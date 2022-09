Torsdag skulle Oslo Universitetssykehus (OUS) sende ut en mail med oppdaterte råd om koronavaksinasjon til personer med den nevrologiske sykdommen multippel sklerose (MS).

TV 2 har vært i kontakt med en av personene som mottok denne mailen. Hun forsto umiddelbart at noe var galt.

– Da jeg åpner mailen ser jeg at alle mottakere ligger synlig, sier kvinnen til TV 2.

Hun har selv diagnosen MS, men har foreløpig ingen synlige plager. Det er derfor bare familie, nære venner og sjefen hennes som vet om diagnosen.

Kvinnen ønsker derfor å være anonym. TV 2 kjenner hennes identitet.

– Jeg lever godt med sykdommen, men dette oppleves som et brutalt overgrep. For meg er denne diagnosen den mest private delen av meg, sier kvinnen.

OUS sier til TV 2 at de beklager hendelsen sterkt. Les hele tilsvaret nederst i saken.

ALVORLIG: – Dette oppleves som et brutalt overgrep, sier kvinnen TV 2 har snakket med. Foto: Trond Reidar Teigen / NTB

Varslet sykehuset

Mailen ble sendt til rundt 1000 stykker. Kvinnen forteller at hun aldri har opplevd samme problem tidligere.

– Jeg jobber selv som HR-sjef i en stor offentlig etat, og kjenner derfor offentlighetsloven godt. Da jeg så dette reagerte jeg umiddelbart, sier kvinnen.

Hun tok raskt kontakt med både avsenderen av mailen og sykehusets personvernombud. Da hun ikke fikk noe svar ringte hun direkte til sykehuset.

Den første mailen ble sendt 13.36. Klokken 16.06, to og en halv time senere, ble det sendt ut en beklagelse og forklaring.

– Det har dessverre oppstått en alvorlig teknisk feil under utsendelse, skriver forskningslederen i mailen som TV 2 har sett.

KRITISERES: Oslo universitetssykehus kritiseres etter at de delte personopplysninger om en rekke pasienter. Foto: Jon Olav Nesvold / NTB

– Veldig betenkelig

Men bare en drøy halvtime senere skjer samme feil igjen.

Da sykehuset skal sende ut en mail for å tilbakekalle den første mailen legger de nok en gang alle e-postadresser synlig.

– Igjen må jeg varsle sykehuset om at det har skjedd en alvorlig feil, sier kvinnen.

Hun reagerer på at sykehuset ikke har bedre rutiner og synes det er spesielt kritikkverdig at samme feil kan skje to ganger.

– De burde tilbakekalt den første mailen med en gang. Jeg synes det er veldig betenkelig at de ikke tok tak i dette umiddelbart, sier hun.

Kvinnen innrømmer at hun ble litt overrasket over at hun reagerte så sterkt som hun gjorde, men tror dette er fordi hun ikke ønsker å bli definert av sykdommen.

– Folk er forskjellige. Noen synes sikkert dette var helt uproblematisk, men for meg føltes dette som et enormt overtramp, sier kvinnen.

– Skal ikke skje

Torgeir Waterhouse er ekspert på IT og har tidligere jobbet i både Forbrukerrådet og i IKT-Norge.

Han sier til TV 2 at feilen OUS har gjort er fullstendig uakseptabel.

– Dette skal ikke skje.

IKT-eksperten sier at det nå trolig sitter noen på OUS med en ekstrem skyldfølelse.

– Jeg tenker at her er det en eller flere som har hatt noen sinnssykt dårlige dager på jobb.

SKAL IKKE SKJE: Torgeir Waterhouse er en av Norges fremste eksperter på IT-sikkerhet gjennom 20 år. Han er tydelig på at feilen OUS har gjort, er helt uakseptabel. Foto: Aleksander Myklebust / TV 2

Waterhouse er mest opptatt av at OUS lærer av denne saken.

– Vi må erkjenne at mennesker kan gjøre feil, uten at det betyr at de er idioter, likegyldige eller ondskapsfulle. Jeg er mer opptatt av hvordan systemene agerer, og hva de gjør for å forebygge dette.

– Fryktelig lei sak

Klinikkleder ved Nevroklinikken ved Oslo universitetssykehus, Eva Bjørstad, sier til TV 2 at dette er en fryktelig lei sak, som ikke skulle ha skjedd.

– Nå undersøkes det hva feilen skyldes og det må vi få litt tid på oss til å gjøre. Vedkommende som sendte ut e-posten kontaktet umiddelbart sykehusets personvernombud, avdelingsleder, prosjektleder og Sykehuspartner IKT, sier Bjørstad.

Klinikklederen sier at saken rutinemessig er rapportert i sykehusets avvikssystem. Datatilsynet er også varslet.

VIL UNDERSØKE: Kommunikasjonsdirektør i Datatilsynet Janne Stang Dahl bekrefter at de skal undersøke saken fra OUS. Foto: Datatilsynet

– Feilen er dessverre gjort og vi skal finne årsaken slik at vi ikke risikerer slike feil i fremtiden. Samtlige mottakere har fått en uforbeholden beklagelse fra sykehuset.

– Alvorlig

Datatilsynet bekrefter at de har fått inn en melding om brudd på personopplysningssikkerheten fra OUS.

Kommunikasjonsdirektør Janne Stang Dahl sier derfor til TV 2 at de ikke kan si mye om saken på nåværende tidspunkt.

– Men det er klart at det kan være alvorlig for de som er berørt, men det er for tidlig å si noe om alvorlighetsgraden. Det er fortsatt mye som er uavklart både teknisk og rutinemessig.

Stang Dahl sier at Datatilsynet nå skal sette seg nærmere inn i saken.

– Vi vil se på hva som har skjedd, hvorfor det har skjedd og hvilke tiltak som ble satt inn da avviket ble oppdaget. Vi vil så gjøre en helhetlig vurdering av alvorlighetsgraden, sier hun.