Staden lämnade ut patientjournal

Nyheter

Publicerad

2 april 2020 06:00

Uppdaterad

12 november 2020 07:55

Foto:

Staden lämnade ut patientjournal

Ett utdrag ur en patientjournal som borde ha varit sekretessbelagd skickades i misstag till Ålandstidningen när en reporter begärde ut en handling från Mariehamns stad.
– Ingen skada skedd, säger stadsdirektör Barbara Heinonen om att journalen kom till tidningen.

Vill du fortsätta läsa?

Som prenumerant hos oss får du tillgång till artikeln och våra andra produkter

Kund men inte aktiverat kontot ännu? Aktivera konto

Fredrika Fellman

När Ålandstidningen begärde ut en handling från infrastrukturavdelningen på Mariehamns stad skickade staden bland annat ett utdrag ur en patientjournal i ett mejl till den reporter som begärde ut handlingen.
Journalen var från ett olycksfall Alandia Försäkring hade regresskrav på staden för, alltså att man krävde att staden skulle ersätta Alandia för de pengar patienten begärt från försäkringsbolaget efter olyckan, eftersom man ansåg att staden hade ansvaret för olyckan.
När patientjournalen kom till Åandstidningen var den inte anonymiserad. Ålandstidningen förstörde den omedelbart.
Första gången Ålandstidningen pratar med stadsdirektör Barbara Heinonen om frågan är i mitten av mars. Hon känner då inte till det inträffade, utan får veta det av Ålandstidningen.
– Infra är inte vana att hantera patienthandlingar, det kan hända att den inte ens borde ha kommit till infra, det kan vara första gången de hanterat en patientjournal. Det är där det har brustit, säger hon då.
Hon gissar att den person som lämnat ut handlingen till Ålandstidningen bara skickat materialet rakt av utan att kontrollera innehållet.
Hur illa är det att det har hänt?
– Det är aldrig bra när sekretessbelagda uppgifter kommer ut.
”Ingen skada skedd”
I slutet av mars pratar Ålandstidningen med Barbara Heinonen igen för en uppdatering om vad som gjorts i ärendet.
Har ni varit i kontakt med personen vars journal ni skickade till oss?
– Nej, det är ingen prioriterad fråga just nu. Vi har inte glömt den, men den är inte första prioritet när arbetsbelastningen ser ut som den gör i och med coronasituationen. Det finns mer brådskande ärenden.
Är det inte en ganska allvarlig incident?
– I och med att journalen kom till er stoppades omfattningen. Ni har ett ansvar att bryta kedjan och det har ni ju gjort. Nu är ingen skada skedd så till vida.
Har ni gjort någon anmälan till Datainspektionen över incidenten?
– Jag har inte hunnit tänka så långt ännu, det är ganska mycket hysteri med corona här. Men det är klart att vi kommer att gå igenom fallet och vidta de åtgärder som krävs.
– Fel händer och då får vi ta lärdom av dem. Misstag kan man inte undvika, men varje gång det sker är det beklagligt.
Har ni rutiner för hur sekretessbelagda uppgifter ska hanteras?
– Vi har rutiner. Sedan är det skillnad på GDPR och vad vi kan ge ut. Till exempel personnummer och personuppgifter är offentliga till den del att man kan komma och titta på dem, men vi kan inte lägga ut dem på nätet.
”Måste bli noggrannare”
Dataskyddet har brustit i flera led, menar Barbara Heinonen. Alandia borde ha meddelat att det fanns sekretessbelagt material i handlingarna när de lämnade in dem till staden, tycker hon.
Dessutom borde den som tog emot materialet vid staden ha kontrollerat det och belagt patientjournalen med sekretess, säger hon.
– Men visst måste också staden kontrollera innan man ger ut handlingar. Det här ska inte få ske. Vi måste bli noggrannare. Vi har maximal offentlighet, men en sådan här sak ska naturligtvis inte lämnas ut.
– Vi kan inte avskriva oss ansvar, men det kan inte heller Alandia. Jag ska meddela Alandia att de måste se över sina rutiner.
Lena Nordman, myndighetschef på Datainspektionen, är starkt kritisk till att Mariehamns stad har lämnat ut en patientjournal. Dessutom har man inte hanterat misstaget på rätt sätt, anser hon.
Så snart Mariehamns stad fick veta om misstaget borde de ha anmält det till det egna dataskyddsombudet. Man kunde också ha kontaktat Datainspektionen direkt, säger Lena Nordman. Hon ser allvarligt på incidenten.
– Det är horribelt. Personuppgiftsincident är ett misslyckat ord i sammanhanget – det är en integritetskränkning, säger hon.
Hur allvarlig är incidenten?
– Mycket allvarlig. Det gäller känsliga uppgifter och det pekar på att det finns en lucka i Mariehamns tekniska eller organisatoriska system som möjliggör att det händer flera gånger.
Rapport inom 72 timmar
Ålandstidningen kontaktar Lena Nordman första gången samma dag som stadsdirektör Barbara Heinonen intervjuas första gången och det är då hon får reda på incidenten. Hon är då inte i tjänst, och intervjun görs samma dag som Ålandstidningens andra samtal med Barbara Heinonen.
Det har då gått över två veckor sedan både hon och Barbara Heinonen blev varse det inträffade.
– Nu när jag har fått preciserad information om vad som hänt bollar jag vidare det till stadens dataskyddsombud, som borde ha fått informationen internt, utrett det och anmält det till Datainspektionen. Datainspektionen borde ha fått en rapport från staden över vad som har hänt och hur frågan har behandlats, säger hon.
Och det har du inte fått?
– Nej. Regeln är att man inom 72 timmar efter att incidenten inträffat ska anmäla den till Datainspektionen och lämna in en rapport över hur den har hänt, vilka korrigerande åtgärder man vidtagit och vad man planerar att vidta för åtgärder för att se till att det inte händer igen. Man ska också meddela den berörda personen.
Barbara Heinonen menar att arbetsbelastningen är extra hög just nu och att det finns mer brådskande ärenden.
– En del av orsaken kan säkert läggas på den överbelastning undantagstillståndet har medfört. Det visar hur sårbara vi är och varför vi behöver ha så säkra system att vi klarar av stressbelastning utan att känsliga personuppgifter läcker ut. Men man kan inte nedprioritera invånarnas personliga integritet ens nu, i all synnerhet som det gäller känsliga personuppgifter.
Kan det bli några påföljder för staden i och med att de inte anmält incidenten?
– Stadens dataskyddsombud blir nu informerad av mig, och vidtar säkert alla behövliga åtgärder. När jag får rapporten ser jag om vi behöver arbeta kring någon fråga ytterligare.
– En människas rättsskydd får inte bli lidande för att man inte har hunnit. Om man tar personskyddet på allvar är det här ingenting man skjuter upp.
”Går inte att förringa”
Lena Nordman är inte enig med Barbara Heinonen om att någon skada inte är skedd.
– Skadan är skedd redan när en personuppgift kommer till någon utomstående. Ni är utomstående. Det går inte att förringa, det är en fråga om allvarligt bristande rättsskydd och då duger inte bortförklaringar. Det gäller ålänningars integritet och det finns tydliga regler på både landskaps- och EU-nivå för vad som gäller.
Har du varit i kontakt med personen vars patientjournal vi fick?
– Nej, det kommer an på staden att upplysa hen om det. Jag får inte ens veta vem som drabbats, om inte denna lämnar in ett klagomål själv. Det finns risk att hen inte vet om vad som hänt.
Hon betonar att hon inte riktar någon kritik mot stadens dataskyddsombud.
– Hade dataskyddsombudet fått veta om det hade det gått till som det ska. Jag litar fullt på att dataskyddsombudet sköter sin uppgift. Det här tyder på att kommunikationen inte fungerat inom staden.
”Olycklig kedja”
Hon anser att staden inte heller kan lägga ansvaret på Alandia Försäkring.
– Jag kan se att det blev en olycklig kedja, men alla parter har själva ansvar för sina egna åtgärder. Mariehamn har 100 procent ansvar, man kan inte skylla på någon annan.
Den sista mars lämnade dataskyddsombudet vid Mariehamns stad in en incidentanmälan till Datainspektionen som Lena Nordman beskriver som ”utförlig”. Av anmälan framgår att staden har ansvaret för att känsliga personuppgifter har getts ut och att dataskyddsombudet har vidtagit behövliga åtgärder och gett rekommendationer om åtgärder för att förbättra säkerheten.