Óheimil uppfletting í sjúkraskrá
Mál nr. 2020010658
Starfsmaður Landspítala kvartaði til Persónuverndar yfir því að samstarfsmaður hafi flett henni upp í sjúkraskrá án heimildar. Samstarfsmaðurinn neitaði ásökuninni en sagði hugsanlegt að hún hefði skilið aðgang sinn eftir opinn í misgá og einhver annar hefði notað aðgang hennar við að fletta kvartanda upp. Fyrir lá að upplýsingar um kvartanda voru sóttar í sjúkraskrá í umrætt sinn og við það notaður aðgangur samstarfsmannsins. Kvartandi var hvorki sjúklingur né þáði hún meðferð eða þjónustu af Landspítalanum á þessum tíma. Var því engin heimild starfsmanna fyrir uppflettingu í sjúkraskrá kvartanda. Ekki var sýnt fram á að einhver annar hafi farið inn á aðgangi samstarfsmannsins og sótt persónuupplýsingar kvartanda í sjúkraskrá. Verður samstarfsmaðurinn því að bera hallann af sönnun þess hver og með hvaða hætti óviðkomandi athafnaði sig á opinni aðgangsheimild og innskráningu hans. Jafnframt telst samstarfsmaðurinn ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem í því fólst. Kemst Persónuvernd að þeirri niðurstöðu að vinnsla samstarfsmannsins á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 29. apríl 2021 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2020010658 (áður mál nr. 2019081493):
I.
Málsmeðferð
1.
Kvörtun og málsmeðferð
Hinn 12. ágúst 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd „kvartandi“) yfir uppflettingu samstarfskonu hennar á Landspítala, [B], í sjúkraskrá hennar án heimildar. Með kvörtun fylgdi yfirlit yfir uppflettingar í sjúkraskrá kvartanda, en þar kemur m.a. fram að umræddur starfsmaður framkvæmdi þrjár uppflettingar, hinn 10. júlí 2019, í heilsugátt og Sögukerfi Landspítalans.
Með bréfi, dags. 3. september 2019, var Landspítala boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 7. október s.á. Með bréfi Landspítalans fylgdu þrjú skjöl: Tvö bréf formanns eftirlitsnefndar um notkun sjúkraskrár og greinargerð [B].
Með bréfi, dags. 22. október 2019, var kvartanda gefinn kostur á að koma að athugasemdum við framkomnar skýringar Landspítala og [B] . Bárust svör kvartanda með bréfi, dags. 7. nóvember s.á.
Þar sem fram komnar skýringar [B] sem bárust Persónuvernd þann 7. október 2019 voru ritaðar til formanns eftirlitsnefndar um rafræna sjúkraskrá af sama tilefni var afráðið að bjóða [B], með bréfi dags. 25. febrúar 2021, að koma á framfæri frekari skýringum, ef tilefni væri til, vegna kvörtunarinnar. Svarbréf barst stofnuninni, dags. 11. mars 2021. Með bréfinu fylgdi bréf Embættis landlæknis, dags. 2. desember 2019, til yfirlæknis Gæða- og sýkingarvarnardeildar E-2, vegna tilkynningar kvartanda um umrædda óheimila uppflettingu ásamt fyrrnefndri greinargerð [B], frá 30. ágúst 2019.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Afgreiðsla máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Kvartandi byggir kvörtun sína á að samstarfsmaður hennar á [...deild] Landspítalans, [B], hafi þrisvar flett upp í sjúkraskrá hennar, hinn 10. júlí 2019, og um það vitni yfirlit yfir uppflettingar er fylgdi kvörtuninni. Kvartandi kveðst hafa staðið í eineltismáli við yfirmann sinn á [...deild] Landspítalans og að hún telji að [B] , sem einnig starfi þar sem [...], sé bandamaður yfirmanns hennar varðandi umrætt einelti og hafi í þeim tilgangi flett upp upplýsingum um hana í heilsugátt og Sögukerfi Landspítalans.3.
Sjónarmið ábyrgðaraðila
Í greinargerð [B] til formanns eftirlitsnefndar um rafræna sjúkraskrá, dags. 30. ágúst 2019 og í bréfi hennar til Persónuverndar, dags. 11. mars 2021, kemur fram að hún neiti því að hafa flett upp í sjúkraskrá kvartanda, en telji þó hugsanlegt að hún hafi skilið Sögukerfi Landspítalans eftir opið í misgá. Hún hafi skömmu áður verið að skrá upplýsingar um skjólstæðinga sína en verið trufluð og beðin um aðstoð. Hún hafi þá líklega staðið upp frá tölvunni án þess að skrá sig út. Þegar hún sneri síðar aftur á deildina hafi kvartandi sjálf setið við umrædda tölvu. Hún spyrji sig því hvort að kvartandi hafi sjálf, viljandi eða óviljandi, notað innskráningu hennar til að nálgast gögn sín. Enn fremur hafnar [B] með öllu að hún sé þátttakandi eða bandamaður einhvers í eineltismáli gegn kvartanda.Í svarbréfi Landspítala, dags. 25. september 2019, kemur fram að málið hafi fengið meðferð og skoðun og að eftirlitsnefnd um notkun sjúkraskrár hafi óskað eftir skýringum frá starfsmanninum er málið varðaði. Í greinargerð [B] , af því tilefni, komi fram skýringar hennar á atvikum málsins og að á fundi eftirlitsnefndarinnar, hinn 10. september 2019, hafi útskýringar starfsmannsins þótt trúverðugar. Nauðsynlegt hafi þó verið að vísa málinu til framkvæmdastjóra lækninga þar sem reglum um notkun sjúkraskrár hefði ekki verið fylgt til hlítar. Í svarbréfi Embættis landlæknis frá 2. desember 2019 er einnig tekið undir afstöðu Landspítala um að skýringar [B] teljist trúverðugar og fullnægjandi og að líklegast sé að útskráning úr uppflettingarkerfum spítalans hafi misfarist hjá umræddum starfsmanni. Embætti landlæknis áréttaði í bréfi sínu að skerpt yrði á gildandi verklagsreglum við starfsmenn spítalans varðandi umgengni þeirra við Sögukerfið.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að uppflettingu án heimildar á persónuupplýsingum í sjúkraskrá kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Almennt telst Landspítali vera ábyrgðaraðili að uppflettingum starfsmanna sinna í sjúkraskrá þegar þær eru framkvæmdar af þeim heilbrigðisstarfsmönnum sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar, sbr. 13. gr. laga nr. 55/2009 um sjúkraskrá. Fari starfsmaður hins vegar út fyrir aðgangsheimildir sínar samkvæmt fyrrgreindum lögum ber hann sjálfur ábyrgð á því. Í því tilviki sem hér um ræðir þarf því að taka afstöðu til þess hvort starfsmanninum sem um ræðir var heimil sú vinnsla sem kvörtun lýtur að.
2.
Um lögmæti vinnslu persónuupplýsinga og öryggisráðstafanir
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru upplýsingar um heilsuhagi einstaklinga viðkvæmar persónuupplýsingar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsuhagi úr sjúkraskrá kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 8. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.Fyrir liggur og óumdeilt er að upplýsingar um kvartanda voru sóttar í sjúkraskrá hennar í umrætt sinn og við það notaður aðgangur [B]. Einnig er óumdeilt í málinu að á þeim tíma hafi kvartandi hvorki verið sjúklingur Landspítalans né hafi hún þegið meðferð eða þjónustu af [...deild] Landspítalans. Lá því engin heimild starfsmanna Landspítala fyrir uppflettingu í sjúkraskrá hennar, sbr. 13. gr. laga nr. 55/2009 um sjúkraskrá.
[B] hefur staðfastlega neitað að hafa flett kvartanda upp í sjúkraskrá umrætt sinn en telur mögulegt að hún hafi í misgá skilið aðgang sinn að Sögukerfi og heilsugátt eftir opinn.
Ekki hefur verið sýnt fram á að einhver annar hafi farið inn á aðgangi hennar og sótt persónuupplýsingar kvartanda í sjúkraskrá hinn 10. júlí 2019. Verður [B] því að bera hallann af sönnun þess hver og með hvaða hætti óviðkomandi athafnaði sig á opinni aðgangsheimild og innskráningu hennar. Jafnframt telst [B] ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem í því fólst.
Að framangreindu virtu, er niðurstaða Persónuverndar sú að vinnsla [B] á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Vinnsla [B] á persónuupplýsingum um [A] með uppflettingu í sjúkraskrá, hinn 10. apríl 2019, samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 29. apríl 2021
Ólafur
Garðarsson
settur formaður
Björn Geirsson Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson