fbpx Sensitive personopplysninger lå åpent på UNNs nettside Hopp til hovedinnhold

Sensitive person­opplysninger lå åpent på UNNs nettside

bildet viser UNN-direktør Anita Schumacher
SVIKT: – Teknisk og menneskelig svikt førte til at personopplysninger om pasienter og ansatte ble lagt ut åpent på sykehusets nettside, sier administrerende direktør ved UNN, Anita Schumacher. (Foto: Rune Stoltz Bertinussen / NTB scanpix)

Universitetssykehuset i Nord-Norge (UNN) la personopplysninger som navn og fødselsnummer til 30 pasienter og 65 ansatte ut på internett.

Personopplysningene var synlige i postlisten for 7. mai i år, og flere av oppføringene i dokumentet handler om pasientskadeerstatning, skriver Nordlys.

Det er vanlig prosedyre at sensitive opplysninger blir sladdet før de legges ut i de offentlige postlistene.

Identifiserbart

UNN-direktør Anita Schumacher sier hun ser alvorlig på saken.

– Det som er veldig alvorlig, er at det er identifiserbare personer her. Det handler om korrespondanse, og det er på overskriftsnivå, men det er klart at når det står navn, personnummer og for eksempel «bekymringsmelding til barnevernet» eller «pasientskadeerstatning», er det bakgrunnen for at jeg sier at dette er svært alvorlig, sier Schumacher til avisen.

Har meldt fra til Datatilsynet

Hun sier det er snakk om 95 registrerte oppføringer som er lagt ut usladdet. 30 pasienter og 65 ansatte. Opplysningene var tilgjengelige i halvannet døgn.

Sykehuset har meldt fra til Datatilsynet om saken og viser til at årsaken er en kombinasjon av teknisk og menneskelig svikt.

Sykepleiersjef fikk advarsel for journalsnoking

Fingre som taster på et tastatur
VAR PASIENTENS LEDER: Pasienten oppdaget at det var gjort urettmessige innsyn i pasientjournalen. Lederens bruker-ID var benyttet i innsynene.  Foto: Mostphoto

Statens helsetilsyn mener sykepleierlederen gikk inn i pasientjournalen til en underordnet uten grunn.

Ifølge Helsetilsynets omtale av saken skjedde det slik: En sykepleier i spesialisthelsetjenesten gikk inn i pasientjournalen til en pasient flere ganger over noen måneder, uten å ha behandlingsansvar for pasienten.

Sykepleieren arbeidet som avdelingsleder og var pasientens leder.

Forklarte at noen andre måtte ha misbrukt innlogging

Sykepleieren har forklart at innloggingsinformasjon ble oppbevart i en ulåst skuff, og at noen må ha misbrukt tilgang og passord.

Statens helsetilsyn kom til at det var mest sannsynlig at sykepleieren selv hadde gjort oppslagene, og at sykepleierens handlinger var brudd på helsepersonellovens bestemmelse i paragraf 21 a om forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger (se faktaboks).

Statens helsetilsyn har derfor gitt sykepleieren en advarsel.

Taushetsbelagte opplysninger

Helsepersonellovens paragraf 21 a sier:

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i §21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon til slik hjelp eller har særskilt hjemmel i lov eller forskrift.

Mener det ikke bare er plikt til å tie

I omtalen av saken på Helsetilsynets nettside legger tilsynet vekt på at taushetsplikten er grunnleggende for tilliten til helsetjenesten, og at pasienter skal oppsøke helsetjenesten uten å ha grunn til å frykte at uvedkommende får tilgang til opplysninger om dem.

«Hvis denne tilliten brytes, kan det føre til at pasienter lar være å ta kontakt og at pasientsikkerheten dermed blir svekket. Helsepersonells taushetsplikt er ikke bare en plikt til å tie, men en plikt til å være aktiv for å hindre at uvedkommende får tilgang til pasientopplysninger,» skriver Statens helsetilsyn i en omtale av denne konkrete tilsynssaken.

Sannsynlighetsovervekt

I et brev til avdelingssykepleieren, der det gis beskjed om advarselen, skriver Helsetilsynet at de har bevisbyrden i saker der de vurderer å gi advarsel.

«Det innebærer at vi må sannsynliggjøre at vilkårene for å gi en advarsel er oppfylt før vi kan treffe vedtak. Alminnelig sannsynlighetsovervekt er som hovedregel tilstrekkelig. Det vil si at vi legger til grunn det saksforholdet vi mener er mest sannsynlig.»

Innsyn i diktat og 16 dokumenter

I brevet kommer det videre frem at innsynsloggen viser at avdelingssykepleierens bruker-ID er benyttet både ved lytting til diktat i pasientjournalen og ved innsyn i 16 dokumenter i journalen.

Avdelingssykepleieren hevder ifølge brevet at vedkommende ikke har foretatt innsynene og ser ikke noen annen mulighet enn at noen urettmessig har tilegnet seg bruker-ID-en, eller at maskinen har vært ulåst.

Statens helsetilsyn konkluderer med at det er sannsynlighetsovervekt for at avdelingssykepleieren har gjort oppslagene.

Statens helsetilsyn mener det er mindre sannsynlig at andre har oppsøkt kontoret ved to anledninger og med flere måneders mellomrom for å gjøre oppslag i pasientens journal, og da også lytte til journaldiktat.
Les også: Mange snoker i journalene