Skriftlig spørsmål fra Olaug V. Bollestad (KrF) til helse- og omsorgsministeren

Dokument nr. 15:848 (2013-2014)
Innlevert: 23.05.2014
Sendt: 23.05.2014
Besvart: 05.06.2014 av helse- og omsorgsminister Bent Høie

Olaug V. Bollestad (KrF)

Spørsmål

Olaug V. Bollestad (KrF): Hva vil statsråden gjøre for at pasientinformasjon og persondata som ligger på medisinteknisk utstyr rundt om i norske sykehus ikke kommer på avveier og overføres til de firma som har levert utstyret eller driver vedlikehold av utstyret?

Begrunnelse

Allerede i 2011 oppdaget et selskap som drev med vedlikehold av utstyr i Norge at taushetsbelagt personinformasjon var lastet ned og overført til USA. Det viser seg også at dette gjelder flere land enn Norge. Den gang gjaldt dette over 125 000 pasienter fra ti helsevirksomheter i Norge. Datatilsynet er svært bekymret for at sykehusene i landet har god nok kontroll med leverandørene sine. Igjen kan en lese i Stavanger Aftenblad 22. mai 2014 at pasienter i Helse Stavanger har fått vite at opplysninger om dem er på avveier, og det er derfor et stort behov for å sikre at dette ikke skjer igjen, gjennom avtaler både med leverandører og ikke minst hvem som skal ha tilgang til hvilke opplysninger ved gode rutiner og prosedyrer.

Bent Høie (H)

Svar

Bent Høie: Oppslaget i Stavanger Aftenblad 22.mai 2014 er ikke en ny sak, men en sak som ble avdekket i 2011, der GE Healthcare Systems hadde kopiert avgrensede sensitive data fra medisinsk-teknisk utstyr og lagret disse dataene beskyttet på en server hos GE Healthcare Systems i USA.

Datatilsynet fattet vedtak om at de berørte pasientene skulle informeres om hendelsen. Flere av virksomhetene påklaget vedtaket til Personvernnemnda. Nemnda opprettholdt Datatilsynets vedtak i desember 2013. Dette er grunnen til at det ble sendt ut informasjon, og at saken igjen får oppmerksomhet.

Det er til Datatilsynet og Personvernnemnda opplyst at GE Healthcare Systems ikke bevisst har kopiert opplysningene, men at opplysningene har blitt overført automatisk under regulært vedlikeholdsarbeid på apparatene. Det er ingen indikasjoner på at opplysningene er misbrukt av GE Healthcare Systems etter overføringen til USA.

Jeg ser alvorlig på denne hendelsen. Jeg presiserer at pasientinformasjon skal behandles i samsvar med gjeldene regelverk. Etter helseregisterloven må befatning med helseopplysninger ved teknisk vedlikehold og oppgraderinger følge av skriftlig avtale. Leverandører av medisinsk-teknisk utstyr kan ikke behandle helseopplysninger på annen måte enn det som er avtalt. Opplysningene kan heller ikke overlates til noen andre for lagring eller bearbeidelse.

De regionale helseforetakene og helseforetakene er oppmerksomme på dette, og har forsikret meg om at de hele tiden søker etter å ha på plass systemer, avtaler og rutiner som forebygger denne type hendelser.