Taushetsbelagt informasjon ble lagt ut offentlig

I oktober 2017 publiserte Sykehuset Innlandet en postliste over inngående og utgående brev som inneholdt om lag 70 tilfeller av sensitive personopplysninger. Feilen ble raskt oppdaget og listen ble fjernet 49 minutter etter at den ble publisert.

Sykehuset Innlandet publiserer i likhet med andre helseforetak en postjournal på sine nettsider. En postjournal er en liste over hvilke brev som er blitt sendt fra sykehuset og hvilke brev som sykehuset har mottatt. I disse listene skal taushetsbelagt informasjon om pasienter og ansatte være fjernet slik at innholdet er anonymisert. Det er viktig å presisere at det her er snakk om en offentlig postliste og ikke pasientjournaler.

Postjournalen for 23. oktober 2017 ble dessverre publisert uten at taushetsbelagt informasjon var fjernet. Feilen ble raskt oppdaget og hele listen ble fjernet 49 minutter etter at den ble publisert. Det er lite sannsynlig at andre enn vedkommende som oppdaget feilen, har sett opplysningene. Sykehuset Innlandet kan imidlertid ikke utelukke dette.

– Denne hendelsen er bare å beklage. Våre pasienter og ansatte skal føle seg trygge på at vi ivaretar sensitiv informasjon på en god måte og slikt som dette skal ikke forekomme, sier kommunikasjonsdirektør i Sykehuset Innlandet, Frank Roar Byenstuen.

Saken ble på vanlig måte registrert i foretakets avvikssystem for videre oppfølging. I etterkant av hendelsen gjennomgikk Sykehuset Innlandet sine rutiner for å sikre at dette ikke skal skje igjen. En intern gjennomgang i senere tid avdekket at berørte parter ikke ble varslet om hendelsen. Datatilsynet eller Fylkeslegen ble heller ikke informert. Dette er nå gjort. Saken er også meldt til personvernombudet i Sykehuset Innlandet som nå gjennomgår den aktuelle postjournalen og gjør en vurdering av hvem som skal kontaktes. Disse vil få et brev med kopi av informasjonen som lå på nett.

– Vi vil ettergå hvorfor en sak som ble meldt inn i avvikssystemet vårt, ikke ble fulgt opp på en tilfredsstillende måte. Denne saken burde umiddelbart vært meldt Datatilsynet og Fylkesmannen, og de som var berørte skulle blitt informert på et tidligere tidspunkt, sier Byenstuen.