Pasientopplysninger på avveie

GE Healthcare leverer utstyr som brukes til CT, MR og angiografi til flere helseinstitusjoner i Norge, blant annet Radiumhospitalet og Ullevål Universitetssykehus.

Denne uken meldte Datatilsynet at personopplysninger om over ett hundre tusen pasienter i Norge er hentet hjem til leverandørens systemer i USA.

GE Healthcare hevder opplysningene er feilaktig sendt sammen med statusoppdateringer selskapet mottar fra de utplasserte maskinene, og lover at alle data er sikret mot innsyn for uvedkommende.

Selskapet har selv oppdaget og informert om feilen, og Datatilsynet har kommet på banen og tar affære overfor sykehusene og instituttene som er rammet.

Datatilsynet: veldig alvorlig

Ifølge et varsel om vedtak Datatilsynet har sendt er det totalt ti norske virksomheter som er berørt av hendelsen. Totalt er det snakk om informasjon om 126.344 pasienter som er sendt til leverandørens servere i USA.

Avdelingsdirektør Helge Veum i Datatilsynet sier saken er svært alvorlig, men er glade for at leverandøren har tatt ansvar.

- Det er en svært alvorlig hendelse. Informasjonen er jo havnet utenfor kontrollen for både oss og helsemyndighetene. Heldigvis er opplysningene holdt innenfor konsernet, og de vil bli slettet, sier Veum til Computerworld.

Datatilsynet har bedt helsevirksomhetene rydde opp, og følge opp med GE.

- Virksomhetene skal ta opp problemet med leverandøren slik at det ikke gjentar seg, sier Veum.

Foreløpig har ikke Datatilsynet pålagt GE andre krav enn å redegjøre skriftelig for hendelsen, noe leverandøren har imøtekommet på en tilfredsstillende måte.

- Vi har ikke noe å utsette på hvordan GE har håndtert saken. De har redegjort skriftlig, og det har satt oss i stand til å følge opp med de utsatte virksomhetene, forteller Veum.

Skal ikke skje igjen

En tredjepart, i form av konsulentselskapet PwC, har fått i oppgave å analysere hendelsen. Deres analyser bekrefter at opplysningene ikke har vært tilgjengelig for andre enn GEs ansatte.

I tillegg er opplysningene lagret i et ustrukturert system som ikke gjør det enkelt å søke, finne eller lese informasjonen.

PwC undersøkte nøye for spor etter uautorisert tilgang og skadevare på serverene, og GE sier i via advokatfirmaet DLA Piper Norway DA at de er sikre på at personopplysningene er trygge.

Som et ekstra steg har GE fysisk flyttet serverene med informasjonen til et sikkert datasenter hvor fysisk tilgang til maskinene er svært begrenset.

Dataene er foreløpig ikke slettet, men GE lover at det vil skje så snart de ikke lenger er nødvendige i forhold til analyse av hendelsen.

Er din informasjon hos GE?

Informasjon fra ti virksomheter og totalt 126.344 pasienter i Norge er sendt til GEs servere i USA. De utsatte virksomhetene er:

• Curato Røntgen
• Diakonhjemmet Sykehus
• Haraldsplass Diakonale Sykehus
• Haukeland Universitetssykehus
• Odda Sjukehus
• Oslo Universitetssykehus Radiumhospitalet
• Oslo Universitetssykehus Ullevål
• Sørlandet Sykehus HF Arendal
• Stavanger Universitetssykehus
• Unilabs Røntgen Majorstuen
• Vestre Viken HF Buskerud

Informasjonen som er sendt til USA varierer med hvilke systemer som er brukt. Opplysninger som er sendt over dammen kan inkludere følgende:

• Navn
• ID-nummer
• Kjønn
• Høyde
• Vekt
• Størrelse
• Fødselsdato
• Kliniske opplysninger
• Bilder (i enkelte tilfeller)

De utsatte virksomhetene er bedt om å informere de berørte pasientene om hendelsen, og må også etablere tilfredsstillende sikkerhetstiltak med hensyn til konfidensialitet for leverandørtilknytninger for medisinskteknisk utstyr, ifølge et varsel om vedtak fra Datatilsynet.