Tok personopplysninger fra 126.344 nordmenn

Datatilsynet har tilskrevet åtte sykehus og to røntgeninstitutter i Sør-Norge og varslet om at det kan bli aktuelt å pålegge institusjonene å gjennomføre en rekke tiltak for å bøte på skaden og for å hindre at personopplysninger kommer på avveie en gang til.

I mellomtiden må institusjonene redegjøre for hvordan dette kunne skje, hvordan de ivaretar informasjonssikkerheten og foreta en risikovurdering på det tidspunktet at hendelsen skjedde.

– Et alvorlig avvik
Ifølge avdelingsdirektør Helge Veum i Datatilsynet er dette et alvorlig avvik som institusjonene må sørge for at ikke skjer på nytt.

– Ikke bare har personopplysningene kommet utenfor sykehusenes og instituttenes kontroll, men ved at de er sendt til USA er de også utenfor norske myndigheters kontroll, sier Veum til Dagens Medisin.

Han forventer at institusjonene orienterer alle pasientene som er omfattet at skandalen.

– Når galt først skulle skje, er det en fordel at pasientopplysningene ikke er spredt lengre enn til firmaet, som har opptrådt ryddig i denne saken, legger han til.

Tok de fleste pasientopplysningene
Leverandøren GE Healthcare System hentet ut personsensitive opplysninger om pasientene som ledd i overvåking av utstyr som brukes til CT, MR og angiografi.

Firmaet hentet ut pasientens navn, personnummer, kjønn, høyde, vekt, størrelse, fødselsdato og kliniske opplysninger.

Ved de ti virksomhetene overførte GE Healthcare System slike opplysninger til USA for 126.344 pasienter.

GE Healthcare Systems fant selv dette avviket i en internrevisjon i november 2011, mens sykehusene ble varslet i mars 2012.

– Et uhell
– Vi oppdaget problemet selv og leide inn eksterne eksperter til å foreta en omfattende analyse av alle av våre diagnostiske bildeprodukter for å finne ut hva som hadde skjedd, sier Public Relation Manager David J. Morris i GE Healthcare System til Dagens Medisin.

– Hvordan kunne dette skje?

– Vi var ikke klar over at disse opplysningene ble tatt ut. Det var et uhell, der vi tok ut flere data enn det vi trengte for å se om utstyret var OK. Det var ikke bevisst. En av våre ansatte varslet oss, og vi har nå sikret oss at dette ikke skjer igjen, svarer Morris, som påpeker at data ikke ble tapt, hacket eller stjålet.

Han understreker at firmaet heller ikke har misbrukt pasientinformasjon, noe han sier er bekreftet av et eksternt firma.

– Vi tar datasikkerheten alvorlig, og vi er skuffet over at dette kunne skje. Under disse hendelsene levde vi ikke opp til våre høye standarder på dette området.

– Hva har dere gjort for å unngå at dette skjer igjen?

– Vi har stoppet mottaket av unødvendige data, svarer Morris.

Har orientert Datatilsynet
Datatilsynet ble for en uke siden orientert av advokaten til GE Healthcare System som redegjør for hendelsene. Pasientopplysningene ble hentet ut fra disse røntgeninstituttene og sykehusene:

• Curato Røntgen i Kristian Augustsgate i Oslo sentrum
• Unilabs Røntgen på Majorstuen i Oslo
• Oslo universitetssykehus, Radiumhospitalet og Ullevål
• Diakonhjemmet Sykehus i Oslo
• Vestre Viken HF Buskerud
• Sørlandet sykehus, Arendal
• Odda Sjukehus
• Stavanger Universitetssykehus
• Haukeland Universitetssykehus
• Haraldsplass Diakonale Sykehus i Bergen

– Helt uakseptabelt
Fagdirektør Baard-Christian Schem i Helse Vest forteller til Dagens Medisin at de rammede foretakene i Helse Vest har varslet Datatilsynet og fylkeslegene, som holdes jevnlig informert om saken.

Han understreker at hvert enkelt helseforetak er ansvarlig for databehandlingen og for å sikre at sensitive personopplysninger blir lagret i samsvar med gjeldende regler.

– Hva har du å si til at firmaet tok ut pasientopplysninger?

– Dette er taushetsbelagt informasjon og det er derfor helt uakseptabelt. Jeg tror ikke noen pasienter har blitt skadelidende. Det er veldig viktig for oss å få fram at leverandøren har hentet ut disse dataene på eget initiativ.

– For å sikre personvern og datasikkerhet går nå foretakene gjennom egne rutiner og avtalene med alle leverandørene på dette området på nytt, slik at leverandørene våre bare henter ut informasjon som de har lovlig tilgang til, legger han til.

Han understreker at Helse Vest ser svært alvorlig på det som har skjedd.

Internasjonalt utbredt
Schem forteller at leverandører av medisinsk-teknisk utstyr til spesialisthelsetjenestene har fjerntilgang til opplysninger knyttet til bruk av materiell, slik at de kan ivareta driften og vedlikehold.

– Dette er internasjonalt en utbredt løsning for å sikre gode ytelser og høy oppetid på tungt utstyr i sykehus og i andre avanserte virksomheter verden over. Det er i denne sammenheng at GE har samlet pasientopplysninger som det ikke er grunnlag for å hente ut, sier han og legger til at innen Helse Vest dreier dette seg om seks maskinenheter.