Datatilsynet har send krav om redegjørelse til Oslo Universitetssykehus HF (OUS) i forbindelse med at taushetsbelagte opplysninger om pasienter skal ha vært offentligjort via offentlig postjournal over en periode på tre år.
Saken startet med at Datatilsynet mottok melding om brudd på personopplysningssikkerheten (avviksmelding) fra Oslo Universitetssykehus 18. mai 2020. Det ble da varslet om at det var oppdaget 275 tilfeller der taushetsbelagte opplysninger om pasienter var offentligjort via offentlig postjournal over en periode på tre år.
I tillegg til brudd på spesiallover, ser det ut til at det er krav i personvernforordningen som kan være brutt. Publisering av pasientopplysninger er brudd på helsepersonells taushetsplikt og sykehuset har plikt til å unnta opplysninger om personlige forhold fra offentlig journal. Pasientjournalloven pålegger i tillegg sykehuset å sørge for tilstrekkelig informasjonssikkerhet og internkontroll. Dette for å sikre etterlevelse av kravene i personvernforordningen om sikkerhet ved behandlingen og den behandlingsansvarliges ansvar (artikkel 32 og 24).
Datatilsynet mener det er svært alvorlig at denne type avvik har pågått over en lang tidsperiode og har nå bedt sykehuset om utfyllende redegjørelse om avviket. Vi har mottatt kopi av varselbrevet som sykehuset sendte til de berørte. Avviksmeldingen vi har mottatt inneholder imidlertid for lite informasjon om årsak, konsekvenser og iverksatte tiltak, og vi har derfor vurdert den som et foreløpig varsel.
Oslo Universitetssykehus må svare på spørsmålene innen 28. juli 2020.