- NTNU misbrukte 116.000 journaler

Datatilsynet leverer knallhard kritikk mot Norsk senter for elektronisk pasientjournal (NSEP), etter å ha avdekket det tilsynet mener er misbruk av pasientopplysninger. Nå kreves det at NTNU som ansvarlig institusjon, kontakter alle pasienter som NSEP har hatt helseopplysninger om, skriver Universitetsavisa.

Datatilsynet mener at NTNU gjennom Norsk senter for elektronisk pasientjournal har begått en rekke alvorlige brudd på helse- og personvernlovgivingen.

116 000 personer

Totalt er det snakk om 116.000 personer fra 21 legekontorer.

Opplysningene karakteriseres av Datatilsynet som til dels ”svært sensitive”. Opplysningene stammer fra primærhelsetjenesten og kan direkte identifisere personene i datasettene.

I mai i 2009 sendte Helsedirektoratet allerede en bekymringsmelding til Datatilsynet om NSEPs ønske om forskningsbruk av sensitive pasientopplysninger.

Uten samtykke

Etter en gjennomgang av saken konkluderer Datatilsynet med at NSEP ikke har innhentet informert samtykke fra de 116.000 personene i det store journalmaterialet.

Gjennom personlige intervjuer med sentrale personer ved NSEP har Datatilsynet dannet seg et bilde av pasientjournalenes vandring fra legekontorer på Vestlandet, over Dovre til Trondheim, samt om hva som har skjedd med dataene i perioden helt fram til Helsedirektoratet slo alarm sist vår.

Opplysningene omfatter pasientenes helsesituasjon over lengre tid, de kan inneholde informasjon om både fysiske og psykiske forhold, og innbefatte sensitive forhold fra spesialisthelsetjenesten. I tillegg omfatter noen av journalene opplysninger om tredjeparter, som pasientens familiemedlemmer, partnere, eller andre i nærmeste omgangskrets.

De elektroniske pasientjournalene fra Surnadal legekontor ble i følge rapporten overført til en utrangert, usikret og ukryptert dataserver på stedet, og bragt over fjellet allerede i 2004.