St. Olavs Hospital pålegges gebyr

Datatilsynet har varslet St. Olavs Hospital om et overtredelsesgebyr på 250 000 kroner for brudd på personopplysningsloven. Virksomheten er også pålagt å slette opplysninger om alle som er inkludert i Norsk Karkirurgisk register mellom 2002 og 2007.

I 2007 gjennomførte Datatilsynet en kontroll ved St. Olavs Hospital for blant annet å sjekke et nasjonalt kvalitetsregister for hjerte- og karkirurgi, Norsk Karkirurgisk register (NORKAR). Registeret inneholder identifiserbare helseopplysninger om alle som har fått gjennomført en blodåreoperasjon. Opplysningene er hentet fra pasientjournalene ved de ulike helseforetakene.

Alvorlige mangler

Kontrollen avdekket at St. Olavs Hospital manglet rettslig grunnlag for å behandle opplysninger om personer som ble inkludert i registeret før 2008. Det kom også frem at det ikke var søkt om konsesjon fra Datatilsynet for denne behandlingen. Etter kontrollen ble St. Olavs Hospital pålagt å søke om konsesjon, noe som ble gjort. Søknaden ble innvilget av Datatilsynet under en klar forutsetning av at det ble innhentet samtykke fra alle de registrerte.

I desember 2011 mottok Datatilsynet en henvendelse fra St. Olavs Hospital med spørsmål om det måtte innhentes samtykke dersom opplysninger fra de årene hvor det manglet gyldig konsesjon skulle brukes. Videre korrespondanse med Norsk Karkirurgisk register i 2012 avdekket at det ikke hadde blitt hentet inn samtykke fra personene som var inkludert i registeret før 2008, i strid med konsesjonsvilkårene.

Har hatt god tid til å rette opp

- Vi ser svært alvorlig på at St. Olavs Hospital helt siden 2002 har behandlet personopplysninger i Norsk Karkirurgisk register uten rettslig grunnlag. Dette er sensitive personopplysninger om helseforhold, noe som gjør det ekstra viktig å behandle opplysningene riktig, sier juridisk seniorrådgiver Cecilie B. Rønnevik i Datatilsynet.

- Av henvendelsene fra NORKAR er det tydelig at man ønsker å reparere dette nå ved å innhente samtykke fra de registrerte. Men St. Olavs Hospital fikk denne muligheten allerede i 2007, og vi kan ikke se noen gode grunner for at dette ikke har blitt gjort tidligere. Siden samtykke ikke har blitt innhentet, har konsesjonen vært ugyldig og opplysningene må derfor slettes.

Overtredelsesgebyr

Datatilsynet har også varslet overtredelsesgebyr til St. Olavs Hospital, siden tilsynet vurderer dette som en alvorlig krenkelse av de enkeltpersonene som opplysningene er knyttet til. Det er flere forhold som er med på å støtte denne avgjørelsen. Dette gjelder sensitive helseopplysninger, at en stor gruppe mennesker er berørt, at dette har pågått over lang tid, at St. Olavs Hospital har brutt flere grunnleggende plikter og at virksomheten har opptrådt grovt uaktsomt ved at ikke forutsetningene i konsesjonen ble oppfylt.

- Når en pasient gir opplysninger til helsepersonell ved det enkelte sykehus, er det i tillitt til at opplysningene blir behandlet fortrolig. Her er det ikke hentet samtykke fra de registrerte eller hentet inn dispensasjon fra helsemyndighetene. Dermed har innhentingen også medført brudd på helsepersonellovens bestemmelser om taushetsplikt i det enkelte helseforetak. Det er klart at dette er svært alvorlig, sier Rønnevik.

Last ned:

Norsk karkirurgisk register - varsel om vedtak  (pdf)