Athugun á dulkóðun í gagnagrunnum Hjartaverndar og rekjanleika uppflettinga og skráningar
Persónuvernd hefur lokið máli í tengslum við athugun á (a) dulkóðun persónuauðkenna í gagnagrunnum Hjartaverndar og (b) rekjanleika uppflettinga og skráningar.
Á fundi sínum hinn 16. desember 2009 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2008/326, þ.e. um úttekt á dulkóðun í gagnagrunnum Hjartaverndar og rekjanleika uppflettinga og skráningar:
I.
Ferill málsins
1.
Almennt
Persónuvernd vísar til fyrri samskipta vegna úttektar á (a) fyrirkomulagi við dulkóðun persónuauðkenna í gagnagrunnum Hjartaverndar og (b) rekjanleika uppflettinga og skráningar. Boðað var til úttektarinnar með bréfi Persónuverndar til Hjartaverndar, dags. 5. maí 2008, þar sem óskað var eftir verkferlum og verklagsreglum sem gilda um framangreinda þætti. Hjartavernd svaraði með bréfi, dags. 20. s.m., þar sem lýst er hvernig persónuauðkenni eru dulkóðuð og hvernig unnt er að rekja aðgerðir í gagnagrunnum félagsins.
Með bréfi til Persónuverndar, dags. 23. maí 2008, óskaði [...] hrl þess f.h. Hjartaverndar að stofnunin veitti upplýsingar um hvort ákvörðun um úttektina byggði á innkomnu erindi eða athugasemdum annarra lögaðila eða einstaklinga, ellegar hvort um væri að ræða frumkvæðisathugun Persónuverndar. Með bréfi, dags. 11. júní 2008, greindi Persónuvernd frá því að um væri að ræða athugun sem fram færi að eigin frumkvæði stofnunarinnar og væri hluti af reglubundnu starfi og lögbundnu hlutverki hennar. Tekið var fram að ákvörðun um athugun hjá tilteknum ábyrgðaraðila að vinnslu persónuupplýsinga þyrfti ekki að fela í sér að stofnunin teldi öryggiskerfi hans að einhverju leyti ábótavant.
Hinn 22. maí 2008 gerði Persónuvernd samning við [...], sérfræðing í upplýsingaöryggi hjá Stika ehf., um að koma að framkvæmd úttektarinnar. Samdægurs undirritaði hann þagnarheit vegna þeirra upplýsinga sem hann kynni að verða áskynja um við þá vinnu.
Með bréfi, dags. 28. september 2008, greindi Persónuvernd frá því að tafir hefðu orðið á framkvæmd úttektarinnar vegna starfsmannabreytinga og sumarleyfa. Jafnframt var Hjartavernd veittur kostur á að senda inn frekari gögn teldi félagið þörf á því.
Í framhaldi af þessu greindi Persónuvernd frá því, með bréfi til Hjartaverndar, dags. 28. október 2008, að ákveðið hefði verið að gera vettvangsathugun vegna úttektarinnar hinn 20. nóvember s.á. Þá ítrekaði Persónuvernd að Hjartavernd ætti kost á að senda inn frekari gögn. Það gerði Hjartavernd með tölvubréfi til Persónuverndar hinn 3. nóvember 2008. Í kjölfar þess fór vettvangsathugunin fram á þeim degi sem ákveðinn hafði verið. Í tengslum við þá athugun afhenti Hjartavernd skjal sem ber heitið „Handbók um öryggi gagna“ þar sem fyrirkomulagi upplýsingaöryggismála er lýst.
Hinn 10. júlí 2009 barst Persónuvernd skýrsla frá framangreindum sérfræðingi um úttektina. Með bréfi, dags. 13. s.m., var Hjartavernd veittur kostur á að tjá sig um skýrsluna. Hjartavernd svaraði með bréfi, dags. 2. október 2009.
2.
Framkvæmd vinnslu hjá Hjartavernd
samkvæmt skýrslu sérfræðings og athugasemdum Hjartaverndar
Af skýrslu framangreinds sérfræðings frá 10. júlí 2009, athugasemdum Hjartaverndar við hana frá 2. október s.á. og áðurnefndri handbók Hjartaverndar um öryggi gagna verður ráðið að sú vinnsla persónuupplýsinga á vegum félagsins, sem tengist framkvæmd úttektarinnar, fari fram með eftirgreindum hætti:
Hjá Hjartavernd eru upplýsingar varðveittar í annars vegar svonefndum raungrunni, en þar er um að ræða sjúkraskrá haldna í meðferðartilgangi, og hins vegar í svonefndum vísindagrunni. Upplýsingar í raungrunni eru auðkenndar með kennitölum. Þegar unnið er með upplýsingarnar vegna framkvæmdar einstakra rannsóknarverkefna eru þær færðar í sérstaka úrvinnslugrunna. Kennitölur eru brenglaðar í vísindagrunni og eru dulkóðaðar frekar áður en þær eru færðar í úrvinnslugrunn.
Tveir starfsmenn, þ.e. [...]. geta fært gögn úr raungrunni í vísindagagnagrunn og er þá notast við þær upplýsingar sem talin er þörf á vegna viðkomandi rannsóknar. Þegar upplýsingar eru færðar í úrvinnslugrunna er notast við sérstakan gagnagrunnsmiðlara sem dulkóðar upplýsingarnar. Þrír starfsmenn, þ.e. [...] geta sett gögn í grunninn og tekið þau úr honum. Fleiri hafa hins vegar aðgang að gagnagrunnsmiðlaranum sem notendur og er listi yfir þá rýndur óreglulega af [...]. Til að nýta aðganginn þarf tvö lykilorð, annars vegar lykilorð inn á net Hjartaverndar og hins vegar sérstakt lykilorð fyrir gagnagrunnsmiðlarann. Það gerir ekki greinarmun á há- og lágstöfum og er sjaldan breytt.
Lífsýni eru skráð í svonefndan lífsýnagrunn hjá Lífsýnasafni rannsóknaverkefna Hjartaverndar. Í hann eru ekki færðar klínískar upplýsingar. Þær eru hins vegar færðar í áðurnefndan raungrunn og þaðan dulkóðaðar í vísindagrunn. Þetta á m.a. við um mælingar á lífsýnum, t.d. blóðfitumælingar, og erfðarannsóknir sem á þeim eru gerðar. Afgangi sýna er skilað í lífsýnasafnið án nokkurra rannsóknaniðurstaðna að rannsóknum loknum og þau geymd þar áfram.
Hægt er að rekja uppflettingar í gagnagrunnum Hjartaverndar til viðkomandi starfsmanna, sem og skráningu á upplýsingum. Tölfræðingar Hjartaverndar hafa aðgang að dulkóðuðum vísindagrunni til úrvinnslu gagna, sem þar eru geymd, þann tíma sem úrvinnslan tekur. Skjöl (á Excel-formi) með upplýsingum vegna einstakra rannsókna, sem útbúin eru fyrir samstarfsaðila í rannsóknum, eru aftengd, þ.e. tengsl við brenglaða kennitölu eru rofin.
2.
Niðurstöður skýrslu sérfræðings
Athugasemdir Hjartaverndar
Í niðurstöðukafla skýrslu framangreinds sérfræðings frá 10. júlí 2009 kemur m.a. fram að við veikleikaskönnun á innraneti hafi komið í ljós að þó nokkrar vélar á innraneti væru með gamlan hugbúnað sem hafi innihaldið alvarlega öryggisveikleika. Hafi kerfisstjóra verið gert þetta kunnugt og hann farið strax að huga að uppfærslum. Samkvæmt athugasemdum í bréfi Hjartaverndar, dags. 2. október 2009, hafa nauðsynlegar uppfærslur verið gerðar.
Í niðurstöðukaflanum segir að æskilegt sé að rýna lista yfir þá sem hafa aðgang að gagnagrunnsmiðlara með reglulegum hætti. Samkvæmt athugasemdum Hjartaverndar hefur slíkt fyrirkomulag verið tekið upp. Einnig segir í niðurstöðukaflanum að æskilegt sé að setja reglur um gerð og notkun lykilorða, sem og að breyta reglulega um lykilorð, t.d. á þriggja til sex mánaða fresti. Í athugasemdum Hjartaverndar segir í tengslum við þetta atriði að þar sé tvöfalt lykilorðakerfi og lykilorðinu breytt reglulega í öðru kerfinu, þ.e. lykilorðakerfi fyrir aðgang inn á net Hjartaverndar. Segir í athugasemdunum að lykilorðinu til að komast inn á gagnagrunnsmiðlara verði einnig breytt með reglulegum hætti.
Um dulkóðun segir m.a. í niðurstöðukafla sérfræðingsins:
„Þar sem dulkóðun á gögnum í töflum í Oracle [þ.e. gagnagrunnsmiðlaranum] er útfrá notendum þá er sú dulkóðun einungis jafn sterk og lykilorð viðkomandi notanda. Æskilegt er að íhuga aðra útfærslu á dulkóðun gagna. Sá sem hefur gagnagrunnsstjóraréttindi getur breytt lykilorði notanda sem hefur aðgang að dulkóðuðum gögnum og síðan tengst sem viðkomandi notandi.“
Í athugasemdum Hjartaverndar segir um þetta atriði:
„Dulkóðun í ORACLE er tvenns konar. Sjúkraskrárnar sjálfar/gagnasöfnunin hafa dulkóðaða/brenglaða kennitölu. Enginn sér auðveldlega hver á í hlut nema sá sem safnar gögnunum. Þetta er ekki hin eiginlega dulkóðun og er gerð að frumkvæði Hjartaverndar til að vernda þátttakendur enn frekar. Frekari dulkóðun á þessum upplýsingum yfir í vísindagrunn er gerð af þeim tveimur gagnagrunnssérfræðingum sem vinna hjá Hjartavernd og þeir úthluta ekki úrvinnslufólki aðgangsorði að dulkóðaða vísindagrunninum heldur útbúa úrvinnsluaðilarnir sjálfir sín lykilorð, fyrst inn á net Hjartaverndar, síðan inn í vísindagrunninn.“
II.
Niðurstaða Persónuverndar
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Almennt um reglur um upplýsingaöryggi
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.
Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12.gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. Með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 4. tölul. 2. gr. laganna. Af því sem fram hefur komið við úttekt verður ráðið að engir vinnsluaðilar komi að þeirri vinnslu sem úttektin lýtur að.
3.
Niðurstaða um öryggi
Eins og fyrr greinir lýtur úttekt Persónuverndar að (a) fyrirkomulagi við dulkóðun persónuauðkenna í gagnagrunnum Hjartaverndar og (b) rekjanleika uppflettinga og skráningar. Nánar tiltekið lýtur úttektin að því hvort framangreind atriði samrýmist framangreindum reglum um upplýsingaöryggi.
3.1.
Niðurstaða um fyrirkomulag við dulkóðun persónauðkenna
Fram hefur komið að upplýsingar sem unnið er með í svonefndum raungrunni, þ.e. upplýsingar sem notaðar eru í tengslum við meðferð sjúklinga, eru auðkenndar með kennitölum. Upplýsingar, sem unnið er með vegna vísindarannsókna, eru hins vegar varðveittar í svonefndum vísindagrunni undir brengluðum kennitölum. Úrvinnsla upplýsinga vegna vísindarannsókna fer ekki fram í þeim gagnagrunni heldur eru þær færðar í aðra gagnagrunna sem haldnir eru vegna einstakra verkefna, svonefnda úrvinnslugagnagrunna. Áður en upplýsingarnar eru færðar þangað eru kennitölur dulkóðaðar frekar.
Upplýsingar í raungrunni eru sjúkraskrárupplýsingar sem vinna verður með í samræmi við ákvæði laga nr. 55/2009 um sjúkraskrár. Þau lög áskilja ekki að persónuauðkenni séu dulkóðuð. Þá verður ekki séð að ákvæði annarra laga, þ. á m. 11. gr. laga nr. 77/2000, geri kröfu um slíkt.
Þegar unnið er með upplýsingar í þágu vísindarannsókna á heilbrigðissviði gegnir öðru máli, m.a. í ljósi 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 þar sem segir að vinnsla persónuupplýsinga í m.a. vísindalegum tilgangi teljist ekki ósamrýmanleg upphaflegum tilgangi með vinnslu upplýsinganna að því tilskildu að viðeigandi öryggis sé gætt. Byggist það ákvæði á b-lið 1. mgr. 6. gr. persónuverndartilskipunar Evrópusambandsins nr. 95/46/EB. Í 29. lið formálsorða tilskipunarinnar kemur fram að viðeigandi öryggi felst einkum í að útiloka notkun upplýsinga til stuðnings ákvörðunum eða ráðstöfunum viðvíkjandi tilteknum einstaklingi.
Það að upplýsingar séu ekki auðkenndar með persónuauðkennum er liður í því að útiloka slíka notkun upplýsinga. Telur Persónuvernd ekki annað hafa komið fram við framkvæmd úttektarinnar en að sú aðferð, sem Hjartavernd beitir við brenglun og dulkóðun persónuauðkenna í tengslum við vísindarannsóknir, fullnægi þessum kröfum.
Með vísan til alls framangreinds eru ekki gerðar athugasemdir við fyrirkomulag dulkóðunar persónuauðkenna í gagnagrunnum Hjartaverndar.
3.2.
Niðurstaða um rekjanleika uppflettinga og skráningar
Fram hefur komið að aðgangur að gagnagrunnum Hjartaverndar er afmarkaður við tiltekna starfsmenn sem þurfa lykilorð til að nýta þann aðgang. Slíkt er forsenda þess að unnt sé að rekja hverjir hafi flett upp upplýsingum og skráð þær. Þá geta aðgangsstýringar verið nauðsynlegar til að farið sé að ákvæði 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 þess efnis að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Felur það m.a. í sér að ekki skulu fleiri hafa aðgang að upplýsingum en nauðsynlegt er.
Í skýrslu sérfræðings segir að æskilegt að breyta reglulega um lykilorð, t.d. á þriggja mánaða fresti, og er gerð sú athugasemd að lykilorðum sé sjaldan breytt. Samkvæmt athugasemdum Hjartaverndar er þar tvöfalt lykilorðakerfi og lykilorðinu breytt reglulega í öðru kerfinu. Verði hið sama gert í hinu kerfinu einnig.
Fyrir liggur að skráð er bæði hverjir fletta upp upplýsingum í gagnagrunnum Hjartaverndar og hverjir færa upplýsingar inn. Þegar litið er til þessa og annars framangreinds gerir Persónuvernd ekki athugasemdir við fyrirkomulag hjá Hjartavernd til að tryggja rekjanleika uppflettinga og skráningar. Í ljósi þeirra reglna, sem raktar hafa verið um skjalfestingu upplýsingaöryggis, skal þó tekið fram að æskilegt er að skjalfestar verði reglur um gerð lykilorða.
3.3.
Annað
Í ljós kom í vettvangsheimsókn vegna úttektarinnar að nokkrar vélar á innra neti Hjartaverndar voru með gamlan hugbúnað sem innihélt alvarlega öryggisveikleika. Þessa veikleika mátti lagfæra með uppfærslum á hugbúnaði og hefur komið fram að nauðsynlegar uppfærslur hafa verið gerðar. Eins og á stendur kallar þetta atriði því ekki á frekari viðbrögð Persónuverndar.
4.
Samandregin niðurstaða
Með vísan til alls framangreinds og þess að ekki hafa komið í ljós misbrestir á öryggi í tengslum við (a) dulkóðun persónuauðkenna í gagnagrunnum Hjartaverndar og (b) rekjanleika uppflettinga og skráningar þykja ekki efni til frekari meðferðar. Er máli þessu því lokið þar til tilefni verður talið til að framkvæma aðra úttekt.