Datatilsynet gir Oslo kommune smekk på en halv million
Helseopplysninger dårlig sikret i elleve år.
Datatilsynet har gitt Oslo kommune et overtredelsesgebyr på 500 000 kroner for å ha lagret pasientopplysninger utenfor journalsystemet ved kommunens sykehjem/helsehus fra 2007 til november 2018.
I en pressemelding skriver Datatilsynet:
– Dette er et alvorlig lovbrudd da det både har lang varighet og stort omfang, understreker Datatilsynets direktør, Bjørn Erik Thon.
– En uoverskuelig mengde helseopplysninger har vært tilgjengelige for et stort antall ansatte i minst 11 år. Oslo kommune er landets største kommune i folketall og burde dermed være særlig rustet til å ivareta kravene til informasjonssikkerhet.
Bakgrunn
Saken startet ved en avviksmelding til Datatilsynet fra Oslo kommune i november 2018. Oslo kommune opplyste at kommunens 19 sykehjem/helsehus som lå under Sykehjemsetaten, samt ni private sykehjem med avtale med kommunen, hadde hatt en praksis med bruk av såkalte arbeidslister. I arbeidslistene ble det skrevet beboeropplysninger som var nødvendige for daglig hjelp og stell, og beboerne ble identifisert ved hjelp av fullt navn og fødselsnummer, initialer eller romnummer.
Arbeidslistene ble lagret på de lokale intranettene, hvor de ansatte ved det enkelte sykehjem/helsehus, i tillegg til noen medarbeidere i Sykehjemsetaten, hadde tilgang. Omlag 90 prosent av de ansatte ved sykehjemmene/helsehusene er helsepersonell, men de resterende 10 prosentene – slik som renholdere eller vaktmestere – i teorien også har kunnet logge seg på og få tilgang til opplysningene.
Listene skal ha blitt overskrevet løpende, slik at kun opplysninger om nåværende beboere, og ikke tidligere beboere, til enhver tid var tilgjengelig. Ansatte som har arbeidet på det enkelte sykehjem/helsehus i lang tid, vil imidlertid ha hatt tilgang til opplysninger om et stort antall beboere.
Vurdert etter gammel personvernregelverk
I fastsettelsen av størrelsen på overtredelsesgebyret, ble det vektlagt at kommunen selv meldte avviket til Datatilsynet og raskt sørget for sletting av opplysningene. Det ble også sett hen til at lovbruddet i hovedsak fant sted før ny personopplysningslov og personvernforordning trådte i kraft i juli 2018. Etter den gamle personopplysningsloven var gebyr avgrenset til maksimalt 1 000 000 kroner. Det ble derfor ansett at et gebyr på 500 000 kroner var rimelig i denne saken.
Datatilsynet la til grunn at Sykehjemsetaten gjennom mange år ikke har hatt en tilstrekkelig bred tankegang i den overordnede styringen av de underliggende sykehjemmenes/helsehusenes praksis for informasjonssikkerhet.
Vi kom til at praksisen med lagring av identifiserbare pasientopplysninger utenfor journal klart brøt med kravene til sikkerhet og internkontroll i personvernforordningen artikkel 32 og pasientjournalloven §§ 22 og 23.
Tiltak for å unngå lignende i fremtiden
Etter at praksisen med arbeidslister ble oppdaget, ble det sendt ut en instruks fra Sykehjemsetaten til alle sykehjem/helsehus om at eventuelle arbeidslister skulle slettes umiddelbart. Ettersom arbeidslistene var lagret utenfor sikker sone, finnes det ikke logg over hvilke medarbeidere som har vært inne i listene, og det er ikke mulig å finne ut om uvedkommende har fått tilgang til opplysningene.
For å unngå lignende hendelser i fremtiden, har Sykehjemsetaten iverksatt tiltak knyttet til blant annet internrevisjon, lederoppfølging og kompetanseheving.
Oslo kommune har tre ukers frist til å klage på vedtaket.