Sykehuspartner HF moderniserer den regionale IKT-infrastrukturen i Helse Sør-Øst. Ensartet arbeidsflate og kjøremiljø på en regional IKT-plattform, over sikre og moderne IKT-nettverk, er sentrale komponenter i det regionale målbildet. I Helse Sør-Øst RHF styresak 107-2019 vedtok styret at «hovedregelen er at IKT-utstyr skal være plassert i sentrale datarom». Etablering av felles plattform, innføring av kryptert stamnett og modernisering av nettverk er sentrale premisser for å kunne sentralisere det regionale kjøremiljøet, med forbedret sikkerhet og reduksjon av antall lokale datarom.
Administrerende direktør anbefaler at styret godkjenner at Sykehuspartner HF inngår en avtale med Norsk Helsenett SF om tjenestekjøp av et modernisert stamnett med kryptert kommunikasjon. Avtalen har en varighet på syv år og har en estimert verdi på 323 millioner kroner eksklusive mva. Videre anbefaler administrerende direktør at styret godkjenner etablering av et prosjekt i Sykehuspartner HF for innføring av kryptert stamnett, med styringsramme (P50) på 43 millioner kroner og kostnadsramme (P85) på 49 millioner kroner inklusive mva. Det foreslås at administrerende direktør i Helse Sør-Øst RHF disponerer usikkerhetsavsetningen og Sykehuspartner HF disponerer styringsrammen.
Endelig inviteres styret til å be om en plan for Sykehuspartner HF for hvordan Datatilsynets pålegg om kryptert datakommunikasjon skal svares ut. Administrerende direktør vil holde styret orientert om fremdriften i prosjektet som del av løpende rapportering om programmet STIM i regi av Sykehuspartner HF.
Trykte vedlegg/lenker:
• Styresak 013-2020 i Sykehuspartner HF
• Protokoll fra styremøte i Sykehuspartner HF 4. mars 2020
• Styresak 047-2020 i Sykehuspartner HF
• Foreløpig protokoll fra styremøte i Sykehuspartner HF 17. juni 2020
• Brev fra Datatilsynet til Sykehuspartner HF 13.04.2016 (unntatt offentlighet, Offl § 24 tredje ledd)
• Brev fra Datatilsynet til Sykehuspartner HF 03.04.2019 (unntatt offentlighet, Offl § 24 tredje ledd)
Utrykte vedlegg:
• Risikovurdering – kryptering av kjernenett, Sykehuspartner HF 30. november 2019 (unntatt offentlighet, Offl. § 23 tredje ledd, jf. § 12 bokstav c))