personvern
Personopplysninger om 719 pasienter kan ha ligget på nett i ti år
I et vedlegg til masteroppgaven fra 2004 lå opplysninger fra 719 pasientjournaler. Det var mulig å identifisere personene, mener personvernombudet ved UiO.
En person gjorde i fjor et nettsøk etter en spesifikk sykdom. Da kom vedkommende over en masteroppgave i medisin fra Universitetet i
Oslo (UiO) fra 2004, som lå i universitetets åpne vitenarkiv DUO.
Det viste seg at oppgaven inneholdt personopplysninger fra 719 pasienter. Det var opplysninger fra 719 journaler satt opp i en tabell som lå vedlagt oppgaven.
Der sto pasientenes initialer, fødselsår, kjønn og forskjellige typer sykdommer. Personen meldte fra til UiO, som fjernet oppgaven fra nett og meldte fra til Datatilsynet i september.
Navnene til personene sto riktignok ikke i vedlegget. Men de andre opplysningene, sammenholdt med at oppgaven undersøkte pasienter i «et svært begrenset geografisk område» gjør at UiO mener at det er «mulig å reidentifisere personene», står det i avviksmeldingen som universitetet har sendt til Datatilsynet.
Dette vil imidlertid være «svært krevende», skriver UiOs personvernombud Roger Markgraf-Bye i rapporten.
Handlet om nevrologiske lidelser
Oppgaven fra 2004 handlet om nevrologiske lidelser. I avviksmeldingen står det at den sannsynligvis har ligget åpent på nett siden den ble levert.
Fakultetet har imidlertid undersøkt saken og kommet til at den ikke har ligget der så lenge, men at den etter all sannsynlighet ble lastet opp etter 2013.
Når etter 2013 dette skal ha skjedd, vet de ikke. Den kan altså ha ligget på nett i ti år.
— Saken er svært alvorlig og vil bli fulgt opp med tydeligere rutiner for kvalitetssikring av eldre studentoppgaver i profesjonsstudiet som kan publiseres i DUO sier dekan Hanne Flinstad Harbo ved Det medisinske fakultet i et skriftlig svar til Khrono.
Hvordan kunne dette skje?
På spørsmål om hun har noen ide om hvordan dette kunne skje, viser dekanen til at saken ikke er avsluttet ennå, og at det «det pågår et arbeid ved fakultetet for å identifisere hvordan studentoppgaver i profesjonsstudiet fra 2004 er blitt publisert i DUO.»
I rapporten til Datatilsynet står det at «vi har vi dårlig oversikt over hvordan dette kan ha skjedd. Menneskelig svikt, eller manglende/for dårlige rutiner på daværende tidspunkt, sett etter dagens krav, er trolig årsaken.»
Videre står det at universitetet vil «undersøke om det kan ha skjedd flere ganger».
Universitetet har kun oversikt over hvor mange ganger oppgaven ble åpnet de siste ti ukene den lå ute. Loggen viser 16 oppslag i denne perioden, men en del av dette er såkalte google-trålere, og ikke fysiske personer.
Universitetet har «ingen kontroll på hvor opplysningene kan ha havnet», står det videre i rapporten.
Dekan Hanne Flinstad Harbo mener det ikke er grunn til å tro at enkeltpersoner har blitt identifisert.
Oppgaver ble ikke lastet opp før 2013
Etter å ha undersøkt saken, fant fakultet at det før 2013 ikke er noen av deres studenter som har lastet opp sine studentoppgaver i systemer som fører til publisering i DUO.
Dekan Flinstad sier videre:
— For tiden undersøker fakultetet nærmere hvordan oppgaven er blitt lastet opp i DUO og må komme tilbake til deg med svar på dine spørsmål om hvordan oppgaven er lastet opp i DUO og hvor lenge oppgaven har vært tilgjengelig i DUO.