Internrevisjonen: Betydelige svakheter ved klinikken

Etter at klinikken ved psykologisk institutt ble stengt med umiddelbar virkning, satt Universitetet i Oslo i gang en granskning for å undersøke om driften var innenfor lovverket.

Både advokatfirmaet Kluge og Enhet for internrevisjon (EIR) ble satt til å granske forholdene, og forrige uke konkluderte Kluge i sin rapport med at det hadde vært flere avvik på klinikken.

Åpne tilganger
Nå har rapporten fra EIR også kommet, og også her er dommen hard. EIR mener at helhetlig styring og kontroll ved virksomheten ikke har vært tilfredsstillende, og skriver blant annet:

«Det er betydelige svakheter i internkontrollrutiner og etterlevelse av lover og regler. Det har ikke vært kontroll på hvem som har tilgang til personsensitive data. Journaler og helseregistre har vært åpne for betydelig flere enn det krav i lov og forskrifter tillater. Risikoen for uautorisert tilgang har eksponert pasienter og UiO for uønskede hendelser innen personvern».

Mangelfull kontrollbevissthet
EIR mener årsakene til svakhetene skyldes mangel på helhetlig intern kontroll, ikke tydelige roller og ansvar og mangelfull kontrollbevissthet. Internrevisjonen påpeker også at risikovurderinger ikke er utført og at det heller ikke er stilt krav til det.

• Les også: – Vi fikk ikke beskjed om feil i driften før stenging

I rapporten blir det påpekt at hele 1192 personer har hatt tilgang til et rom der det finnes sensitiv informasjon om pasientene, blant annet videoopptak og journaler. Grunnen til at så mange har tilgang, er fordi alle nye studenter får tilgang, men at det ikke finnes rutiner for å fjerne denne tilgangen igjen.

Strakstiltak
EIR påpeker at det er iverksatt strakstiltak på flere områder og at det pågår «et betydelig arbeid med å etablere rutiner og lukke svakheter».

De skriver også at «det er på rapporteringstidspunktet ikke avklart om det er krav til konsesjon fra Datatilsynet vedrørende behandling av sensitive personopplysninger i undervisningsvirksomheten».