Ráðgjöf til Landspítala í kjölfar fyrirframsamráðs
Persónuvernd hefur veitt Landspítalanum ráðgjöf í kjölfar beiðni spítalans um fyrirframsamráð við Persónuvernd. Beiðnin laut að samráði í tengslum við vinnslu persónuupplýsinga við veitingu á fjarheilbrigðisþjónustu með smáforriti fyrirtækisins Sidekick Health ehf.
Hér að neðan er að finna útdrátt úr ráðgjöf Persónuverndar til spítalans.
Ráðgjöf til Landspítala vegna fyrirframsamráðs í tengslum við vinnslu persónuupplýsinga við veitingu fjarheilbrigðisþjónustu í smáforriti frá fyrirtækinu Sidekick Health ehf.
Persónuvernd barst beiðni Landspítala um fyrirframsamráð á grundvelli 30. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 36. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679. Í beiðninni var nánar tiltekið óskað eftir slíku samráði í tengslum við vinnslu persónuupplýsinga við veitingu fjarheilbrigðisþjónustu með smáforriti, eða svokallað snjallsíma-app, sem er í eigu og rekið af þriðja aðila, þ.e. fyrirtækinu Sidekick Health ehf. Samkvæmt gögnum málsins er tilgangur umræddrar vinnslu sá að þróa hugbúnað og smáforrit sem geri heilbrigðisstarfsfólki kleift að sinna eftirfylgni með einstaklingum í ónæmisörvandi krabbameinsmeðferð með skilvirkari hætti en ella.
Fram kom að vinnsla persónuupplýsinga byggi á 6. gr. laga nr. 55/2009 um sjúkraskrár og samþykki hins skráða og hinir skráðu muni fá kynningu á smáforritinu og hvernig eigi að nota það sem best. Einnig kom fram að vinnslusamningur hafi verið gerður milli ábyrgðaraðila og vinnsluaðila og að hann sé notaður til að binda hendur vinnsluaðila hvað varðar frekari mögulega vinnslu og til þess að tryggja að farið sé að persónuverndarlögum. Varðveisla persónuupplýsinga hjá vinnsluaðila sé þannig háð fyrirmælum ábyrgðaraðila.
Með hliðsjón af lýsingu Landspítalans á fyrirhugaðri vinnslu og framlögðum gögnum beindi Persónuvernd tilmælum til spítalans í 14 liðum. Tilmælin lúta meðal annars að því að spítalinn aðgreini með skýrum hætti hlutverk sitt sem ábyrgðaraðila og hlutverk Sidekick Health sem vinnsluaðila, að gögn sem vistuð séu hjá bandarískum fyrirtækjum og að sá búnaður sem notaður sé til geymslu gagnanna, lúti hvorki stjórnun né viðhaldi eininga sem staðsettar eru á bandarísku yfirráðasvæði, að spítalinn veiti hinum skráðu fullnægjandi fræðslu um vinnsluna og að starfsfólk fái viðeigandi þjálfun.
Gæti Landspítalinn að því að farið verið að þeim 14 tilmælum sem fram koma í ráðgjöfinni, sem og þeim ráðstöfunum sem lýst var í erindi spítalans og mati á áhrifum á persónuvernd vegna verkefnisins, gerir Persónuvernd ekki athugasemdir við að vinnsla persónuupplýsinga í tengslum við veitingu fjarheilbrigðisþjónustu í gegnum smáforrit Sidekick Health hefjist. Byggir afstaða stofnunarinnar á því að þær forsendur sem lýst er í gögnum þeim sem fylgdu erindi spítalans standist og að tekið sé fullt tillit til tilmæla Persónuverndar.