Hoppa till huvudinnehåll

HUS har skickat patientbrev per post som man delvis kan se igenom – känsliga uppgifter syns via adressfönstret

Patientbrev som HUS skickat. I adressfältet som är genomskinligt går det att läsa en del av brevet, men på bilden är det här döljt med en vit lapp.
Det har varit möjligt att läsa delar av de patientbrev som HUS skickar utan att öppna kuvertet. Patientbrev som HUS skickat. I adressfältet som är genomskinligt går det att läsa en del av brevet, men på bilden är det här döljt med en vit lapp. Bild: Lehtikuva sjukhus

Helsingfors och Nylands sjukvårdsdistrikt HUS har i flera månader postat brev med patientuppgifter i sådana kuvert som avslöjar delar av innehållet i brevet via ett genomskinligt adressfönster. Det rapporterar STT.

En person som kontaktat STT berättar att hen plötsligt insjuknat nu i höst och vårdats flera gånger inom en kort tid på olika avdelningar på HUS. Personen fick sammanlagt hem fem brev som HUS skickat. Det har varit möjligt att läsa delar av breven utan att öppna kuvertet.

Personen som kontaktat STT har sådana arbetsuppgifter att hen har att göra med dataskyddsfrågor inom hälsovården. I det första brevet som skickades till personen kunde man läsa väldigt känsliga uppgifter om personens sjukdom.

Vi kan tyvärr inte göra så heller att vi börjar skicka miljontals brev för hand.― Petri Hämäläinen, utvecklingschef och dataskyddschef vid HUS

Personens partner var den första som märkte problemet med kuvertet, eftersom personen som brevet gällde vårdades på sjukhus när brevet damp ner i postluckan.

Enligt personen handlar det om ett betydande dataskyddsfel som berör många patienter som vårdas vid HUS. Personen uppger att varken Posten eller HUS har tagit problemet på tillräckligt stort allvar.

– Ibland har vår post delats ut till grannarna. Om det skulle handla om en känd person kunde det vara svårt att motstå frestelsen att läsa de uppgifter som syns på kuvertet.

STT har fått ta del av videor och fotografier på kuverten och de visar hur lätt det är att läsa känsliga uppgifter genom adressfältet.

“Vi kan inte skicka miljontals brev för hand”

HUS och Posti Group uppger att de är medvetna om problemen.

I praktiken fungerar det så att HUS skickar patientdata elektroniskt till posten via sitt patientdatasystem via en säker förbindelse. Breven skrivs sedan automatiskt ut vid posten och sedan läggs breven automatiskt i kuvert och så skickas de iväg.

HUS uppger att avtalet med Posti Group har gjorts i december i fjol och att avtalstiden gäller för 12 månader varefter avtalet fortsätter gälla tillsvidare.

Datasystemet måste utvecklas så att den printar ut rastreringen på rätt sätt, på rätt plats och rätt mängd.― Kaj Kulp vid Posten

Petri Hämäläinen som är utvecklingschef och dataskyddschef vid HUS säger att HUS kontaktades om problemen med patienternas dataskydd för första gången i september. Efter den första anmälningen var HUS i kontakt med Posten och krävde att saken korrigeras.

Enligt Hämäläinen hade HUS inte hört om problemen före det.

– Vi kan tyvärr inte göra så heller att vi börjar skicka miljontals brev för hand, säger han.

HUS har inga uppgifter om att det skulle ha skett förändringar i hur posten sköter sin print- och kuvertservice under den tid som avtalet mellan parterna har varit i kraft.

HUS utvecklingschef Johannes Salminen säger att cirka 1,3 miljoner patientbrev skickas via Postens tjänster i år.

Posten testar nytt system i november

Direktören för Postens brevservice, Kaj Kulp, säger att Posten utreder ifall man kan lägga in ett säkerhetstryck i brevet så att det inte går att läsa innehållet via det genomskinliga adressfönstret.

I nuläget finns det en sådan rastrering på själva kuvertet som gör det omöjligt att läsa innehållet i brevet. Adressfönstret har inte denna egenskap.

Kulp säger att Posten ska testa en ny metod i november, men han vet ännu inte när säkerhetstrycket kan tas i bruk i och med att det kräver utvecklingsarbete.

– Datasystemet måste utvecklas så att den printar ut rastreringen på rätt sätt, på rätt plats och rätt mängd, säger han.

Kulp tillägger också att Posten har tusentals kunder och att Posten använder exakt samma kuvert och papper i alla kunders produkter.

– Det är inte möjligt att avläsa information genom ett kuvert men inte genom ett annat, säger Kulp.

Dataombudsmannen informerades inte genast

Förvaltningsöverläkaren Teppo Heikkilä vid HUS säger att HUS varit i kontakt med dataombudsmannens kansli.

HUS anmälde situationen till dataombudsmannen på torsdag, det vill säga samma dag som STT kontaktade HUS om nyheten.

– Vi var inte genast i kontakt [med dataombudsmannens kansli] eftersom vi ville utreda vad problemen handlar om och om det är frågan om ett reellt dataskyddsbrott, säger Heikkilä.

Dataombudsmannen Reijo Aarnio visste inte före helgen att HUS har kontaktat dataombudsmannens kansli eftersom han har varit bortrest.

Aarnio kommenterade ändå frågan på en allmän nivå och sade att patientdata alltid är sekretessbelagd information och kuvertet som patientbreven skickas i måste vara sådant att utomstående personer inte kan avläsa innehållet i brevet.

Aarnio påminner också om att det råder brevhemlighet i Finland. Dessutom finns sekretessregler inom hälsovården och ett visst ansvar som kommer med personuppgiftslagen. Nu har man kanske brutit mot dessa.

– Om vi utgår från att det har skett ett dataskyddsbrott försöker vi utreda orsaken till varför det skett. Dessutom fattar vi beslut om huruvida det finns skäl att informera de personer vars uppgifter kanske har äventyrats.

Enligt Aarnio är organisationer alltid förpliktigade att anmäla fel som gäller dataskyddet.

Ansvaret hos HUS

Om man ser på saken ur medborgarnas synvinkel kan en medborgare kräva att den som har hand om ett dataregister, i det här fallet HUS, följer lagar och tar ansvar för sina underleverantörer.

– Relationen mellan Posten och HUS justeras i avtalet och jag vet så klart inte vad avtalet innehåller. En medborgare kan vid behov rikta sina krav mot båda parterna.

I sista hand är det ändå HUS som bär ansvaret i det här fallet, enligt Aarnio. Han säger att det ännu är för tidigt att säga ifall HUS eller Posten kan få konsekvenser av det här.

Källa: STT

Läs också

Nyligen publicerat - Inrikes