Datatilsynet mottok i mai 2020 en melding om brudd på personopplysningssikkerheten (avviksmelding) fra Universitetssykehuset i Nord-Norge HF (UNN). Vi ble der varslet om at det ved publisering av postlister hadde blitt lagt ut feil dokument, og har nå bedt om en redegjørelse.
Dokumentet som ble publisert var en usladdet versjon av postlisten. Den inneholdt derfor navn, personnummer og sakstittel. Årsaken til avviket var svikt i manuelle rutiner. Publiseringen skjedde 11. mai og ble oppdaget neste kveld. Listen ble raskt fjernet da avviket ble oppdaget, og de berørte skal være informert.
Avviket ble relativt raskt avdekket og lukket, men det er allikevel alvorlig når sykehus offentliggjør konfidensielle opplysninger. For å undersøke saken nærmere har vi nå sendt et krav om redegjørelse til sykehuset. Vi ber der om mer informasjon om sykehusets tekniske og organisatoriske tiltak for å sikre at slike feil ikke skal skje og hva slags system de har for etterkontroll.
Vi har også bedt om risikovurdering og informasjon om hvordan sykehuset sikrer tilstrekkelig opplæring av ansatte som har oppgaver i forbindelse med publisering av postlister.
Fristen for å svare på spørsmålene fra oss er 3. august, og vi vil deretter vurdere videre saksgang.