Óheimil miðlun nafnalista vegna rannsóknar - mál nr. 2012/398

30.1.2013

Úrskurður

Á fundi stjórnar Persónuverndar þann 25. janúar 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2012/398:

I.
Grundvöllur máls
Málavextir og bréfaskipti

1.
Tildrög máls
Þann 13. mars 2012 barst Persónuvernd kvörtun X, hrl., f.h. umbjóðanda síns, B, dags. 11. mars 2012, varðandi sendingu tölvupósts, dags. 5. desember 2011, frá netfangi í eigu Háskóla Íslands sem innihélt viðkvæmar persónuupplýsingar um hana. Var tölvupósturinn sendur af tilefni rannsóknar A, starfsmanns á geðdeild LSH, um ofbeldi í nánum samböndum.

Um málsatvik segir í kvörtuninni:

„[U]mbjóðandi okkar leitað[i] á göngudeild geðdeildar Landspítalans vegna andlegrar vanlíðunar árið 2011. Við komu á göngudeildina var umbjóðanda okkar gert að fylla út eyðublað með helstu persónuupplýsingum, m.a. netfangi, en útfylling eyðublaðsins var skilyrði þess að umbjóðandi okkar fengi þjónustu á göngudeildinni.

Nokkrum mánuðum síðar fékk umbjóðandi okkar meðfylgjandi fjöldatölvupóst sem innihélt beiðni um þátttöku í rannsókn varðandi ofbeldi í nánum samböndum, en í tölvupóstinum segir:

Þú ert beðin(n) að taka þátt í þessari rannsókn vegna þess að þú hefur nýlega notið þjónustu bráðamótttöku eða göngudeild geðsviðs LSH

Með útsendingu tölvupóstsins með þessum hætti er ljóst að Landspítalinn og/eða Háskóli Íslands hafa brotið með alvarlegum hætti gegn friðhelgi einkalífs umbjóðanda okkar og er hér með kvartað yfir framangreindri háttsemi.“

2.
Bréfaskipti
Með bréfi, dags. 17. apríl 2012, óskaði Persónuvernd eftir frekari upplýsingum um hvaða ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga kvartandi teldi að brotið hafi verið gegn með umræddri háttsemi.

Ekkert svar barst og hafði starfsmaður Persónuverndar því samband símleiðis við lögmann kvartanda þann 19. júlí 2012. Í ljós kom að bréfið hafði ekki borist honum og var það því sent með tölvupósti sama dag. Var frestur veittur til 9. ágúst 2012. Svarbréf lögmanns kvartanda, dags. 9. ágúst 2012, barst stofnuninni þann 14. ágúst 2012.

Í framangreindu svarbréfi lögmannsins kemur fram að hann telji háttsemina brot á a) 1., 2. og 5. tölul. 1. mgr. 7. gr., b) 8. gr. og c) 9. gr., sbr. einkum 1., 6., 8. og 9. tölul. 1. mgr. og 3. mgr., sbr. 6. og 7. gr. reglugerðar nr. 170/2001, með síðari breytingum.

Með bréfi, dags. 15. október 2012, var Landspítala og Háskóla Íslands tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana til samræmis við ákvæði 13. og 14. gr. stjórnsýslulaga nr. 37/1993.

Svarbréf Háskóla Íslands, dags. 6. nóvember 2012, barst Persónuvernd þann 7. s.m. Þar kemur eftirfarandi fram:

„Málið varðandi rannsóknina sjálfa var [...] á forræði Vísindasiðanefndar þar sem leyfi til rannsókna eru veitt og þau afturkölluð ef svo ber undir. Vísindasiðanefnd afturkallaði leyfi A með ákvörðun sinni dags. 17. janúar 2012, þar sem samþykki nefndarinnar fyrir rannsókninni Rannsókn á heilbrigðisþjónustu varðandi ofbeldi í nánum samböndum var afturkallað. A kærði þá ákvörðun Vísindasiðanefndar til Velferðarráðherra en ráðuneytið staðfesti ákvörðun Vísindasiðanefndar. Eftir þau málalok var farið yfir [...] niðurstöðuna með A og litið svo á að ekki þyrfti að grípa til frekari aðgerða þar sem að rannsóknarleyfið hafði verið afturkallað að fullu og rannsókn stöðvuð.“

Svarbréf Landspítala, dags. 6. nóvember 2012, barst Persónuvernd þann 9. s.m. Varðandi málsatvik og efnisatriði vísaði Landspítali til fyrri samskipta við Persónuvernd vegna sama atviks, n.t.t. bréf dags. 3. janúar og 7. febrúar og 8. júní 2012.

Um málsatvik er fjallað í bréfi Landspítala, dags. 3. janúar 2012. Þar segir m.a.:

„Þann 28. mars 2011 sendi A umsókn um leyfi fyrir rannsókn til framkvæmdastjóra lækninga. Rannsóknin varðar ofbeldi í nánum samböndum. Umsókninni fylgdu tilteknar upplýsingar um hina áformuðu rannsókn, m.a. spurningalisti og upplýsingablað, sem senda átti þátttakendum, og ferilskrá A. Umsóknin var samþykkt með bréfi dags 30. mars 2011. Samþykkið var bundið þeim skilyrðum að rannsóknin færi fram á Landspítala og að Persónuvernd yrði tilkynnt um rannsóknina eða leyfi hennar fengið ef persónugreinanleg gögn yrðu notuð til rannsókna. Í bréfinu var þess sérstaklega getið að val þátttakenda kallaði á upplýsingar úr sjúkraskrá og gerð athugasemd við að ekki væri getið um aðra umsækjendur. Afrit bréfsins var sent til formanns Vísindasiðanefndar og forstjóra Persónuverndar. Framkvæmdastjóri lækninga fékk ekki frekari upplýsingar um rannsóknina og ekki var óskað eftir leyfi hans fyrir breytingum sem síðar áttu sér stað á hinni áformuðu rannsókn.

Samhliða umsókn til framkvæmdastjóra lækninga sótti A um leyfi til Vísindasiðanefndar. [...] Eftir bréfaskipti milli A og Vísindasiðanefndar og lagfæringar á umsókninni veitti nefndin leyfi til rannsóknarinnar þann 31. maí 2011.

Á fundi sínum 13. sept. 2011 samþykkti Vísindasiðanefnd umsókn A um breytingu á áður samþykktri umsókn. Með hinni nýju samþykkt var honum veitt heimild til þess að fá afhent tiltæk tölvupóstföng þeirra sem tilheyrðu viðkomandi markhópi og notið höfðu þjónustu á kvennasviði Landspítala. Áætlað var að breyta fyrri áætlun um framkvæmd rannsóknarinnar þannig að sendur yrði tölvupóstur til þeirra sem voru með uppgefin netföng í sjúkraskrá í stað þess að senda þeim hefðbundin bréf í pósti. Í leyfinu var gerð krafa um það að heilbrigðis- og upplýsingatæknideild Landspítala (HUT) skyldi vinna listann og að ábyrgðarmaður rannsóknarinnar hefði einn aðgang að honum.

A, ábyrgðarmaður rannsóknar, sendi tilkynningu til Persónuverndar um rannsóknina en sótti ekki um leyfi. Ítrekað skal að í umræddu leyfi framkvæmdastjóra lækninga á Landspítala, dags. 30. mars 2011, kom fram að upplýsingar um dvöl eða heimsóknir á Landspítala teldust til sjúkraskrár og að leyfi Persónuverndar þyrfti að vera til staðar ef til stæði að nota persónugreinanleg gögn. Í tilkynningu til Persónuverndar virðist hann hafa komist hjá því að svara spurningunni um það hvert þátttakendalistarnir verði sóttir. Í svari hans undir þeim lið var fjallað um aðra hluti og spurningunni því ósvarað. Hafa verður hins vegar í huga að við gerð tilkynninga til Persónuverndar eru upplýsingar í raun aðgreindar frá þátttökulistum og sérstaklega spurt hvort upplýsingar verði sóttar í sjúkraskrá. Með útfyllingu tilkynningarinnar svarar A því hins vegar til að upplýsingarnar verði ekki sóttar í sjúkraskrá.“

Um viðbrögð Landspítala í kjölfar útsendingar tölvupóstsins segir enn fremur:

„Eftir að mistökin áttu sér stað með útsendingu þátttakendalistans var Eftirlitsnefnd með rafrænni sjúkraskrá falið að kanna hvernig það atvikaðist. Nefndin kannaði hvernig listar úr sjúkraskrá höfðu verið unnir og kom þá eftirfarandi í ljós:

Starfsmaður heilbrigðis- og upplýsingatæknideildar var beðinn um að taka út lista fyrir kvennasvið og fylgdi beiðninni leyfi Vísindasiðanefndar, undirritað af formanni nefndarinnar, þess efnis að heimilt væri að taka út skráð netföng þátttakenda á kvennasviði og senda þeim spurningalista í tölvupósti. Listar með netföngum voru sendir A, ábyrgðarmanni rannsóknarinnar, sem afhenti þá ásamt texta ætluðum væntanlegum þátttakendum til starfsmanns HÍ, sem sendi könnunina út.

Listar með póstföngum þeirra sem ekki voru með skráð netföng og til stóð að senda bréfpósti voru læstir með lykilorði og afhentir samkvæmt beiðni. Útsending bréfanna var hins vegar stöðvuð eftir að rannsóknin var stöðvuð í kjölfar mistakanna.

Samsvarandi listi var unninn á geðsviði án leyfis eins og að framan greinir. A beindi beiðni sinni til heilbrigðisritara á geðsviði og fól honum að taka listann saman. Þetta gerði A væntanlega í krafti starfs síns á sviðinu. Listinn með netföngum var sendur A sem afhenti hann ásamt texta ætluðum væntanlegum þátttakendum til starfsmanns HÍ, sem sendi könnunina út. Væntanlegir þátttakendur sem ekki höfðu skráð netfang hafa fengið spurningalistann sendan með pósti.“

Í bréfi Landspítala er einnig fjallað um hugsanlegar úrbætur og aðgerðir spítalans í kjölfar atviksins. Þar segir m.a. að nú sé unnið að verklagi við samþykkt og framkvæmd vísindarannsókna en leitast verði við að endurskoða núverandi ferli þannig að það uppfylli sem best þær kröfur um gæði og öryggi sem nauðsynlegt er. Nauðsynlegt sé að endurskoða tiltekna þætti frá því sem nú er. Nefnir Landspítalinn í fyrsta lagi að framkvæmdastjóri lækninga þurfi að vera síðastur til að yfirfara endanlega rannsóknaráætlun áður en leyfi til aðgangs að sjúkraskrá sé veitt. Í öðru lagi þurfi að bæta upplýsingaflæði milli Persónuverndar, Vísindasiðanefndar og Landspítala. Í þriðja lagi þurfi að endurskoða verklag við eftirlit með rannsóknum. Að lokum þurfi síðan að setja reglur um tölvupóstsendingar til þátttakenda í vísindarannsóknum.

Með bréfi, dags. 6. janúar 2012, óskaði Persónuvernd eftir upplýsingum um hvernig Landspítalinn hyggðist ætla koma í veg fyrir að afhentir væru þátttakendalistar úr sjúkraskrá án þess að fyrir lægi leyfi Persónuverndar og yfirlýsing lækningarforstjóra, í samræmi við 15. gr. laga nr. 74/1997.

Svarbréf Landspítalans, dags. 7. febrúar 2012, barst Persónuvernd þann 10. febrúar 2012. Þar kemur m.a. fram að Landspítali muni eftirleiðis gera það að skilyrði, að áður en rannsakendum sé heimilaður aðgangur að sjúkraskrám, hafi spítalinn fengið í hendur endanlegt leyfi Persónuverndar, siðanefndar eða eftir atvikum Vísindasiðanefndar. Þá verði eftirfarandi verklag viðhaft:

„ Í samræmi við 3. gr. verklagsreglna Persónuverndar, nr. 340/2003, um samþykki ábyrgðaraðila sjúkraskrár, hefur LSH undirritað yfirlýsingu um að spítalinn sé samþykkur því fyrir sitt leyti að veita aðgang að sjúkraskrám vegna vísindarannsókna, fáist til þess leyfi Persónuverndar og siðanefndar, eða eftir atvikum vísindasiðanefndar. Þetta verklag hefur hins vegar gert það að verkum að LSH, sem ábyrgðaraðili sjúkraskrár, hefur fengið takmarkaðar upplýsingar um afgreiðslu fyrrnefndra aðila á umsóknum og þau skilyrði sem rannsakendum kunna að hafa verið sett við framkvæmd rannsókna. Hið sama getur átt við um breytingar sem heimilaðar hafa verið á rannsóknaráætlun, eftir að LSH hefur undirritað og afhent slíka yfirlýsingu.

LSH mun því gera það að skilyrði, að áður en rannsakendum er endanlega heimilaður aðgangur að sjúkraskrám, hafi LSH fengið í hendur endanleg leyfi Persónuverndar, siðanefndar eða eftir atvikum vísindasiðanefndar.

Eftirfandi verklag verður því viðhaft:

1. LSH veitir skilyrta heimild til aðgangs að sjúkraskrám þar sem fram kemur að LSH muni heimila rannsakendum aðgang að sjúkraskrám þegar að leyfi Persónuverndar, siðanefndar eða eftir atvikumm vísindasiðanefndar liggur fyrir.

2. Þegar leyfi liggja fyrir sendir ábyrgðarmaður vísindarannsóknar á ný umsókn um aðgang að sjúkraskrám á Landspítala, ásamt [...] rannsóknaráætlun og fyrirliggjandi leyfum Persónuverndar, siðanefndar eða eftir atvikum vísindasiðanefndar í samræmi við þá fyrirliggjandi rannsóknaráætlun.

3. LSH tekur umsókn til endanlegrar afgreiðslu.“

Með bréfi, dags. 15. maí 2012, leiðbeindi Persónuvernd Landspítala um að einnig þyrfti að huga að beitingu tæknilegra öryggisráðstafana, sbr. 11. gr. laga nr. 77/2000, til að takmarka möguleika starfsmanna Landspítala á því að t.d. taka saman lista yfir sjúklinga sem uppfylla ákveðin skilyrði, meðan ekki hefur verið veitt til þess leyfi af hálfu stjórnenda spítalans. Þá þurfi viðkomandi rannsakandi að hafa framvísað leyfi Persónuverndar, sé hans vinnsla leyfisskyld samkvæmt settum lögum eða reglum. Mætti nefna að meðal þess sem horft gæti til einföldunar væri að hafa yfirumsjón á einni hendi og að allar rannsóknir fengju auðkennisnúmer sem aðgangsstýringar myndu styðjast við. Þá benti Persónuvernd á að það væri hlutverk Landspítala sem ábyrgðaraðila, sbr. 4. tölul. 2. gr. laga nr. 77/2000, að ákveða tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Slíkar ákvarðanir tæki hann óháð því hvort vinnsla sé leyfisskyld hjá Persónuvernd. Verklagsreglur nr. 340/2003 lúti ekki að leyfum til ábyrgðaraðila heldur rannsakenda. Þá tók Persónuvernd fram að greina þyrfti á milli hlutverks ábyrgðaraðila og reglna um leyfisskyldu sem hvílir á rannsakanda. Það væri þannig forsenda þess að Persónuvernd gefi rannsakanda leyfi að Landspítali hafi sem ábyrgðaraðili tekið ákvörðun um að veita honum umbeðinn aðgang.

Svarbréf Landspítala, dags. 8. júní 2012, barst Persónuvernd þann 12. s.m. Þar kemur m.a. fram að spítalinn muni, þar til annað hafi verið ákveðið, gefa skilyrt leyfi fyrir vísindarannsókn og aðgangi að gögnum. Muni Landspítalinn gera kröfu um að fyrir liggi leyfi Persónuverndar fyrir framkvæmd rannsóknar eða að tilkynning hafi verið send Persónuvernd og stofnunin hafi ekki gert athugasemdir við fyrirhugaða rannsókn innan þeirra tímamarka sem tilskilin eru, áður en aðgangur er veittur að gögnum.

Þá segir í bréfi Landspítala að til tæknilegra öryggisráðstafana teljist aðgangsstýring að sjúkragögnum þar sem öll innskráning í sjúkraskrárkerfi Landspítala er háð innskráningu notandanafns og aðgangsorðs, áður en sjúkraskrárupplýsingar eru opnaðar. Öll notkun sjúkraskrárupplýsinga er einnig skráð (logguð) og háð eftirliti sérstakrar nefndar á vegum framkvæmdastjóra lækninga. Þá benti spítalinn á að ekki væri hægt að beita sérstökum tæknilegum öryggisráðstöfunum til að takmarka möguleika starfsmanna Landspítala á því t.d. að taka saman lista yfir sjúklinga sem uppfylla ákveðin skilyrði, meðan ekki hefur verið veitt til þess leyfi af hálfu stjórnenda spítalans. Skýringin sé m.a. sú að meðan ekki hefur verið veitt heimild til rannsóknar hefur enginn rannsakandi verið skilgreindur og öll meðferð sjúkraskrárupplýsinga er á því stigi eingöngu heimil viðkomandi starfsmanni ef hann er í starfi sínu að sinna þeim sjúklingi sem upplýsingarnar tilheyra. Að lokum segir í bréfi spítalans að Landspítalinn muni í framtíðinni gefa hverri rannsókn hlaupandi númer sem þá verði skráð samhliða heiti rannsóknar.

Með bréfi, dags. 16. nóvember 2012, var lögmanni kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Háskóla Íslands og Landspítala til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Hjálagt fylgdu eldri svör Landspítalans.

Svarbréf lögmanns kvartanda, barst með tölvupósti þann 20. nóvember 2012. Þar segir:

„Af sendum gögnum verður ekki annað ráðið en að brotin séu að fullu viðurkennd. Ég hef því engar athugasemdir við framkomnar skýringar þeirra sem kvörtunin beinist að og óska eftir því að málið verði tekið til úrskurðar/ákvörðunar hjá Persónuvernd. “

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.

Miðlun Landspítala á nafnalista til rannsakenda er því vinnsla persónuupplýsinga í skilningi laganna og fellur þar af leiðandi undir úrskurðarvald Persónuverndar.

2.
Lögmæti vinnslu
Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 1. mgr. 8. gr. laga nr. 77/2000. Sé um að ræða viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. sömu laga, þarf að auki að vera fullnægt einhverju þeirra viðbótarskilyrða sem greind eru í 9. gr. sömu laga.

Í 9. tölul. 1. mgr. 9. gr. segir að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á. Óumdeilt er í máli þessu að umrædd miðlun fór fram í þágu vísindarannsóknar.

Í 5. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil vegna verks sem unnið er í þágu almannahagsmuna. Í athugasemdum við framangreint ákvæði í frumvarpi því sem varð að lögum nr. 77/2000 kemur fram að töluliðurinn geti átt við vinnslu sem fer fram í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi.

Með vísan til framangreinds er ljóst að miðlun persónuupplýsinga úr sjúkraskrá til ábyrgðaraðila vísindarannsóknar á heilbrigðissviði getur verið heimil, enda sé persónuvernd tryggð með tilteknum ráðstöfunum.

Í því sambandi ber við vinnslu persónuupplýsinga m.a. að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, þar sem m.a. segir í 1. tölul. ákvæðisins að við meðferð persónuupplýsinga skuli þess gætt að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Þá segir í 1. mgr. 11. gr. að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Samkvæmt 2. mgr. 11. gr. skal beita ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.  

Í 4. gr. reglna Persónuverndar nr. 299/2001, eru einnig ákvæði um öryggi persónuupplýsinga. Þar segir að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir til að tryggja nægilegt öryggi og vernda persónuupplýsingar m.a. gegn því að þær glatist. Við val öryggisráðstafana skuli taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skuli þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Með hliðsjón af framangreindu, og viðkvæmu eðli sjúkraskráa, þarf að gæta öryggisráðstafana þegar að upplýsingum er miðlað frá ábyrgðaraðila til rannsakanda í þágu vísindarannsóknar, þrátt fyrir að vinnslan sem slík teljist heimil. Meðal slíkra ráðstafana er sú að auðkenna vísindarannsóknir með rannsóknarnúmeri, svo hægt sé að rekja feril þeirra innanhúss hjá ábyrgðaraðila. Þá ber ábyrgðaraðila einnig að tryggja, með tæknilegum öryggisráðstöfunum, að nafnalistum sé ekki miðlað úr sjúkraskrárkerfi spítalans, nema að viðkomandi rannsakandi hafi fengið til þess leyfi Persónuverndar, sbr. 3. mgr. 15. gr. laga nr. 74/1997, um sjúkraskrár. Fyrir liggur að það var ekki gert í því tilviki sem hér um ræðir. Þá hefur ekkert komið fram um að aðrar viðhlítandi ráðstafanir hafi verið viðhafðar. Verður því ekki talið að viðhlítandi öryggis hafi verið gætt í því tilviki sem málið varðar.

Með vísan til 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000 er hér með lagt fyrir Landspítala að nota umrætt tilefni til þess að fara yfir starfsreglur sínar um meðferð trúnaðarupplýsinga - þ. á m. miðlun viðkvæmra persónuupplýsinga úr sjúkraskrám - með heilbrigðisstarfsmönnum stofnunarinnar.

Ú r s k u r ð a r o r ð:

Miðlun nafnalista yfir þá sem leitað höfðu til geðdeildar frá Landspítala til A var óheimil.

Landspítali viðhafði ekki nægar öryggisráðstafanir við miðlun persónuupplýsinga úr sjúkraskrárkerfi spítalans til A vegna verkefnisins „Rannsókn á heilbrigðisþjónustu varðandi ofbeldi í nánum samböndum“.