Feilaktig uthenting av personopplysninger i 2011

Leverandør av medisinsk-teknisk utstyr, GE Healthcare System, har ved en feil hentet ut personopplysninger uten å ha grunnlag for dette. Dette gjelder blant annet kvinner som deltok i mammografiscreening ved Oslo universitetssykehus.

Alle norske kvinner i en spesifikk aldersgruppe inviteres til mammografiscreening av Kreftregisteret. Kreftregisteret sender opplysninger til sykehuset om hvilke kvinner som skal innkalles, og disse opplysningene er lagt inn i sykehusets systemer. Dette er teknisk avanserte bildesystemer som er viktige i behandlingen, og hvor leverandøren gis tilgang for å bidra til at systemene skal fungere på sitt beste hele tiden.

For ca 3500 kvinner ble det hentet ut informasjon om at de var innkalt til mammografi. Det er ikke funnet kliniske opplysninger om kvinnene som har vært innkalt til mammografi, kun at de var innkalt og fødselsnummer.
 
For en større gruppe pasienter, nesten 7000, har GE Health Care hentet ut ytterligere personinformasjon; fødselsnummer, vekt og hvilken kroppsdel det er tatt bilde av. Det er ikke hentet ut opplysninger om sykdom eller røntgenfunn.
De av sykehusets pasienter som er berørt av denne feilen informeres direkte om hendelsen i brev.
 
Dette har ikke hatt noen direkte konsekvenser for pasient eller for behandling. Sykehuset beklager denne hendelsen, og har strammet ytterligere inn på leverandørtilgangen.

Hva har skjedd?

Feilen oppsto i forbindelse med fjerndriftstjenesten av utstyr for bildediagnostisering som CT, MR og angiografi Dette gjelder flere helseforetak i landet, og Oslo universitetssykehus er ett av dem.

Leverandører av medisinsk-teknisk utstyr til sykehusene har tilgang til både utstyr og en del opplysninger for å sikre  at utstyret fungerer som det skal. Det er i en slik forbindelse at GE, uten grunnlag, har hentet ut identifiserbare opplysninger om flere pasienter, blant annet i Oslo universitetssykehus.

I Helse Sør-Øst er Vestre Viken HF, Sørlandet Sykehus HF og Diakonhjemmet sykehus også berørt. Sykehusene ble varslet i mars 2012.

GE Healthcare Systems fant selv feilen gjennom en internrevisjon i november 2011. GE opplyser at informasjonen ikke er misbrukt og at den ligger på trygge lagringsenheter, isolert fra andre systemer, og at det ikke har vært uautorisert bruk av opplysningene.

Siden hendelsen har man jobbet for å finne ut hva som faktisk har skjedd og det er tatt skritt for å bedre sikkerheten for fremtiden.