Úrskurður vegna öryggisbrests hjá heilsugæslustöð

11.3.2009

Úrskurður

Hinn 23. febrúar 2009 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2008/607:

I.

Innkomið erindi

Málsmeðferð

Persónuvernd vísar til bréfaskipta af tilefni kvörtunar, dags. 1. september 2008, frá S hrl. f.h. umbjóðanda hans, M. Samkvæmt kvörtuninni glötuðust sjúkraskrárupplýsingar sem varðveittar voru um þann síðarnefnda á Heilsugæslustöðinni, Dalvík, vegna tölvubilunar, en ekki mun hafa verið til afrit af upplýsingunum. Í kvörtuninni kemur fram að hann telur sig hafa orðið fyrir tjóni vegna þessa þar sem ekki hafi af þessum sökum legið fyrir fullnægjandi sönnun um tiltekin atvik.

Í ljósi þess sem fram kom í kvörtun varðandi hugsanlega skaðabótakröfu vegna hinna glötuðu upplýsinga vakti Persónuvernd athygli á því, með bréfi til framangreinds lögmanns, dags. 16. september 2008, að hún fjallaði ekki um það hvort stofnast hefði skaðabótaskylda heldur hvort farið hefði verið að öryggiskröfum við meðferð upplýsinganna. Óskaði stofnunin þess að lögmaðurinn upplýsti hvort hann óskaði þess að málið yrði tekið til meðferðar á þeim forsendum. Slík ósk barst Persónuvernd með bréfi lögmannsins, dags. 24. september 2008.

Með bréfi, dags. 26. september 2008, ítrekuðu með bréfum, dags. 4. nóvember og 23. desember s.á. og 5. febrúar 2009, var Heilsugæslustöðinni, Dalvík, veittur kostur á að tjá sig um framangreinda kvörtun. Heilsugæslustöðin svaraði með bréfi, dags. 5. febrúar 2009. Þar segir:

„Þegar okkur barst þetta erindi frá ykkur var það sent lögfræðingi hjá Heilbrigðisráðuneytinu. Við heyrðum síðan ekkert frekar um málið fyrr en ítrekun barst frá Persónuvernd nú í janúar og sendi ég þá strax póst á viðkomandi lögfræðing.

Nú í morgun barst mér beiðni frá ráðuneytinu um að senda ykkur afrit af bréfi sem sent var Landlæknisembættinu eftir að ljóst var að gögnin væru endanlega töpuð.

Afrit af bréfi þessu fylgir hér með?"

Framangreint bréf til Landlæknisembættisins er dagsett 1. júlí 2005. Þar greinir frá því að hinn 6. mars á því ári hafi komið í ljós að netþjónn Heilsugæslustöðvarinnar, Dalvík, væri óstarfhæfur. Í framhaldi af því hafi komið í ljós að harður diskur hefði bilað. Tveimur og hálfu ári áður hefði vélbúnaður fyrir rafrænar sjúkraskrár verið endurnýjaður. Um það segir m.a.:

„Stöðin hafði þá þjónustusamning við fyrirtækið Anza, sem Skrín síðar yfirtók. Við endurnýjunina var farið að ráðum tæknimanna Anza. Fenginn var netþjónn með 4 hörðum diskum. Uppsetningin skyldi vera með þeim hætti að tveir og tveir diskar ynnu saman, þannig að allar upplýsingar og gögn sem skráð væru á annan diskinn í parinu, væru jafnframt skráðar á hinn diskinn. Markmiðið með þessu var að ef bilaði harður diskur mætti finna öll gögnin á hinum disknum í parinu. Hér skal tekið fram að tæknimenn Anza „settu netþjóninn upp" á sínum tíma.

Nokkrum dögum síðar kom í ljós að uppsetning vélarinnar var ekki með þeim hætti sem um var samið. Þess vegna varð ljóst að hörðu diskarnir geymdu ekki öll gögnin sem þar áttu að vera. Sem betur fer var netþjónninn einnig búinn afritunarstöð og því hefði átt að vera auðvelt að endurvekja gögnin. Þá kom í ljós að segulbandsspólurnar voru auðar. Ein spóla var þó til, geymd í bankahólfi. Þar reyndust vera afrit af kerfinu en það vantaði afrit af gagnagrunni sjúkraskrárkerfisins. Þetta var einnig stórt áfall. Reglubundin afritun hafði engu skilað og afritunarstöðin reyndist biluð. Engin skýring fannst á því hversvegna spólan geymdi afrit af öllu nema sjúkraskrárkerfinu.

Það var komin upp afar slæm staða. Tapast höfðu öll gögn úr sjúkraskárkerfinu og það með öllu óstarfhæft. Forritið hafði verið uppfært vorið 2003 og það kom í ljós að til var skrá sem innihélt afrit af gögnunum fram að uppfærslunni.

Samkvæmt ráðleggingum frá Theriak (sem selur og þjónustar sjúkraskrárkerfið) voru hörðu diskarnir sendir til Bretlands í von um að nálgast mætti gögn af þeim. Þetta tókst ekki og þá voru þeir sendir áfram í nánari greiningu í Póllandi. Þar tókst ekki heldur að endurvekja gögnin.

Á þessum tímapunkti var ljóst að tapast höfðu öll gögn úr sjúkraskrárkerfi heilsugæslustöðvarinnar frá því í júní 2003 og þar til í apríl 2004 og engin leið að endurvekja þau. Tapið var gífurlegt og olli mikilli aukavinnu lækna og læknaritara. Auk þess er ávallt hætta á því að gagnatap af þessu tagi stofni öryggi sjúklinga í hættu.

Sjúkraskrárkerfið var sett upp að nýju með eldri gögnum. Í þetta sinn var netþjónninn settur upp eins og hann átti að vera og afritun breytt þannig að hún fer fram um símalínu til höfuðstöðva Skrín ehf. á Akureyri."

Eftir að Persónuvernd hafði borist áðurnefnt bréf Heilsugæslustöðvarinnar, Dalvík, dags. 5. febrúar 2009, sendi hún henni bréf, dags. 6. s.m. Í ljósi framangreinds bréfs heilsugæslustöðvarinnar til Landlæknisembættisins, dags. 1. júlí 2006, óskaði Persónuvernd svara við eftirgreindu:

Hvort heilsugæslustöðin hefði, fyrir þann tíma, sem rafrænar sjúkraskrárupplýsingar glötuðust, reglulega athugað hvort öryggisafrit hefðu raunverulega að geyma nauðsynlegar upplýsingar.

Ef svo hefði verið, hversu oft og reglulega það hefði verið gert.

Hvort á umræddum tíma hefði legið fyrir skjalfesting á því hvernig upplýsingaöryggis væri gætt, sbr. 5. mgr. 11. gr. laga nr. 77/2000, þ. á m. á fyrirkomulagi öryggisafritunar. Hefði svo verið var og óskað eintaks af skjölum þar að lútandi.

Hvernig staðið hefði verið að framangreindum þáttum eftir að umræddar upplýsingar glötuðust. Óskað var eintaks af skjölum varðandi upplýsingaöryggi sem kynnu að hafa verið gerð síðan þá.

Heilsugæslustöðin, Dalvík, svaraði með bréfi, dags. 12. febrúar 2009. Þar er um svör við framangreindu vísað til samnings Anza hf. og Heilsugæslustöðvarinnar, Dalvík, dags. 7. janúar 2003, sem og óundirritaðs eyðublaðs fyrir samning við EJS hf., dags. 18. apríl 2005, sbr. og fylgiskjal, dags. 18. ágúst s.á., um þá þjónustu sem EJS hf. veitir.

Í b- og c-liðum 5. gr. samningsins við Anza hf., sem í gildi var þegar atvik málsins urðu, segir að tvisvar á ári hreinsi tæknimaður afritunarstöð Heilsugæslustöðvarinnar, Dalvík, sé hún til staðar, og athugi afritunartöku og prófi hana til að sannreyna að afritunarbúnaður og uppsetning hans sé í lagi. Í 16. gr. eyðublaðs fyrir samning við EJS hf. segir m.a. að endurheimt gagna sé prófuð reglulega til að ganga úr skugga um að afritið þjóni í raun þeim tilgangi sem því er ætlað. Þjónustukaupi greiði sérstaklega fyrir slíka þjónustu samkvæmt nánara samkomulagi. Ekki er vikið sérstaklega að því í umræddum skjölum að þau taki til þjónustu vegna vinnslu sjúkraskrárupplýsinga. Í fylgiskjali með eyðublaðinu fyrir EJS hf. er ekki heldur vikið að slíkum skrám.

II.

Forsendur og niðurstaða

1.

Valdsvið Persónuverndar

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.

Forsendur

Svo að vinnsla persónuupplýsinga sé heimil verður að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil þarf að auki að vera fullnægt einhverju sérskilyrðanna fyrir slíkri vinnslu í 9. gr. sömu laga. Sá sem getur haft heimild með stoð í framangreindum ákvæðum er sá sem telst vera ábyrgðaraðili að vinnslu persónuupplýsinga.

Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000. Í 1. mgr. 9. gr. reglugerðar nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sem sækir stoð í 6. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga (en áður 16. og 18. gr. læknalaga nr. 53/1988), segir að yfirlæknir á deild eða ódeildarskipti heilbrigðisstofnun beri ábyrgð á vörslu og meðferð sjúkraskráa meðan sjúklingur dvelji þar. Forstöðumenn beri ábyrgð á skjalavörslu sjúkrastofnana. Í ljósi þessa ákvæðis verður að líta svo á Heilsugæslustöðin, Dalvík, sé ábyrgðaraðili að þeirra vinnslu persónuupplýsinga sem felst í færslu, varðveislu og notkun sjúkraskráa á heilsugæslustöðinni.

Meðal þeirra ákvæða 8. gr. laga nr. 77/2000, sem koma til greina um vinnslu persónuupplýsinga í sjúkraskrám, er 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 þar sem mælt er fyrir um heimild til vinnslu sem nauðsynleg er til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Um þá lagaskyldu vísast til 1. mgr. 2. gr. reglugerðar nr. 227/1991, sbr. 6. mgr. 14. gr. laga nr. 74/1997, en samkvæmt ákvæði reglugerðarinnar er öllum læknum, sem taka einstaklinga til greiningar og meðferðar, skylt að halda sjúkraskrá um hvern einstakling.

Meðal þeirra ákvæða 9. gr. laga nr. 77/2000, sem koma til greina, eru 2. tölul. 1. mgr. um heimild til vinnslu viðkvæmra persónuupplýsinga á grundvelli sérstakrar lagaheimildar, sbr. framangreind ákvæði reglugerðar nr. 227/1991 og laga nr. 74/1997, og 8. tölul. 1. mgr. um heimild til slíkrar vinnslu þegar hún er nauðsynleg vegna læknismeðferðar eða venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu.

Af framangreindum ákvæðum telur Persónuvernd ljóst að í lögum nr. 77/2000 sé að finna heimild til vinnslu persónuupplýsinga í sjúkraskrám, auk þess sem skylt er að halda slíkar skrár samkvæmt ákvæðum reglugerðar nr. 227/1991, sbr. 6. mgr. 14. gr. laga nr. 74/1997.

Við vinnslu upplýsinganna ber að fara að öllum ákvæðum laga nr. 77/2000. Í 1. tölul. 1. mgr. 7. gr. þeirra laga er að finna þá grundvallarreglu að við meðferð persónuupplýsinga skuli þess m.a. gætt að hún samrýmist vönduðum vinnsluháttum. Samkvæmt 1. mgr. 11. gr. laganna ber og að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Auk þess ber að líta til 1. mgr. 14. gr. laga nr. 74/1997 þar sem segir að sjúkraskrár skuli geymdar á tryggum stað.

Þegar litið er til framangreindra ákvæða, einkum fyrirmæla 1. mgr. 11. gr. laga nr. 77/2000 um að vernda ber persónuupplýsingar gegn ólöglegri eyðileggingu, telur Persónuvernd ljóst að Heilsugæslustöðinni, Dalvík, hafi borið að taka öryggisafrit af sjúkraskrám, sem þar voru færðar, og varðveita þau á öruggum stað. Þá telur Persónuvernd að heilsugæslustöðinni hafi einnig borið að athuga það reglulega hvort öryggisafrit hefðu að geyma nauðsynlegar upplýsingar. Telur Persónuvernd að slíkt verði að athuga nægilega oft til að tryggja að öryggisafrit, sem hefur að geyma slíkar upplýsingar, sé ávallt á vísum stað.

Ljóst er að þetta var ekki gert. Vinnsla persónuupplýsinga í sjúkraskrá kvartanda á Heilsugæslustöðinni, Dalvík, samrýmdist því ekki, að þessu leyti, áðurnefndum ákvæðum 1. tölul. 1. mgr. 7. gr. og 1. mgr. mgr. 11. gr. laga nr. 77/2000 og 1. mgr. 14. gr. laga nr. 74/1997.

Ekki liggur fyrir hversu oft hefur verið kannað hvaða upplýsingar öryggisafrit hafa að geyma frá því að sjúkraskrárupplýsingar á Heilsugæslustöðinni, Dalvík, glötuðust. Samkvæmt 3.–5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, ber að skjalfesta hvernig öryggis persónuupplýsinga er gætt og verður að telja að í slíkri skjalfestingu verði m.a. að fjalla um öryggisafritun gagna, þ. á m. hversu oft gæði öryggisafrita eru könnuð. Skjalfesting upplýsingaöryggis felur nánar í sér að samin er öryggisstefna, sem hefur að geyma almenna lýsingu á helstu kröfum og áherslum varðandi upplýsingaöryggi; að gert er áhættumat, sem hefur að geyma greiningu á þeim ógnum sem steðja að vinnslu persónuupplýsinga; og að skráðar eru öryggisráðstafanir, sem byggjast eiga á þeim forsendum sem fram koma í áhættumati.

Af gögnum málsins verður ráðið að ekki hafi verið skjalfest með framangreindum hætti hvernig gæta skuli upplýsingaöryggis hjá Heilsugæslustöðinni, Dalvík. Auk þess sem skjalfesta verður upplýsingaöryggi verður að gera sérstakan samning við þann sem hefur stöðu vinnsluaðila, sbr. 13. gr. laga nr. 77/2000. Með vinnsluaðila er átt við þann sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Af gögnum málsins verður ráðið að nú veiti EJS hf. þjónustu í tengslum við sjúkraskrár á Heilsugæslustöðinni, Dalvík, sem feli í sér aðkomu að vinnslu persónuupplýsinga. Ekki liggur fyrir að gerður hafi verið undirritaður samningur við EJS hf. Í slíkum samningi verður m.a. að koma fram að vinnsluaðila sé aðeins heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. laga nr. 77/2000. Þá ber að líta svo á að samningurinn verði að tiltaka hvaða persónuupplýsingar eigi undir hann, en í því felst að taka verður sérstaklega fram að hann lúti að þjónustu vegna sjúkraskráa.

Samkvæmt 1. mgr. 40. gr. laga nr. 77/2000 getur Persónuvernd mælt fyrir um ráðstafanir sem tryggja lögmæti vinnslu persónuupplýsinga. Samkvæmt því getur Persónuvernd m.a. mælt fyrir um að beitt skuli viðeigandi öryggisráðstöfunum til að vernda slíkar upplýsingar. Persónuvernd hyggst kanna hvernig öryggisafritun gagna er háttað hjá Heilsugæslustöðinni, Dalvík, hvort hún sé fullnægjandi og hvort tilefni sé til fyrirmæla í því sambandi með stoð í framangreindu ákvæði. Í ljósi þess, og með vísan til 38. gr. laga nr. 77/2000 um að Persónuvernd geti kallað eftir gögnum frá þeim sem vinna með persónuupplýsingar, mælist stofnunin til þess að Heilsugæslustöðin, Dalvík, sendi henni lýsingu á fyrirkomulagi upplýsingaöryggis, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sem og undirritaðan vinnslusamning við EJS hf., sem samrýmist fyrirmælum 13. gr. sömu laga, fyrir 17. apríl nk.

Ú r s k u r ð a r o r ð:

Þar sem Heilsugæslustöðin, Dalvík, tók ekki öryggisafrit af sjúkraskrá M samrýmdist vinnsla sjúkraskrárupplýsinga um hann ekki 1. tölul. 1. mgr. 7. gr. og 1. og 2. mgr. 11. gr. laga nr. 77/2000 og 1. mgr. 14. gr. laga nr. 74/1997.

Persónuvernd mun kanna hvernig háttað sé töku öryggisafrita af sjúkraskrám á Heilsugæslustöðinni, Dalvík. Heilsugæslustöðin skal senda Persónuvernd lýsingu á fyrirkomulagi upplýsingaöryggis, sem og undirritaðan vinnslusamning við EJS hf., fyrir 17. apríl nk.