Viðkvæmar persónuupplýsingar sendar í almennum pósti

Úrskurður

Hinn 22. júní 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/1069:

Þann 23. nóvember 2010 barst Persónuvernd kvörtun S(hér eftir nefnd „kvartandi“), dags. 22. nóvember 2010, yfir því að upplýsingar um greiningu barns hennar og lokaniðurstöður hefðu verið sendar i almennum pósti frá barna- og unglingageðdeild Landspítalans (BUGL). Við sendinguna hafi upplýsingarnar týnst. Um þetta segir nánar í kvörtuninni.

„Sonur minn fór í greiningu á BUGL og voru niðurstöður sendar í pósti til mín, föður hans, skóla og félagsþjónustu en bréfið til mín barst aldrei til mín. (Týndist)
Skil ekki hvers vegna foreldrum er ekki afhent þessi skýrsla á fundi eða send í ábyrgðarbréfi. Svona skýrslur/niðurstöður hafa miklar persónulegar upplýsingar að geyma með kennitölum og öllu saman og ég er alveg miður mín.“

Einnig segir í kvörtuninni:

„Er með tölvupósta þar sem ég spyrst fyrir um hvort þessar niðurstöður fari ekki að koma. Þá er mér sagt að þær hafi verið settar í póst 29. september sl.

Ég spurðist þá fyrir um hvort skólinn og pabbi sonar míns hefðu fengið niðurstöðurnar sendar og það hafði borist til þeirra. En engin skýrsla barst til mín.

Ég óskaði því eftir að fá skýrsluna senda og spurði um leið hvers vegna svona bréf væru ekki send í ábyrgðarpósti. Þá var svarið að það væri of dýrt.

En hvað með upplýsingar sem koma fram á svona skýrslum, mér finnst agalegt að vita það að einhver Pétur eða Páll úti í bæ séu með svona viðkvæmar upplýsignar um barnið mitt í sínum fórum.“

Með bréfi, dags. 13. desember 2010, ítrekuðu með bréfi, dags. 19. janúar 2011, var Landspítalanum veittur kostur á að tjá sig um þessa kvörtun. Hinn 20. janúar barst svar frá Landspítalanum, dags. 12. s.m. Þar segir:

„Undirritaður hefur óskað eftir greinargerð frá Barna- og unglingageðdeild varðandi þetta mál. Kannað var sérstaklega, hvort bréfið hafi yfir höfuð verið sent og í öðru lagi, hvort það hafi verið sent á rétt heimilisfang. Frumrit bréfsins átti að fara til móður barnsins en afrit til barnaverndarnefndar, föður barnsins svo og skólastjóra. Bréfið kom fram hjá þeim, sem fengu afrit en ekki hjá móður. Bréfið var síðan endursent móður á sama heimilisfang og fyrr og fékk hún bréfið þá. Niðurstaða okkar er því sú að bréfið hefur glatast í pósti.

Lögum samkvæmt, eru læknabréf með skýrslum um meðferð send til lækna og/eða læknastöðva, sem viðkomandi sjúklingur tilheyrir. Á árinu 2010 voru rituð 31.543 læknabréf fyrstu níu mánuði ársins. Áður fyrr fóru þessi bréf öll í almennum pósti og gera að miklu leyti ennþá en einungis á síðustu árum hefur verið hægt að senda þessi bréf rafrænt til valinna heilsugæslustöðva, sem hafa búnað til að taka á móti slíkum sendingum. Samkvæmt lögum um póstþjónustu, er það póstrekendum sem ber að tryggja örugga meðferð allra póstsendinga, hvort sem um ábyrgðarsendingar er að ræða eða ekki. Landspítali hefur því talið að framangreindur sendingarmáti hafi uppfyllt skilyrði 11. gr. laga um persónuvernd nr. 77/2000.“

Að fengnu þessu bréfi óskaði Persónuvernd frekari skýringa frá Landspítalanum, þ.e. með bréfi, dags. 26. janúar 2011. Þar segir m.a.:

„Fyrir liggur að umrædd skýrsla týndist í pósti. Vegna viðkvæms eðlis umræddra upplýsinga er ljóst að leita verður leiða til að tryggja öryggi slíkra upplýsinga í flutningi. Af því tilefni er óskað frekari afstöðu Landspítalans til þess að koma á fyrirkomulagi er tryggi að viðtaka slíks pósts sé rétt, þ.e. bær aðili kvitti fyrir móttöku. Á þeim grundvelli kemur til greina að nota ábyrgðarpóstsendingar eða öruggan rafpóst.

Hér með er yður veittur frekari kostur á að koma á framfæri sjónarmiðum Landspítalans. Er þess einkum óskað að fram komi afstaða hans til að senda slík skjöl með rafrænum hætti. Er þá miðað við að skjöl verði dulkóðuð í flutningi og viðtakandi geti ekki opnað þau nema með notkun rafræns skilríkis.“

Landspítalinn svaraði með bréfi, dags. 11. febrúar 2011. Þar segir:

„Lögum samkvæmt hvílir sú skylda á Landspítala að senda læknabréf vegna dvalar og meðferðar sjúklinga á heilsugæslustöðvar eða til heimilislæknis og jafnframt til innlagnarlæknis sé hann annar, sbr. reglugerð um sjúkraskrár og skýrslugerð varðandi heilbrigðismál nr. 227/1991 sem sett var með stoð í læknalögum nr. 53/1988. Fjöldi þessara bréfa er mikill eða u.þ.b. 40.000 bréf á ári. Hluti þeirra er nú sendur með rafrænum hætti til þeirra heilsugæslustöðva og minni spítala sem hafa til þess búnað að taka á móti slíkum sendingum. Með vorinu mun fjöldi þeirra aðila aukast og verður því hægt að senda bréf með rafrænum hætti í auknum mæli.

Þau læknabréf sem ekki er hægt að senda með rafrænum pósti hafa hingað til verið send með almennum pósti. Landspítali telur eðlilegast að svo verði áfram.

Í bréfi Persónuverndar er óskað sérstaklega eftir afstöðu spítalans til þess að senda skjöl með rafrænum hætti með notkun rafræn skilríkis. Á Landspítala er fylgst vel með þróun rafrænna skilríkja og er þar sannarlega um áhugaverðan kost að ræða. Landspítali telur þó að enn sem komið er sé sú leið ekki raunhæf þar sem þorri landsmanna hefur ekki yfir slíkum skilríkjum að ráða.

Hvað varðar sendingu viðkvæmra persónuupplýsinga með almennum pósti telur Landspítalinn enn að uppfyllt séu ákvæði 11. gr. persónuverndarlaga nr. 77/2000 um vernd gegn óleyfilegum aðgangi. Bréf sem þessi verða ekki send sem ábyrgðarbréf frá Landspítala þar sem kostnaðurinn við það er einfaldlega of mikill. Til greina kemur að senda upplýsingar sem þessar með póstkröfu þannig að viðtakandi greiði fyrir viðtöku eða jafnvel að slíkum póstsendingum verði hætt og þess krafist að upplýsingar sem þessar verði sóttar á spítalann.“

Með bréfi, dags. 23. febrúar 2011, veitti Persónuvernd kvartanda færi á að tjá sig um þau svör Landspítalans sem rakin eru hér að framan. Kvartandi svaraði með bréfi, dags. 8. mars s.á. Þar segir:

„Ég tel að fyrst og fremst verði að leggja skýrari mörk um það að skýrslur sem þessi sem um ræðir, séu að fullu tilbúnar þegar svokallaður skilafundur á sér stað og niðurstöður liggja fyrir um einstaklinginn hjá viðkomandi stofnun, sem í þessu tilfelli er BUGL. Þá væri hægt að afhenda foreldrum og þeim sem að hlut eiga að máli skýrsluna, augliti til auglitis og jafnvel að láta kvitta fyrir afhendingu skýrslunnar. Í þessu tilfelli var umrædd skýrsla ekki að fullu tilbúin þegar skilafundur með forsjáraðilum og skóla átti sér stað.

Eins og fram kemur í bréfi frá [B] til Persónuverndar þann 11. febrúar sl. þá hvílir sú skylda á Landspítalanum að senda læknabréf vegna dvalar og meðferðar sjúklinga á heilsugæslustöðvar eða til heimilislæknis o.s.frv. Þá fer hluti skýrslna með rafrænum hætti til þeirra heilsugæslustöðva og minni spítala sem hafa til þess búnað að taka á móti slíkum sendingum. Þá spyr ég, væri ekki hægt að senda niðurstöður greiningar sem þessarar til heilsugæslustöðvanna með þessum hætti og boða þá sem þurfa að fá skýrslurnar í sínar hendur til að sækja niðurstöðurnar á viðkomandi heilsugæslustöð og kvitta fyrir móttöku ef hún hefur ekki verið afhent aðilum á skilafundi?

Mér finnst sú afsökun sem borin er fram varðandi kostnað við að senda bréfin vera hálf ankannaleg. Hér er einfaldlega um svo viðkvæmar upplýsingar að ræða að annað hvort á ekki að senda þær bréflega eða þá eingöngu í ábyrgðarpósti. Að senda þær í almennum pósti er hreinlega ekki boðlegt fyrir nokkurn mann. Það er að mínu mati engin afsökun fyrir LHS að bera fyrir sig að kostnaður sé of mikill við að senda þetta í ábyrgðarpósti. Og að senda skýrsluna í póstkröfu er heldur ekki boðlegt. Í málinu liggur fyrir að umrædd skýrsla hefur týnst í pósti og vegna viðkvæms eðlis umræddra upplýsinga er það mín einarða skoðun að leita verði leiða til að tryggja öryggi slíkra upplýsinga í flutningi og koma á fyrirkomulagi sem tryggir að viðtakandi slíks pósts sé réttur, þ.e. að bær aðili kvitti fyrir móttöku.“

Með bréfi, dags. 6. júní 2011, óskaði Persónuvernd þess að Landspítalinn veitti skýringar um tilhögun skilafunda og hvort við það tækifæri mætti hafa skýrslur tilbúnar og afhenda réttum aðilum í eigin persónu. Veittur var frestur til 14. júní 2011 til að veita umbeðnar skýringar, en svar hefur ekki borist.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Við vinnslu persónuupplýsinga ber m.a. að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Þar er m.a. mælt fyrir um að við meðferð persónuupplýsinga skuli þess gætt að hún samrýmist vönduðum vinnsluháttum, sbr. 1. tölul.

Í 11. gr. laga nr. 77/2000 er regla um öryggi persónuupplýsinga. Samkvæmt 1. mgr. 11. gr. ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.  Einnig ber að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. þeirra segir m.a. að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og beri ábyrgð á því að vinnsla persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður. Markmið skipulags- og tæknilegra öryggisráðstafana sé að tryggja nægilegt öryggi og vernda persónuupplýsingar m.a. gegn því að þær glatist.  Við val öryggisráðstafana skuli taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skuli þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Sé persónuupplýsingum miðlað um Net skuli taka mið af þeirri áhættu sem sú aðferð hefur í för með sér.

Vegna viðkvæms eðlis slíkra persónuupplýsinga sem mál þetta varðar telur Persónuvernd, einkum í ljósi áðurnefndra krafna 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000, að viðhafa beri sérstakar öryggisráðstafanir við sendingu þeirra. Auka má öryggi sendinga verulega með því að senda þær með ábyrgðarpósti. Þá ber og að nýta þær tæknilegu lausnir sem í boði eru á hverjum tíma. Þótt æskilegast sé að afhenda hlutaðeigandi aðilum upplýsingar um greiningu barna sinna á fundi með þeim má, verði því ekki viðkomið, nýta ýmsa tækni til að senda þær með tryggum hætti. Kemur m.a. til greina að senda þær með dulkóðuðum rafpósti eða með notkun rafrænna skilríkja þannig að óviðkomandi geti ekki tekið við þeim.

Fyrir liggur að í þessu máli var skýrsla um niðurstöður greiningar á syni kvartanda, sem fram fór hjá BUGL, ekki tilbúin þegar haldinn var skilafundur með foreldrum drengsins og fulltrúa skólans. Var hún þess í stað send með óvörðum almennum pósti. Ljóst er að ávallt er hætt við að sendingar glatist í slíkum pósti, sérstaklega ef þær eru ekki sendar í ábyrgð. Engu að síður var það gert og í þessu tilviki glataðist umrædd skýrsla. Með því var brotið gegn ákvæðum 1. tölul. 1. mgr. 7. gr., 1. og 2. mgr. 11. gr. laga nr. 77/2000 og fyrirmælum í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.



Barna- og unglingageðdeild Landspítalans braut gegn reglum um öryggi við meðferð persónuupplýsinga með því að senda með almennum og óvörðum pósti viðkvæmar persónuupplýsingar í skýrslu um son S og greiningu á honum.