Hentet ut data fra internt kvalitetssystem i Sykehuset Innlandet
Analysen etter dataangrepet mot Sykehuset Innlandet er avsluttet. Både pasienter og ansatte blir nå varslet i henhold til krav fra Datatilsynet.
Den 22. august i år ble det oppdaget et dataangrep mot seks tjenester driftet av Sykehuset Innlandet. Nå skal alt av datamateriale være gjennomgått, analysert og kvalitetssikret.
I en av tjenestene skal det ha blitt avdekket at personopplysninger kan være på avveie.
Varsler pasienter og ansatte
Det er i det interne kvalitetssystemet Elektronisk kvalitetshåndbok at analysearbeidet viser at databasen ved en feil inneholdt særlige kategorier av sensitive personopplysninger fra Sykehuset Innlandet.
Dette er et avvik og årsaken til avviket er lukket, skriver Sykehuspartner i en nyhetsmelding på sine sider.
Elektronisk kvalitetshåndbok er et internt systemet der ansatte melder fra om uønskede hendelser innenfor pasientbehandling og helse, miljø og sikkerhet på arbeidsplassen. Kvalitetssystemet brukes i arbeidet med å forebygge at tilsvarende uønskede hendelser skjer igjen.
Ifølge Sykehuspartner skal det ha blitt hentet ut data fra dette systemet:
Fra kvalitetssystemet er det hentet ut data registrert i perioden november 2016 til februar 2020. Dette datamaterialet skal i utgangspunktet ikke inneholde personidentifiserbare opplysninger om pasienter, men det er avdekket noen tilfeller hvor det er mulig å kople ulike typer sensitive opplysninger til person. Det er viktig å understreke at dette ikke er pasientjournaler, heter det i meldingen.
I henhold til Datatilsynets krav til varsling, viser gjennomgangen at 25 pasienter skal varsles særskilt. Sykehuset Innlandet kontakter nå alle disse pasientene.
Det samme gjelder også for flere av de ansatte.
Etterforskes videre
Det er totalt seks tjenester som skal være berørte av dataangrepet, men det skal kun være i Elektronisk kvalitetshåndbok at personopplysninger kan ha havnet på avveie.
Sykehuset Innlandet har i samarbeid med Sykehuspartner brukt store ressurser på kartlegging og analyse etter dataangrepet. De har også gjennomført et tvungent passordskifte for ansatte i Sykehuset Innlandet som et forebyggende sikkerhetstiltak.
Dataangrepet skal være meldt til Fylkesmannen i Innlandet og til Datatilsynet. Saken er også politianmeldt, og det gjenstår fortsatt etterforskningsarbeid.
Sykehuspartner skriver at etterforskningen utføres lokalt i samarbeid med Digital Politiarbeid Lillehammer, Kripos og Europol.
Sykehuset Innlandet ser alvorlig på at et kriminelt angrep mot foretakets datasystemer rammer privatpersoner på denne måten. Det ligger i sakens natur at Sykehuset Innlandet ikke kan gi detaljerte opplysninger om konkret innhold i materialet som inneholder særlige kategorier av personopplysninger (sensitive personopplysninger), heter det i meldingen.