Fødselsnummer, kjønn, vekt, kliniske data. Personopplysningar om inntil 126.344 pasientar er henta ulovleg ut frå databasane til ti norske sjukehus og klinikkar og blitt lagra på ein server i USA.

Over halvparten av pasientane er behandla på sjukehus i Hordaland og Rogaland. Tal BT har henta viser at inntil 65.582 pasientar i Helse Vest-området kan vere berørte. Dei har vore pasientar ved Haukeland Universitetssjukehus, Odda sjukehus, Haraldsplass Diakonale Sykehus eller Stavanger Universitetssjukehus.

Det store fleirtalet er kvinner i alderen 50–69 år, som har vore til mammografi. Datatilsynet ser svært alvorleg på saka.

— Dette burde ikkje kunne skje, seier avdelingsdirektør Helge Veum.

Leverandøren varsla

Det amerikanske selskapet GE Healthcare, leverandør av medisinsk-teknisk utstyr til mange norske sjukehus, har utan å vere klar over det henta ut personopplysningane. Det var selskapet sjølv som oppdaga og informerte om avviket i november i fjor.

For Helse Bergen sin del viste det seg at identifiserbar, sensitiv pasientinformasjon har gått systematisk til GE i USA heilt sidan hausten 2006. Helse Bergen-direktør Stener Kvinnsland hadde aldri sett føre seg at det var mogleg å hente ut pasientopplysningar på denne måten.

— Vi har alle kasta oss over dette, og vi er heilt sikre på at informasjon ikkje er komen på avvege. Men dette var aldri meininga. Når vi skal forhandle med leverandørar, må vi forsikre oss om at dette ikkje kan skje, seier Kvinnsland.

- Veldig bekymra

I mars i år slo Datatilsynet fast at helseopplysningar var på avvege og sende ut varsel om vedtak om avvik. Samtidig bad tilsynet dei ti sjukehusa og klinikkane om å dokumentere kva som har skjedd og kven som er blitt ramma. Etter at alle har svart, pustar avdelingsdirektøren litt lettare.

— I det vesentlege gjeld opplysningane personnummer og type undersøking, opplyser avdelingsdirektør Helge Veum.

— Er det ikkje det alvorleg nok?

— Jo, men likevel ikkje så alvorleg som detaljerte opplysningar om helsa til pasientane. Det varierer kor omfattande opplysningane er for dei ulike pasientgruppene. Men vi er veldig bekymra over at ein utstyrsleverandør kan hente ut helseopplysningar på denne måten, utan at dei meiner å gjere det og utan at helseføretaka oppdagar det.

- Risiko å informere

Inntil vidare ligg personopplysningane i karantene hos GE Healthcare. Dei skal slettast, når datatabben er ferdig granska.

Datatilsynet vurderer no om dei involverte sjukehusa må informere pasientane om kva som har skjedd. Dette er Helse Bergen skeptisk til.

I svaret til Datatilsynet skriv Helse Bergen at i så fall må informasjonen på serveren i USA gjerast tilgjengeleg og analyserast, noko som vil innebere risiko for ytterlegare eksponering av sensitive data.

Helse Bergen meiner dessutan at skadeomfanget, både samla og for den enkelte, er relativt avgrensa.

100 ulike IT-leverandørar

Kvart enkelt helseføretak har ansvar for å lagre sensitiv personinformasjon på forsvarleg vis. Helse Bergen har over 100 ulike IT-leverandørar med tilsvarande linjer inn til Helse Bergen sitt utstyr som GE Healthcare.

No skal dei gå gjennom alle avtaler og rutinar for å sjå om noko liknande kan ha skjedd andre stader.

enda nyere pasientopplysninger på avveier.pdf