St. Olavs Hospital får refs og bot
Datatilsynet pålegger sykehuset overtredelsesgebyr på en kvart million.
- Vi ser svært alvorlig på at St. Olavs Hospital helt siden 2002 har behandlet personopplysninger i Norsk Karkirurgisk register uten rettslig grunnlag. Dette er sensitive personopplysninger om helseforhold, noe som gjør det ekstra viktig å behandle opplysningene riktig.
Det sier juridisk seniorrådgiver Cecilie B. Rønnevik i Datatilsynet, i en uvanlig krass melding fra tilsynet.
Hospitalet varsles et overtredelsesgebyr på 250.000 kroner for brudd på personopplysningsloven, og Datatilsynet krever også at de sletter opplysninger i alle inkludert i Norsk karkirurgisk register (NORKAR) 2002-2007.
Registeret inneholder identifiserbare helseopplysninger om alle som har fått gjennomført blodåreoperasjon, hentet fra helseforetakenes pasientjournaler.
Hentet aldri konsesjon
2007 gjennomførte tilsynet en kontroll som avdekket at Hospitalet manglet rettslig grunnlag for å behandle opplysninger om personer som ble inkludert i registeret før 2008, og at det heller ei var søkt om konsesjon.
De ble pålagt å søke konsesjon, noe Hospitalet gjorde. Søknaden ble innvilget på betingelsen at Hospitalet måtte innhente samtykke fra alle de registrerte.
En korrespondanse med St. Olavs som startet i desember 2011 avdekket imidlertid at dette aldri ble gjort.
- Av henvendelsene fra NORKAR er det tydelig at man ønsker å reparere dette nå ved å innhente samtykke fra de registrerte. Men St. Olavs Hospital fikk denne muligheten allerede i 2007, og vi kan ikke se noen gode grunner for at dette ikke har blitt gjort tidligere. Siden samtykke ikke har blitt innhentet, har konsesjonen vært ugyldig og opplysningene må derfor slettes, sier Rønnevik.
- Krenkende
Tilsynet vurderer episoden som en alvorlig krenkelse av enkeltpersonene opplysningene er tilknyttet.
- Når en pasient gir opplysninger til helsepersonell ved det enkelte sykehus, er det i tillitt til at opplysningene blir behandlet fortrolig. Her er det ikke hentet samtykke fra de registrerte eller hentet inn dispensasjon fra helsemyndighetene. Dermed har innhentingen også medført brudd på helsepersonellovens bestemmelser om taushetsplikt i det enkelte helseforetak. Det er klart at dette er svært alvorlig, sier Rønnevik i en melding publisert på Datatilsynet.no.
St. Olavs Hospital har foreløpig ikke kommentert saken.
