Hemmelige adresser lå åpent i Helseplattformen

Helseplattformen AS har hatt samtale med Kripos etter et avvik, opplyser Ålesund kommune til Sunnmørsposten.

Konstituert kommunikasjonssjef Frode Nikolaisen i Helseplattformen AS sier dette ble meldt inn i deres avvikssystem 18. desember og meldt til Datatilsynet dagen etter.

– Av hensyn til de berørte kan vi ikke oppgi ytterlige informasjon om omfang, sier Nikolaisen i en e-post.

Helseplattformen opplyser at flere kommuner er berørt. Ålesund kommune skriver i en e-post til Sunnmørsposten:

– Det er Helseplattformen AS som har sendt avviket til Datatilsynet med kopi til berørte kommuner, og de har hatt samtale med Kripos.

– I tråd med vår rutine er de berørte kommuner orientert, men vi kan ikke gå nærmere inn på hvilke kommuner dette gjelder, sier Frode Nikolaisen i Helseplattformen.

Kripos ønsker ikke å kommentere saken.

– Siden det er Helseplattformen AS som har varslet om avviket, henviser vi dit for informasjon. Vi kan ikke uttale oss om dette, sier Jonas Fabritius Christoffersen, seniorrådgiver kommunikasjon i Kripos.

– I tråd med vår rutine er de berørte kommuner orientert, men vi kan ikke gå nærmere inn på hvilke kommuner dette gjelder, sier konstituert kommunikasjonssjef Frode Nikolaisen i Helseplattformen AS. **Foto:** Presse

Hemmelig adresse

Også i et avvik i Trondheim kommune er Kripos varslet, viser en avviksmelding sendt 24. november.

Dette avviket er meldt til Datatilsynet av Helseplattformen etter det som skal ha vært et rutinebrudd i Trondheim kommune.

Datatilsynet opplyser til Sunnmørsposten at det dreier seg om «systemer og informasjon knyttet til person(er) med fortrolig adresse.»

Sunnmørsposten har innsyn i deler av avviksmeldingen, hvor det kommer fram at Trondheim kommune har vært i kontakt med Kripos for risikovurdering. Det er vurdert å være liten risiko for at dette har fått konsekvenser for enkeltpasienter.

– Kan få alvorlige konsekvenser

– Generelt ser Datatilsynet alvorlig på brudd på personopplysningssikkerheten som knytter seg til personer med fortrolig/strengt fortrolig adresse. Det skyldes at sikkerhetsbrudd kan få alvorlige konsekvenser for den enkelte dersom feil person blir kjent med deres oppholdssted, skriver juridisk fagdirektør Susanne Lie til Sunnmørsposten.

– Risikoen for de registrerte vil vurderes som høyere jo flere personer som urettmessig har hatt tilgang til deres adresse eller opplysninger om oppholdssted, for eksempel geolokaliserende informasjon, skriver Lie.

Rammet ikke «strengt fortrolige» adresser

I en annen avviksmelding som Sunnmørsposten har fått innsyn i, kommer det fram at en sperre i Helseplattformen ikke har vært virksom. Ifølge denne avviksmeldingen kan 100 personer på fortrolig adresse være berørt. Det går ikke fram i hvilke kommuner disse bor.

Helseplattformen har en såkalt integrasjon mot folkeregisteret og får nattlige oppdateringer over personer som får strengt fortrolig eller fortrolig adresse. Da fjernes adressen deres og erstattes med teksten «Sperret adresse».

Samtidig skal den enkeltes journal sperres, slik at kun helsepersonell som er spesielt autorisert for tilgangen, får det. I tillegg skal adresseinformasjonen skjules av «*****» inntil man har kommet inn på journalen. Det er denne sperren som ikke var virksom. Dette ble oppdaget 21. desember, og feilen ble rettet denne dagen.

Når det er snakk om personer med hemmelig adresse, finnes det to nivå: Fortrolig og strengt fortrolig.

Hemmelig adresse

Flere hundre personer har hemmelig adresse i Norge fordi de er truet på liv, helse eller frihet.

Avgjørelse om hemmelig adresse blir tatt av politiet, og i noen tilfeller av barnevernet.

Det er to typer adressesperrer:

Fortrolig adresse: Adressen til den trusselutsette skal ikke deles med private.
Strengt fortrolig adresse: Ingen opplysninger som kan lokalisere den trusselutsette skal deles med noen. Bare noen få personer i politiet og skatteetaten har tilgang til adressen.

I 2022 var det 501 personer med adressesperre i Norge, mot 1.093 personer fem år tidligere. Nedgangen begrunnes i at politiet siden 2014 har hatt økt fokus på risikovurderinger og risikoreduserende tiltak, for å forebygge alvorlig vold i nære relasjoner.

Kilde: Kripos/ dinutvei.no, Stortinget

Helseplattformen svarer

Ifølge avviksmeldingen er det helsepersonell som kan ha sett fortrolige adresser.

Kjersti Kaasbøll er konstituert seksjonsleder for informasjonssikkerhet i Helseplattformen.

– Hvor mange kan ha sett eller hatt tilgang til fortrolig adresseinformasjon?

– Vi vet per i dag ikke hvor mange som kan ha hatt tilgang til denne informasjonen, men ut fra vår gjennomgang er det ingenting som tyder på at de har fått alvorlige konsekvenser. Temaet er alvorlig, men vi kan ikke se at det er snakk om alvorlig avvik. Vi har også innført nye rutiner for å sikre at dette ikke skjer igjen, svarer Kaasbøll.

– Det er ingen bostedsadresser for personer med strengt fortrolig adresse som har vært synlige for uvedkommende helsepersonell som bruker Helseplattformen. Vi har rett og slett ikke tilgang til strengt fortrolige adresser. Det er det kun Kripos som har, skriver Kaasbøll til Sunnmørsposten.

– Bakgrunnen for at det er sendt avviksmeldinger i disse tilfellene er at opplysninger som kan bidra til å lokalisere personer med strengt fortrolig adresse, for eksempel navn på en kommune, kan ha vært tilgjengelig for helsepersonell som bruker Helseplattformen, skriver Kaasbøll.

Det er heller ingen tilfeller der helseinformasjon har kommet på avveie, opplyser hun.

Hun opplyser også at det er ingen sammenheng mellom de tre sakene.

I retningslinjer utarbeidet av Helsedirektoratet står det at det skal vurderes å varsle Kripos ved brudd på krav om personvern som gjelder informasjon om personer med adressesperre, det vil si personer med fortrolig adresse eller strengt fortrolig adresse.

«Kripos skal varsles ved uberettiget tilgang til graderte adresseopplysninger. Ved varsling av avvik til Datatilsynet skal det alltid gis samtidig varsel til Kripos.» heter det i retningslinjene.