Skriftlig spørsmål fra Åshild Bruun-Gundersen (FrP) til helse- og omsorgsministeren

Dokument nr. 15:1868 (2019-2020)
Innlevert: 10.06.2020
Sendt: 10.06.2020
Besvart: 19.06.2020 av helse- og omsorgsminister Bent Høie
Tilleggssvar: 19.06.2020

Åshild Bruun-Gundersen (FrP)

Spørsmål

Åshild Bruun-Gundersen (FrP): Mener statsråden at noen må holdes ansvarlige i denne saken, og hvordan mener statsråden at man kan stole på at de opplysningene som gis til offentlige etater forblir personlige?

Begrunnelse

NRK har avslørt at informasjon knyttet til psykiatri, abort, barnevern og kreft sammen med navn og personnummer til pasienter, er blitt lagt ut på Oslo Universitetssykehus sine nettsider. Spørsmålsstiller understreker at dette kun er det nyeste eksempelet på at norske etater ikke er i stand til å ta vare på og beskytte personvernet til norske borgere, og reagerer på det som åpenbart er for dårlige eller manglende rutiner.
Det hører dessverre ikke med til sjeldenhetene at personopplysninger kommer på avveie i det offentlige. I 2018 ble det avslørt at IKT-personell i Asia og Øst-Europa hadde tilgang til sensitiv pasientinformasjon til 3 millioner norske borgere i Helse Sør-Øst. I desember kunne VG avsløre at Ukraina-ansatte hadde fått tilgang på persondata fra 9 000 personer ansatt i Skatteetaten. Dette er bare noen av de ferskeste eksemplene.
Spørsmålsstiller ønsker gjerne en oppklaring fra statsråden på om man mener at en beklagelse er nok i denne saken, eller om noen skal holdes ansvarlig. Spørsmålsstiller ber også om at statsråden gjør rede for hvordan det jobbes med forståelsen av sikkerhetskultur for sensitive opplysninger, da dette ikke virker å fungere i like stor grad som man bør forvente at det gjør.

Bent Høie (H)

Svar

Bent Høie: Jeg ser alvorlig på hendelsen ved Oslo universitetssykehus og at rutinene ikke var tilstrekkelige for å hindre at taushetsbelagt informasjon kom i sykehuset offentlige postjournal. Det er avgjørende at befolkningen har tillit til helsetjenestens håndtering av pasientopplysninger og at det er en åpenhet rundt eventuelle avvik. Oslo universitetssykehus HF har fulgt opp denne saken både i forhold til tilsynsmyndigheter og de berørte pasientene. De har også tatt lærdom av denne saken og endret rutinene for å sikre personvernet og informasjonssikkerheten.
Helse- og omsorgsdepartementet har innhentet informasjon fra Helse Sør-Øst RHF i tilknytning til denne saken, som igjen har fått en nærmere redegjørelse fra Oslo universitetssykehus HF.
Oslo universitetssykehus HF ser svært alvorlig på hendelsen og har offentlig, og også overfor den enkelte pasient, beklaget at sykehuset har publisert person- og helseopplysninger i 275 tilfeller siste tre år.
Oslo universitetssykehus HF viser til at de i mai ble gjort oppmerksom på flere tilfeller av synlige personnummer (11 siffer) og/eller navn i sykehusets offentlige postjournal (offentlig postjournal er en oversikt over inngående og utgående post ved sykehuset, og viser dato, mottaker, avsender og overskrift på brev).
Personopplysninger i saker om pasientbehandling eller personalsaker er gjennomgående underlagt taushetsplikt og skal ikke offentliggjøres. Oslo universitetssykehus HF viser til at det i tillegg til navn og personnummer ble publisert informasjon om hvilken type korrespondanse det var og hvilken klinisk enhet som var avsender eller mottaker.
Når navn og/eller personnummer på denne måten er publisert sammen med navn på avdeling i sykehuset, gir det en pekepinn på type behandling eller sykdom. Oslo universitetssykehus HF var i første omtale av saken ikke tydelige på at dette kunne innebære at opplysninger om pasientenes helsetilstand var publisert og at man dermed hadde brutt taushetsplikten. Oslo universitetssykehus HF erkjenner at dette burde fremkommet tydelig i brevet som ble sendt ut til de berørte.
Oslo universitetssykehus HF erkjenner at taushetsbelagte opplysninger om den enkelte pasient i denne situasjonen er gjort offentlige og at helseforetaket gjennom dette har brutt taushetsplikten. I tillegg har helseforetaket brutt helsepersonelloven ved at taushetsbelagte helseopplysninger har blitt publisert. Oslo universitetssykehus HF ser som tidligere nevnt svært alvorlig på de forhold som har kommet frem og at helseforetaket selv ikke var i stand til å avverge dette igjennom de rutiner som var etablert.
Oslo universitetssykehus HF uttaler videre at rutinene ikke var tilstrekkelige for å hindre at dette skjedde. Ved sykehuset skal saksbehandlere kontrollere at brevets eller sakens offentlig tilgjengelige tittel (overskrift) ikke omhandler personopplysninger. Videre skal det være en dobbeltkontroll for å forhindre at feil i første instans blir fanget opp. Dobbeltkontrollen består i at to ansatte uavhengig av hverandre, går igjennom postlistene for å fjerne feil. Det er med andre ord i alt tre personer som er involvert. Første instans kan være hvor som helst i organisasjonen, og dobbeltkontrollen foregår i saksarkivet. I 275 tilfeller har disse rutinene sviktet.
Som en konsekvens av dette har Oslo universitetssykehus HF nå stanset all elektronisk publisering av offentlig postjournal. Ved krav om innsyn gis dette nå kun ut på forespørsel og etter nøye gjennomgang. Oslo universitetssykehus HF erkjenner at de manuelle rutinene selv med dobbeltkontroll ikke hindret feil, og de har tatt kontakt med leverandøren av arkivsystemet for å lage teknisk sperre som hindrer at navn og personnummer publiseres på postlistene. Inntil teknisk sperre er på plass, så vil postlistene ikke publiseres elektronisk på nett.
I tillegg til rutinemessig å kontakte de som har blitt rammet av feilen, har Oslo universitetssykehus HF varslet Datatilsynet og Fylkesmannen skriftlig om de forhold som har fremkommet i henhold til gjeldende rutiner. Oslo universitetssykehus HF kan dessverre ikke utelukke at person- eller helseopplysninger som har ligget åpent tilgjengelig har blitt misbrukt. Helseforetaket har derfor anbefalt de berørte om å være ekstra oppmerksomme på tegn til ID-tyveri i tiden framover. Pasientene har fått informasjon om hvor de kan henvende seg ved sykehuset for ytterligere informasjon.
Avslutningsvis viser jeg til at helsetjenesten er avhengig av tillit i befolkningen og Oslo universitetssykehus HF understreker at de er opptatt av å gjenopprette tilliten etter disse hendelsene. Helseforetaket opplyser at de aktuelle hendelsene vil bli benyttet aktivt i arbeidet med å bevisstgjøre både ledere og ansatte om viktigheten av trygg og korrekt håndtering av sensitiv informasjon. Videre å endre og påse at rutinene ivaretar krav til personvern, og at de er godt kjent i hele organisasjonen.
Pasientene skal være trygge på at deres helseopplysninger ikke kommer på avveie, og at både Oslo universitetssykehus HF og andre sykehus tar lærdom av og endrer rutinene ved avvik i informasjonssikkerheten og ved ivaretakelse av personvernet.

Korrigeret svar 24. juni 2020:

Jeg viser til brev av 10. juni 2020 fra Stortingets president med spørsmål til skriftlig besvarelse fra stortingsrepresentanten Åshild Bruun-Gundersen og til mitt svar til Stortinget datert 19. juni 2020.
I mitt svarbrev viste jeg til innspill fra Helse Sør-Øst RHF og til redegjørelse fra Oslo universitetssykehus HF til Helse Sør-Øst RHF. Her ble det vist til at Oslo universitetssykehus HF hadde kontaktet den enkelte pasient og beklaget at sykehuset har publisert person- og helseopplysninger i 275 tilfeller siste tre år.
Helse Sør-Øst RHF har informert Helse- og omsorgsdepartementet om at Oslo universitetssykehus HF har sendt en korrigert status for den kontakten de har hatt med pasientene som har vært omfattet av den aktuelle publiseringen av personopplysninger.
Det er totalt 229 unike personer som ble direkte berørt i saken. Det var sendt brev til 199 av disse. 30 personer var ikke kontaktet per 21. juni 2020.
Når det gjelder de 30 personene som ikke var kontaktet per 21. juni 2020, så har departementet fått følgende oppdatert status per 22. juni:

• 17 personer er døde og har av den grunn ikke blitt kontaktet.
• 7 pasienter innen psykisk helsevern og rusbehandling er blitt kontaktet telefonisk 22. juni og det er sendt brev til alle disse.
• 1 pasient hvor det tidligere utsendt brevet kom i retur er kontaktet telefonisk og nytt brev er sendt vedkommende.
• 1 person registrert uten fast bopel er kontaktet og brev er blitt sendt til vedkommende.
• Det er 4 personer som man ikke har lyktes å få kontakt med. 3 personer er registrert uten fast bopel, og hvor helseforetaket ikke har annen kontaktinformasjon. 1 person har reist til utlandet, og hvor helseforetaket heller ikke har kontaktinformasjon.

Jeg vil avslutningsvis beklage at det ikke ble gitt helt korrekt informasjon om oppfølgingen av de aktuelle pasientene i mitt svarbrev til Stortinget datert 19. juni 2020.

Tilleggssvar

I mitt svarbrev viste jeg til innspill fra Helse Sør-Øst RHF og til redegjørelse fra Oslo universitetssykehus HF til Helse Sør-Øst RHF. Her ble det vist til at Oslo universitetssykehus HF hadde kontaktet den enkelte pasient og beklaget at sykehuset har publisert person- og helseopplysninger i 275 tilfeller siste tre år.

Helse Sør-Øst RHF har informert Helse- og omsorgsdepartementet om at Oslo universitetssykehus HF har sendt en korrigert status for den kontakten de har hatt med pasientene som har vært omfattet av den aktuelle publiseringen av personopplysninger.

Det er totalt 229 unike personer som ble direkte berørt i saken. Det var sendt brev til 199 av disse. 30 personer var ikke kontaktet per 21. juni 2020.

Når det gjelder de 30 personene som ikke var kontaktet per 21. juni 2020, så har departementet fått følgende oppdatert status per 22. juni:
• 17 personer er døde og har av den grunn ikke blitt kontaktet.
• 7 pasienter innen psykisk helsevern og rusbehandling er blitt kontaktet telefonisk 22. juni og det er sendt brev til alle disse.
• 1 pasient hvor det tidligere utsendt brevet kom i retur er kontaktet telefonisk og nytt brev er sendt vedkommende.
• 1 person registrert uten fast bopel er kontaktet og brev er blitt sendt til vedkommende.
• Det er 4 personer som man ikke har lyktes å få kontakt med. 3 personer er registrert uten fast bopel, og hvor helseforetaket ikke har annen kontaktinformasjon. 1 person har reist til utlandet, og hvor helseforetaket heller ikke har kontaktinformasjon.

Jeg vil avslutningsvis beklage at det ikke ble gitt helt korrekt informasjon om oppfølgingen av de aktuelle pasientene i mitt svarbrev til Stortinget datert 19. juni 2020.