Det sker efter historier i medierne om, at en ansat på hospitalet har lækket oplysninger om kendtes graviditetsscanninger  til ugebladet Se og Hør - og selvom Region Hovedstaden allerede har besvaret en henvendelse fra tilsynet udløst af Se og Hør-sagen.

Det viser en korrespondance mellem Datatilsynet og Region Hovedstaden, som MediaWatch har fået aktindsigt i.

Den 9. juli varsler Datatilsynet over for Region Hovedstaden, at de 20. august vil gennemføre inspektion på Rigshospitalet, der "vil tage udgangspunkt i de sikkerhedsmæssige spørgsmål omkring de oplysninger og it-systemer, der kan være relevante i den aktuelle sag om muligt misbrug af oplysninger om kendtes scanninger".

Hos Datatilsynet begrunder man inspektionen med, at der er tale om en speciel sag.

”Vi laver omkring 50 inspektioner om året, men det er ikke så ofte, at det sker som led i en sag som den her. Den her sag er på mange måder usædvanlig, og for at få sagen afklaret, gør vi også noget her, som måske kan være usædvanligt,” siger Lena Andersen, kontorchef i Datatilsynet, til MediaWatch.

Inspektionen bliver hilst velkommen på Rigshospitalet, som opfatter besøget som "ukompliceret".

"De har bedt om at komme, og det er vel fordi, at de vil se tingene fysisk," siger Helen Bernt Andersen, sygeplejedirektør og medlem af direktionen på Rigshospitalet.

Beroliget af Se og Hør

Region Hovedstaden og Rigshospitalet har dog allerede besvaret en henvendelse fra Datatilsynet i kølvandet på Se og Hør-sagen.

Korrespondancen viser nemlig, at Datatilsynet rettede henvendelse til Region Hovedstaden den 8. maj. I brevet bedes Region Hovedstaden oplyse, om det blandt andet "er korrekt, at Se og Hør har modtaget oplysninger om kendtes scanninger fra medarbejdere på hospitalet", "hvilke oplysninger det drejer om" samt, "om oplysningerne stammer fra et it-system eller manuelle patientjournaler".

Den 22. maj svarer Region Hovedstanden på henvendelsen. Her skriver de, at de ikke har viden om, at ansatte fra Rigshospitalet har lækket oplysninger til Se og Hør. Viden, de har fra ugebladet selv, lyder svaret:

"Det kan oplyses, chefredaktør Niels Pinborg, Se og Hør, i en telefonsamtale den 7. maj 2014 med lægelig direktør Jannik Hilsted, Rigshospitalet, har meddelt, at Se og Hør ikke har udbetalt penge til ansatte fra Rigshospitalet for oplysninger, og at ingen ansatte fra Rigshospitalet har leveret oplysninger til Se og Hør," skriver Region Hovedstaden.

Helen Bernt Andersen er ikke bekendt med det svar, men siger, at Rigshospitalets egne undersøgelser viser, at der ikke er grund til at tro, at Se og Hør har fået oplysninger fra deres ansatte.

"Vi har lavet interne undersøgelser, og vi er så overbeviste, som vi kan blive på, at intet tyder på, at der har været læk fra vores medarbejdere," siger hun og henviser til den undersøgelse, som hospitalet selv igangsatte den 7 maj.

"Vi har undersøgt de ting, vi på nuværende tidpunkt har mulighed for at undersøge."

Vil kaste mere lys over sag

Datatilsynet ønsker ikke at svare på, om årsagen til, at de vil foretage en inspektion, er, at svaret fra Region Hovedstaden ikke er fyldestgørende.

”Vi har valgt at tage en inspektion for at se, om vi kan kaste mere lys over sagen ved at komme ud og kigge på forholdende og snakke med dem derude,” siger Lena Andersen.

Til sammenligning kontaktede Datatilsynet også flyselskabet SAS i starten af maj. Her leverede SAS en 30-sider lang redegørelse af deres håndtering af persondata, og der er ikke varslet nogen inspektion af dem.

Se og Hør-skandale: Datatilsynet har åbnet sag mod SAS og Riget

Helen Bernt Andersen mener dog ikke, at Region Hovedstaden og Rigshospitalet korte svar er forklaringen på den varslede inspektion.

"De har bedt om at komme herind, og det er vel for at se tingene i den kontekst, de indgår i,” siger hun.

Så du opfatter det ikke som om, at de kommer, fordi I ikke har leveret et fyldestgørende svar?

”Nej, det gør jeg ikke.”

Vil fysisk se systemer og lokaler

Datatilsynet uddyber dog gerne, hvad de vil kigge efter på Rigshospitalet.

”Vi vil stille spørgsmål til sikkerheden omkring systemerne, og så vil vi lave fysisk besigtigelse af både lokaler og it-systemer,” siger hun.

Af Datatilsynets brev den 9. juli fremgår det desuden, at de også vil kigge på, hvilke it-systemer, der indeholder oplysninger om kendte personers scanninger, hvem der har adgang til dem, om der sker logning i de pågældende it-systemer, hvad regionen/Rigshospitalet har gjort for at undersøge, om der har været læk/misbrug af oplysninger samt om sagen har givet anledning til, at regionen vil eller har truffet nye sikkerhedsforanstaltninger for at forhindre læk.

Database-svipser kan få konsekvenser i Se og Hør-sagen

Skal redegøre for kreditkortoplysninger

Ifølge Politiken har Datatilsynet også kontaktet Se og Hør. Det skete ligeledes kort tid efter, at sagen om ugebladets overvågning af kendte brød ud.

I slutningen af april skrev Datatilsynet således til Se og Hør og udbad sig en redegørelse for at kunne afgøre, om mediets behandling af privatpersoners kreditkortoplysninger er i strid med persondataloven.

Datatilsynet har kun bedt Se og Hør forklare sig

I samme ombæring skrev Datatilsynet, at Se og Hør ikke har anmeldt sine redaktionelle databaser, og at behandling af personoplysninger kræver et udtrykkeligt samtykke fra de registrerede.

Ifølge Politiken viser Allers svar, at de er uenig i den betragtning, og de - modsat SAS og Rigshospitalet - ikke ønsker at besvare Datatilsynets spørgsmål på grund af politisagen.