Den alvorlige tabben fra en rekke norske sykehus skjedde i slutten av 2011, og ble avdekket i mars 2012.
Personnummer og andre sensitive opplysninger til 130.000 pasienter i hele landet havnet på avveie. Ved en feil ble opplysningene hentet ut av et amerikansk selskap og ulovlig lagt ut på en server i USA.
Både navn, fødselsdato, kliniske opplysninger og i noen tilfeller bilder havnet hos GE Healthcare Systems – uten at pasientene fikk vite det.
- LES MER: Pasientopplysninger havnet i USA
Nå må altså sykehusene orientere og beklage overfor alle som ble rammet av glippen for to år siden.
Bilder og helseopplysninger
I disse dager dumper brevet om feilen fra 2012 ned i postkassene til alle det gjelder.
Det er et resultat av at både Datatilsynet og Personvernnemnda har vedtatt at sykehusene hadde informasjonsplikt overfor alle de berørte pasientene.
– Det er klart dette er alvorlig og noe som må ryddes opp i, sa avdelingsdirektør ved sikkerhetsavdelingen i Datatilsynet da saken ble kjent i 2012.
Sykehusene på sin side mente de ikke trengte å orientere pasientene. De har lenge kjempet mot vedtaket, men tapte klagekampen.
Haukeland universitetssykehus, Oslo universitetssykehus, Stavanger universitetssykehus og Haraldsplass diakonale sykehus er nå alle pålagt å sende ut brev til sine pasienter etter glippen.
– Krav på å vite
– Når feil og svakheter blir avdekket så mener vi faktisk en har krav på å få vite hva som blir gjort, sier pasientombud i Hordaland, Rune Skjælaaen.
Han er en av mange pasientombud som har engasjert seg i saken. Skjælaaen reagerer på at sykehusene selv ikke har villet opplyse pasientene om hva som hadde skjedd.
– Det synes jeg er underlig. Det er rart at noe sånt kan skje med sensitive opplysninger uten at den det gjelder blir informert om det.
Tror ikke noe er misbrukt
Det er ikke grunn til å tro at pasientopplysningene har blitt misbrukt. Det forteller fagsjef på Haukeland, Alf Henrik Andreassen, til NRK.
Derfor mente sykehusene at det ikke var nødvendig å opplyse pasientene om det som hadde skjedd. De har siden 2012 forsøkt å gjøre om Datatilsynets vedtak, men har nå måtte gi seg.
– De aller fleste av disse er ikke pasienter heller. Det er personer som er blitt undersøkt i en screening, altså friske personer som er kalt inn til undersøkelser. Da er det et spørsmål om man unødig uroer pasientene ved å sende ut noe slikt, sier Andreassen.
Men det var ikke personvernnemnda enig i. Sykehusene ble nylig pålagt å følge opp vedtaket fra 2012 fra Datatilsynet og gjør nå som de blir bedt om.
– Vi mente det ikke var behov og at det kunne skape usikkerhet. Men nå retter vi oss etter det vedtaket som er gjort, sier Andreassen på Haukeland sykehus.
– Har rett til å vite
Det er Curato Røntgen som står som avsender på brevet. Der blir personene det gjelder informert om at personopplysningene deres har vært utlevert til GE Healthcare Systems i USA.
– Man skal ha rett i å vite at slike avvik har skjedd. Det er utlevert opplysninger om veldig mange pasienter, sier rådgiver i Datatilsynet, Marius Engh Pellerud i Datatilsynet.
– Dette er en klar beskjed til helseforetakene om at personopplysninger skal behandles slik loven sier de skal behandles, sier Skjælaaen.