Koblet uautorisert maskin til sykehusets pasientsystem. Så forsvant han med maskinen ut av landet

Teknikern som utførte vedlikehold ved Sykehuset Innlandet avdeling fulgte ikke rutinene han var pålagt, og reiste ut av landet med en datamaskin som hadde behandlet sensitive pasientopplysninger.
Teknikern som utførte vedlikehold ved Sykehuset Innlandet avdeling fulgte ikke rutinene han var pålagt, og reiste ut av landet med en datamaskin som hadde behandlet sensitive pasientopplysninger. (Bilde: SCANPIX)

I oktober i fjor skulle en teknikker kjøre diagnose på Sykehuset Innlandets RIS/PACS-system.

Teknikeren koblet seg til sykehusets nettverk, utførte testene og dro deretter rett til utlandet med maskinen.

Behandlet personopplysninger

«Mens tilkoblet, behandlet maskinen helse- og personopplysninger for pasienter ved SIHF. I hvilken grad rester av disse datasettene helt eller delvis, villet eller ikke, ble igjen på datamaskinen er ukjent.» skriver informasjonssikkerhetsleder Christian Jacobsen i Sykehuspartner i sin rapport til Datatilsynet som digi.no har fått tilgang til. 

RIS – Radiology Information System – er et radiologisk informasjonssystem der informasjon generert under radiologiske undersøkelser lagres. PACS – Picture Archiving and Communication System – er systemet som brukes for bildelagring og visningen av radiologiske bilder. 

Informasjonssikkerhetsleder Christian Jacobsen hos Sykehuspartner sier at det ble gjort nødvendige tiltak etter den uønskede hendelsen.
Informasjonssikkerhetsleder Christian Jacobsen hos Sykehuspartner sier at det ble gjort nødvendige tiltak etter den uønskede hendelsen. Foto: Sykehuspartner

Ifølge Sykehuset Innlandet ble ikke rutinene fulgt når ikke-godkjent utstyr ble tilkoblet sykehusets nettverk. 

– Aksepteres ikke

Teknikeren som foretok testingen skulle ha levert fra seg testmaskinens harddisk før han forlot sykehusets område. Det gjorde han ikke. Derimot tok han med seg maskinen og dens innhold ut av EU. 

– Saken ble eskalert og rapportert til ledergruppene i Sykehuspartner og Sykehuset Innlandet for å uttrykke at slike avvik ikke aksepteres. Saken ble også meldt Datatilsynet. Vi tok umiddelbart kontakt med leverandøren som bekreftet at gjenværende data fra datamaskinen ville bli slettet, sier informasjonsikkerhetsleder Jacobsen til digi.no.

Brudd på egne rutiner

Ifølge Jacobsen er deres endelige konklusjon etter hendelsen at leverandøren ikke fikk med seg sensitiv pasientinformasjon. 

– Hendelsen var et brudd på våre rutiner, men det medførte ikke ulovlig innsyn eller utlevering av helse- og personopplysninger, konkluderer han til digi.no.

Ifølge Jacobsen skal ikke noe lignende ha skjedd i Sykehuspartners systemer tidligere. 

Datatilsynet har avsluttet saken

Datatilsynet tror på forklaringen til helseforetaket og deres dataleverandør, og har derfor valgt ikke å ta saken videre. 

– Denne tilkoblingen var en del av et planlagt arbeid. I etterkant av den opprinnelige avviksrapporten har vi mottatt en bekreftelse på at alle opplysninger på den omtalte datamaskinen har blitt slettet på en måte som man finner tilfredsstillende, skriver seniorrådgiver i Ragnhild Castberg Datatilsynet i sin rapport. 

Ted Tøraasen i Datatilsynet var fornøyd med Sykehuspartner sine i etterkant av den uønskede hendelsen.
Ted Tøraasen i Datatilsynet var fornøyd med Sykehuspartner sine i etterkant av den uønskede hendelsen. Foto: Datatilsynet

Datatilsynet anså derfor tiltakene som har blitt gjort i forbindelse med den uautoriserte datakoblingen som tilstrekkelige, og valgte derfor å legge saken død. 

Ingen garantier

– Kan man allikevel garantere at ingen opplysninger har havnet i feil hender?

– Helt sikre kan man aldri være. Her må man stole på den avtalesikkerheten man har med den andre tjenesteleverandøren. Dataene kan ha blitt kopiert av teknikeren, selv om han har gitt fra seg maskinen i etterkant. Man vil aldri ha 100 prosent kontroll. I dette tilfellet er det en tekniker som ikke har fulgt avtalevilkårene, men tredjepartsleverandør forsikrer oss om at dataene er slettet, så da velger vi å stole på det, konkluderer overingeniør Ted Tøraasen i Datatilsynet til digi.no.

Etter denne hendelsen valgte sykehuset å implementere løsninger som skal forhindre at lignende skjer igjen: Slik løste de det – og dette bør du selv tenke på » (Digi Ekstra) 

Kommentarer (16)

Kommentarer (16)
Til toppen