Datatilsynet har vedtatt et overtredelsesgebyr på 750 000 kroner til Sykehuset Østfold HF. Bakgrunnen er at sykehuset i perioden 2013-2019 lagret rapportuttrekk fra pasientjournal utenfor sikker sone. Saken startet med en avviksmelding fra sykehuset.
– Mappene der uttrekkene var lagret var ikke tilgangsstyrte, og aktiviteten i mappene ble ikke logget. Rapportuttrekkene har også blitt lagret lenge etter at det ikke lenger var behov for listene. At en slik utstrakt lagring av uskjermede helseopplysninger kunne skje over lang tid, mener vi tyder på mangler ved det interne styringssystemet, sier juridisk seniorrådgiver Susanne Lie.
Rapportuttrekkene var lister over utskrivningsklare pasienter (USK-lister) og omfattet særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Avviket omfattet tre ulike lister:
Personopplysningene i listene omfattet demografiske opplysninger og navn, fødselsdato, kommune, avdelingstilhørighet og eventuelt informasjon om tilretteleggelse ved overføring av pasient til kommune. To av listene inneholdt fødselsnummer og innleggelsesårsak.
Det har ikke vært tilgangskontroll på området/mappene der rapportuttrekkene ble lagret og/eller mellomlagret, og det er logget om ansatte har vært inne i opplysningene. Personopplysningene har vært tilgjengelig for 118 ansatte ved Sykehuset Østfold HF, der de fleste ikke har hatt tjenstlig behov for slik tilgang.
Datatilsynet mener at Sykehuset Østfold HF ikke har etablert et system for tilgangsstyring som er tilstrekkelig for å forhindre at lignende avvik vil skje i fremtiden, og det vises særlig til rutinene for tilgangskontroll og lagring av personopplysninger. Styringssystemet må innebære oppfølging av at rutinene følges, noe som også betyr oppfølging av at kun sikre systemer brukes ved behandling av sensitive personopplysninger.