Datatilsynet gjennomførte i 2024 tilsyn med journalløsningen Helseplattformen. I den endelige tilsynsrapporten konkluderer vi med vesentlige mangler ved de organisatoriske tiltakene overfor aktørene som bruker journalløsningen. Helseplattformen AS, som eier løsningen, har dermed ikke tilrettelagt for riktig og tilstrekkelig sikker bruk.
Helseplattformen AS har brutt flere av personvernregelverkets krav, blant annet til klare ansvarsforhold og et dekkende styringssystem. Det er også funnet tekniske mangler i løsningen. Det er derfor varslet et pålegg om retting, og Helseplattformen AS vil måtte utarbeide en tidsplan for arbeidet.
– Vi har identifisert svakheter i organiseringen og ansvarsforhold. Det viktigste nå er at eksisterende feil blir rettet. At mye har fungert godt nok i praksis, skyldes at aktørene som bruker Helseplattformen – og da særlig helseforetakene – har tatt et ansvar de juridisk sett ikke har, fastslår direktør i Datatilsynet, Line Coll.
Kontrollene med Helseplattformen ble gjennomført på bakgrunn av en stor mengde meldinger om brudd på personopplysningssikkerheten og flere bekymringsmeldinger til Datatilsynet. Overordnet har vi vurdert ansvarsforholdene, styringssystem, tilgangsstyring og avvikshåndtering opp mot løsningen.
Vurderingene er gjort etter gjennomførte tilsyn hos Helseplattformen AS, samt St. Olavs hospital HF og Melhus kommune som brukere av løsningen.
Helseplattformen AS har fullt dataansvar (behandlingsansvar) for løsningen, og det er derfor Helseplattformen AS som holdes ansvarlig for lovbruddene som er avdekket.
Datatilsynets kontroll har ikke inkludert forhold som har direkte betydning for pasientsikkerheten, for eksempel henvisninger som ikke har kommet frem til mottakeren.
– Dette har vært alvorlige feil, men de faller likevel ikke naturlig inn under vår tilsynsmyndighet, understreker Coll. Datatilsynet er heller ikke rette myndighet til å vurdere om Helseplattformen er et godt og egnet arbeidsverktøy for helsepersonell.
Statens helsetilsyn og Statsforvalteren i Trøndelag har imidlertid gjennomført tilsyn med deler av Helseplattformen som har kunnet ha stor betydning for pasientsikkerheten.
Dette er kun er varsel om vedtak. Helseplattformen AS har frist til 6. januar med å uttale seg om saken før endelig vedtak fattes.
Datatilsynet vil følge opp flere tekniske forhold i løsningen, blant annet når det gjelder tilgangsstyring, logging og avvikshåndtering.
Ettersom Datatilsynet har en særskilt taushetsplikt for sikkerhetstiltak etter personopplysningsloven § 24 første ledd annet punktum, har vi plikt til å ta ut mye av informasjonen i rapportene og varselbrevet.
Ved ønske om innsyn ut over dette, kan dere kontakte den enkelte virksomheten (Helseplattformen AS, St. Olavs hospital HF og Melhus kommune) og anmode om ytterligere innsyn. Virksomhetene kan da selv vurdere om informasjonen som er sladdet likevel kan gis ut.
Oversendelse av endelig tilsynsrapport og varsel om pålegg - Helseplattformen AS (pdf)
Endelig tilsynsrapport - Helseplattformen AS (pdf)
Oversendelse av endelig tilsynsrapport - St. Olavs Hospital (pdf)
Endelig tilsynsrapport - St. Olavs Hospital (pdf)
Oversendelse av endelig tilsynsrapport - Melhus kommune (pdf)