Helseopplysninger på avveier

GE Healthcare Systems har hentet ut helseopplysninger fra flere virksomheter uten at dette var autorisert. Personvernnemnda har avgjort at virksomhetene har informasjonsplikt overfor de berørte pasientene.

– Dette avviket gjaldt ti virksomheter i Norge, og omfattet blant annet navn, ID-nummer, fødselsdato og kliniske opplysninger og i noen tilfeller bilder som gjaldt totalt 126.344 pasienter. Opplysninger om disse var hentet ut og overført til USA. Det er klart at dette er alvorlig og noe det må ryddes opp i. Det som er positivt er at leverandøren har opptrådt ryddig og har varslet virksomhetene om hendelsen, sa avdelingsdirektør Helge Veum ved tilsyns- og sikkerhetsavdelingen i Datatilsynet da saken ble kjent i 2012.

Ikke god nok sikring

Bakgrunnen for saken var at virksomhetene har hatt en tilknytning til leverandøren GE Healthcare Systems (GE) for at denne skulle kunne drive vedlikehold og overvåking av medisinskteknisk utstyr. Tilknytningen var satt opp på en slik måte at GE har kunnet hente ut helseopplysninger uten tekniske hindre, eller uten at virksomhetene ble gjort kjent med hvilke opplysninger som ble hentet ut. Datatilsynet mente derfor at opplysningene ikke var godt nok sikret og at kravene til sikkerhetstiltak etter helseregisterloven og personopplysningsforskriften ikke var blitt fulgt.

Flere pålegg

Datatilsynet fattet med bakgrunn i dette vedtak om at virksomhetene må behandle hendelsene som et avvik i samsvar med helseregisterloven og personopplysningsforskriften. Det vil si at de måtte:

  • dokumentere avviket
  • avklare hendelsesforløpet
  • avklare hvilke enkeltpersoner som er rammet av avviket, og hvilke opplysninger om den enkelte som er på avveier
  • sørge for at opplysninger slettes hos tredjepart
  • undersøke om regelverkets krav og virksomhetens rutiner for informasjonssikkerhet var ivaretatt
  • gjennomføre øvrige skadereduserende tiltak som fremkommer som nødvendige gjennom prosessen
  • gjennomføre tiltak for å hindre gjentakelse

Virksomhetene fikk videre beskjed om å etablere tilfredsstillende sikkerhetstiltak når det gjaldt konfidensialitet for leverandørtilknytninger mot medisinskteknisk utstyr. De berørte identifiserte pasientene skulle også informeres om hendelsen.

Tilsynet krevde dessuten en redegjørelse fra virksomhetene om at leverandørens tilgang til helseopplysninger er satt i samsvar med helseregisterloven, og om hvordan krav om systematiske tiltak for informasjonssikkerhet blir ivaretatt.

Endelig avgjørelse i nemnda

Virksomhetene klagde på Datatilsynets vedtak om å informere de berørte pasientene, og seks av sakene ble sendt over til Personvernnemnda. I desember 2013 kom nemndas avgjørelse om at Datatilsynets vedtak blir gjeldende

– Vi håper denne saken medfører en generell gjennomgang av hvordan helsesektoren sikrer opplysninger når eksterne leverandører benyttes, sier Helge Veum. – Avgjørelsen i Personvernnemnda understreker at informasjonsplikten kommer til anvendelse også ved denne typen sikkerhetsbrudd. Med bakgrunn i dette vil vi nå vurdere den videre saksbehandlingen i de resterende sakene.

Oversendt til nemnda:

Vurderes oversendt til nemnda: