St. Olavs hospital godtok 750 000 kroner i gebyr fra Datatilsynet

Opplysningene i mappene gjaldt et større antall pasienter og knyttet seg til hjertemedisinsk avdeling, medisinsk utstyr og barne- og ungdomspsykiatrien.

– Helseopplysninger har et særskilt krav på vern, og vi ser særlig alvorlig på at deler av opplysningene gjelder barn, sier juridisk seniorrådgiver Susanne Lie i Datatilsynet.

Tre avviksmeldinger i 2020

Saken startet med tre avviksmeldinger fra sykehuset i mars 2020. 

Mappene har i prinsippet ligget tilgjengelige for alle autoriserte brukere i Helse Midt-Norge.

De inneholdt blant annet dette: 

• anamnese (pasientens egen redegjørelse)
• utførte prosedyrer
• hemodynamisk trykk
• koronar arteriografi 
• utstyrssammendrag
• komplikasjoner
• medisinering under prosedyre
• hemo-bilder
• navn på utførende lege og sykepleier

Avviket forekom i perioden 17.05.2015 til 28.01.2020 og ble oppdaget den 21.11.2019. 

Ettersom saken gjelder forhold som startet før innføringen av EUs personvernforordning, som trådte i kraft 20. juli 2018, så blir avgiften satt til under en million.

Opp til 100 millioner i gebyr i dag

Med dagens regler kan slike brudd på regelverket straffes med gebyrer på opp til 10 millioner euro, det vil si over 100 millioner kroner.

I etterkant har St. Olavs hospital slettet filene og gjort et større arbeid med å innføre relevante tiltak for å bedre personopplysningssikkerheten.

– Vi har likevel kommet til at sykehuset skal få et overtredelsesgebyr for brudd på grunnleggende krav til tilgangsstyring, forteller Lie.

Dette utgjør brudd på kravene til personopplysningssikkerhet i personvernforordningen artikkel 32, jf. artikkel 25 og 5, og pasientjournalloven §§ 22 og 23.

Du kan lese hele vedtaket her.

Har godtatt gebyret

Direktør for virksomhetsstyring Merete Blokkum ved St. Olavs hospital sier dette: 

– I forbindelse med en ekstern revisjon fra Riksrevisjonen ble det avdekket at personidentifiserbare opplysninger, navn og personnummer samt bilder fra ulike ultralyd- og CT-undersøkelser, var lagret i elektroniske mapper.

– Opplysningene var hentet ut fra medisinsk teknisk utstyr og skulle mellomlagres for å skannes inn i pasientenes journaler. Disse mappene skulle hatt tilgangsbegrensning slik at bare ansatte med tjenstlig behov kunne åpne de, forklarer hun.

– Det er svært beklagelig at slik adgangsbegrensning til mappene ikke ble etablert. Vi har imidlertid ingen indikasjoner for at opplysningene har vært tilgjengeliggjort for andre enn helsepersonell med tjenstlig behov, ifølge Blokkum. 

De aktuelle opplysningene er nå sikret og overført til pasientenes journal eller elektroniske mapper med definert tilgangskontroll.

– St. Olavs hospital behandler store mengder sensitive personopplysninger. Foretaket er svært opptatt av at opplysningene blir behandlet på en trygg og sikker måte, og at personvernet ivaretas, sier Blokkum.

– Opplysningene skal sikres mot uautorisert bruk. Samtidig må vi legge til rette for en god informasjonsflyt mellom helsepersonell, slik at oppdatert og relevant informasjon om pasientene er tilgjengelig når det er nødvendig for å gi god og forsvarlig helsehjelp. St. Olavs hospital er derfor helt avhengig av at pasientene har tillit til vår håndtering av pasientopplysninger og ivaretakelsen av deres personvern.