Synjað um leyfi til aðgangs að sjúkraskrám Vogs

18.7.2011

 

Ákvörðun

Þann 22. júní 2011 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2010/1116 varðandi leyfi til aðgangs að sjúkraskrám samkvæmt 3. mgr. 15. gr. laga nr. 74/1997:

I.
Umsókn og bréfaskipti
1.
Efni máls
Mál þetta lýtur að aðgangi að sjúkraskrám, sbr. 3. mgr. 15. gr. laga um réttindi sjúklinga nr. 74/1997, þ.e. sjúkraskrám á sjúkrahúsinu Vogi. Tilefni þess er umsókn, dags. 1. desember 2010. Umsækjendur eru V á rannsóknarstöð í heilbrigðisfræði og Miðstöð í lýðheilsuvísindum og þær Arog R, nemar.

Fyrir liggur yfirlýsing sjúkrahússins á Vogi, dags. 28. september 2010, um að það leyfi aðganginn vegna umrædds nemendaverkefnis. Einnig liggur fyrir yfirlýsing Hagstofu Íslands, dags. 18. febrúar 2011 um að hún sé samþykk því að láta umbeðnar upplýsingar í té. Þá hefur Vísindasiðanefnd samþykkt aðgang að sjúkraskránum með ákvörðun sinni dags. 14. desember 2010. Þar segir að hún geri ekki athugasemd.

Í umræddum sjúkraskrám Vogs eru viðkvæmar persónuupplýsingar um alla sem leituðu þangað á árabilinu 1980 til og með 2009, rúmlega 20 þúsund manns. Af hálfu umsækjenda hefur komið fram að hvorki sé fyrirhugað að leita eftir samþykki þeirra sem eru á lífi né fræða þá um vinnsluna.  Í umsókninni segir m.a.:

„Tilgangur rannsóknarinnar er tvíþættur annars vegar að lýsa fjölda og auðkennum einstaklinga sem leituðu til sjúkrahússins Vogs með tilliti til aldurs, kyns, komuástæðu og sjúkdómsgreiningar á árunum 1980 til 2009. Hins vegar að bera saman dánartíðni þessa hóps við dánartíðni almennt í þjóðfélaginu. [...] Heildarfjöldi sjúklinga Vogs (frá upphafi) voru í lok ársins 2009 rúmlega 20 þúsund manns. Ekki verður leitast eftir samþykki þátttakenda né þeir fræddir um rannsóknina þar sem gögnin verða dulkóðuð.[...] Með samkeyrslu á kennitölum við Dánarmeinaskrá Hagstofu Íslands verða fengnar upplýsingar um dánardægur og dánarmein þar sem það á við og með samkeyrslu við flutningsgagnagrunn Hagstofu verða fengnar upplýsingar um hvort einstaklingar hafa flutt úr landi og þá hvenær.“  

Samkvæmt umsókninni er ætlunin að vinna með ítarlegar upplýsingar og verða fjölmargar bakgrunnbreytur skráðar. Þær eru um:
1.    Aldur.
2.    Kyn.
3.    Kennitölu.
4.    Komudag.
5.    Komuástæðu.
6.    Sjúkdómsgreiningu.
7.    Fjölda komu.
Þá er að auki óskað eftir upplýsingum frá Hagstofu Íslands um:
8.    Dánardægur og skráð dánarmein, sbr. dánarmeinaskrá Hagstofu Íslands, nú dánarmeinaskrá landlæknis.
9.    Flutning af landi brott og þá dags., sbr. flutningsskrá Hagstofu Íslands.

2.
Bréfaskipti við ábyrgðaraðila;
sjúkrahúsið Vog
Með bréfi, dags. 21. desember 2010, óskaði Persónuvernd eftir skýringum frá Sjúkrahúsinu Vogi.   Svar Þ, f.h. SÁÁ, Sjúkrahússins Vogs, dags. 23. febrúar 2011 barst þann 2. mars s.á. Þar segir m.a.:

„Vinnsla gagna er í þremur þrepum. Fyrst eru upplýsingar úr sjúkraskrá Vogs skráðar í rannsóknargögn, en þær upplýsingar eru kennitölur sjúklinga sem hafa komið til meðferðar. Þessar upplýsingar eru nauðsynlegar til þess að geta dregið út viðeigandi upplýsingar frá Hagstofu um dánartíðni hópsins. Þessar upplýsingar verða á minniskubbi sem ábyrgðarmanni rannsóknar verður færður og veitir hann Hagstofunni þessar upplýsingar. Annað þrepið er þegar Hagstofan skilar af sér umbeðnum upplýsingum um þessa einstaklinga á kennitölu. Að lokum verða þessi gögn tengd við upplýsingar úr sjúkraskrá sem verða skráð í rannsóknargögn (aldur, kyn, komudagur, sjúkdómsgreining og meðferðarsaga (komu ástæðu og fjölda innlagna)). Þegar sú tenging hefur átt sér stað, munu rannsóknarnúmer verða notuð í stað kennitölu, til að gögnin beri ekki persónuauðkennandi upplýsingar við alla frekari úrvinnslu vegna rannsóknarinnar. Í umsókninni var gert ráð fyrir að dulkóðun gagnanna færi fram á Miðstöð í lýðheilsuvísindum, en sú vinnsla getur sem best farið fram í vélum og húsakynnum Vogs. Dulkóðunarlykill yrði þá í vörslu undirritaðs. Með því móti má tryggja enn frekara öryggi upplýsinganna, þannig að þegar tenging á sér stað, þá verða gögnin dulkóðuð. Öll úrvinnsla rannsóknarinnar verður þá gerð á gögnum sem hafa verið dulkóðuð.“

Persónuvernd óskaði nánari skýringa, m.a. um öryggi í flutningi gagna og við samkeyrslur hjá Hagstofu Íslands. Hún óskaði þeirra með bréfi, dags. 11. mars 2011. Svarbréf Þ, f.h. Sjúkrahússins Vogs, dags. 31. mars 2011, barst þann 5. apríl s.á. Þar segir m.a.:

„M, áfengisráðgjafi og starfsmaður rannsóknar á sjúkrahúsinu Vogi, tekur fram rannsóknargögn og gerir rafrænan lista með kennitölum. M og ábyrgðarmaður rannsóknar, V, fara með listann á Hagstofu til vinnslu og eru viðstaddir hana. Þeir taka við listanum aftur þegar starfsmaður Hagstofunnar hefur lokið samkeyrslum og bætt við þeim upplýsingum sem óskað er eftir frá Hagstofu. Þeir ganga enn fremur úr skugga um að listinn og vinnsluskrár verði ekki eftir í tölvu Hagstofunnar. M og ábyrgðarmaður rannsóknar fara sjálfir með listann aftur á sjúkrahúsið Vog þar sem upplýsingarnar frá Hagstofu verða sameinaðar rannsóknargögnum og þau dulkóðuð. Dulkóðunarlykill verður geymdur í vörslu undirritaðs. Öll úrvinnsla vegna rannsóknarinnar verður gerð á dulkóðuðum gögnum.“

3.
Álit sérfræðings
Í ljósi þess hve umsóknin lýtur að viðkvæmum persónuupplýsingum, og að hvorki er í umsókn að finna sérstaka öryggislýsingu né stendur til að fræða hina skráðu um vinnsluna, hefur komið til skoðunar að skipa sérstakan tilsjónarmann til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög. Gerði Persónuvernd ábyrgðaraðila grein fyrir því með bréfi, dags. 13. apríl 2011, og gaf honum kost á að tjá sig um það.

Svar Vogs barst með bréfi, dags. 11. maí 2011, þar sem spurt var hver yrði líklegur kostnaður vegna slíks. Tekið er fram að engin ákvörðun hefur enn verið tekin um skipun tilsjónarmanns. Verði það gert verður gerð kostnaðaráætlun og andmælaréttar gætt.

Málið var rætt á fundi stjórnar Persónuverndar hinn 10. maí 2011 og ákveðið að leita álits H.  Í svarbréfi hans, dags. 6. júní, er m.a. vikið að því hve ítarlegar upplýsingar fyrirhugað er að skrá og segir að í því ljósi verði ekki séð að uppfylla megi skilyrði um að rannsakendur fái ekki aðgang að persónugreinanlegum gögnum.  Um það segir hann m.a.:

„Þannig samansett safn upplýsinga um sérhvern hinna rúmlega 20 þúsund einstaklinga sem óskað er eftir upplýsingum um kann að vera nægilega ítarlegt til að rekja megi í mörgum tilvikum beint eða óbeint til tiltekins einstaklings, látins eða lifandi, jafnvel þótt ekki njóti kennitölu við. Sem dæmi má taka karlmann, fæddan árið [...], sem lést árið [...] af slysförum. Ólíklegt má telja að fleiri en einn slíkur einstaklingur sé meðal hinna skráðu og sé slíkan einstakling þar að finna má líklega afhjúpa hann án fyrirhafnar með aðstoð almennt aðgengilegra upplýsinga, svo sem minningargreina í dagblöðum. Samkvæmt framansögðu verður að telja líklegt að ekki sé hægt að uppfylla það skilyrði að rannsakendur skuli ekki fá aðgang að persónugreinanlegum gögnum ef aðgangur þeirra mun ná til safns upplýsinga sem inniheldur upplýsingar sem merktar eru nr. 1 og 3-9 í listanum hér að framan.“

Sérfræðingurinn telur tvo kosti vera í stöðunni. Annar sé sá að takmarka aðgang rannsakenda við ópersónugreinanleg gögn. Hinn er sá að slaka á kröfunni um að þeir skuli ekki fá aðgang að persónugreinanlegum gögnum. Um fyrri kostinn segir hann:
„Ljóst er að tiltækar eru vel þekktar tæknilegar og skipulagslegar aðferðir við að gera gögn af umræddu tagi ópersónugreinanleg. Er þar einkum um að ræða aðferðir til að breyta gögnum þannig að þau vísi ekki lengur til hins skráða og aðferðir til að breyta gögnum þannig að þau séu ekki lengur einkvæm, þ.e. taki til hóps einstaklinga í stað eins einstaklings. Sem dæmi um síðarnefndu aðferðina væri að gefa upp aldur 67 ára gamals manns sem handahófskennt gildi á bilinu frá 65 til 70 ára, t.d. 69 ára. Sem dæmi um síðarnefndu aðferðina má nefna framsetningu upplýsinga á bili í stað nákvæmra gilda. Þannig mætti segja aldur fyrrnefnds manns sem verandi á bilinu 65-70 ára. Einnig mætti taka það dæmi um síðarnefndu aðferðina að í stað þess að gefa upp nákvæmt dánarmein eins og það er skráð í dánarmeinaskrá þá yrðu gefnir upp fáir, stórir flokkar dánarmeina sem væru sniðnir að þörfum rannsóknarinnar. Væri slíkum aðferðum beitt þyrfti að taka afstöðu til þess hve mikil umrædd skekkja þyrfti að vera til þess að gögnin mættu teljast ópersónugreinanleg og taka þyrfti tillit til þess að umrædd skekkjumörk hefðu ekki marktæk áhrif á rannsóknina.“
Um síðari kostinn telur sérfræðingurinn að beita megi úrræðum sem  dragi úr hættunni á að gögn berist víðar en til rannsakenda. Er þar einkum um að ræða aðgangstakmarkanir. Til dæmis megi gera þá kröfu að einungis verði unnið með gögnin hjá ábyrgðaraðila á búnaði hans og að einungis endanlegar rannsóknarniðurstöður, sem taki til alls hópsins, verði fluttar þaðan. Niðurstaða hans er þessi:
„Tiltækir eru rannsakendur með áhuga og aðstæður til að rannsaka fyrirliggjandi gögn með það að augnamiði að leiða fram upplýsingar sem kunna að nýtast í baráttunni gegn þjóðfélagsmeini, hér áfengis- og fíkniefnavandanum. Umrædd gögn eru hins vegar afar viðkvæms eðlis og var aflað í trúnaði frá tugum þúsunda hérlendra einstaklinga á undanförnum árum og áratugum. Frá sjónarhóli persónuverndar mætti ætla að eðlilegt væri að ábyrgðaraðili myndi við þessar aðstæður leita, eftir því sem hægt væri, samþykkis hinna skráðu áður en upplýsingarnar væru afhentar þriðja aðila. Leiða má líkur að því að hægt væri að senda flestum þeirra bréf með slíkri fyrirspurn, enda til þess að gera stutt síðan viðkomandi starfsemi hófst og hefur hún að stærstum hluta til tekið til hérlendra einstaklinga, sem ætti að vera hægt um vik að senda bréf. Slíkt myndi hins vegar fyrirsjáanlega vera tímafrekt og viðbúið að afföll yrðu töluverð, bæði vegna þeirra sem eru látnir eða ekki næst í og einnig vegna hinna sem myndu einfaldlega neita að taka þátt.“
Að lokum víkur hann að kostnaðarhlið málsins og segir:
„Vegna kostnaðar við framangreindar tvær tegundir ráðstafana má ljóst vera að sá kostnaður getur legið á víðu bili, allt frá því að vera hverfandi og upp í að vera umtalsverður, ef örygginu verður „sem best háttað“, svo sem segir í bréfi stofnunarinnar. Allt að einu er ljóst að fyrrnefndu úrræðin, þ.e. aðgerðir til að takmarka aðgengi rannsakenda við lítt eða ópersónugreinanleg gögn, yrðu mun kostnaðarsamari en hinar síðarnefndu.“

II.
Ákvörðun

Mál þetta lýtur að umsókn um leyfi til aðgangs að sjúkraskrá samkvæmt 3. mgr. 15. gr. laga um réttindi sjúklinga nr. 74/1997. Um er að ræða sjúkraskrár á Vogi sem hafa að geyma viðkvæmar persónuupplýsingar um alla sem leituðu þangað á árabilinu 1980 til og með 2009. Munu þeir vera rúmlega 20 þúsund talsins.

1.
Áður en að Persónuvernd ákveður hvort hún gefur út leyfi til aðgangs að sjúkraskrá þarf hún að meta hvort lög geri ráð fyrir slíkri vinnslu og hún geti samrýmst þeim. Öll vinnsla viðkvæmra persónuupplýsinga þarf að uppfylla eitthvert af skilyrðum 1. málsgreinar 9. gr. laga nr. 77/2000. Við mat á því hvort sú vinnsla sem hér um ræðir rúmist innan vinnsluheimilda ákvæðisins ber m.a. að líta til ákvæðis 9. töluliðar um vinnslu sem er heimil sé hún nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á. Ákvæðið er sett með hliðsjón af 4. mgr. 8. gr. tilskipunar 95/46/EB þar sem segir að þrátt fyrir almennt bann við slíkri vinnslu megi, með fyrirvara um setningu viðeigandi öryggisákvæða, mæla fyrir um frekari undanþágur ef sýnt þyki að brýnir almannahagsmunir krefjist þess. Það megi annaðhvort gera í innlendum lögum eða með ákvörðun eftirlitsyfirvalds.

Við skýringu á framangreindu ákvæði tilskipunarinnar þarf m.a. að líta til 29., 33. og 34. greina í formálsorðum tilskipunar 95/46/EB.

a. Í 29. gr. segir að frekari vinnsla persónuupplýsinga í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi teljist venjulega ekki ósamrýmanleg þeim markmiðum sem voru forsenda söfnunarinnar, að því tilskildu að aðildarríkin setji viðeigandi öryggisákvæði. Þessi öryggisákvæði verða einkum að útiloka notkun upplýsinga til stuðnings ráðstöfunum eða ákvörðunum viðvíkjandi tilteknum einstaklingi.

b. Í 33. gr. segir að upplýsingar, sem geti eðli sínu samkvæmt verið brot gegn grundvallarfrelsi eða friðhelgi einkalífs, skulu ekki teknar til vinnslu nema hinn skráði veiti afdráttarlaust samþykki sitt til þess. Þó skuli kveðið á um undanþágur frá þessu banni til að mæta tilteknum þörfum, einkum ef menn, sem eru þagnarskyldir, vinna upplýsingarnar með ákveðnu heilsufarslegu markmiði eða þær eru unnar í tengslum við lögmæta starfsemi tiltekinna samtaka eða stofnana sem hafa það að markmiði að tryggja grundvallarfrelsi

c. Þá segir í 34. gr. að ef sýna megi framá að brýnir almannahagsmunir krefjist þess megi víkja frá banni um vinnslu viðkvæmra flokka upplýsinga, til dæmis á sviði almannaheilbrigðis og almannatrygginga, einkum til að tryggja gæði og hagkvæmni málsmeðferðarreglna um uppgjör krafna um bætur og þjónustu í sjúkratryggingakerfi, á sviði  vísindarannsókna og opinberra hagskýrslna. Þeim beri þó skylda til að setja sértæk og viðeigandi öryggisákvæði til að vernda grundvallarréttindi manna og rétt þeirra til friðhelgi einkalífs síns.

Öll vinnsla viðkvæmra persónuupplýsinga þarf, auk þess að uppfylla skilyrði 9. gr. laga nr. 77/2000, einnig að uppfylla eitthvert af skilyrðum 8. gr.  Þá þarf við alla vinnslu persónuupplýsinga, að fara að grunnkröfum 1. mgr. 7.gr. laga nr. 77/2000. Þar er mælt fyrir um að að þess skuli gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hinu skráða lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Við beitingu laga nr. 77/2000 ber að líta til markmiðsákvæðis þeirra sem er í 1. gr. laganna. Þar kemur fram að markmið laganna er m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.upplýsinga. Í því felst að gæta þarf ákvæðis 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmála Evrópu.

2.
Af hálfu ábyrgðaraðila liggur ekki fyrir að leita eigi samþykkis hinna skráðu, fræða þá um fyrirhugaða vinnslu né að virða sjálfsákvörðunarrétt þeirra sérstaklega. Þarf því að vera ljóst að lagaskilyrðum til þess að Persónuvernd geti samþykkt vinnsluna sé fullnægt. Forsenda þess að hún geti gert það er sú að fyrir liggi (1) að brýnir almannahagsmunir krefjist þess og (2) að viðeigandi öryggis sé gætt. Nú þegar liggur fyrir að öryggislýsing í umsókn V, A og R er ófullkomin. Á hinn bóginn er ótímabært að taka nánari afstöðu til hennar þar sem fyrst verður að liggja fyrir mat ábyrgðaraðila í samræmi við framangreint og að uppfyllt séu skilyrði 8. og 9. gr. laganna og framangreindra meginreglna 7. gr. laga nr. 77/2000. Meðal annars þarf að liggja fyrir hvort ná megi settu rannsóknarmarki án þess að miðla hinum viðkvæmu persónuupplýsingum til óviðkomandi aðila, s.s. vegna þess að annars sé ekki unnt að svara rannsóknartilgátu eða spurningu.  Slíkt mat liggur ekki fyrir. Meðan svo er getur  Persónuvernd ekki tekið afstöðu til þess hvort veita beri umbeðið leyfi í samræmi við 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga.


Á k v ö r ð u n a r o r ð:

Lagt er fyrir ábyrgðaraðila að framkvæma mat á því hvort unnt sé að svara fyrirliggjandi rannsóknarspurningu án þess að miðla viðkvæmum persónuupplýsingum til óviðkomandi aðila. Þegar það mat liggur fyrir verður tekin ákvörðun um hvort skilyrði séu til að veita leyfi í samræmi við 3. mgr. 15. gr. laga nr. 74/1997.