fbpx Helsestasjon slettet ikke bilder – kommunen fikk gebyr på 400 000 kroner Hopp til hovedinnhold

Helsestasjon slettet ikke bilder – kommunen fikk gebyr på 400 000 kroner

BRØT PERSONVERNFORORDNINGEN: I dag kalles det EUs regelverk for personvern og er en del av personopplysningsloven. På engelsk: the General Data Protection Regulation (GDPR). Illustrasjon: Mostphotos/Sykepleien

Datatilsynet har gitt Høylandet kommune 400 000 kroner i overtredelsesgebyr. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved en helsestasjon.

En avviksmelding fra november i 2019 startet saken. Nå har Datatilsynet leverte vedtaket om gebyret til kommunen.

Feilen ble begått på en helsestasjon i helse- og omsorgstjenesten i Høylandet kommune i perioden fra januar i 2018 til slutten av 2019.

Avviket var at en ansatt fikk tilgang til flere bildefiler da vedkommende skulle opprette nye brevmaler og sette inn en bildelogo.

Sensitive opplysninger var tilgjengelig

Bildefilene inneholdt sensitive opplysninger om personer som ikke har tilknytning til Høylandet kommune.

Informasjonen omfattet opplysninger om reelle personers timeavtaler, svar på henvisning, epikrise og diverse undersøkelser.

Helsestasjonen (samt skolehelsetjenesten) benytter et system levert av CompuGroup Medical Norge AS (CGM).

Nylig skrev Sykepleien også om et annet gebyr, på 750 000 kroner, som ble gitt av Datatilsynet til St. Olavs hospital da sykehuset lot mapper med helseopplysninger ligge åpne for helsepersonell i hele Helse Midt-Norge.

I dag: Opp til 100 millioner i gebyr

I vurderingen av gebyrets størrelse har Datatilsynet sett at Høylandet kommune ikke sørget for sletting av de aktuelle bildefilene eller gjorde tiltak for å forhindre liknende avvik før etter cirka elleve måneder. 

Gebyrets størrelse er avgrenset til maksimalt en million kroner etter tidligere lovverk. Datatilsynet mener dermed det er rimelig med et gebyr på 400 000 kroner.

Etter dagens regelverk, som ble endret i 2018, kan gebyret bli på opp mot 10 millioner euro, eller over 100 millioner norske kroner.

Kommunen brøt personvernforordningen artikkel 24 og 32 før de nye reglene trådde i kraft. Les hele avgjørelsen her.

Datatilsynet har lagt vekt på at kommunen ikke gjorde noen relevante tiltak etter at avviket ble oppdaget.

Grunnleggende mangler internt

– Vi har vedtatt å gi kommunen et overtredelsesgebyr for grunnleggende mangler ved tilgangsstyringen internt. Dette er et brudd på kravene til personopplysningssikkerhet i personvernforordningen, sier seniorrådgiver Susanne Lie i Datatilsynet.

Feilen er rettet opp med hjelp fra CGM, og kommunen har innført et nytt internkontrollsystem.

– Det var et veldig strengt gebyr, men vi tar det til etterretning, sier kommunedirektøren i Høylandet kommune Liv Elden Djokoto. 

– Kommunen jobber med å få bedre rutiner på plass, sier hun.

Kommunen har tre ukers klagefrist fra de mottok vedtaket i slutten av september. 

St. Olavs hospital godtok 750 000 kroner i gebyr fra Datatilsynet

Bildet viser St. Olavs hospital, Trondheim
BRØT PERSONVERNFORORDNINGEN: I dag kalles det EUs regelverk for personvern og er en del av personopplysningsloven. På engelsk: the General Data Protection Regulation (GDPR). Foto: Ellen Morland

St. Olavs hospital lot mapper med helseopplysninger ligge åpne for helsepersonell i hele Helse Midt-Norge. Nå har sykehuset godtatt et gebyr på 750 000 kroner fra Datatilsynet.

Opplysningene i mappene gjaldt et større antall pasienter og knyttet seg til hjertemedisinsk avdeling, medisinsk utstyr og barne- og ungdomspsykiatrien.

– Helseopplysninger har et særskilt krav på vern, og vi ser særlig alvorlig på at deler av opplysningene gjelder barn, sier juridisk seniorrådgiver Susanne Lie i Datatilsynet.

Tre avviksmeldinger i 2020

Saken startet med tre avviksmeldinger fra sykehuset i mars 2020. 

Mappene har i prinsippet ligget tilgjengelige for alle autoriserte brukere i Helse Midt-Norge.

De inneholdt blant annet dette: 

  • anamnese (pasientens egen redegjørelse)
  • utførte prosedyrer
  • hemodynamisk trykk
  • koronar arteriografi 
  • utstyrssammendrag
  • komplikasjoner
  • medisinering under prosedyre
  • hemo-bilder
  • navn på utførende lege og sykepleier

Avviket forekom i perioden 17.05.2015 til 28.01.2020 og ble oppdaget den 21.11.2019. 

Ettersom saken gjelder forhold som startet før innføringen av EUs personvernforordning, som trådte i kraft 20. juli 2018, så blir avgiften satt til under en million.

Opp til 100 millioner i gebyr i dag

Med dagens regler kan slike brudd på regelverket straffes med gebyrer på opp til 10 millioner euro, det vil si over 100 millioner kroner.

I etterkant har St. Olavs hospital slettet filene og gjort et større arbeid med å innføre relevante tiltak for å bedre personopplysningssikkerheten.

– Vi har likevel kommet til at sykehuset skal få et overtredelsesgebyr for brudd på grunnleggende krav til tilgangsstyring, forteller Lie.

Dette utgjør brudd på kravene til personopplysningssikkerhet i personvernforordningen artikkel 32, jf. artikkel 25 og 5, og pasientjournalloven §§ 22 og 23.

Du kan lese hele vedtaket her.

Har godtatt gebyret

Direktør for virksomhetsstyring Merete Blokkum ved St. Olavs hospital sier dette: 

– I forbindelse med en ekstern revisjon fra Riksrevisjonen ble det avdekket at personidentifiserbare opplysninger, navn og personnummer samt bilder fra ulike ultralyd- og CT-undersøkelser, var lagret i elektroniske mapper.

– Opplysningene var hentet ut fra medisinsk teknisk utstyr og skulle mellomlagres for å skannes inn i pasientenes journaler. Disse mappene skulle hatt tilgangsbegrensning slik at bare ansatte med tjenstlig behov kunne åpne de, forklarer hun.

– Det er svært beklagelig at slik adgangsbegrensning til mappene ikke ble etablert. Vi har imidlertid ingen indikasjoner for at opplysningene har vært tilgjengeliggjort for andre enn helsepersonell med tjenstlig behov, ifølge Blokkum. 

De aktuelle opplysningene er nå sikret og overført til pasientenes journal eller elektroniske mapper med definert tilgangskontroll.

– St. Olavs hospital behandler store mengder sensitive personopplysninger. Foretaket er svært opptatt av at opplysningene blir behandlet på en trygg og sikker måte, og at personvernet ivaretas, sier Blokkum.

– Opplysningene skal sikres mot uautorisert bruk. Samtidig må vi legge til rette for en god informasjonsflyt mellom helsepersonell, slik at oppdatert og relevant informasjon om pasientene er tilgjengelig når det er nødvendig for å gi god og forsvarlig helsehjelp. St. Olavs hospital er derfor helt avhengig av at pasientene har tillit til vår håndtering av pasientopplysninger og ivaretakelsen av deres personvern.

OSLO 1972: Streik blir den ventede sykepleier-reaksjon på statsminister Trygve Brattclis tilbud til Sykepleieraksjonen 1972. Han vil ikke imøtekomme sykepleiernes krav om tre lønnsklassers opprykk, men vil bl. a. foreslå skattepolitiske tiltak. Her aksjonskomiteen f.v. Anne-Lise Bergenheim, Bjørg Wendelborg, Aud Vinje, Christine Thorstensen, Eva Heyerdahl og Anne-Marie Grøygaard, som holder uravsteming pr. telefon til landets sykehus. det er ventet at de ikke vil godta dette. Foto: Vidar Knai / NTB / Scanpi

Sykepleiens historiske arkiv

Sykepleien har dekket sykepleiernes hverdag helt siden 1912.

Finn ditt gullkorn blant 90 000 sider.