rIsIkO
bekymringsmeldinger fra ansatte og pasienter
ved sykehuset, som fryktet at tjenesteutsettingen
ville gå ut over personvernet og datasikkerheten
ved foretakene.
– På grunnlag av disse meldingene ba vi om å få
et møte med ledelsen i Helse SørØst.
Vi ønsket å
se risikovurderingen for prosjektet. Det hadde de
ikke. Ikke den typen vi mener de burde ha, sier
Grete Alhaug, seniorrådgiver i Datatilsynet.
Fikk rekordbot
I løpet av det påfølgende året gransket Datatilsynet
Helse SørØsts
milliardprosjekt. Den
endte med hard kritikk og en bot på 800.000
kroner til hvert av sykehusene. Med en totalsum
på 7,2 millioner kroner er det den største boten
Datatilsynet noen gang har gitt.
I en 33 sider lang rapport konkluderer tilsynet
med at helseforetakene har brutt flere paragrafer
i pasientjournalloven og personopplysningsloven.
Spesielt legges det stor vekt på at ledelsen ikke
grundig vurderte risiko og konsekvenser for
personvern.
– Også etter gjeldende lovgivning skal man
gjøre risikovurderinger, spesielt når det gjelder
en så stor beslutning som denne. Å sette ut
driften av hele infrastrukturen er en veldig stor
endring sammenlignet med å ha kontrollen selv.
Samtidig samler man veldig mye pasientdata på
ett sted. Den totale risikoen blir da stor, sier
Grete Alhaug.
Ny forordning ville gitt diskusjon
General Data Protection Regulation (GDPR)
inneholder en egen bestemmelse om hvordan
virksomheter skal utrede konsekvenser for
personvern. Hadde tjenesteutsettingen blitt
vurdert opp mot denne, tyder mye på at
dagens situasjon ville vært en annen. Alhaug
presiserer at hun ikke kan vurdere skandalen i
HSØ etter en lov som enda ikke er innført,
men sier dette:
– Tjenesteutsetting i dette omfanget ville etter
det nye regelverket utvilsomt ha utløst en plikt til
å gjøre konsekvensutredninger på risiko og
FIkk rett: konserntillitsvalgt
svein Øverland advarte
tidlig mot risikoen for at
sensitiv helsedata kunne
komme på avveie hvis
sykehusenes Ikt-systemer
ble flagget ut. Men han ble
ikke hørt av ledelsen. Nå
har prosjektet blitt stanset
på grunn av manglende
risikovurdering.
nytt personvern 15
temahefte-48