Álit um heimildir heilbrigðisráðuneytisins til öflunar upplýsinga frá undirstofnununum

Mál nr. 2020010452

22.6.2021

Álit

Hinn 15. júní 2021 samþykkti Persónuvernd svohljóðandi álit í máli nr. 2020010452:

I.

Málsmeðferð

1.

Almennt

Persónuvernd vísar til fyrri samskipta í framhaldi af erindi heilbrigðisráðuneytisins til stofnunarinnar, dags. 21. mars 2019, um breytt fyrirkomulag við móttöku tölulegra gagna frá stofnunum sem undir það heyra. Samkvæmt erindinu yrði um að ræða ópersónugreinanlegar upplýsingar og óskaði Persónuvernd eftir því með bréfum, dags. 6. ágúst 2019, að viðkomandi stofnanir upplýstu um hvernig gögn úr skrám þeirra yrðu gerð ópersónugreinanleg áður en þeim yrði miðlað til ráðuneytisins.
Af svörum, sem Persónuvernd bárust frá þessum stofnunum, taldi hún mega ráða að ekki lægju fyrir nægilegar upplýsingar um fyrirhugað breytt fyrirkomulag við móttöku tölulegra gagna, sér í lagi um innihald þeirra og umfang. Var í ljósi þess óskað nánari skýringa frá ráðuneytinu með bréfi, dags. 30. mars 2020, og voru þær veittar með bréfi, dags. 14. maí s.á. Samkvæmt því svari höfðu forsendur breyst töluvert frá því að erindið 21. mars 2019 var sent, m.a. þar sem horfið hefði verið frá samstarfi við félagsmálaráðuneytið vegna umræddrar gagnaöflunar, og stæði yfir þarfagreining til að afmarka hvaða gagna yrði aflað frá hverri einstakri stofnun.
Með bréfi, dags. 14. desember 2020, óskaði Persónuvernd þess að heilbrigðisráðuneytið upplýsti um þessa afmörkun. Svarað var með bréfi, dags. 12. febrúar 2021. Þá fór Landlæknisembættið fyrir hönd ráðuneytisins yfir atriði úr svarinu á fundi með Persónuvernd hinn 22. s.m., auk þess sem embættið sendi stofnuninni degi síðar hlekk á vefsíðu systurstofnunar sinnar í Noregi, Helsedirektoratet, með upplýsingum um svonefnda DRG-flokkun heilbrigðisþjónustu sem er á meðal þess sem fyrirhugað er að afla upplýsinga um.

2.

Um svar heilbrigðisráðuneytisins 22. febrúar 2021

Samkvæmt svari heilbrigðisráðuneytisins hinn 12. febrúar 2021 er ráðgerð ferns konar upplýsingaöflun, þ.e. öflun upplýsinga um lyfjamál, um sjúkraflutninga, um annars og þriðja stigs heilbrigðisþjónustu og um áðurnefnda DRG-flokkun. Verður nú rakið það sem segir í bréfi ráðuneytisins um hvern þessara upplýsingaflokka og að svo búnu fjallað um lýsingu þess á hvaða heimildir það telur sig hafa til umræddrar upplýsingaöflunar, svo og hvernig það hyggst haga öryggi persónuupplýsinga.

2.1.

Öflun upplýsinga um lyfjamál

Hvað snertir upplýsingar um lyfjamál segir að mánaðarlega þurfi að afla upplýsinga þar að lútandi frá Sjúkratryggingum Íslands og Landspítala um bæði almenn lyf og lyf sem séu leyfisskyld, þ.e. hjá lyfjanefnd Landspítala, sbr. 7. tölul. 3. gr. lyfjalaga nr. 100/2020. Nánar tiltekið lúti upplýsingarnar að því hver borgi lyf, ATC-kóða lyfs niður á fimmta staf, hvort lyf er leyfisskylt, kyni sjúklings og aldri í árum, póstnúmeri þar sem sjúklingur er búsettur, kennitölu sjúklings, hvaða læknir ávísar lyfi, heildarkostnaði vegna lyfs, hlut almennings í kostnaði, hlut ríkisins í kostnaði, fjölda ávísana og skilgreindum dagskammti.

Tekið er fram hvað kennitölur varðar að þær séu nauðsynlegar til að geta skoðað kostnað og fjölda einstaklinga. Einnig segir í því sambandi að á meðal markmiða í fjármálaáætlun núverandi ríkisstjórnar sé að draga úr notkun ávanabindandi lyfja, svo sem sterkra verkjalyfja og svefnlyfja, en án kennitalna sé hætta á tvítalningu. Að auki er því lýst að við kortlagningu á útgjöldum einstakra hópa með tilliti til breytinga á greiðsluþátttökukerfi sé ekki hægt að spá fyrir um breytingar nema að notast við breytu til auðkenningar sem sé sameiginleg fyrir bæði leyfisskyld lyf og almenn lyf, en sú breyta sem þar eigi við sé kennitalan.

Jafnframt segir að kennitölur verði eingöngu aðgengilegar þeim sem sjái um gagnagrunnsmál en ekki almennum sérfræðingum. Til að tryggja öryggi aðgangsstýringar verði settur upp sérstakur gagnagrunnur með kennitölum ásamt lykli sem sé óháður kennitölum og sé sá lykill notaður til greininga. Þannig verði hægt að skoða lyfjanotkun einstaklinga án þess að nota eiginlegar kennitölur. Hvað varði breytur eins og til dæmis kyn, aldur og póstnúmer sé ljóst að á eins litlu landi og Íslandi sé hætta á að hægt verði að finna einstaklinga sem séu á sjaldgæfum lyfjum. Erfitt sé að komast hjá slíku, en mikilvægt sé að sérfræðingar ráðuneytisins hafi eftirlit með sjaldgæfum lyfjum, m.a. til að greina jaðarsett tilvik með tilliti til þess að einstaklingum sé ekki mismunað við ákvarðanir um niðurgreiðslu og aðgengi að lyfjum.

2.2.

Öflun upplýsinga um sjúkraflutninga

Í tengslum við sjúkraflutninga segir að afla þurfi upplýsinga frá Neyðarlínunni um flutninga Slökkviliðs höfuðborgarsvæðisins, Brunavarna Suðurnesja, Brunavarna Akureyrar og Mýflugs ehf. Ekki sé hér um að ræða undirstofnanir ráðuneytisins heldur aðila sem gert hafi samninga um veitingu þjónustu við Sjúkratryggingar Íslands. Í samningunum séu ákvæði um upplýsingaskyldu gagnvart stofnuninni, en ráðuneytið telji þær upplýsingar ekki fullnægjandi og hyggist fá árlega í hendur frá Neyðarlínunni upplýsingar um hver flytur í hvert og eitt sinn; bráðleika flutnings; frá hvaða póstnúmeri flutt er og hvort um ræði flugvöll, hjúkrunarheimili, heilbrigðisstofnun eða annað; á hvaða stofnun flutt er; hvort um ræðir sjúkraflug, þyrlu, sjúkrabíl eða annars konar flutning; hver dagsetning og tími flutnings er; og hverjar eru tímasetningar pöntunar flutnings og viðbragða á vettvangi og hver tímalengd flutnings er. Er tekið fram í þessu sambandi að ráðuneytið telji nauðsynlegt að geta fylgst miðlægt með virkni sjúkraflutninga á landsvísu til að geta betur unnið að samræmingu þeirra og að einhverju leyti gæðaeftirliti.

2.3.

Öflun upplýsinga um annars og þriðja stig heilbrigðisþjónustu

Um annars og þriðja stigs heilbrigðisþjónustu segir að þær ræði um slíka þjónustu sem veitt er á sjúkrahúsum, heilbrigðisstofnunum og starfsstofum heilbrigðisstarfsmanna. Þá segir að úr svonefndum Sögugrunni Landlæknisembættisins sé nauðsynlegt að afla mánaðarlegra upplýsinga um einkvæmt númer sjúklings fyrir hverja legu og komu; kyn sjúklings, aldur í árum og afdrif, þ.e. hvort sjúklingur hafi farið heim, látist eða farið á hjúkrunarheimili; sérgrein sem lega eða koma fellur undir; dagsetningu og tíma innskriftar og útskriftar; póstnúmer sem sjúklingur er búsettur í; innlagnarmáta, þ.e. hvort um hafi rætt bráðainnlögn eða innlögn að eigin vali; hvort sjúklingur er sjúkratryggður; hvort um ræðir útskriftarvanda; ráðgjafarbeiðnir; og ICD-greiningar og NCSP-meðferðarkóða.

Því er lýst í þessu sambandi að um ræði fjölda þjónustuveitenda sem dreifðir séu um heilbrigðiskerfið og sé ekki mögulegt að ná yfirsýn yfir hvaða þjónusta er veitt á hverjum stað og í hvaða mæli án skráningar framangreindra upplýsinga. Sé samræmd skráning og miðlæg gagnasöfnun nauðsynleg til að unnt sé að skipuleggja þjónustuna á hverjum stað, skoða mögulegar tilfærslur einstakra þátta hennar milli staða og aðra verkaskiptingu milli aðila eins og lagt sé til í heilbrigðisstefnu til ársins 2030. Sé þar stefnt að því Sjúkratryggingar Íslands gegni veigamiklu hlutverki sem kaupandi þjónustunnar fyrir hönd ríkisins og sé mikilvægt að mat á þjónustunni liggi fyrir af hálfu ríkisvaldsins.

2.4.

Upplýsingar um DRG-flokkun

Hvað varðar upplýsingar um DRG-flokkun er tekið fram að um ræði alþjóðlegt flokkunarkerfi sem flestar Evrópuþjóðir hafi tekið upp til að koma á þjónustutengdri fjármögnun. Að hluta hafi fjármögnun sem þessi verið tekin upp hjá Landspítala samkvæmt samningi Landspítala og Sjúkratrygginga Íslands, en nú sé ráðgert að innleiða kerfið að fullu í íslenska heilbrigðiskerfið. Verði það fyrst gert á Landspítala og á Sjúkrahúsinu á Akureyri og verði árið 2021 þar svokallað skuggasamkeyrsluár þar sem flokkun og verðmæti þjónustunnar verði metin samhliða hefðbundinni fjármögnun, en árið 2020 verði fjármögnun orðin þjónustumiðuð, þ.e. að því marki sem tilgreint sé í skýrslu frá ráðgjafarfyrirtækinu Mckinsey árið 2020. Í framhaldinu bætist við fleiri heilbrigðisstofnanir og að lokum einkareknar heilbrigðisstofnanir sem veita annars og þriðja stigs heilbrigðisþjónustu á legu- og göngudeildum.

Einnig segir að DRG-flokkunin muni eiga sér stað miðlægt í nýrri einingu sem staðsett verði innan heilbrigðisráðuneytisins á þann hátt að ákveðnar upplýsingar úr sjúkraskrárkerfinu Sögu, sem nauðsynlegar séu til flokkunar á gögnum frá þjónustuveitendum, verði dregnar út. Í því felist nánar tiltekið að mánaðarlega verði í þágu umræddrar flokkunar aflað upplýsinga um einkvæmt númer sjúklings fyrir hverja legu og komu; kyn sjúklings, aldur í dögum og afdrif, þ.e. hvort sjúklingur hafi farið heim, látist eða farið á hjúkrunarheimili; útskriftardeild; sérgrein sem lega eða koma fellur undir; dagsetningu og tíma innskriftar og útskriftar; og ICD-greiningar og NCSP-meðferðarkóða.

2.5.

Um heimildir sem ráðuneytið telur standa til upplýsingaöflunar

Um heimild til framangreindrar upplýsingaöflunar vísar ráðuneytið til 3. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, þess efnis að slík vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, svo og 5. tölul. sömu greinar um að vinna má með persónuupplýsingar sé það nauðsynlegt við beitingu opinbers valds sem ábyrgðaraðili fer með. Þá vísar ráðuneytið til 7. og 9. tölul. 1. mgr. 11. gr. laga nr. 90/2018 þar sem mælt er fyrir um heimild til vinnslu viðkvæmra persónuupplýsinga sem nauðsynleg er af ástæðum sem varða verulega almannahagsmuni eða af ástæðum sem varða verulega almannahagsmuni á sviði lýðheilsu, enda fari vinnslan fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og frelsi hins skráða.

Í tengslum við framangreindar heimildir vísar ráðuneytið til almennra stjórnunar- og eftirlitsheimilda þess gagnvart stofnunum sem undir það heyra, enda leiði ekki af lögum að stjórnvald skuli vera sjálfstætt gagnvart ráðherra, sbr. 1. mgr. 12. gr. laga nr. 115/2011 um Stjórnarráð Íslands. Einnig vísar ráðuneytið til þess að samkvæmt 1. mgr. 13. gr. laganna skal ráðherra hafa eftirlit með starfrækslu, fjárreiðum og eignum á vegum stjórnvalda sem heyra undir almennar stjórnunarheimildir hans, auk þess sem samkvæmt 3. mgr. 27. gr. laga nr. 123/2015 um opinber fjármál hefur hann virkt eftirlit með framkvæmd fjárlaga á sínu málefnasviði og ber ábyrgð á að ráðstöfun fjárheimilda sé innan þess ramma sem Alþingi ákveður. Þá vísar ráðuneytið til þess að samkvæmt 1. mgr. 14. gr. laganna getur ráðherra krafið stjórnvald, sem heyrir undir yfirstjórn hans, um hverjar þær upplýsingar og skýringar sem þörf er á til að sinna yfirstjórnunarhlutverki sínu, svo og að samkvæmt 2. mgr. sömu greinar getur ráðherra jafnframt krafið sjálfstæð stjórnvöld, sem heyra stjórnarfarslega undir hann, um hverjar þær upplýsingar og skýringar sem þörf er á að til sinna eftirliti samkvæmt 13. gr. laganna og öðrum lögmæltum skyldum ráðherra. Tekur ráðuneytið fram að samkvæmt 3. mgr. 14. gr. laganna eru ráðherra og ráðuneyti hans bundin af þagnarskyldureglum sem gilda um upplýsingar sem nauðsynlegt reynist í þessu sambandi að afhenda ráðherra.

Jafnframt tekur ráðuneytið fram í tengslum við framangreindar heimildir að heilbrigðisráðherra fer með yfirstjórn heilbrigðismála samkvæmt 2. gr. laga nr. 40/2007 um heilbrigðisþjónustu, svo og með yfirstjórn sjúkratrygginga og samningsgerð um heilbrigðisþjónustu og aðra aðstoð samkvæmt lögum nr. 112/2008 um sjúkratryggingar, sbr. 4. gr. þeirra laga. Segir í svari ráðuneytisins að til að sinna framangreindum skyldum sé því nauðsynlegt að geta safnað gögnum frá undirstofnunum og nýtt þau við meðal annars mat á kostnaði við lagafrumvörp, reglugerðarbreytingar og aðrar kerfisbreytingar, svo og gerð forsendna í líkön þar sem áætlað er fyrir um þróun útgjalda til að undirbyggja stefnumótun innan málefnasviða og hafa umsjón með mælikvörðum fjármálaáætlunar.

2.6.

Öryggi persónuupplýsinga

Hvað snertir öryggi persónuupplýsinga er tekið fram að ráðuneytið hafi komið á aðgangsstýrðum gagnagrunni sem sé hýstur hjá Umbru – þjónustumiðstöð Stjórnarráðsins. Verði gögn varðveitt í þessum grunni, en hann hafi fengið vottun samkvæmt upplýsingaöryggisstaðlinum ISO 27001. Muni ráðuneytið sækja gögnin sem undirstofnanir setji í flutningsgrunn jafnóðum og þær berist með sjálfvirkum keyrslum og vinna þau inn í svokallað vöruhús gagna hjá ráðuneytinu, mögulega með SSAS-tengingum (SQL Server Analysis Services). Gögnunum verði eytt úr flutningsgrunninum um leið og þau hafi verið sótt og sé enginn aðgangur að gagnagrunninum utanfrá, en það útskýri þörfina á flutningsgrunninum.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið 4. gr. reglugerðarinnar.

Mál þetta lýtur að öflun upplýsinga frá stofnunum sem heyra undir heilbrigðisráðuneytið. Eins og lýst hefur verið eru þetta í fyrsta lagi lyfjaupplýsingar frá Sjúkratryggingum Íslands og Landspítala, þ. á m. um kennitölur þeirra sem fengið hafa tiltekin lyf, og er ljóst að þar er um að ræða persónuupplýsingar í skilningi laganna og reglugerðarinnar. Í öðru lagi eru þetta upplýsingar frá Neyðarlínunni um sjúkraflutninga, en ætla verður að þær séu alla jafna ópersónugreinanlegar enda ekki auðkenndar með kennitölum eða öðrum upplýsingum sem almennt geta verið auðkennandi fyrir viðkomandi einstakling, t.d. þar sem saman komi aldur hans og flokkun eftir búsetu. Í þriðja lagi eru þetta upplýsingar frá Landlæknisembættinu um annars og þriðja stigs heilbrigðisþjónustu, m.a. um kyn sjúklings, aldur hans í árum, dagsetningu innskriftar og útskriftar og póstnúmer sem hann er búsettur í, en þegar breytur sem þessar koma saman er ljóst að þær geta verið persónugreinanlegar. Og í fjórða lagi eru þetta upplýsingar frá heilbrigðisstofnunum eftir svonefndri DRG-flokkun, m.a. kyn sjúklings og aldur í dögum, sérgrein sem lega eða koma á heilbrigðisstofnun fellur undir og dagsetning innskriftar og útskriftar, en leggja verður til grundvallar að þegar þessar breytur koma saman geti upplýsingar orðið persónugreinanlegar, t.d. í ljósi almennt aðgengilegra upplýsinga sem geti sett þær í samhengi við hlutaðeigandi einstakling.

Að þessu öllu virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar, að því þó undanskildu sem fyrr greinir um upplýsingar um sjúkraflutninga.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst heilbrigðisráðuneytið vera ábyrgðaraðili að fyrirhugaðri vinnslu.

2.

Lagaumhverfi

Svo að heimilt sé að vinna með persónuupplýsingar þarf vinnslan ávallt að falla undir heimild samkvæmt 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Séu persónuupplýsingar viðkvæmar þarf jafnframt að vera fullnægt einhverju viðbótarskilyrðanna fyrir vinnslu slíkra upplýsinga samkvæmt 11. gr. sömu laga. Hér ræðir um heilsufarsupplýsingar, en þær eru viðkvæmar, sbr. b-lið 3. tölul. 3. gr. laganna.

Miðað við lýsingu heilbrigðisráðuneytisins á umræddri vinnslu er hún ráðgerð í því skyni að fylgjast með útgjöldum vegna veitingar heilbrigðisþjónustu, hafa eftirlit með þeim og skipuleggja þjónustuna þannig að hún verði sem hagkvæmust. Í ljósi þessa tilgangs vinnslunnar reynir hér einkum á hvort hún falli undir 5. tölul. 9. gr. laga nr. 90/2018, þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða opinbers valds, svo og 7. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Auk heimildar samkvæmt 9. og 11. gr. laga nr. 90/2018 þarf hér, sem endranær við vinnslu persónuupplýsinga, að vera fullnægt öllum grunnkröfum 1. mgr. 8. gr. laganna, þ. á m. um að persónuupplýsingar skulu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu (3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (6. tölul.).

Við mat á heimild til umræddrar vinnslu og því hvort hún samrýmist framangreindum grunnkröfum þarf að skoða hvernig hún horfir við hlutverki heilbrigðisráðuneytisins eins og það er afmarkað í þeirri löggjöf sem um það gildir, svo og hvort og þá hvernig fjallað er þar um vinnslu persónuupplýsinga. Eins og ráðuneytið hefur bent á reynir þar á ákvæði í lögum nr. 115/2011 um Stjórnarráð Íslands um stjórnunar- og eftirlitsheimildir ráðherra, þ. á m. 12. gr. laganna, þar sem fjallað er almennt um það hlutverk hans að hafa með höndum yfirstjórn stjórnvalda á sínu málefnasviði, og 13. gr., laganna, þess efnis að hann hafi virkt eftirlit með starfrækslu, fjárreiðum og eignum á vegum þeirra stjórnvalda. Að auki hefur ráðuneytið bent á ákvæði í lögum nr. 123/2015 um opinber fjármál sem líta þarf til, þ. á m. 1. mgr. 14. gr. laganna um að ráðherra geti krafið umrædd stjórnvöld um hverjar þær upplýsingar og skýringar sem honum er þörf til að sinna yfirstjórnunarhlutverki sínu, svo og 3. mgr. sömu greinar þar sem mælt er fyrir um þagnarskyldu ráðherra og ráðuneytis hans um upplýsingar sem nauðsynlegt reynist í þessu sambandi að afhenda ráðherra.

Hvað öflun upplýsinga frá heilbrigðisstofnunum snertir telur Persónuvernd einnig verða að líta til 12. gr. laga nr. 55/2009 um sjúkraskrár, þess efnis að aðgangur að sjúkraskrám sé óheimill nema til hans standi lagaheimild samkvæmt þeim lögum eða öðrum, en lögin tilgreina ekki aðgangsheimild til handa ráðuneyti heilbrigðismála nema að því marki sem það getur talist til heilbrigðisyfirvalda sem fjallar um kvörtun eða kæru vegna meðferðar, sbr. 1. mgr. 16. gr. laganna. Jafnframt telur Persónuvernd verða að líta til 74. gr. lyfjalaga nr. 100/2020 þar sem mælt er fyrir um það hlutverk Landlæknisembættisins að halda lyfjagagnagrunn með dulkóðuðum persónuauðkennum, sbr. 3. mgr. ákvæðisins, svo og 4. mgr. 73. gr. sömu laga um skyldu Lyfjastofnunar, Landlæknisembættisins og Sjúkratrygginga Íslands til að afhenda ráðherra upplýsingar og gögn um lyfjasölu til framsetningar og útgáfu á tölulegum upplýsingum, en ekki kemur fram heimild til að merkja umræddar upplýsingar og gögn með persónuauðkennum. Þá telur Persónuvernd verða að líta 8. gr. laga nr. 41/2007 um landlækni og lýðheilsu, en þar er mælt fyrir um það hlutverk landlæknis að halda miðlægar heilbrigðisskrár, m.a. í því skyni að hafa eftirlit með þjónustunni, tryggja gæði hennar og meta árangur hennar, ásamt því að nota þær við gerð áætlana um gæðaþróun í heilbrigðisþjónustu, eins og fram kemur í 1. mgr. ákvæðisins. Er þar einnig tekið fram að landlæknir skuli, í samráði við ráðuneyti heilbrigðismála, vinna upplýsingar úr heilbrigðisskrám til notkunar við áætlanagerð, stefnumótun og önnur verkefni ráðuneytisins og til að gefa út heilbrigðisskýrslur. Sérstaklega er mælt fyrir um það í niðurlagi 2. mgr. umrædds ákvæðis að persónuauðkenni í skrám landlæknis skuli dulkóðuð.

3.

Niðurstaða

Ekki verður talið tilefni til athugasemda við ráðgerða öflun heilbrigðisráðuneytisins á upplýsingum um sjúkraflutninga sem, eins og fyrr greinir, verða að mestu leyti taldar ópersónugreinanlegar. Að öðru leyti bendir Persónuvernd hins vegar á, með vísan til framangreindra ákvæða laga nr. 41/2007, að fyrir liggur afstaða löggjafans þess efnis að miðlægar, persónugreinanlegar heilbrigðisskrár, til nota í þágu vinnslu eins og heilbrigðisráðuneytið ráðgerir, skuli varðveittar hjá Landlæknisembættinu. Þá bendir Persónuvernd á að í ljósi krafna 71. gr. stjórnarskrárinnar, þar sem mælt er fyrir um grunnregluna um friðhelgi einkalífs, verða skrár sem þessar að byggjast á skýrum lagagrundvelli og verða almenn ákvæði um yfirstjórn ráðherra á stjórnvöldum sem heyra undir málefnasvið hans, svo og um gagnaöflun vegna beitingar yfirstjórnunarheimilda, ekki talin nægileg í því sambandi.

Þegar litið er til þessa telur Persónuvernd ljóst að heimild skorti til fyrirhugaðrar öflunar ráðuneytisins á persónuauðkenndum lyfjaupplýsingum frá Sjúkratryggingum Íslands og Landspítala. Hið sama á við um ráðgerða öflun upplýsinga frá Landlæknisembættinu um annars og þriðja stigs heilbrigðisþjónustu sem unnt getur verið að greina til einstaklinga í ljósi samhengis, svo og fyrirhugaða öflun upplýsinga frá heilbrigðisstofnunum eftir svonefndri DRG-flokkun sem auðkenndar eru þannig að þær geti orðið persónugreinanlegar með sama hætti.

Jafnframt bendir Persónuvernd á það grunnsjónarmið sem byggt er á í persónuverndarlöggjöf að því aðeins skuli vinna með persónuupplýsingar að það sé nauðsynlegt í þágu þess tilgangs sem að er stefnt. Hvað varðar DRG-flokkun skal í því sambandi tekið fram að samkvæmt fyrrnefndum upplýsingum á vefsíðu norska Landlæknisembættisins (Helsedirektoratet) miðast aldursgreining slíkrar flokkunar þar í landi almennt við það hvort sjúklingur sé undir eða yfir 18 ára aldri, auk þess sem sérstök aldursviðmið eru til fyrir yngri börn. Telur Persónuvernd, meðal annars með hliðsjón af þessu, að heilbrigðisráðuneytinu ætti að vera unnt að ná markmiðum sínum samhliða því að breytur, sem gert geta einstakling persónugreinanlegan, séu rúnnaðar af þannig að eingöngu sé safnað ópersónugreinanlegum upplýsingum, auk þess sem vinnsla fari fram hjá aðilum með lögbundnar heimildir til að að halda gagnagrunna þegar sú aðferð dugar ekki til.

Að lokum skal tekið fram að Persónuvernd er reiðubúin til þess að fara yfir tillögur frá ráðuneytinu um hvernig tryggja megi að gögn, sem ráðuneytinu berast vegna umræddrar vinnslu, verði með öllu ópersónugreinanleg samhliða því að markmiðum vinnslunnar verði náð.

Persónuvernd, 15. júní 2021

Ólafur Garðarsson
starfandi formaður

Björn Geirsson                                   Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson