Cxense Display

MTU-leverandør hentet ut personopplysninger uten å ha grunnlag for det

For å ivareta drift og vedlikehold har leverandører av

medisinskteknisk utstyr (MTU) til spesialisthelsetjenesten nødvendig tilgang

til opplysninger knyttet til bruk av materiell. Det er i forbindelse med dette

at GE har samlet pasientopplysninger uten at det finnes grunnlag for det. I Helse

Sør-Øst er Vestre Viken HF, Sørlandet Sykehus HF, Oslo universitetssykehus HF

og Diakonhjemmet sykehus berørt i saken.

GE

Healthcare Systems fant selv dette avviket gjennom en internrevisjon i november

2011. Sykehusene ble varslet i mars 2012. GE sier at opplysningene som er

hentet ut omfatter blant annet navn, fødselsnummer, kliniske data og i noen

tilfeller bilder.

GE opplyser at informasjonen ikke er misbrukt og at den

ligger på trygge lagringsenheter, isolert fra andre systemer og at det ikke har

vært uautorisert bruk av pasientopplysningene. Leverandøren har et selvstendig

ansvar for avviket som er avdekket.

De berørte foretakene i Helse Sør-Øst har varslet

Datatilsynet og Fylkeslegen om saken og holder disse løpende informert. Det

enkelte helseforetak er ansvarlig for databehandlingen og for å sikre at

sensitive personopplysninger lagres og behandles i henhold til lover og

forskrifter.

– Helse Sør-Øst RHF ser alvorlig på denne saken og ber nå

alle våre helseforetak som databehandlingsansvarlige om å gjennomgå alle

avtaler med tilsvarende leverandører og tjenester for å avklare at nødvendig

risikovurdering av informasjonssikkerhet er gjennomført og at forpliktende

databehandleravtale er etablert der det er nødvendig, sier viseadministrerende

direktør, Steinar Marthinsen i Helse Sør-Øst RHF.

For

ytterligere informasjon henvises det til informasjonsavdelingene i de berørte

helseforetak.