Sykehustabbe: UNN la ut sensitive pasientopplysninger på nett

Ved en feil la sykehuset UNN ut personopplysninger i 95 taushetsbelagte saker på internett. Opplysningene ble liggende i nesten to døgn. Datatilsynet sier hendelsen er alvorlig.

Universitetssykehuset Nord-Norge i Tromsø.

Landsdelens største sykehus la ved en feil ut sensitive personopplysninger åpent på nett i sin postjournal.

Foto: Jørn Inge Johansen / NRK

– Det er alvorlig når personopplysninger helt ubeskyttet blir gjort tilgjengelig. Særlig opplysninger som dette, sier Camilla Nervik, seksjonssjef i Datatilsynet.

Universitetssykehuset Nord-Norge (UNN) la mandag formiddag ut taushetsbelagt informasjon i sin postjournal. Det skriver Nordlys som omtalte saken først. Informasjonen lå ute frem til avisa kontaktet sykehuset tirsdag kveld.

– Det har skjedd en feil som har gjort at 95 registrerte oppføringer i postjournalen vår lå ute på nett, uten at opplysninger som navn og personnummer var sensurert. Det sier kommunikasjonsrådgiver ved UNN, Solveig Jacobsen til NRK.

30 av oppføringene var pasientsaker. 65 omhandlet UNNs ansatte.

– Det er viktig å få fram at postjournalen er en synliggjøring av korrespondansen UNN har inn og ut. Det lå derfor ikke dokumenter åpent ute. Men det kunne for eksempel stå «pasientskadeerstatning» som overskrift, med navn og personnummer. Det skulle selvfølgelig ha vært sladdet. På grunn av en glipp ble det dessverre ikke gjort i disse sakene.

Innholdet i dokumentene lå altså ikke åpent ute, men av oppføringene i postlisten fremkommer taushetsbelagte opplysninger.

Kan få alvorlige konsekvenser

Nordlys skriver at av informasjonen som lå ute var det blant annet en bekymringsmelding fra sykehuset til barnevernet. Navnene til en gutt og foreldrene hans var med.

Det var også pasientskadeerstatning, tilsynssaker og oppsigelser.

Camilla Nervik, seksjonssjef i seksjon for offentlig tjenester i Datatilsynet.

Camilla Nervik er sjef for seksjon for offentlige tjenester i Datatilsynet.

Foto: © Ilja C. Hendel

Datatilsynet er tilsynsmyndighet på personvernområdet. Seksjonssjef Camilla Nervik sier at man som pasient skal kunne stole på at pasient- og personopplysninger blir tatt godt vare på. Hvis det ikke skjer kan det bli alvorlige konsekvenser, ifølge Nervik.

– Det kan oppstå mistillit i relasjonen mellom pasient og lege. Det kan igjen påvirke hvordan man oppfører seg. For eksempel om man drar til legen eller hva man sier til legen når man er der.

Kommunikasjonsrådgiver ved UNN, Solveig Jacobsen sier det er svært uheldig.

– Vi er klare på at dette er kjempealvorlig, og UNN gjør alt vi kan for å sørge for at det aldri skjer igjen. Vi beklager på det sterkeste.

2000 avviksmeldinger

Etter personvernregelverket skal de ansvarlige melde fra til Datatilsynet når det oppstår alvorlige avvik. UNN opplyser at de kommer til å gjøre det.

Seksjonssjef Camilla Nervik sier de mottar mange avviksmeldinger hvert år. I fjor fikk mottok de omtrent 2000 stykker.

– I en slik melding skal den ansvarlige beskrive hva som har skjedd og hvorfor hendelsen har inntrådt. Også hvilke konsekvenser det har og hva man gjør for å fikse feilen som har skjedd.

Nervik sier de har hatt flere lignende saker som dette tidligere, hvor personopplysninger blir eksponert gjennom elektroniske løsninger for postjournal.

Ringegruppe i aksjon

UNN har i dag brukt tiden på å sjekke at feilen ikke gjelder flere dager, og det har de så langt ikke avdekket.

– Vi har også en ringegruppe i aksjon, som ringer til de berørte. Først til pasientene, og så våre egne ansatte. Vi ser i tillegg ut brev til alle som er berørt, sier Jacobsen til NRK.

De vil gjennomgå sine rutiner for å se hvordan dette kunne skje, og for å sørge for at det ikke skjer igjen.

Nervik i Datatilsynet sier at når de får avviksmelding vil de undersøke nærmere om det er grunn til å spørre mer om hva som har skjedd. Så vil de vurdere videre oppfølging ut fra opplysningene de har.

– Det kan være at vi påpeker at det har foregått lovbrudd, eller at det må endres løsning eller praksis. Kanskje avdekkes det at feilen skyldes manglende rutiner eller opplæring. I de mest alvorlige tilfelle kan det være aktuelt å vurdere om det er riktig å ilegge overtredelsesgebyr.