St. Olavs Hospital har satt i verk omfattende tiltak etter at pasientopplysninger ved en feil ble lagt ut på internett. Datatilsynet ser alvorlig på hendelsen.
Beklager sterkt
– Sykehuset beklager sterkt det som har skjedd. For å hindre at noe lignende skjer igjen, har vi tatt flere grep for å forbedre eksisterende rutiner. Det gjelder både for bruk av pasientopplysninger og prosedyrer for publisering på nett, sier sjeflege Inger Williams ved St. Olavs Hospital.
Hendelsen ble først meldt Fylkeslegen i Sør-Trøndelag og deretter til Datatilsynet.
Ikke sladdet
Pasientopplysningene var en del av et dokument som ble benyttet i intern undervisning ved St. Olavs Hospital og ble lagt ut på sykehusets nettsted som et vedlegg. I tillegg viste det seg at elementene som skulle sladde personopplysninger var lette å flytte på.
Det aktuelle dokumentet ble oppdaget 28. september i år, og originalkilden ble umiddelbart fjernet. Kjente, lagrede kopier av informasjonen er også fjernet etter rettledning fra Datatilsynet. Likevel er det slik at det ikke fins noen garanti for at det ikke eksisterer noen kopi av dokumentet.
– Vi søker fremdeles daglig, om det skulle dukke opp en kopi, men så langt har vi ikke funnet tegn som tyder på at det finnes rester av dokumentet på internett, sier Inger Williams.
Flere tiltak
For å hindre lignende hendelse i fremtiden har sykehuset iversatt flere tiltak:
· Samtlige filer på nettstedet www.stolav.no gjennomgås for å klargjøre at det ikke eksisterer flere dokumenter som kan inneholde sensitiv informasjon.
· Nettstedet endres med en såkalt ”meta-tag”, som forteller søkemotorer på internett at de ikke skal lagre lokale kopier av dokumenter på www.stolav.no.
· Ekstra sjekk av innhold før det publiseres på internett. Eksisterende rutiner er gjennomgått og samlet i en prosedyre i sykehusets kvalitetssystem.
· Det innføres en ny prosedyre i sykehusets kvalitetssystem som omhandler anonymisering av sensitive data.
