Ni helseforetak er varslet om gebyr

Datatilsynet har varslet ni helseforetak i Helse Sør-Øst om overtredelsesgebyr på 800 000 kr. Helseforetakene får gebyr for å ikke ha oppfylt pliktene til sikkerhetsledelse, risikovurderinger og tilgangsstyring i forbindelse med tjenesteutsetting av IKT-Drift til utlandet.

- Vi er positive til bruk av ny teknologi både i helsesektoren og andre sektorer så lenge det gjøres i tråd med kravene i regelverket, sier Bjørn Erik Thon, direktør i Datatilsynet.

- Det er en forutsetning for å kunne nå målet om modernisering og digitalisering at aktørene i helsesektoren tar plikten sin til å sikre personvernet på alvor når de setter igang slike prosjekter. Datatilsynet anser disse virksomhetene som profesjonelle aktører, og vi forventer naturligvis at de etterlever grunnleggende krav i regelverket, fortsetter Thon.

Prinsipielt viktig sak

Datatilsynet mener de behandlingsansvarlige i denne saken hverken har hatt god nok oversikt over risikobildet eller god nok kontroll med behandling av opplysninger. Dette er grunnleggende for å sikre etterlevelse av alle deler av regelverket. I denne saken tilsvarer omfanget av opplysninger som skal behandles halve Norges befolkning. Et sikkerhetsbrudd, tap av kontroll eller annen kompromittering vil derfor kunne få store konsekvenser, og tilsynet ser derfor svært alvorlig på denne saken.

Stadig flere virksomheter, både private og offentlige, velger å sette ut tjenester som omfatter behandling av personopplysninger til utenlandske aktører. Det gjør denne saken prinsipielt viktig.

Det er uakseptabelt at helseforetakene i landets største helseregion ikke sørger for tydelig ansvarlighet og gode beslutninger i saker som har så stor betydning for personvern og informasjonssikkerhet i helsesektoren. Overtredelsesgebyret er derfor det høyeste gebyret Datatilsynet noen gang har varslet, og virksomhetene har nå frist til å komme med tilsvar som eventuelt kan endre vedtaket mot dem innen 24. november.

– Det pågår for tiden en rekke parallelle prosesser knyttet til tjenesteutsetting både i helsesektoren i andre sektorer. Vi håper alle som jobber med dette, vil lese vårt vedtak i denne saken og ta læring av feilene som er gjort, sier Bjørn Erik Thon.

Undergraver veletablert og nødvendig tillit til helsesektoren

Denne saken skiller seg fra tidligere saker der Datatilsynet har ilagt overtredelsesgebyr fordi omfanget av opplysninger som behandles er så stort. I tillegg dreier dette seg om helseopplysninger, det vil si svært sensitive opplysninger.

I Norge har vi høy tillit til helsesektoren. Dette er det nødvendig å opprettholde for å sikre at folk fortsetter å oppgi opplysningene sine og gi tilgang til deling av disse mellom foretak. Det er også viktig fordi svært mange er i en sårbar situasjon når de er i kontakt med sektoren. Samtidig innføres det stadig ny teknologi som sikrer nødvendig fremskritt, modernisering og digitalisering av sektoren, men som er avhengig av å utveksle og behandle store mengder personopplysninger.

Befolkningen skal og må ha tillit til at deres opplysninger behandles på en trygg måte. I tillegg må tilsynsorganer ha tillit til at de behandlingsansvarlige ser det som en egeninteresse å etterleve regelverket for å sikre pasientenes personvern. Saker som denne viser mangelfull etterlevelse og forståelse av grunnleggende krav til behandling av personopplysninger, og kan bidra til å bryte ned tilliten til sektoren som helhet. 

Tar saken alvorlig og tar ansvar for å rydde opp

Datatilsynet er glade for at Helse Sør-Øst RHF har tatt tak i problemet. Tilsynet ble kjent med saken gjennom tips fra pasienter og ansatte i helseforetakene, og ba derfor alle helseforetakene i Helse Sør-Øst RHF om en redegjørelse. Helseforetakene ble blant annet bedt om å redegjøre for hvilke risikovurderinger som var blitt gjort før det ble besluttet å tjenesteutsette driften av hele IKT- infrastrukturen.

- Det er positivt at Helse Sør-Øst har tatt grep for å rette opp i de feil som er begått. De har både stanset tilgangene som ble gitt i et avgrenset tidsrom og satt prosjektets fremdrift på vent, sier Bjørn Erik Thon.

Last ned

Disse ni helseforetakene har fått brev med varsel om overtredelsesgebyr:

 

Sykehuspartner er ikke omfattet av vedtaket, men Datatilsynet vurderer parallelt med denne saken om de har oppfylt kravene de har som databehandler.

Relatert informasjon