Gebyr til St. Olavs hospital
Datatilsynet har vedtatt å gi St. Olavs hospital et overtredelsesgebyr på 750 000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.
Opplysningene gjaldt et større antall pasienter og knyttet seg til hjertemedisinsk avdeling, medisinsk utstyr og barne- og ungdomspsykiatrien.
- Helseopplysninger har et særskilt krav på vern, og vi ser særlig alvorlig på at deler av opplysningene gjelder barn, sier juridisk seniorrådgiver Susanne Lie.
Manglende tilgangsstyring
Saken startet ved tre avviksmeldinger fra sykehuset i mars 2020. Avvikene gjaldt manglende tilgangsstyring på mappeområder utenfor pasientjournal. Mappene har i prinsippet ligget tilgjengelige for alle autoriserte brukere i Helse Midt-Norge RHF.
I etterkant har St. Olavs hospital HF gjort et større arbeid med å innføre relevante tiltak for å bedre personopplysningssikkerheten.
- Vi har likevel kommet til at sykehuset skal få et overtredelsesgebyr for brudd på grunnleggende krav til tilgangsstyring, forteller Lie.
Dette utgjør brudd på kravene til personopplysningssikkerhet i personvernforordningen artikkel 32, jf. artikkel 25 og 5, og pasientjournalloven §§ 22 og 23.
Sykehuset har tre ukers klagefrist fra de mottok vedtaket.