De sensitive opplysningene skulle vært anonymisert, da de ansatte skulle lære det nye datasystemet FIKS. Systemet skal sørge for sikker overføring av pasientinformasjon mellom de 11 sykehusene i Nord-Norge.
Det var da røntgenpersonell i helseforetaket skulle lære å overføre røntgenbilder elektronisk feilen skjedde.
De skulle kun bruke anonymiserte opplysninger. Det viste seg at kursdeltakerne også fikk 1.039 reelle identifiserbare journaler. Det ble oppdaget av to ansatte, som meldte fra om dette som avvik.
– Urovekkende
Pasientombud i Troms, Odd Arvid Ryan, forteller at det ikke er første gang det skjer uheldige ting i forbindelse med innføring av nye journalsystemer.
– Det er urovekkende at det har et så stort omfang og at så mange opplysninger ble gjort tilgjengelig. Selv om dette har skjedd på et internt kurs er personvernet svært viktig, slikt skal ikke kunne skje, sier Ryan.
Pasientopplysninger er taushetsbelagt og selv om det kun er helsepersonell som har vært på kurset, skulle ikke disse opplysningene vært tilgjengelige.
Ledelsen beklager
Sjef for FIKS-programmet, Bengt Flygel Nilsfors, bekrefter at disse opplysningene ikke skulle vært i opplæringsdatabasen.
– Men det er kun helsepersonell med taushetsplikt som fikk se de sensitive opplysningene, og ingen data er på avveie. De var i et lukka rom med en lukka database, sier Nilsfors.
Ifølge Nilsfors har de logger som viser at ingen andre har fått tilgang til denne informasjonen.
– Hvordan kunne det skje?
– Ja, det prøver vi også å finne ut. Vi ba om å få en anonym liste over pasienter for kursets del. Det skjedde altså ikke. Det ser ut som det er en misforståelse.
Han synes det er bra at medarbeiderne fanget opp dette avviket, og ikke minst at de umiddelbart meldte fra om dette til klinikkledelsen.
– Vi tok umiddelbart affære og iverksatte tiltak for å begrense videre avvik, sier Nilsfors, som forsikrer at det ikke skal kunne skje igjen.
Datatilsynet kobla inn
Personvernombudet på UNN har sendt saka inn til Datatilsynet som en avviksmelding.
Avdelingsdirektør Helge Veum i Datatilsynet sier de nå skal vurdere hva de skal gjøre videre.
– Vi ser på dette som et avvik, noe som ikke skulle ha skjedd.
– Men hvor alvorlig er det når ansatte på UNN ser slike opplysninger på et kurs i egen opplæring?
– Det er vanskelig å gradere ulike hendelser opp mot hverandre, men det er en eksponering av taushetsbelagt informasjon som ikke skulle kunne skje, selv om det har skjedd for internt ansatte, sier Veum.