L’Ispettorato dei dati ha dato alla città di Oslo una tassa di violazione di NOK 500.000 per la conservazione delle informazioni dei pazienti al di fuori del sistema di cartelle cliniche presso la casa di cura / assistenza sanitaria del comune dal 2007 a novembre 2018.
Si tratta di un reato grave in quanto ha una lunga durata e un’ampia portata, sottolinea il direttore dell’agenzia danese per la protezione dei dati, Bjørn Erik Thon. – Una grande quantità di informazioni sulla salute è stata disponibile per un gran numero di dipendenti per almeno 11 anni. Il comune di Oslo è il comune più grande del paese in termini di popolazione e dovrebbe quindi essere particolarmente attrezzato per soddisfare i requisiti di sicurezza delle informazioni .
sfondo
Il caso è iniziato con una notifica di non conformità all’Ispettorato norvegese dei dati del comune di Oslo nel novembre 2018. Il comune di Oslo ha dichiarato che le 19 case di cura / centri sanitari del comune, che erano sotto l’amministrazione della casa di cura, nonché nove case di cura private con un accordo con il comune, avevano una pratica di utilizzo delle cosiddette liste di lavoro. Nelle liste di lavoro sono state scritte le informazioni sui residenti necessarie per l’assistenza e le cure quotidiane e i residenti sono stati identificati per nome completo e numero di nascita , iniziali o numero di camera.
Le liste di lavoro erano archiviate nelle intranet locali, alle quali avevano accesso gli impiegati della casa di cura / casa di cura individuale, oltre ad alcuni impiegati della casa di cura nazionale. Circa il 90 percento del personale della casa di cura / assistenza sanitaria è composto da professionisti della salute, ma il restante 10 percento, come ad esempio addetti alle pulizie o tutori, è stato in teoria anche in grado di accedere e accedere alle informazioni. Le liste devono essere state continuamente sovrascritte, in modo che solo le informazioni sugli attuali residenti, e non sugli ex residenti, fossero sempre disponibili. Tuttavia, i dipendenti che hanno lavorato a lungo nella singola casa di cura / ospedale sanitario avranno accesso alle informazioni su un gran numero di residenti.
Valutato da vecchie normative sulla privacy
Nel determinare l’entità della tassa di violazione, è stato sottolineato che il comune stesso ha segnalato la non conformità all’Ispettorato dei dati e ha prontamente cancellato le informazioni. È stato anche visto che il reato è avvenuto principalmente prima dell’entrata in vigore della nuova legge sui dati personali e della normativa sulla privacy nel luglio 2018. A seguito della vecchia legge sui dati personali, le tasse erano limitate a un massimo di 1 000 000 di NOK. Si è quindi ritenuto che una commissione di 500.000 NOK fosse ragionevole in questo caso.
L’Ispettorato norvegese per i dati ha ipotizzato che per molti anni il National Board of Health non abbia avuto una mentalità sufficientemente ampia nella gestione generale delle case di cura / pratiche sanitarie sottostanti per la sicurezza delle informazioni. Abbiamo concluso che la pratica di conservare informazioni identificabili sul paziente al di fuori della cartella clinica violava chiaramente i requisiti di sicurezza e controllo interno di cui all’articolo 32 del regolamento sulla privacy e alle sezioni 22 e 23 della legge medica del paziente.
Misure per evitare simili in futuro
Dopo che è stata scoperta la pratica delle liste di lavoro, dal National Nursing Home Office a tutte le case di cura / case di cura è stata inviata un’istruzione che tutte le liste di lavoro devono essere eliminate immediatamente. Poiché gli elenchi di lavoro sono stati archiviati al di fuori di un’area protetta , non è disponibile alcun registro degli impiegati presenti negli elenchi e non è possibile scoprire se le persone non autorizzate hanno avuto accesso alle informazioni. Al fine di evitare simili incidenti in futuro, il National Board of Nursing ha implementato misure relative, tra l’altro, al controllo interno, al follow-up della direzione e all’aumento delle competenze.
Il comune di Oslo ha tre settimane per impugnare la decisione.
FONTE: AUTORITA’ GARANTE DELLA NORVEGIA – DATATILSYNET.NO