Mistet minnepinne med pasientdata

Mandag 13. desember 2010 ble det funnet en minnepinne på gaten av en person med tilhørighet til et av foretakene i Helse Sør-Øst. Minnepinnen innholdt pasientopplysninger.

Dette skriver Sykehuspartner i et brev til Datatilsynet, en såkalt avviksmelding. Informasjonsdirektør Ove Skåra er veldig fornøyd at Helse Sør-Øst har sendt en slik melding.

- Jeg har ikke tall på det, men det er ikke mange slike meldinger om avvik vi får hvert år. Det er et tegn på kvalitetssikring at Sykehuspartner har sendt denne meldingen, sier Ove Skåra i Datatilsynet.

Gjennomgår rutiner

Til tross for rosen mener Skåra at selve hendelsen er alvorlig. I brevet til Datatilsynet opplyser Sykehuspartner at minnepinnen som innholdt ”et antall pasientopplysninger (meldingsfiler) fra et medisinsk fagsystem, samt et antall tilsvarende data i et vedlegg til en epost lagret en epost arkivfil”.

På bakgrunn av arkivfilen ble eierskapet til minnepinnen avklart, men innholdet ble undersøkt ved et annet helseforetak i Helse Sør-Øst.

Sykehuspartner slår selv fast hendelsen ikke kan anses å ha medført til "uautorisert eksponering", ut over denne undersøkelsen. De berørte pasientene er ikke varslet.

- De sier også i meldingen at de vil gjenomgå rutiner og retningslinjer. Det er selvsagt ikke heldig at en slik minnepinne kommer ut på gaten. Det er et brudd i forhold til rutiner, selv om det her ser ut til å gjelde ikke-sensitive opplysninger, sier Skåra.

Vanskelig å kryptere

Cato Rindal er direktør for Sykehuspartner IKT. Han mener det er lite teknologisk som kunne ha blitt gjort for å unngå dette.

- Dette er rett og slett menneskelig svikt. Minnepinnen var ikke kryptert, og slik informasjon skal ikke komme på avveie. Vi har klare sikkerhetsrutiner på dette, men her har en ansatt ikke fulgt dem godt nok. Medarbeideren har hatt et reelt behov å flytte på informasjonen, men vært ubetenksom og ikke fulgt retningslinjene, sier Rindal.

- I brevet skriver dere at ”det vurderes også om tekniske løsninger bør etableres for å hindre gjentagelse”. Hva kan dere gjøre?

- I og med at det i dette konkrete tilfelle var en menneskelig svikt vil vi i første omgang minne de ansatte på hvilken sikkerhetspolicy og rutiner som gjelder. I tillegg er det igangsatt et regionalt kompetanseprogram knyttet til sikker behandling av pasientopplysninger for alle ansatte i Helse Sør-Øst. Det finnes selvsagt løsninger som sikrer systemene enda bedre. Vi har cirka 3.500 ulike applikasjoner i Helse Sør-Øst. Det er sikkert mulig å kryptere alle, men det er en stor jobb, sier Rindal.

- Det finnes systemer som gjør det umulig å kopiere informasjon til en minnepinne. Kunne det ha vært noe for dere?

- Klart det finnes slike systemer. Det er ved ett foretak allerede innført en løsning som sjekker for mulig datalekkasje via epost. Det pågår nå også et regionalt prosjekt for å vurdere ytterligere bredding av en slik tjeneste til de øvrige foretakene i Helse Sør-Øst, og hvor kontroll med minnepinner er en funksjon som kan bli en del av den endelige løsningen. I dette tilfellet har vi fulgt våre rutiner knyttet til avvikshåndtering, informert foretaket, RHFet og Datatilsynet, sier Rindal.

Få Computerworlds nyhetsbrev om helse og it.

Får bøter

Særlig det siste er Ove Skåra i Datatilsynet svært fornøyd med. Ifølge informasjonsdirektøren er det alt for få slike meldinger i Norge.

- Det som er veldig betryggende er at Sykehuspartner har rutiner å oppdage slike tilfeller. Mange ville nok ha ”glemt” det, tror jeg. I USA kan sykehus og andre helseorganisasjoner få bøter for slike tilfeller av informasjonstap uten å melde det til myndighetene, sier Skåra.

Skåra er klar på at pasientdata ikke hører hjemme på en minnepinne.

- Sensitive personsopplysninger har ikke noe å gjøre på en minnepinne. Det er mange virksomheter som har mye sensitiv informasjon, som Forsvaret, som har gjort det umulig å legge informasjon fra systemet på en minnepinne. Det er faste faste kanaler for kommunikasjon, slik at medarbeidere ikke kan nedlaste den, sier han.

Få Computerworlds nyhetsbrev om helse og it.