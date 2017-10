NTB Innenriks

Hvert av sykehusene og Sykehuspartner må betale 800.000 kroner hver i overtredelsesgebyr. Til sammen må foretakene ut med 10 millioner kroner for lovbruddene, melder NRK.

NRK avslørte tidligere i år at IT-arbeidere i India, Bulgaria og Malaysia hadde tilgang til pasientjournaler i Helse sør-øst.

Datatilsynet har lagt fram en 33 sider lang rapport der tilsynet konkluderer med at det ble gjort mangelfulle vurderinger av sikkerhet og risiko før helseforetaket satte ut IT-systemer til utlandet.

Ingen formildende omstendigheter

Tilsynet mener flere paragrafer i pasientjournalloven og personopplysningsloven er brutt.

– Vår vurdering er at det ikke finnes formildende omstendigheter i denne saken, skriver Datatilsynet.

Tilsynet mener dessuten at medienes omtale av saken har bidratt til å begrense konsekvensene ettersom Helse sør-øst da stanset fremdriften i prosjektet.

Vurderte ikke risiko

Ledelsen i Helse sør-øst sier til NRK at det er for tidlig å kommentere innholdet i rapporten, men at de vil gå grundig inn i dette.

Det var i mai NRK avdekket at IKT-arbeidere i Asia og Øst-Europa har hatt tilgang til datasystemet til Helse sør-øst. Det førte til at lederen for Sykehuspartner, Mariann Hornnes, trakk seg fra stillingen, og det kom krav fra flere hold om at øverste leder for helseforetaket, Cathrine Lofthus, måtte gå av.

Sikkerhetsloven

Etter loven er alle sykehusene juridiske enheter, de er pålagt å følge loven for hvordan pasientopplysninger skal behandles. Datatilsynet mener at saken grenser opp til Sikkerhetslovens virkeområde og skriver at helsesektoren har en særlig plikt til å ta hensyn til personvernet.

Konsulentselskapet PricewaterhouseCoopers gjennomførte i vår en ekstern undersøkelse som viste at 36 personer med tilknytning til den eksterne leverandøren hadde hatt utvidede administratorrettigheter. Det innebar at de hadde tilgang til helseopplysninger, men også at det er begrenset sporbarhet. Dermed er det vanskelig å etterprøve hvordan tilgangen er benyttet.

I tillegg hadde 86 personer hatt tilgang av mindre omfattende karakter, konstateres det i PwC-rapporten.

