Bréf 18. desember 2020 vegna öryggis við miðlun upplýsinga til Embættis landlæknis

Efni: Öryggi við miðlun upplýsinga til Embættis landlæknis í þágu bólusetningar við COVID-19

Persónuvernd vísar til leyfis stofnunarinnar til Embættis landlæknis til samkeyrslna á skrám í þágu bólusetningar við COVID-19, dags. 16. desember 2020, og samskipta í framhaldi af því. Daginn eftir útgáfu leyfisins barst Persónuvernd erindi frá Embætti landlæknis þar sem vísað var til þess að vegna þessara samkeyrslna þyrftu yfirlæknar sóttvarna að fá í hendur upplýsingar frá meðal annars heilbrigðisstofnunum, lögreglu, slökkviliði, hjúkrunarheimilum og fleirum um starfsmenn þeirra og jafnframt frá félags- og öldrunarþjónustu sveitarfélaga um íbúa í búsetuúrræðum á þeirra vegum sem tilheyra forgangshópum vegna bólusetningar. Þá kom fram að í einhverjum tilvikum hafa stofnanir verið í vafa um heimild til afhendingar upplýsinga. Var þess óskað að staðfest yrði sú túlkun Embættis landlæknis og sóttvarnalæknis að í ljósi tiltekinna ákvæða í sóttvarnalögum nr. 19/1997 væri miðlun umræddra upplýsinga heimil til yfirlækna heilsugæslu, þ.e. umdæmislækna sóttvarna, vegna hlutverks þeirra við framkvæmd sóttvarna í sínu umdæmi.

Í bréfi Persónuverndar til Embættis landlæknis, dags. 17. desember 2020, var farið yfir þau ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 sem einkum reyndi hér á. Þá voru þessi ákvæði sett í samhengi við viðeigandi ákvæði laga nr. 19/1997 og komist að þeirri niðurstöðu að umrædd miðlun upplýsinga til umdæmislækna sóttvarna væri heimil. Jafnframt minnti Persónuvernd á að við afhendingu upplýsinganna bæri að gera nauðsynlegar ráðstafanir til að tryggja öryggi þeirra miðað við áhættu af vinnslunni og eðli upplýsinganna, sbr. 27. gr. laga nr. 90/2018, sbr. og 32. og 33. gr. reglugerðar (ESB) 2016/679. Var þess óskað af Embætti landlæknis að það sendi Persónuvernd lýsingu á slíkum ráðstöfunum vegna afhendingarinnar.

Nú í dag, 18. desember 2020, hefur umbeðin lýsing borist. Kemur þar fram að við þá miðlun upplýsinga sem þegar hafi farið fram hafi verið notast við mismunandi lausnir eftir viðkvæmni gagna. Heilsugæsla höfuðborgarsvæðisins hafi notast við hugbúnaðinn Signet transfer fyrir alla miðlun, en þar sé auðkenning sendanda tryggð og öll samskipti dulkóðuð. Mælst hafi verið til þess að aðrar heilsugæslur nýttu sér sömu eða sambærilegar lausnir við miðlun upplýsinga. Í einhverjum tilvikum hafi verið óskað eftir listum yfir nöfn starfsmanna og kennitölur þeirra og hafi þeim verið miðlað í læstu skjali og lykilorð send með öðrum aðferðum. Í þessum tilvikum hafi eingöngu verið um almennar persónuupplýsingar að ræða og miðlun talin eiga sér nauðsynlegan og málefnalegan tilgang, sbr. 13. gr. laga nr. 90/2018. Embætti sóttvarnalæknis muni senda umdæmislæknum sóttvarna, eða eftir atvikum svonefndum listastjórum sem bera ábyrgð á miðlun upplýsinga til Embættis landlæknis, fyrirmæli um að gripið verði til viðeigandi ráðstafana til samræmis við framangreint.

Hér með tilkynnist að verði unnið eftir verklagi eins og lýst hefur verið af hálfu Embættis landlæknis, þannig að ávallt verði notast við viðeigandi lausnir eftir eðli og viðkvæmni upplýsinga, telur Persónuvernd ekki tilefni til athugasemda.

F.h. Persónuverndar,

Þórður Sveinsson                           Vigdís Sigurðardóttir



Var efnið hjálplegt? Nei