Internrevisjonen: Betydelige svakheter og mangel på kontroll på klinikken på PSI
Totalt har 1192 personer hatt tilgang til rommene pasientjournalene har blitt oppbevart. – En risiko, mener internrevisjonen.
Etter at [klinikken på PSI ble stengt med umiddelbar virkning](1) for to uker siden satt UiO i gang både advokatfirmaet Kluge og internrevisjon for å granske om driften var innenfor lovverket.
[Forrige tirsdag konkluderte Kluge i sin rapport at det hadde vært en rekke avvik på klinikken](2)
I dag kom rapporten fra Enhet for intern revisjon (EIR)
Sterke reaksjoner: Studenter teipet munnen i protest
– Risiko
Den konkluderer med at kontrollen og styringen på virksomheten ikke har vært tilfredsstillende.
Blant annet var journaler og helseregistere åpne for betydelig flere enn de som hadde krav på det.
«Risikoen for uautorisert tilgang har eksponert pasienter og UiO for uønskede hendelser innen personvern. Det er iverksatt strakstiltak på området.», står i rapporten.
I ett rom ved PSI finner man arkivskap og datamaskiner med sensitiv informasjon, som journaler og videoopptak av pasienter. EIR har funnet at totalt 1192 personer har tilgang til rommet som inneholder disse arkivene. Dette skyldes at alle nye studenter får tilgang, men at det ikke finnes rutiner for å fjerne denne tilgangen.
For å få tilgang til de faktiske journalene må man gjennom et nøkkelskap som åpnes med en firesifret kode. I dette finnes nøklene som kan åpne ulike arkivskap.
Det har imidlertid ikke vært rutiner for å skifte kode på dette skapet jevnlig, står det i rapporten.
Stor reportasje fra PSI: Derfor er de så sinte
Den 18. oktober ble iversatt tiltak for å bøte på disse manglene. Kode til nøkkelskapet har blitt endret, kortleser i døren er skiftet ut og ny nøkkellås er satt inn midlertidig.
Alene med pasientene
En av punktene som Kluge tok tak i i sin rapport forrige uke var at studenter behandlet pasienter uten tilsyn fra veileder. Også internrevisjonen trekker dette frem.
«Etter en forsvarlighetsvurdering av behandlingsansvarlig (klinisk veileder) har studenter unntaksvis behandlet pasienter mellom 16.00 -18.00», står det i rapporten.
Selv om det allerede er iverksatt tiltak for hjelpe på dette mener revisjonen at enhet for HMS og beredskap burde involveres i videre arbeid.
Tidligere klinikkpasient fortviler: Jeg føler meg utrygg
– Mangel på intern kontroll
Klinikken på PSI tok video-opptak av undervisningen som skjedde på klinikken. Det har vært et spørsmål om dette krevde konsesjon fra Datatilsynet. Advokatfirmaet Kluge mente denne praksisen krever konsesjon, men internrevisjonen er ikke like sikker.
«Det er på rapporteringstidspunktet ikke avklart om det er krav til konsesjon fra Datatilsynet vedrørende behandling av sensitive personopplysninger i undervisningsvirksomheten.», står det i rapporten.
UiO skal kontakte Datatilsynet for avklare dette.
Styremøte i dag: Studentrepresentantene nekter å si om de støtter psykologistudentene
Internrevisjonen konkluderer med at svakhetene skyldes mangel på intern kontroll; ikke tydelige roller og ansvar; og mangelfull kontrollbevissthet.
Flere av klinikkens utfordringer er allerede tatt tak i. Rapporten understreker at det foregår et arbeid på klinikken for å etablere rutiner og dermed lukke svakhetene.
Styremøte
Klokken ti i dag startet universitetsstyremøtet der de blant annet skal bestemme om [universitetsdirektør Gunn-Elin Bjørneboe skal få fullmakt til å fortsette forhandlingene om å flytte klinikken](3).
Hverken representanter for Enhet for intern revisjon (EIR) eller universitetsstyret har anledning til å kommentere rapporten. De sitter i nevnte styremøte.