Saken startet ved en avviksmelding til Datatilsynet fra Oslo kommune i november 2018. Kommunen opplyste at 19 sykehjem/helsehus som lå under Sykehjemsetaten, samt ni private sykehjem med avtale med kommunen, hadde hatt en praksis med bruk av såkalte arbeidslister. I arbeidslistene ble det skrevet beboeropplysninger som var nødvendige for daglig hjelp og stell, og beboerne ble identifisert ved hjelp av fullt navn og fødselsnummer, initialer eller romnummer.
Arbeidslistene ble lagret på det enkelte sykehjem/helsehus sin interne sone, hvor de ansatte, i tillegg til noen medarbeidere i Sykehjemsetaten, hadde tilgang. Omlag 90 prosent av de ansatte ved sykehjemmene/helsehusene er helsepersonell, men de resterende 10 prosentene – slik som renholdere eller vaktmestere – i teorien også har kunnet logge seg på og få tilgang til opplysningene. Listene skal ha blitt overskrevet løpende, slik at kun opplysninger om nåværende beboere, og ikke tidligere beboere, til enhver tid var tilgjengelig. Ansatte som har arbeidet på det enkelte sykehjem/helsehus i lang tid, vil imidlertid ha hatt tilgang til opplysninger om et stort antall beboere.
I fastsettelsen av størrelsen på overtredelsesgebyret, ble det vektlagt at kommunen selv meldte avviket til Datatilsynet og raskt sørget for sletting av opplysningene. Det ble også sett hen til at lovbruddet i hovedsak fant sted før ny personopplysningslov og personvernforordning trådte i kraft i juli 2018. Etter den gamle personopplysningsloven var gebyr avgrenset til maksimalt 1 000 000 kroner. Det ble derfor ansett at et gebyr på 500 000 kroner var rimelig i denne saken.
Datatilsynet la til grunn at Sykehjemsetaten gjennom mange år ikke har hatt en tilstrekkelig bred tankegang i den overordnede styringen av de underliggende sykehjemmenes/helsehusenes praksis for informasjonssikkerhet. Tilsynet kom til at praksisen med lagring av identifiserbare pasientopplysninger utenfor journal klart brøt med kravene til sikkerhet og internkontroll i personvernforordningen artikkel 32 og pasientjournalloven §§ 22 og 23.
For å unngå lignende hendelser i fremtiden, har Sykehjemsetaten iverksatt tiltak knyttet til blant annet internrevisjon, lederoppfølging og kompetanseheving.
Oslo kommune har tre ukers frist til å klage på vedtaket.
Kilde: Datatilsynet