Helseopplysninger havnet i søppelkontainer – sykehuset hadde lagt til rette for håndtering av taushetsbelagte opplysninger
Taushetsbelagte opplysninger om pasienter ble funnet i en søppelkontainer, og det kom frem at en sykehuslege på siste arbeidsdag hadde tatt med seg notatbøker hjem og senere kastet dem sammen med privat søppel. Fylkesmannen vurderte sykehusets ansvar.
Hendelsen ble meldt som avvik internt og til Datatilsynet. Ansatte ved sykehuset gjennomgikk obligatorisk e-læringskurs i personvern og informasjonssikkerhet, og taushetsplikt inngikk i opplæring av leger i spesialisering. Sykehuset hadde ca. 60 sikkerhetsdunker for kasting av materiale som inneholder taushetsbelagte opplysninger. Statens helsetilsyn kom til sykehusets avvikshåndtering etter hendelsen var tilstrekkelig og at det var lagt til rette for forsvarlig makulering.
Statens helsetilsyn avgjør hvert år et betydelig antall tilsynssaker overfor helsepersonell og virksomheter i helsetjenesten basert på informasjon om enkelthendelser. Noen av disse blir publisert på denne nettsiden i anonymisert form. Sakene er ment som eksempelsaker for at virksomheter og personell skal ha nytte av dem og for å informere om vår virksomhet, og ikke som en hjelp til identifisering av enkeltsaker og enkeltpersonell.
Offentlighetens krav på innsyn i enkeltsaker er ivaretatt gjennom at alle kan be om innsyn i enkeltdokumenter, basert på offentlig tilgjengelige postlister.
Unntatt fra offentlighet i henhold til offentlighetsloven § 13, jf. forvaltningsloven § 13 første ledd nr. 1
Avslutning av tilsynssak
Statens helsetilsyn viser til tilsynssak oversendt fra Fylkesmannen i XXXX ved brev XXXX, vedrørende lege XXXX. Saken gjelder spørsmål om brudd på taushetsplikten. Tilsynssaken ble opprettet på bakgrunn av melding XXXX fra Sykehuset XXXX (sykehuset).
Statens helsetilsyn ga i vedtak XXXX XXXX en advarsel for brudd på taushetsplikten i helsepersonelloven § 21. Bakgrunnen var at XXXX hadde kastet notatbøker som inneholdt taushetsbelagte opplysninger i en søppelkontainer, i stedet for i makuleringsdunk på sykehuset. Sykehuset har fått kopi av vedtaket. Vedtaket forutsettes derfor kjent for sykehuset.
Fylkesmannen besluttet den XXXX å åpne tilsynssak mot sykehuset også, og det ble bedt om ytterligere opplysninger i saken. Sykehuset besvarte Fylkesmannens henvendelse ved brev XXXX.
Ved en inkurie ble tilsynssaken mot sykehuset ikke avsluttet samtidig som saken mot XXXX i vedtaket av XXXX. Vi beklager dette.
Opplysningene fra sykehuset
Sykehuset opplyser at hendelsen er meldt som avvik og gjennomgått av fagdirektør, utviklingsdirektør, avdelingsleder ved HR-avdelingen, informasjonssikkerhetsleder og personvernombud. Hendelsen er også meldt til Datatilsynet. Videre opplyses det at alle ansatte signerer taushetserklæring og gjennomfører obligatorisk e-læringskurs i Personvern og Informasjonssikkerhet i praksis, de første 30 dagene av arbeidsforholdet. Taushetsplikt inngår også i opplæring i lovverk for LIS-1. For å sikre at taushetsbelagte opplysninger ikke kommer på avveie skal disse kastes i makuleringsdunker. Dette er beskrevet i sykehusets sikkerhetsinstruks. Sykehuset har ca. 60 sikkerhetsdunker plassert der det er vurdert at behovet for sikkerhetsmakulering er størst. Etter gjennomgangen av hendelsen er det satt opp to nye dunker samt at to er flyttet. Sykehuset vurderer at tiltakene som er iverksatt er tilstrekkelige for å sikre at de ansatte er kjent med taushetsplikten, og at det er lagt godt til rette for at taushetsbelagte opplysninger blir makulert ved utplassering av makuleringsdunker. Følgende dokumentasjon er vedlagt; taushetserklæring, obligatoriske e-læringskurs for nyansatte- HELIKS ID 9063 med oversikt over e-læringskursene, sikkerhetsinstruks - HELIKS ID 10273, melding til Datatilsynet av XXXX og brev fra Datatilsynet av XXXX.
Statens helsetilsyns vurdering
Statens helsetilsyn har gjennomgått opplysningene som er oversendt fra sykehuset. Vi vurderer at sykehuset har foretatt en adekvat avvikshåndtering etter hendelsen. Videre vurderer vi at sykehuset har systemer for opplæring av ansatte i problemstillinger knyttet til taushetsplikt, og at det er lagt til rette for forsvarlig makulering av taushetsbelagte opplysninger.
Statens helsetilsyn finner etter dette ikke grunn til videre tilsynsmessig oppfølging av sykehuset.
Tilsynssaken er med dette avsluttet.
Med hilsen
XXXX e.f.
ass. direktør
XXXX
seniorrådgiver
Brevet er godkjent elektronisk og sendes derfor uten underskrift
Kopi til:
Fylkesmannen i XXXX
XXXX
Saksbehandler: XXXX, tlf. XXXX, e-post: XXXX
Andre brev i saken
Helseopplysninger havnet i søppelkontainer – advarsel til lege
Lenker om tilsynssaker
Avgjørelser i enkeltsaker – søkeside
Enkeltsaker fra helse- og omsorgstjenesten og varselsaker (§ 3-3 a)