I oktober i fjor skulle en teknikker kjøre diagnose på Sykehuset Innlandets RIS/PACS-system.
Teknikeren koblet seg til sykehusets nettverk, utførte testene og dro deretter rett til utlandet med maskinen.
Behandlet personopplysninger
«Mens tilkoblet, behandlet maskinen helse- og personopplysninger for pasienter ved SIHF. I hvilken grad rester av disse datasettene helt eller delvis, villet eller ikke, ble igjen på datamaskinen er ukjent.» skriver informasjonssikkerhetsleder Christian Jacobsen i Sykehuspartner i sin rapport til Datatilsynet som digi.no har fått tilgang til.
RIS – Radiology Information System – er et radiologisk informasjonssystem der informasjon generert under radiologiske undersøkelser lagres. PACS – Picture Archiving and Communication System – er systemet som brukes for bildelagring og visningen av radiologiske bilder.
Ifølge Sykehuset Innlandet ble ikke rutinene fulgt når ikke-godkjent utstyr ble tilkoblet sykehusets nettverk.
– Aksepteres ikke
Teknikeren som foretok testingen skulle ha levert fra seg testmaskinens harddisk før han forlot sykehusets område. Det gjorde han ikke. Derimot tok han med seg maskinen og dens innhold ut av EU.
– Saken ble eskalert og rapportert til ledergruppene i Sykehuspartner og Sykehuset Innlandet for å uttrykke at slike avvik ikke aksepteres. Saken ble også meldt Datatilsynet. Vi tok umiddelbart kontakt med leverandøren som bekreftet at gjenværende data fra datamaskinen ville bli slettet, sier informasjonsikkerhetsleder Jacobsen til digi.no.
Brudd på egne rutiner
Ifølge Jacobsen er deres endelige konklusjon etter hendelsen at leverandøren ikke fikk med seg sensitiv pasientinformasjon.
– Hendelsen var et brudd på våre rutiner, men det medførte ikke ulovlig innsyn eller utlevering av helse- og personopplysninger, konkluderer han til digi.no.
Ifølge Jacobsen skal ikke noe lignende ha skjedd i Sykehuspartners systemer tidligere.
Datatilsynet har avsluttet saken
Datatilsynet tror på forklaringen til helseforetaket og deres dataleverandør, og har derfor valgt ikke å ta saken videre.
– Denne tilkoblingen var en del av et planlagt arbeid. I etterkant av den opprinnelige avviksrapporten har vi mottatt en bekreftelse på at alle opplysninger på den omtalte datamaskinen har blitt slettet på en måte som man finner tilfredsstillende, skriver seniorrådgiver i Ragnhild Castberg Datatilsynet i sin rapport.
Datatilsynet anså derfor tiltakene som har blitt gjort i forbindelse med den uautoriserte datakoblingen som tilstrekkelige, og valgte derfor å legge saken død.
Ingen garantier
– Kan man allikevel garantere at ingen opplysninger har havnet i feil hender?
– Helt sikre kan man aldri være. Her må man stole på den avtalesikkerheten man har med den andre tjenesteleverandøren. Dataene kan ha blitt kopiert av teknikeren, selv om han har gitt fra seg maskinen i etterkant. Man vil aldri ha 100 prosent kontroll. I dette tilfellet er det en tekniker som ikke har fulgt avtalevilkårene, men tredjepartsleverandør forsikrer oss om at dataene er slettet, så da velger vi å stole på det, konkluderer overingeniør Ted Tøraasen i Datatilsynet til digi.no.
Etter denne hendelsen valgte sykehuset å implementere løsninger som skal forhindre at lignende skjer igjen: Slik løste de det – og dette bør du selv tenke på » (Digi Ekstra)