— Dette er en stor og alvorlig sak som angår svært mange pasienter og virksomheter. Det store spørsmålet er om vi har god nok kontroll med leverandørene i helsetjenesten, sier Helge Veum, avdelingsdirektør i Datatilsynet til Stavanger Aftenblad.
Ti norske sykehus og røntgeninstitutter har hatt en avtale med amerikanske GE Healthcare Systems (GEHCS) om å drive vedlikehold og overvåking av medisinsk-teknisk utstyr, det vil si bildediagnostiske produkter som CT- og MR-maskiner.
Som ledd i overvåking av det medisinsk-tekniske utstyret lastet selskapet ned og overførte personsensitive opplysninger om pasientene. Opplysningene ligger fortsatt lagret i USA. Firmaet hentet ulovlig ut blant annet navn, ID-nummer, fødselsdato, høyde, vekt, størrelse, kliniske opplysninger og i noen tilfeller bilder som gjaldt totalt 126.344 pasienter i Norge.
GEHCS oppdaget selv feilen i en internkontroll november 2011, men sykehusene ble ikke varslet før i mars 2012. Pasientopplysningene befinner seg fortsatt i USA, ifølge Datatilsynet og ankeinstansen Personvernnemnda. Når opplysningene blir slettet, er fremdeles helt i det blå - selv om det har gått mer enn tre år siden de feilaktig havnet der. (©NTB)