Lok frumkvæðisathugunar á vinnslu persónuupplýsinga á bráðamóttöku Landspítala
Í kjölfar nokkurra ábendinga hóf Persónuvernd frumkvæðisathugun á því hvort aðstæðum á bráðamóttökunni væri þannig háttað að öryggi persónuupplýsinga sjúklinga væri tryggt. Með hliðsjón af svörum bráðamóttökunnar þótti ekki tilefni til að halda athuguninni áfram að svo stöddu en það áréttað við Landspítalann að viðeigandi tæknilegar og skipulagslegar ráðstafanir á bráðamóttökunni, svo sem varðandi móttöku sjúklinga, aðgang að vaktherbergjum og fjarskiptaherbergjum og notkun skjáa, yrðu að taka mið af því að þar væri unnið með viðkvæmar persónuupplýsingar sjúklinga.
Efni: Lok frumkvæðisathugunar á vinnslu persónuupplýsinga á bráðamóttöku í Fossvogi
I.
Persónuvernd tilkynnti Landspítalanum um frumkvæðisathugun stofnunarinnar á vinnslu persónuupplýsinga á bráðamóttöku í Fossvogi, með bréfi 19. júní 2020. Líkt og fram kom í því bréfi höfðu Persónuvernd borist ábendingar sem lutu að því að aðstæðum á bráðamóttökunni væri þannig háttað að trúnaði við sjúklinga væri stofnað í hættu.Í bréfi Landspítalans til Persónuverndar 15. september 2020 var farið yfir verklag við móttöku sjúklinga og aðstæður á bráðamóttökunni, meðal annars notkun skjáborða og deildartölva í vaktherbergjum. Vaktherbergin séu ekki læst af öryggisástæðum en óviðkomandi sé bannaður aðgangur. Einnig kemur fram að á bráðamóttökunni sé fjarskiptaherbergi með nokkrum skjáborðum og deildartölvum. Herbergið sé ekki aðgangsstýrt en þar séu ávallt starfsmenn og reynt sé að hafa skjáborðin ekki í allra augsýn þótt ekki sé alfarið hægt að koma í veg fyrir að það sjáist á þau.
II.
Persónuvernd annast eftirlit með vinnslu persónuupplýsinga samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og persónuverndarreglugerð (ESB) 2016/679, skv. 1. mgr. 39. gr. laganna.Lögin og reglugerðin gilda um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að vera hluti af skrá, sbr. 1. mgr. 4. gr. laganna. Almennt fellur munnleg miðlun persónuupplýsinga ekki undir gildissvið laganna en þó hefur Persónuvernd komist að þeirri niðurstöðu að svo sé ef persónuupplýsingum er miðlað munnlega úr einhvers konar skrá.
III.
Persónuvernd boðaði vettvangsathugun á bráðamóttöku Landspítala með bréfi 2. febrúar síðastliðinn en féllst á að fresta athuguninni með hliðsjón af sóttvarnaaðgerðum á spítalanum.Með vísan til þeirra upplýsinga sem koma fram í bréfi Landspítalans frá 15. september 2020 telur Persónuvernd ekki tilefni til að halda athugun sinni áfram að svo stöddu en útilokar ekki að taka vinnslu persónuupplýsinga á bráðamóttöku Landspítalans til frekari skoðunar síðar meir.
Á hinn bóginn áréttar Persónuvernd að við alla vinnslu persónuupplýsinga, einnig munnlega miðlun persónuupplýsinga úr hvers konar skrám, skal gætt að meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Það felur meðal annars í sér að persónuupplýsingar skulu unnar með sanngjörnum hætti gagnvart hinum skráðu og að viðeigandi öryggis persónuupplýsinganna sé gætt. Í því felst að ábyrgðaraðilum ber að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur persónuverndarlöggjafarinnar, sbr. 23. gr. og 1. mgr. 24. gr. laga nr. 90/2018 og 1. mgr. 24. gr. og 1. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Með hliðsjón af þessum ákvæðum telur Persónuvernd brýnt að við ákvörðun um skipulagslegar og tæknilegar ráðstafanir, svo sem varðandi móttöku sjúklinga, aðgang að fyrrgreindum vaktherbergjum og fjarskiptaherbergi og notkun skjáa þar inni, sé sérstaklega horft til þess að á bráðamóttöku Landspítalans er unnið með viðkvæmar persónuupplýsingar sjúklinga.
F.h. Persónuverndar,
Helga Þórisdóttir Valborg Steingrímsdóttir