Sykehusansatt sparket og politianmeldt etter å ha snoket i 33 journaler

SAGT OPP: Den tidligere ansatte ved Oslo universitetssykehus gjorde oppslag i 33 pasientjournaler uten at det var noen medisinsk begrunnelse for det. Foto: Simen Askjer/TV 2
SAGT OPP: Den tidligere ansatte ved Oslo universitetssykehus gjorde oppslag i 33 pasientjournaler uten at det var noen medisinsk begrunnelse for det. Foto: Simen Askjer/TV 2
En tidligere ansatt ved Oslo universitetssykehus har logget seg på og tjuvlest i over tretti pasientjournaler. Den ansatte er sparket, og saken ble politianmeldt denne uken.
Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

Tidenes største snokeskandale er et faktum. En ansatt ved Oslo universitetssykehus har gått inn og lest i over tretti pasientjournaler, uten at det forelå en yrkesfaglig begrunnelse.

Terje Rootwelt er klinikksjef for Kvinne- og barneklinikken. Han forteller at saken ble avslørt av en anonym varsler i et brev til sykehuset.

– Det sto at vedkommende mistenkte at en ansatt hos oss hadde lest journaler som hun ikke skulle, sier klinikksjefen til TV 2.

Slo opp i 33 journaler

I ett og et halvt år har en ansatt ved Oslo universitetssykehus jevnlig brutt loven. Den ansatte ved Barneklinikken har skaffet seg ulovlig tilgang et titalls pasientjournaler, med svært sensitiv informasjon. Ledelsen fant ut at den ansatte hadde gjort oppslag i hele 33 pasientjournaler.

– Det er ganske mange?

– Det er veldig mange, sier Rootwelt, og tilføyer at situasjonen er svært alvorlig.

– Det er helt forferdelig. Og vi har stor forståelse for at de dette gjelder er fortvilte over dette. Og vi er fortvilet, vi og, understreker han.

Opprørte pasienter

Den ansatte ble først suspendert og senere sagt opp. Torsdag ble saken politianmeldt. Sykehuset har kontaktet alle pasientene som ble utsatt for snokingen.

– Vi har fått har noen telefoner tilbake igjen av opprørte pasienter. Det har jeg stor forståelse for.

– Hva sier de?

– De sier at de er fortvilet og opprørt.

Smutthull

I juni kunne TV 2 avsløre at smutthull i den elektroniske pasientjournalen ved åtti prosent av landets sykehus gir sykehusansatte ulovlig tilgang til millioner pasientjournaler.

– Hvis det stemmer så er det en skandale. Og det er at alvorlig brudd på den tilliten som pasienter skal få lov til å ha til sykehuset, sa Anne-Lise Kristensen, Helse- og sosialombud i Oslo kommune til TV 2 den gang.

Bare ved Oslo universitetssykehus har rundt 10.000 ansatte tilgang til over to millioner journaler de etter loven ikke skal ha tilgang til. Men, fordi det er Helse Sør-Øst som har inngått kontrakten med IT-leverandøren, er det lite sykehuset kan gjøre, annet enn å slå alarm.

Og det har de gjort gjentatte ganger siden 2014. Sykehuset kan kun kreve at avvikene lukkes. Men har ikke selv noen makt overfor leverandøren.

– Oslo universitetssykehus har meldt fra om disse hullene. Men det er ikke vårt sykehus som har den direkte dialogen med leverandøren om den videre utviklingen av systemet, forklarer Terje Rootwelt.

– Så dere har ingen mulighet til å tette disse hullene selv?

– Nei.

Dialog

Kommunikasjonsrådgiver i Anne-Brit Bøe i Helse Sør-Øst, som er kontraktseier, sier de ikke har mulighet til å stille til et intervju nå like før jul. Hun skriver imidlertid i en epost til TV 2 at de «har i dialog med DIPS definert endringer som vil få dette utbedret.» Videre skriver Helse Sør-Øst at:

«Helse Sør-Øst RHF har gjort et omfattende arbeid med å vurdere hvordan tilgangstyringen kan bedres. Sammen med DIPS og de to andre regionene som bruker løsningen pågår det nå en felles gjennomgang for å sikre at tilgangstyringen er tilfredsstillende og lik. Vi vil aldri kunne garantere oss helt mot at det gjøres urettmessige oppslag, men vi er opptatt av å redusere risikoen mest mulig. Vi innfører i løpet av 2018 et system som vil gi oss langt bedre muligheter for systematisk å kunne gjennomgå oppslag i pasientjournaler og slå ned på denne typen misbruk og lovbrudd.»

IT-selskapet DIPS ASA, som leverer den elektroniske pasientjournalen, hevder derimot at problemet allerede er løst ved at den ansatte nå må fylle ut en begrunnelse før de åpner pasientjournalen.

«Dette ble rettet gjennom mekanismen Begrunnelse ved aktivering av pasient, som ble levert i januar 2016. Denne mekanismen må aktiveres for å fungere på denne måten. Det har så vidt vi vet ikke skjedd ved OUS», skriver administrerende direktør Tor Arne Viksjø i Dips i en epost.

Datatilsynet ser veldig alvorlig på saken

Men dette er ikke godt nok, ifølge Camilla Nervik, seniorrådgiver i Datatilsynet. For når snokingen er et faktum har skaden allerede skjedd, og er i prinsippet uopprettelig for pasienten som er krenket.

– Det å kreve en begrunnelse er ikke noe sikkerhetstiltak. Det er en måte å kunne gå gjennom etterpå for å se at oppslaget har vært berettiget. Men vår erfaring er at disse loggene, eller disse begrunnelsene, ikke blir gjennomgått.

Datatilsynet er sterkt kritiske til at Oslo universitetssykehus og de andre sykehusene ikke har rettet opp feil de rapporterte om allerede i 2014

– Så har man nå tre år etter sett at det skjer avvik som følge av de hullene man allerede vet om. Så her skjer avvik på systemer man vet ikke er gode nok, og det er veldig alvorlig, sier Nervik.

FORVENTER HANDLING FRA HELSE SØR-ØST: Pasientombud Anne-Lise Kristensen synes det virker som om helseforetaket tar seg god tid til å fikse et problem de har visst om i lang tid. Foto: Simen Askjer/TV 2
FORVENTER HANDLING FRA HELSE SØR-ØST: Pasientombud Anne-Lise Kristensen synes det virker som om helseforetaket tar seg god tid til å fikse et problem de har visst om i lang tid. Foto: Simen Askjer/TV 2

Svekker tilliten til pasientene

Oslos pasientombud Anne-Lise Kristensen kaller hendelsen alvorlig.

– Det mest alvorlige er at det gjør noe med tilliten til pasienter når det gjelder det å skulle dele sensitiv informasjon med helsetjenesten, og vi er helt avhengig av at pasientene tør å fortelle om det som er nødvendig for å gi god helsehjelp, sier Kristensen til TV 2.

Hun peker på at Helse Sør-Øst har visst om problemet i lang tid og at Oslo universitetssykehus har varslet om saken gjentatte ganger.

– Det kan fra utsiden se ut som om Helse Sør-Øst tar seg veldig god tid med dette, og det tror jeg ikke pasientene setter pris på.

– Betyr det, siden dette ikke er ordnet opp i, at det kan skje igjen?

– Ja, fram til man får tettet disse sikkerhetshullene er det klart at det kan skje igjen. Det er ikke mer enn et halvt år siden Helse Sør-Øst lovet på denne kanalen at dette her skulle komme i orden så raskt som overhodet mulig, så nå gjenstår det å høre hva de sier om hva de gjør og når vi kan forvente at disse sikkerhetshullene er tettet, sier Kristensen.

TOK AFFÆRE: Sykehuset tok straks tak i saken etter at de mottok et anonymt tips, forteller klinikksjef Terje Rootwelt. Foto: Simen Askjer/TV 2
TOK AFFÆRE: Sykehuset tok straks tak i saken etter at de mottok et anonymt tips, forteller klinikksjef Terje Rootwelt. Foto: Simen Askjer/TV 2

Omfattende kartleggingsjobb

Terje Rootwelt forteller at sykehusets personvernavdeling satte i gang undersøkelser etter at det anonyme tipset kom. Klinikksjefen forklarer at alle oppslag i journaler logges. På den måten går det an å se om noen oppslag ikke passet med vedkommendes arbeidsoppgaver.

– Det er en relativt stor oppgave å gå gjennom og se oppslag som ikke passer med oppgavene, sier Rootwelt.

Undersøkelsene viste at vedkommende hadde gjort 33 oppslag som ikke kunne kobles til den ansattes arbeidsoppgaver.

– Når vi hadde gått gjennom dette og så at det var reell mistanke, kalte vi den ansatte umiddelbart til samtale hvor dette ble gjennomgått. Det kom frem at dette var ureglementerte oppslag, sier Rootwelt.

– Vet dere hvor mye den ansatte har lest av de ulike journalene?

– Det står hvilke dokumenter i journalen som er åpnet.

Pasienter kan ta kontakt

Klinikksjefen understreker at den generelle journalsikkerheten ved sykehuset er god, og at det ikke skal være grunnlag for bekymring. Men dersom pasienter er urolige for om uvedkommende har lest i deres journal, kan de kontakte sykehuset.

– Hvis man er bekymret for det så må man si ifra til sykehuset så kan man gå gjennom loggen deres, loggen for journalen deres for å se etter, sier Rootwelt.

Lik TV 2 Nyhetene på Facebook