På oppdrag fra Helse Sør-Øst, Helse Vest og Helse Nord gransker Unilabs hundretusener av røntgenundersøkelser hvert år.
Likevel har røntgengiganten unnlatt å opplyse helsemyndighetene og pasienter om at totalt over 170.000 undersøkelser har blitt gransket på en klinikk i Romania siden 2016.
Den skjulte avtalen ble avsluttet etter at NRK avslørte praksisen i februar.
Nå bekrefter Datatilsynet at de vil opprette en tilsynssak på forholdet.
– På bakgrunn av det som har fremkommet, ser vi behov for mer informasjon knyttet til tjenesteutsetting til Romania og hvilke vurderinger som er gjort av personopplysningssikkerheten i den forbindelse, sier fagdirektør Susanne Lie i Datatilsynet.
Fagdirektør Susanne Lie i Datatilsynet.
Foto: Bjørn Olav Nordahl / NRKHelsetilsynet ber Unilabs redegjøre
Også Helsetilsynet er interessert i hvordan Unilabs har håndtert personvern og informasjonssikkerhet i denne saken.
– Helsetilsynet vil be Unilabs om en redegjørelse om hvilke risiko- og sårbarhetsvurderinger de la til grunn da den omtalte løsningen ble valgt. Unilabs må videre dokumentere hva som nå er gjeldende praksis og avtaler. Ut fra dette vil vi ta stilling til om det er behov for videre tilsynsmessig oppfølging, sier avdelingsdirektør Ingerid Herstad Nygaard til NRK.
Undersøkelser fra Unilabs' kontorer i Bergen, Drammen, Oslo, Fredrikstad, Hamar, Haugesund, Kristiansand, Sandnes, Ski, Trondheim og Tønsberg ble gransket av leger i Romania.
Helse Sør-Øst har i brev til både Helsetilsynet og Datatilsynet orientert om Unilabs Norges bruk av radiologer i Romania.
Administrerende direktør i Uilabs Norge, Baber Qazi, skriver følgende i en e-post til NRK:
– Unilabs har mottatt en henvendelse fra Helsetilsynet hvor de etterspør informasjon om saken, og vi er også kjent med at Datatilsynet har opprettet tilsynssak på forholdet. Vi har ikke mottatt noen henvendelse fra Datatilsynet enda. Vi ser nå frem til en uavhengig gjennomgang og dialog med tilsynsmyndighetene for å belyse saken i hele dens kompleksitet. Vi vil bistå med å besvare alle spørsmål på best mulig måte. Vi har for øvrig ingen ytterligere kommentarer inntil myndighetene har fullført sitt arbeid.
Skal gjøre risikovurdering
På den rumenske klinikken jobber to radiologer med norsk autorisasjon. I tillegg har NRK avdekket at minst 16 personer uten norsk autorisasjon har hatt tilgang til Unilabs' interne systemer i kortere eller lengre perioder siden 2016..
I røntgengigantens system registreres årlig rundt 600.000 undersøkelser av norske pasienter.
Unilabs-direktør Baber Qazi ønsker ikke å svare NRK på om radiologene i Romania har hatt tilgang til alle disse undersøkelsene.
Flere Unilabs-pasienter NRK har vært i kontakt med, spør seg nå hvorvidt deres radiologiske bilder, pasienthistorie og annen sensitiv informasjon har blitt delt med uautorisert helsepersonell i Romania.
Ifølge loven skal det gjøres en risiko- og sårbarhetsanalyse før tjenester settes ut til underleverandører.
Ettersom Unilabs aldri fortalte Helse Sør-Øst, Helse Vest og Helse Nord om den rumenske klinikken, fikk helseforetakene heller aldri vurdert risikoen ved at pasientopplysninger i offentlig regi ble delt med minst 18 personer i Romania.
Personvernekspert og jurist Malgorzata Agnieszka Cyndecka ved Universitetet i Bergen (UiB) reagerer på hva som har kommet frem i saken.
– Ved å ikke gjennomføre en risikovurdering, vet man ikke om man overholder kravene GDPR stiller, og hvordan man eventuelt bryter reglene, sier Cyndecka.
Malgorzata Agnieszka Cyndecka er førsteamanuensis og GDPR-ekspert ved Universitetet i Bergen.
Foto: Kim E. Andreassen, Universitetet i BergenHun påpeker at også klinikken i Romania har ansvar for å overholde kravene som GDPR stiller. Cyndecka mener Unilabs vil stå ansvarlig for eventuelle brudd på personvernreglementet, ettersom de aldri fortalte helseforetakene om den rumenske klinikken.
– Jeg synes det blir interessant å vite hvor lenge Unilabs har drevet med dette, og om de noensinne har satt seg inn i personvernreglementet og lest GDPR artikkel 28, sier GDPR-eksperten.
Brudd på personopplysningsloven kan føre til høye gebyrer. De siste årene har Datatilsynet ved flere anledninger delt ut bøter verdt flere millioner kroner.
Les også: Raser mot Unilabs etter skjult Romania-avtale
– Tillitsbrudd
Feiltolkning av personvernkravene og helselovgivningen kan få negative konsekvenser for den enkelte pasients helsehjelp, slo Helse- og omsorgsdepartementet fast i et rundskriv i 2019.
Informasjonsflyt innad og mellom helsetjenester er blant områdene hvor det er størst risiko for at pasientsikkerheten svikter.
Instituttleder Nils Kalstad ved NTNU er ekspert på informasjonssikkerhet, og har lest NRKs artikler om Unilabs' klinikk i Romania med interesse.
– Tillitsbruddet til den enkelte pasienten og bruddet på etterretteligheten i leverandørkjeden fremstår, i et informasjonssikkerhetsperspektiv, som den største utfordringen, sier Kalstad, som understreker at han kun kjenner saken fra mediene.
NTNUs Nils Kalstad ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi
Foto: Knut RøsrudProfessor Johan Gustav Bellika ved UiT mener saken fremstår alvorlig, og sier at personvern i Helse-Norge er viktig.
– Det er fundamentalt for tilliten mellom pasienten og helsearbeideren at personvernet opprettholdes. Hvordan kan pasienten stole på helsevesenet dersom de slarver med deres helsetilstand via IT-systemene, sier Bellika.
Mener Romania henger bak
Da NRK dro til Romania i januar, traff vi advokatene Mihnea-Dan Radu og Isabela Porcius, som har forsket på telemedisin i Romania.
– Den digitale sikkerheten er den største utfordringen knyttet til telemedisin, sier Radu.
Romania henger generelt bak resten av Europa når det gjelder utviklingen av bruk av telemedisin, ifølge advokatene.
Porcius, som ferdigstiller en doktorgrad innen digital sikkerhet, mener at det er økende bevissthet rundt datasikkerhet blant rumenere.
De private medisinske klinikkene hun kjenner til i Romania tar digital sikkerhet på alvor, og hun mener kostnadene ved pasientdata på avveier er altfor stor til at klinikkene kan være slepphendte.
– I teorien er pasientene trygge, sier Porcius på generelt grunnlag.
NRK treffer advokatpartner Mihnea-Dan Radu og advokat Isabela Porcius i kontorlokalene til Revnic, Cristian & Associates.
Foto: Rolv Christian Topdahl / NRKAt rumenske radiologer har brukt tiden sin på å diagnostisere norske pasienter fra Romania, kan ha bidratt til å øke kostnadene for rumenske pasienter som søker privat helsehjelp, mener advokatpartner Radu.
– Pasienter fra utlandet har kapasitet til å betale mer enn rumenske pasienter. Spesialistene vil sikkert ikke avvise pasienter fra Romania, men det kan hende de ber om mer penger, sier Radu.
