Statsforvalteren krever nytt svar om personvern-praksis
Statsforvalteren krever et nytt svar fra OUS i omstridt personvernsak.
Denne artikkelen er mer enn tre år gammel.
Statsforvalteren i Oslo og Viken konkluderte i mars med at Oslo universitetssykehus har brutt forsvarlighetsplikten i en omstridt personvernsak. Administrerende direktør Bjørn Atle Bjørnbeth uttalte i den forbindelse til Dagens Medisin at han forsto kritikken.
OUS svarte statsforvalteren med løfter om å skjerpe seg.
– OUS vil bruke erfaringene fra denne saken til å forbedre og utvikle systemer og strukturer. Vi håper med dette at Oslo universitetssykehus har svart ut saken og at oppfølgingen som omtalt vil være tilfredsstillende for saken, skrev sykehuset i en tilbakemelding til statsforvalteren.
Men svaret ser ikke ut til å ha vært godt nok for mottaker, som nå ber sykehuset oppgi dokumentasjon på endringene.
– Statsforvalteren ønsker å se hvordan virksomheten jobber med sakene i praksis, heter det i et nytt brev til sykehuset.
Brevet er signert fylkeslege og avdelingsdirektør Marianne Skjerven-Martinsen ved Helseavdelingen hos Statsforvalteren i Oslo og Viken.
Varslet om personvern
Saken startet i 2019 da en gruppe leger meldte inn et fellesvarsel. I varselet pekte legene på konkrete tilfeller hvor de hevdet at det var oppstått problemer knyttet til håndtering av personvern og informasjonssikkerhet ved sykehuset, blant annet knyttet til tilgang til prøvesvar for pasienter, monitorering av pasienter og mulighet til å føre registre.
Varslet var både rettet mot tidligere personvernombud og sykehusledelsen. Sykehusets egne granskning konkluderte med at personvernombudet ikke hadde opptrådt kritikkverdig.
Saken ble også meldt inn til Fylkesmannen, nå kalt Statsforvalteren, i Oslo og Viken. Den ble først lukket, men så gjenåpnet i mars i fjor. Et år senere ble altså konklusjonen at OUS har brutt forsvarlighetsplikten og handlet i strid med flere bestemmelser i forskrift om ledelse og kvalitetsforbedring.
Vil vite hvordan sykehuset jobber
– Vi merker oss generelt at virksomheten har erkjent behovet for tydelighet i prosess og ansvar for beslutninger. Statsforvalteren er positiv til virksomhetens planer om økt lederinvolvering, tydelige linjer og samarbeidsarenaer for å løse oppgavene på dette området, heter det i brevet.
Men statsforvalteren viser til at det tidligere er bedt om å få oppgitt hvordan endringene kommer til uttrykk i praksis.
– I vår avgjørelse ba vi om å få opplyst hvordan virksomheten vil tilrettelegge for beslutningsprosesser knyttet til personvern/informasjonssikkerhet – og da særlig med henblikk på å sikre at det gjennomføres risikovurderinger opp mot pasientsikkerheten. Vi ba også om at det redegjøres for hvordan forannevnte ville implementeres i virksomheten og gjennomføres i praksis.
Ber om å få oppgitt referater
Oslo universitetssykehus har blant annet innført metoden DPIA, en type personvernkonsekvens-utredning for å kartlegge risiko og forankre beslutninger på riktig ledernivå når det kommer til pasientsikkerhet og forskning.
Statsforvalteren ber om å få oversendt tre eksemplarer av dokumenterte personvernkonsekvensvurderinger (DPIA) som er gjennomført.
Sykehuset har også oppgitt at det er opprettet flere nye møtearenaer internt i sykehuset for å diskutere personvern. Det er blant annet opprettet etablert det som omtales som helserettslig samarbeidsmøte for saker som krever en bredere prosess, ifølge OUS. Statsforvalteren ber også om:
- Referater fra faste samarbeidsmøter som er avholdt
- Rutinen for innmelding av saker til helserettslig samarbeidsmøte når denne er ferdigstilt
- Referater fra helserettslige samarbeidsmøter som er avholdt
Det har ikke lyktes Dagens Medisin å få tak i fylkeslege Marianne Skjerven-Martinsen for en kommentar onsdag.