For å ivareta drift og vedlikehold har leverandører av medisinskteknisk utstyr (MTU) til spesialisthelsetjenesten nødvendig tilgang til opplysninger knyttet til bruk av materiell. Det er i forbindelse med dette at GE har samlet pasientopplysninger uten at det finnes grunnlag for det. I Helse Sør-Øst er Vestre Viken HF, Sørlandet Sykehus HF, Oslo universitetssykehus HF og Diakonhjemmet sykehus berørt i saken.

 

GE Healthcare Systems fant selv dette avviket gjennom en internrevisjon i november 2011. Sykehusene ble varslet i mars 2012. GE sier at opplysningene som er hentet ut omfatter blant annet navn, fødselsnummer, kliniske data og i noen tilfeller bilder.

 

GE opplyser at informasjonen ikke er misbrukt og at den ligger på trygge lagringsenheter, isolert fra andre systemer og at det ikke har vært uautorisert bruk av pasientopplysningene. Leverandøren har et selvstendig ansvar for avviket som er avdekket.  

 

De berørte foretakene i Helse Sør-Øst har varslet Datatilsynet og Fylkeslegen om saken og holder disse løpende informert. Det enkelte helseforetak er ansvarlig for databehandlingen og for å sikre at sensitive personopplysninger lagres og behandles i henhold til lover og forskrifter.

 

- Helse Sør-Øst RHF ser alvorlig på denne saken og ber nå alle våre helseforetak som databehandlingsansvarlige om å gjennomgå alle avtaler med tilsvarende leverandører og tjenester for å avklare at nødvendig risikovurdering av informasjonssikkerhet er gjennomført og at forpliktende databehandleravtale er etablert der det er nødvendig, sier viseadministrerende direktør, Steinar Marthinsen i Helse Sør-Øst RHF.

 

For ytterligere informasjon henvises det til informasjonsavdelingene i de berørte helseforetak.