(Bilde: Mona Sprenger)
disketter (Bilde: Mona Sprenger)
Mette Korsrud, daglig leder Diploma senter for øre-, nese - halssykdommer (Bilde: Mona Sprenger)

Sensitive data sendes ukryptert

  • IT

Pasientene er uvitende om at personopplysninger sendes ukryptert og åpent i vanlig post.

- Det er forferdelig å være i en slik skvis. Vi har et fortrolig forhold til våre pasienter og jeg tør ikke fortelle dem at vi må sende taushetsbelagte opplysninger i øst og vest.



Frykter konsekvensene

I flere år har spesialhelsetjenesten vært nødt til å sende inn sensitive data tre ganger i året til Norsk pasientregister, som har som formål å innhente pasientdata til bruk i nasjonal statistikk, forvaltning og forskning.

Helsedirektoratet har i flere år krevd at leveransene skal lagres på elektroniske media (diskett, CD,DVD eller lignende) og sendes som ordinær post.

Klart interessant

- Vi sender pasientopplysninger som blant annet navn, kjønn, fødselsnummer, postnummer, kommunenummer, fylkesnummer og dignoser. Dette sender vi under et unikt nummer som pasienten har, sier Korsrud. På kontoret sitt på senteret for øre-, nese og halssykdommer på Lørenskog har hun flere pakker disketter.

- Jeg skjønner at disse opplysningene er veldig interessante i forskningsøyemed, men vårt fokus er pasientens ve og vel. Jeg frykter at dette kan få konsekvenser for dem, sier hun.



Strenge sikkerhetstiltak

Norske pasientregister skal i fremtiden samle inn personidentifiserbare data, som skal lagres kryptert. På sine nettsider skriver direktoratet at innsamlingen av personidentifiserbare data ikke vil påbegynnes før alle sikkerhetstiltak er i verksatt.

- Frem til vi får på plass strenge sikkerhetstiltak skal opplysningene som sendes inn ikke være personidentifiserbare. De skal kun ha et unikt løpenummer. Vi får ikke ikke navn og poststed o.l. De som ved en feiltakelse har sendt inn personnummer har fått beskjed om at det har vi ikke anledning til å ta i mot, sier avdelingsdirektør i Helsedirektoratet, Unn Elisabeth Huse.

Javel???

Det er nytt for Mette Korsrud:

- Det har jeg aldri fått beskjed om, og jeg har i flere ganger vært i kontakt med dem, sier hun.



Nye rutiner

Datatilsynet er kritisk til at en så stor leveranse av sensitive opplysninger sendes som ordinær post.

- Ut fra en risikovurdering kan det vanskelig la seg forsvare, sier seniorrådgiver i Datatilsynet Cecilie Rønnevik.

Endring på gang

Nå vil Helsedirektoratet endre rutinene:

- Vi er ikke fornøyd med den gamle løsningen. Fra nå av skal innrapporteringen skje kryptert som vedlegg til e-post. For de som ikke har muligheten til å benytte seg av en slik løsning anbefaler vi rekommandert post. Det har vi varslet, sier Huse.

- Men i flere år har dere kun krevd levering ved vanlig post?

Krypitsk kryptering

- Ja, men her skulle vi vært mye mer tydelig på at det skulle vært rekommandert eller kryptert.

Dette er nytt for Mette Korsrud. Det er bare et par uker til hun må sende inn sin første leveranse for 2008. Hun har ennå ikke fått noe informasjon om at leveransen skal skje på en annen måte denne gangen og har derfor hamstret disketter.

-Vet du hvordan informasjon krypteres?

-Nei, da må jeg tilkalle en dataspesialist.