I august ble Medi Norways hovedkontor i Tyskland utsatt for et dataangrep. St. Olavs har meldt inn hendelsen til Datatilsynet, og skriver at personopplysninger om pasienter på sykehuset kan ha kommet på avveie.

Da avviket ble meldt inn i august, visste sykehuset i Trondheim noe om omfanget. Nesten to måneder senere har de fortsatt ikke fått klarhet i omfanget av dataangrepet.

Opplysninger kan ha kommet på avveie

Medi Norway er leverandør av kompresjonsundertøy til pasienter, og leverer blant annet til St. Olavs hospital.

Sykehuset skriver i meldingen til Datatilsynet at navn, adresse, telefonnummer, e-postadresse og informasjon om produkter pasientene bruker kan ha kommet på avveie.

I meldingen til Datatilsynet, som Nidaros har fått innsyn i, skriver sykehuset følgende om mulige konsekvenser for pasienter:

"Informasjon på avveie om pasienter og hvilke hjelpemidler som benyttes gir indikasjon på diagnose"

– Hendelsen ble meldt til St. Olav hospital 10. august. Vi har rutinemessig meldt avviket til Datatilsynet med henvisning til Medi Norway sin avviksmelding. Saken gjelder ikke et innbrudd i våre IT-systemer, med et et innbrudd i Medi Norways IT-system plassert i Tyskland, skriver virksomhetsdirektør ved St. Olav, Merete Blokkum, i en e-post til Nidaros.

Uklart omfang

I meldingen til Datatilsynet fra august står det at omfanget av dataangrepet ikke er klart, og at pasienter derfor ikke er informert.

Nesten to måneder senere er situasjonen den samme.

– MediNorway oppdaterer saken til Datatilsynet. St. Olavs hospital har så langt ikke fått en liste over pasienter som er involvert i bruddet, og disse er derfor heller ikke varslet, skriver direktør Blokkum og legger til at angrepet mest sannsynlig er økonomisk motivert.

– Alle tegn tyder på at angriperne var ute etter økonomisk gevinst, i og med at det var deres regnskaps og faktureringssystem angrepet rettet seg mot, skriver hun.