Får gebyr på over 700.000

Bakgrunnen for saken er at Sykehuset Østfold hadde flere ulike lister over pasienter og utskrivninger tilgjengelig i sitt system, deriblant en liste med informasjon om 13.800 pasienter og 26.596 utskrivninger i tidsrommet 2013 til 2019.

Listene har bestått av rapportuttrekk fra elektronisk pasientjournal (EPJ).

Personopplysninger i listene inkluderer blant annet navn og fødselsdato. Opplysningene har vært tilgjengelig for 118 ansatte ved Sykehuset Østfold HF, hvorav «mange ansatte ikke har hatt tjenstlig behov for slik tilgang», skriver Datatilsynet i vedtaksbrevet.

Utstrakt lagring

– Mappene der uttrekkene var lagret var ikke tilgangsstyrte, og aktiviteten i mappene ble ikke logget. Rapportuttrekkene har også blitt lagret lenge etter at det ikke lenger var behov for listene, uttaler juridisk seniorrådgiver Susanne Lie i Datatilsynet i en pressemelding.

– At en slik utstrakt lagring av uskjermede helseopplysninger kunne skje over lang tid, mener vi tyder på mangler ved det interne styringssystemet.

Datatilsynet pålegger derfor sykehuset å betale et overtredelsesgebyr på 750.000 kroner.

Saken har også vært omtalt av Fredriksstad Blad.

Har meldt fra

– Vi registrerer at Datatilsynet har valgt å ilegge oss et gebyr i etterkant av svikten i interne systemer som vi selv meldte inn, sier avdelingssjef Jostein Vist ved Juridisk avdeling ved Sykehuset Østfold til Dagens Medisin.

– Vi vil måtte vurdere om vi er enige i hele begrunnelsen for gebyret og størrelsen på gebyret.

Vist sier at sykehuset over år har meldt fra om svikt og uønskede hendelser innen ulike områder, som følge av ulike meldeplikter som sykehuset har vært pålagt.

– Som sykehus har vi i mange år meldt fra om svikt som en del av det å være en lærende organisasjon. Slik har vi egentlig også valgt å forholde oss til meldeplikten til Datatilsynet.

Uforståelig høyt

Avdelingssjefen stiller seg undrende til Datatilsynets vedtak og viser til at det er sykehuset selv som har meldt fra om svikten. Han mener gebyret ikke «stimulerer til en god meldekultur».

– Her opplever vi at vi har et datatilsyn som etter vår mening kommer med et uforståelig høyt gebyr om noe vi melder fra om selv. Det må da være lov å spørre seg om man våger å melde fra neste gang det avdekkes svikt eller uønskede hendelser.

En av følgene av innføringen av den europeiske personvernforordningen, GDPR, er at størrelsen på gebyrene som kan gis er økt. Tidligere var bøtene begrenset til 10 ganger folketrygdens grunnbeløp, hvilket tilsier rundt én million kroner. Etter innføringen av nytt regelverk er grensen for overtredelser økt til inntil 10.000.000 euro, tilsvarende 107 millioner kroner.

- Må ha tilgang

I vedtaket står det å lese at «Datatilsynet mener at sykehuset ikke har etablert et system for tilgangsstyring som er tilstrekkelig for å forhindre at lignende avvik vil skje i fremtiden.»

– Jeg registrerer at Datatilsynet mener dette. Vi må se nærmere på hvorfor de mener det, sier Vist om Datatilsynets konklusjon.

Han viser til at det fremgår av vedtaket at sykehuset gjorde tiltak da de oppdaget svikten. I vedtaksbrevet står det at Sykehuset Østfold har vist til flere strakstiltak og langsiktige tiltak.

– Det er viktig for oss at administrasjonsmedarbeidere skal kunne gjøre jobben sin samtidig som personvernet til pasientene ivaretas. I et sykehus må også andre enn helsepersonell ha tilgang til pasientopplysninger, sier Vist, som viser til at den aktuelle informasjonen i dette tilfellet er utvalgt pasientinformasjon som ble hentet ut til bruk for administrative formål.

– Flere har hatt tilgang til opplysningene enn dem som skulle ha det, men vi har ingen indikasjoner på at muligheten har blitt benyttet.

Sykehuset har tre ukers klagefrist.

– I tiden frem til klagefristen utløper vil vi se på alle sider ved dette, for å vurdere hva vi gjør videre, sier Vist.