Foto: Colourbox

Sykehus må informere om pasientinfo på avveie

Datatilsynet har fått medhold i at sykehus må opplyse berørte pasienter om at en leverandør hentet ut ulovlig helseinformasjon, som ble overført til USA.

Denne artikkelen er mer enn 10 år gammel.

I 2012 ble det kjent at leverandøren GE Healthcare System (GE) ulovlig hadde hentet ut sensitiv informasjon om 126.344 pasienter som ledd i overvåkning av røntgenutstyr.

Opplysningene var hentet fra elleve sykehus og røntgeninstitutter i Norge, og overført til USA. Det dreide seg blant annet om pasienters navn, ID-nummer, høyde, vekt, fødselsdato, kliniske opplysninger og i noen tilfeller bilder.

GE hadde hentet ut helseopplysningene uten at virksomhetene var klar over det. Datatilsynet mente sykehusene ikke hadde sikret dataene godt nok, og påla dem å iverksette en rekke tiltak for å skjerpe sikkerheten.

OUS: Kan skape utrygghet
Datatilsynet krevde også at de berørte pasientene måtte informeres om at opplysninger om dem var havnet i feil hender. GE har tidligere uttalt til Dagens Medisin at informasjonen ble hentet ut ved et uhell, og at de ikke har misbrukt opplysningene.

Fordi informasjonen er sendt ut av landegrensene har norske myndigheter ikke kontroll over opplysningene, og GE har nektet å slette dem.

Sykehusene klaget Datatilsynets pålegg om informasjonsplikt inn til Personvernnemda. De argumenterte med at pålegget burde avgrenses til å gjelde personer hvor det er utlevert kliniske opplysninger, og ikke gjelde i saker hvor det «bare» er utlevert fødselsnummer, vekt og at det er gjennomført MR-undersøkelse.

Oslo universitetssykehus skriver at «informasjonen som er utlevert er av så lite sensitiv art at det ikke bør stilles krav om individuell informasjonsplikt etter helseregisterloven § 23 i form av brev til den enkelte pasient. Slikt brev kan virke mot sin hensikt og skape utrygghet hos pasienten».

Flere av sykehusene tilbydde seg i stedet å legge ut informasjonen på sine nettsider.

Avviser praktiske hindringer
Men Personvernnemda støtter Datatilsynets vedtak, og viser til at det er en sentral personverninteresse å vite hva som skjer med ens personopplysninger. Nemda legger dermed mindre vekt på de økonomiske konsekvensene dette får for sykehuset.

«Nemda ser at dette vil påføre sykehuset ekstra omkostninger i form av varsling av de omtalte pasientene. Nemda ser det likevel slik at sykehuset er nærmest til å bære risikoen for slike omkostninger. Det er bare sykehuset som kunne ha gardert seg mot en slik utlevering, og sikret pasientene mot krenkelsen. Pasienten har ikke en gang vært kjent med risikoen», skriver nemda i sin avgjørelse fra desember 2013.

Datatilsynet: Prinsipiell sak
– Å kjenne til hva som skjer med ens egne personopplysninger en grunnleggende rettighet. Vi mener virksomhetene har en informasjonsplikt, selv om det kan være krevende og kostbart å få gjennomført det, sier avdelingsdirektør Helge Veum ved tilsyns- og sikkerhetsavdelingen i Datatilsynet.

Han sier vedtaket fra Personvernnemda er av prinsipiell betydning.  

– Det var viktig å få forankret den praksisen vi har i dag, og få fastsatt at informasjonsplikten gjelder også når det for eksempel skjer datainnbrudd.

– Jeg tror dette var en vekker for sykehusene om hvilken tilgang de gir eksterne leverandører, og hvordan de følger opp og innfører sikkerhetstiltak. Vi er avhengige av en tredjepart, men må samtidig være bevisste på hva vi gjør. Dette blir ikke mindre viktig fremover med modernisering av medisinen og fjerndiagnostisering, sier Veum.

Vurderer flere saker
Personvernnemda har hittil behandlet klager saker som omhandler Curato Røngten, Oslo universitetssykehus, Helse Stavanger, Helse Bergen, Haraldsplass Diakonale Sykehus og Diakonhjemmets sykehus.

Oslo universitetssykehus er blant sykehusene som nå jobber med å imøtekomme beslutningen.

– Det vil bli sendt brev til de pasienter dette gjelder, og nå arbeides det med å skaffe nødvendig informasjon til veie for å tilskrive alle, opplyser Heidi Thorstensen, personvernombud ved OUS, til Dagens Medisin.

Datatilsynet vurderer nå om de også skal sende vedtakene om Helse Fonna, Sørlandet Sykehus, Unilabs Norge og Vestre Viken til Personvernnemda.   

– Vi tilskriver alle partene i saken. Virksomhetene som ikke har fått saken sin behandlet i nemda, orienteres om avgjørelsen i de andre sakene og vi ber om en tilbakemelding på om de fortsatt vil klage, sier Veum.

Powered by Labrador CMS