rIsIkO bekymringsmeldinger fra ansatte og pasienter ved sykehuset, som fryktet at tjenesteutsettingen ville gå ut over personvernet og datasikkerheten ved foretakene. – På grunnlag av disse meldingene ba vi om å få et møte med ledelsen i Helse SørØst. Vi ønsket å se risikovurderingen for prosjektet. Det hadde de ikke. Ikke den typen vi mener de burde ha, sier Grete Alhaug, seniorrådgiver i Datatilsynet. Fikk rekordbot I løpet av det påfølgende året gransket Datatilsynet Helse SørØsts milliardprosjekt. Den endte med hard kritikk og en bot på 800.000 kroner til hvert av sykehusene. Med en totalsum på 7,2 millioner kroner er det den største boten Datatilsynet noen gang har gitt. I en 33 sider lang rapport konkluderer tilsynet med at helseforetakene har brutt flere paragrafer i pasientjournalloven og personopplysningsloven. Spesielt legges det stor vekt på at ledelsen ikke grundig vurderte risiko og konsekvenser for personvern. – Også etter gjeldende lovgivning skal man gjøre risikovurderinger, spesielt når det gjelder en så stor beslutning som denne. Å sette ut driften av hele infrastrukturen er en veldig stor endring sammenlignet med å ha kontrollen selv. Samtidig samler man veldig mye pasientdata på ett sted. Den totale risikoen blir da stor, sier Grete Alhaug. Ny forordning ville gitt diskusjon General Data Protection Regulation (GDPR) inneholder en egen bestemmelse om hvordan virksomheter skal utrede konsekvenser for personvern. Hadde tjenesteutsettingen blitt vurdert opp mot denne, tyder mye på at dagens situasjon ville vært en annen. Alhaug presiserer at hun ikke kan vurdere skandalen i HSØ etter en lov som enda ikke er innført, men sier dette: – Tjenesteutsetting i dette omfanget ville etter det nye regelverket utvilsomt ha utløst en plikt til å gjøre konsekvensutredninger på risiko og FIkk rett: konserntillitsvalgt svein Øverland advarte tidlig mot risikoen for at sensitiv helsedata kunne komme på avveie hvis sykehusenes Ikt-systemer ble flagget ut. Men han ble ikke hørt av ledelsen. Nå har prosjektet blitt stanset på grunn av manglende risikovurdering. nytt personvern 15 temahefte-48