Analysearbeidet etter dataangrepet mot Sykehuset Innlandet er avsluttet

Sykehuset Innlandet HF har i samarbeid med Sykehuspartner HF brukt store ressurser på kartlegging og analyse etter dataangrepet mot Sykehuset Innlandet den 22. august.

​Alt datamateriale er nå gjennomgått, analysert og kvalitetssikret.
Analysearbeidet viser at den berørte databasen til elektronisk kvalitetshåndbok ved en feil inneholdt særlige kategorier av personopplysninger (sensitive personopplysninger) fra Sykehuset Innlandets interne kvalitetssystem. Dette er et avvik og årsaken til avviket er lukket.

Det interne kvalitetssystemet er et system der ansatte melder fra om uønskede hendelser innenfor pasientbehandling og helse, miljø og sikkerhet på arbeidsplassen. Dette brukes i arbeidet med å forebygge at tilsvarende hendelser skjer igjen.

Fra kvalitetssystemet er det hentet ut data registrert i perioden november 2016 til februar 2020. Dette datamaterialet skal i utgangspunktet ikke inneholde personidentifiserbare opplysninger om pasienter, men det er avdekket noen tilfeller hvor det er mulig å kople ulike typer sensitive opplysninger til person. Det er viktig å understreke at dette ikke er pasientjournaler.

I henhold til Datatilsynets krav til varsling, viser gjennomgangen at 25 pasienter skal varsles særskilt. Sykehuset Innlandet kontakter nå alle disse pasientene. 

Videre viser gjennomgangen at flere ansatte også skal varsles i henhold til Datatilsynets krav, og Sykehuset Innlandet vil ivareta dette.  

Sykehuset Innlandet ser alvorlig på at et kriminelt angrep mot foretakets datasystemer rammer privatpersoner på denne måten. Det ligger i sakens natur at Sykehuset Innlandet ikke kan gi detaljerte opplysninger om konkret innhold i materialet som inneholder særlige kategorier av personopplysninger (sensitive personopplysninger).

Totalt seks web-baserte tjenester er berørte av dataangrepet. For de fem andre tjenestene er det ikke avdekket at særlige kategorier av personopplysninger er på avveie. 

Som et forebyggende sikkerhetstiltak, har Sykehuset Innlandet og Sykehuspartner gjennomført et tvungent passordskifte for ansatte i Sykehuset Innlandet. 

Dataangrepet er meldt til Fylkesmannen i Innlandet og Datatilsynet. Videre er det politianmeldt og Sykehuset Innlandet og Sykehuspartner bistår politiet med opplysninger. Innlandet politidistrikt opplyser at de etterforsker ulike spor fortløpende. Denne typen dataangrep innebærer ofte en omfattende etterforskning både på teknisk og taktisk nivå, og det gjenstår fortsatt etterforskningsarbeid. Etterforskningen utføres lokalt i samarbeid med Digitalt Politiarbeid Lillehammer, Kripos og Europol.

 Det vil ikke bli gitt ytterligere kommentarer.


  • Labhåndboka: Beskrivelse av ulike analyser og prøvetaking. Bestillinger på utstyr fra legekontor til laboratorier på Sykehuset Innlandet. Tjenesten inneholder ikke helseopplysninger.
  • MorsReg: Innmelding av dødsfall fra Sykehuset Innlandet og fra begravelsesbyrå. Inneholder opplysninger om avdøde. Alle data er kryptert.
  • Checkbox: System for innhenting av opplysninger fra pasienter i forbindelse med kvalitetsarbeid og forskningsprosjekter. Inneholder helseopplysninger. Det er ikke avdekket at helseopplysninger om enkeltpersoner er på avveie.
  • SI aktiv: System for registrering av treningsdata for ansatte (bedriftsidrett). Inneholder personopplysninger om ansatte. Det er ikke avdekket at særlige kategorier av personopplysninger er på avveie. 
  • Elektronisk kvalitetshåndbok: Kvalitetshåndbok publisert på internett. Det er også funnet data som ikke hører hjemme i elektronisk kvalitetshåndbok. Analysene viser at disse dataene inkluderer særlige kategorier av personopplysninger (sensitive personopplysninger).
  • Elektronisk studentvurdering: Inneholder informasjon som navn og fødselsnummer på studenter. Det er ikke avdekket at data er på avveie.


Datatilsynets definisjon av særlige kategorier av personopplysninger (sensitive personopplysninger) finnes her: https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger