Datatilsynet: – Vi vil vekke sykehusene
Datatilsynet mener sykehusene må få øynene opp for hvor galt det kan gå hvis pasientdata kommer på avveie.
Denne artikkelen er mer enn fire år gammel.
Nylig fikk Sykehuset Østfold pålegg fra Datatilsynet om å betale 750.000 kroner i gebyr for brudd på personvern-regelverket. Dette vakte reaksjoner i sykehuset.
– Her opplever vi at vi har et datatilsyn som etter vår mening kommer med et uforståelig høyt gebyr om noe vi melder fra om selv, sa avdelingssjef Jostein Vist ved Juridisk avdeling ved Sykehuset Østfold da han kommenterte gebyret overfor Dagens Medisin.
Det er ikke Datatilsynet enig i.
– Vi mener dette er en rimelig sum, sier seniorrådgiver Susanne Lie i Datatilsynet.
Kunne vært høyere
Bruken av overtredelsesgebyr viser i utgangspunktet at saken er alvorlig, forklarer Lie.
– Vi har flere mulige virkemidler ved brudd på personvern-regelverket. Det at vi gir et overtredelsesgebyr viser at vi ser alvorlig på saken, sier Lie.
Hun viser til flere momenter som gjør at Datatilsynet mener dette:
- Saken gjelder både informasjonssikkerhet, ved at data er lagret utenfor sikkert lagringsområde, og tilgangsstyring, det vil si at ansatte uten såkalt «tjenestlig behov» har fått tilgang til data.
- Svikten har vedvart over år
- Saken gjelder personopplysninger fra over 10.000 pasienter
I 2018 ble det innført et nytt personvernregelverk, GDPR. Tidligere kunne slike gebyrer være på maks en million kroner. Nå er høyeste beløp 107 millioner kroner.
Dersom feilen hadde oppstått etter at det nye regelverket ble innført, ville det kunne gitt utslag på gebyret, sier Lie.
– Vi har lagt oss i det nedre sjiktet siden svikten oppsto før det nye regelverket trådte i kraft. Hadde dette vært et avvik som kun hadde skjedd i tiden etter at det nye regelverket ble innført, kunne gebyret ha blitt enda høyere.
Ble satt ned
Lie viser også til at Datatilsynet i utgangspunktet varsler om et høyere gebyr.
– Vi varslet et gebyr på 1,2 millioner kroner, så vi har nedjustert gebyret. Det skyldes at avviket gjaldt færre personer enn først antatt. Det er 118 ansatte ved sykehuset som har hatt tilgang til dataene, og så har vi fått opplyst det var en andel av dem som ikke hadde tjenestelig behov. Sykehuset har ikke oppgitt hvor mange. Vi antar at det er rundt 100 personer.
Plikt til å følge regelverket
– Jostein Vist ved Sykehuset Østfold sier det «må være lov å spørre seg om man våger å melde fra neste gang det avdekkes svikt eller uønskede hendelser». Hva er din kommentar til hans utsagn?
– Etter personvernregelverket har virksomheter plikt til å melde fra om sikkerhetsbrudd som kan medføre høy risiko for dem som er berørt. Det er også sånn at om virksomheten melder fra selv, istedenfor at dette blir kjent via andre kilder, så vil det telle når vi vurderer om gebyr skal gis og i hvilken størrelsesorden. Vi er avhengige av å få informasjon for å følge opp regelverket.
En vekker
– Vi håper at dette vil gi sykehusene en vekker om at personopplysnings-sikkerhet og personvern er viktig – og at hvert sykehus må jobbe aktivt for å ivareta det, sier Lie.
Hun henviser til fersk sak fra Finland om hacking av sensitive personopplysninger, omtalt av Aftenposten. Saken gjelder at hackere har fått tilgang til data fra et privat selskap som tilbyr samtaleterapi. Ifølge Aftenposten er det ikke kjent hvor mange som er rammet, men det kan gjelde 40.000. Flere pasienter har fått utpressingskrav hvor det oppgis at de kan betale for å få slettet sine data.
– Dette er en sak som viser hvor galt det kan gå og hvor verdifulle helsedata er. Vi slår hardt ned på brudd på personopplysnings-sikkerheten for å bevisstgjøre sykehusene og unngå at verdien av sikkerhet rundt helsedata undervurderes.