Úrskurður um uppflettingu í sjúkraskrá á Landspítala
Mál nr. 2016/954
Persónuvernd hefur úrskurðað um að meðferð sjúkraskrár kvartanda á Landspítala hafi samrýmst lögum nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar þann 8. mars 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/954:
I.
Málsmeðferð
1.1
Tildrög máls
Þann 14. júní 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir uppflettingum á sjúkraskrá hennar á Landspítala. Í kvörtuninni segir m.a. að [B], sérfræðilæknir á Landspítala, hafi flett upp sjúkraskrá kvartanda, en starfsmaður átti ekki aðkomu að meðhöndlum og umönnun kvartanda. Þá er því haldið fram að umræddur læknir hafi miðlað upplýsingum áfram til [C], fyrrverandi sambýliskonu eiginmanns kvartanda en samkvæmt kvartanda eru þær nánar vinkonur auk þess sem þær starfa báðar hjá Landspítala. Með kvörtuninni fylgdi m.a. yfirlit yfir uppflettingar í sjúkraskrá kvartanda, en í þar kemur fram að umræddur sérfræðilæknir opnaði sjúkraskrá kvartanda þann 18. janúar 2015, klukkan 17:39.
1.2
Nánar um kvörtun
Með kvörtun fylgdu tölvupóstsamskipti milli kvartanda og [...], forstjóra Landspítalans, dags. 23. janúar 2015, þar sem segir m.a.:
„Tilefni erindis þessa er að vekja athygli sjúkrahússins á að á [Tiltekin deild] sjúkrahússins vinnur stm.)[C] [...] sem á í ágreiningsmáli við eiginmann undirritaðrar og undirritaða í tengslum við húsnæðiskuld sem viðkomandi hefur ekki staðið í skil á. Umrætt er nú til meðhöndlunar fyrir dómstólum.
Undirr. hefur rökstuddan grun um að viðkomandi stm. sjúkrahússins hafi í heimildarleysi sótt eða muni í heimildarleysi sækja upplýsingar í sjúkraskýrslur undirritaðrar eða önnur trúnaðargögn sem tengjast sjúkrasögu undirritaðrar.“
Í erindi kvartanda var farið fram á að Landspítalinn upplýsti um tilvik þar sem viðkomandi starfsmaður hefði farið í sjúkraskrá hennar. Jafnframt var farið fram á að Landspítali myndi sjá til þess að umræddur starfsmaður hefði ekki aðgang að sjúkraskrá kvartanda. Í svari forstjórans til kvartanda er [...], framkvæmdastjóra lækninga, sem og [...] aðstoðarframkvæmdastjóra, falið að skoða málið.
Svar aðstoðarframkvæmdastjóra Landspítalans barst kvartanda með tölvupósti þann 28. janúar 2015, en þar segir m.a. að hann hafi kannað aðgangsheimildir umrædds starfsmanns og að hann hafi ekki aðgang að sjúkraskrá kvartanda. Jafnframt segir að skoðað hafi verið hverjir hafi opnað og skoðað sjúkraskrá kvartanda á tímabilinu 15. - 26. janúar 2015, og að enginn óviðkomandi hafi sótt þar upplýsingar.
Með kvörtuninni fylgdi yfirlit yfir uppflettingar á sjúkraskrá kvartanda. Á yfirlitinu kemur fram að umræddur sérfræðilæknir, sem starfi á deild Líknarmeðferðar hafi opnað sjúkraskrá kvartanda. Í kvörtun segir að umræddur sérfræðilæknir hafi ekki komið að meðferð og aðhlynningu kvartanda. Að auki hafi hún starfað á Grensásdeild Landspítala, en kvartandi hafi verið til meðferðar á Landspítala í Fossvogi. Í kvörtun segir m.a.:
„Sérstaka athygli vekur skýring sem umrædd [B] skráði í sjúkraskrárkerfi LSH þegar upplýsingar og gögn voru sótt [...]. Fyrrgreind skýring sem skráð var í kerfið af [B] er Líknarmeðferð. [...]
Þegar Umrædd [B] sækir sér gögn og upplýsingar í sjúkraskrá undirr. hjá LSH með umræddri uppflettingu þann 18. janúar 2015, dvaldi undirr. á deild á LSH í Fossvogi og var við góða heilsu og á góðum batavegi.“
Þá fylgdi einnig kvörtuninni tölvupóstur frá [...], lögfræðingi hjá Landspítalanum, en þar segir m.a.:
„Fundað var með starfsmanninum og óskað skýringa á því hvers vegna hann opnaði sjúkraskrá þína umrætt sinn. Starfsmaðurinn taldi líklegast að mistök við innslátt á kennitölu hefðu átt sér stað þar sem þú varst ekki í hans sjúklingahóp. Við nánari skoðun kom jafnframt í ljós að viðkomandi starfsmaður sló inn kennitölu þína en fór ekki inn í sjálfa sjúkraskránna. Þegar kennitala sjúklings er slegin inn í sjúkraskrárkerfið opnast gluggi þar sem óskað er skýringa á því hvers vegna starfsmaðurinn ætlar að opna viðkomandi sjúkraskrá, t.d. vegna meðferðar, vegna rannsóknar o.fl. Ekki er hægt að komast lengra án þess að merkja við einn af þeim valmöguleikum sem í boði eru. Þegar kennitala þín var slegin inn í umrætt sinn var ekki hakað við neinn af þessum möguleikum heldur sjúkraskránni lokað. Þetta má sjá í kerfum Landspítala og rennir stoðum undir skýringar starfsmannsins á að um mistök við innslátt hafi verið að ræða.“
2.
Bréfaskipti og vettvangsheimsókn
Með bréfi, dags. 27. júní 2016., var Landspítala boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarbréf Landspítala barst Persónuvernd þann 13. júlí s.á. Í svarbréfinu segir m.a.:
„Aðgangi að sjúkraskrám á spítalanum er stýrt skv. sérstökum reglum. Starfsmönnum er skipt upp í hópa eftir stöðu og verkefnum og ráðast aðgangsheimildir af því. Þegar notandi skráir sig inn fær hann þannig aðgang að sjúkraskrárgögnum í samræmi við þann aðgangshóp sem hann tilheyrir og hvort um skilgreind meðferðartengsl við sjúklinginn er að ræða. Þegar ekki er um fyrirfram skilgreind meðferðartengsl að ræða geta ákveðnir aðgangshópar útvíkkað aðgang sinn með sérstakri aðgerð og þannig fengið þær upplýsingar sem þeir þurfa á að halda vegna starfs síns. Þegar starfsmenn útvíkka aðgang sinn með þessum hætti þurfa þeir hins vegar að gefa sérstaka skýringu á opnun sjúkraskrárinnar áður en hún opnast [...]
Fyrir liggur að starfsmaður LSH sló inn kennitölu kvartanda þann 18. janúar 2015 í sjúkraskrárkerfinu Saga. Þar sem viðkomandi starfsmaður var ekki í meðferðartengslum við kvartanda opnaðist hins vegar áður nefndur gluggi þar sem starfsmaðurinn var beðinn um skýringar. Ekkert var valið og þar með var hætt við opnun skrárinnar. [...]
Allir sjúklingar geta óskað eftir upplýsingum um hvaða starfsmenn hafa flett upp sjúkraskrám þeirra og fá þeir afhentan lista þar sem fram kemur dagsetning, nafn starfsmanns, staðsetning (deild), staða og aðgerð. Þessar upplýsingar vistast sjálfkrafa í kerfinu þegar kennitölu sjúklings er slegið upp. Í dálknum aðgerð stendur sjúkraskrá opnuð en sú skýring kemur bæði í þeim tilfellum þar sem aðeins hefur verið leitað eftir viðkomandi sjúkraskrá og þegar hún er í raun og veru opnuð. Skýringin er því villandi en sé skráningin í Sögu kerfinu skoðuð nánar sést að henni fylgir ákveðið númer og viðbótarupplýsingar eru skráðar í þeim tilfellum sem aðgangur að sjúkraskrá er útvíkkaður. Slíka skýringu er ekki að finna í því tilfelli sem hér um ræðir og því ljóst að sjúkraskráin var aldrei opnuð. [...] hefur verið óskað eftir því við TM Software sem forritar Sögu að skýringartexta verði breytt. [...]
Með vísan til alls ofangreinds er ljóst að sjúkraskrá kvartanda var aldrei opnuð af umræddum starfsmanni LSH og þar af leiðandi er grundvöllur kvörtunarinnar brostinn.“
Með bréfi, dags. 21. júlí 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Landspítalans. Svarbréf kvartanda barst Persónuvernd þann 9. ágúst s.á. Í svarbréfinu hafnar kvartandi framkomnum skýringum Landspítalans og vísar til yfirlits um uppflettingar í sjúkraskrá sem fylgdi með kvörtun. Í bréfinu segir m.a.:
„Í sönnunargögnum undirritaðrar meðfylgjandi kvörtun til Persónuverndar, kemur skýrt fram að sjúkraskrár undirritaðrar hafi verið opnaðar af [B], tiltekin dag og á tilteknum tíma sólarhringsins. Umrædd sönnunargögn stafa frá LSH sjálfu. [...] Við umrædda opnun á sjúkraskrám undirritaðrar hjá LSH gaf [B]skýringuna „Líknarmeðferð“. Gögn málsins bera það óumdeilt með sér, sem og þá staðreynd að sjúkraskrár undirritaðrar hjá LSH voru opnaðar af [B].“
Í svarbréfinu hafnar kvartandi einnig skýringum umrædds starfsmanns fyrir uppflettingunni, þ.e. að um tilviljun hafi verið að ræða.
Vegna skýringa Landspítala um villu í aðgerðaskráningu sjúkraskrárkerfisins, þ.e. villandi skýringar í yfirliti yfir uppflettingar í sjúkraskrá, fyrir fóru fulltrúar Persónuverndar í vettvangsheimsókn til Landspítalans þann 5. september 2016. Í skýrslu Persónuverndar vegna vettvangsheimsóknarinnar segir m.a.:
„[...] [H] hóf fundinn á því að greina frá því hvernig aðgangsstýringum að sjúkraskrárkerfinu Sögu væri almennt háttað á LSH. Þannig útskýrði [H]að allir starfsmenn tilheyrðu tilteknum „aðgangshópi“ og að hann sem hluti af yfirstjórn LSH hefði aðgang sem slíkur en jafnframt hefði hann annan og í vissum tilvikum víðtækari aðgang sem bráðalæknir á bráðamóttöku þar sem hann starfaði enn sem slíkur stöku sinnum.
Fyrsta skref var að [H] skráði sig inn í kerfið með notendanafni sínu og lykilorði. Notendanafn hans gefur vísbendingu um þann aðgangshóp sem hann tilheyrir (í þessu tilviki „LSH yfirstjórn“).
Því næst sló [H] inn kennitölu fyrir „prófunarsjúkling“ sem notast er við í tilvikum sem þessum. Ekki var farið inn í sjúkraskrá tiltekins einstaklings. Þegar kennitala prófunarsjúklings hafði verið slegið inn birtist sprettigluggi þar sem [H] var beðinn um að velja skýringu fyrir innskráningunni. Sú skýring sem sjálfkrafa birtist í þessu skrefi er „Meðferðartengsl/ritaraþjónusta“ enda er það algengasta ástæða innskráningar í kerfið. Aðrar skýringar sem unnt var að velja voru t.d. „bráðaþjónusta“, „ráðgjöf“, „vegna meðferðar“, „að beiðni sjúklings/með heimild“ eða „vegna stjórnsýslu“. [H] valdi skýringuna „vegna stjórnsýslu“.
Eftir að skýring hafði verið valin var nauðsynlegt að velja annað hvort „velja“ til þess að opna sjúkraskrána eða „hætta við“ t.d. ef í ljós kæmi að um rangan sjúkling væri að ræða. [H] valdi að fara áfram og opnaði þá sjúkraskrá prófunarsjúklingsins og sýndi nánar hvernig skráningum í sjúkraskrárkerfið væri háttað.
[...] Í svörum spítalans kom fram að engin skýring hefði verið valin í tilviki kvartanda. Einnig sagði að sjúkraskrá kvartanda hefði ekki verið opnuð þrátt fyrir að skýringartexti væri villandi. Hins vegar vakti PV athygli á að í svarbréfi kvartanda, sem og útprentaðri aðgerðarskráningu frá kvartanda, væri gefin upp skýringin „líknarmeðferð“. Óskaði PV skýringa á þessu ósamræmi og hvort sjúkraskrá kvartanda hefði af þeim sökum verið opnuð í umrætt sinn hinn 18. janúar 2016.
Landspítalinn nefndi tvennt. Í fyrsta lagi að aðgerðarskráning sú sem kvartandi hefði lagt fram næði ekki til innskráninga í sjúkraskrárkerfið Sögu heldur annað kerfi á spítalanum. Í öðru lagi tók LSH fram að orðin „Líknarmeðferð“ segðu til um staðsetningu viðkomandi heilbrigðisstarfsmanns, þ.e. hvaða deild viðkomandi starfaði á og einnig hvaða aðgangshópi hann tilheyrði.
Því næst sýndi LSH fulltrúum PV aðgerðarskráningu fyrir innskráningu í sjúkraskrá kvartanda frá þeim degi sem um ræddi, 18. janúar 2016. Samkvæmt þeirri aðgerðarskráningu hafði kennitölu kvartanda vissulega verið slegið upp í innskráningarferlinu en fram kom að hætt hefði verið við innskráningu og hún ekki opnuð. Aðgerðarskráningin sýndi einnig að umrædd aðgerð - að slá kennitölu kvartanda upp í innskráningarferlinu - hefði einungis varað í 1 sekúndu eða frá klukkan 17:39:41 til 17:39.42. Þá greindi LSH frá því að þegar starfsmaður lýkur þessu innskráningarferli (óháð því hvort hann opni sjúkraskrá alveg eða hætti við) þá skráist í aðgerðarskráninguna að sjúkraskrá hafi verið opnuð. Þetta væri kerfisvilla sem LSH hefði beðið TM Software, vinnsluaðila sjúkraskrárkerfisins, að lagfæra. Einnig myndi LSH senda PV nánari skýringar frá TM Software í kjölfar fundarins.“
Með bréfi, dags. 6. september 2016, var Landspítala veittur kostur á að tjá sig um framkomin svör kvartanda. Svar barst Persónuvernd með bréfi, dags. 12. október s.á. Í svarbréfinu segir m.a.:
„Þegar hefur verið staðfest í kerfum Landspítala að sjúkraskrá kvartanda var í raun aldrei opnuð í þessu tilfelli og viðkomandi starfsmaður hefur gefið skýringar sem ekki hafa verið hraktar.
Þessu til viðbótar og til frekari skýringar er vísað til meðfylgjandi tölvupóstsamskipta undirritaðrar við [...] tölvunarfræðing á LSH og[...] forstöðumann TM software. Er það staðfest af þeim aðila sem sér um forritun Sögu að sjúkraskrá kvartanda var ekki opnuð í umrætt sinn.“
Meðfylgjandi bréfi spítalans voru framangreind tölvupóstsamskipti. Í tölvupóstsamskiptunum er óskað eftir staðfestingu þess efnis að um sé að ræða villu í aðgerðaskráningu sjúkraskrárkerfisins. [...], forstöðumaður TM Software, staðfestir að hætt hafi verið við opnun sjúkraskrár og notandinn hafi einungi fengið takmarkaða sýn, þ.e. einungis gögn sem ekki eru talin til sjúkragagna, s.s. heimilisfang, símanúmer og skráðan heimilislækni.
Með bréfi, dags. 10. nóvember 2016, var kvartanda veittur kostur á að tjá sig um svarbréf Landspítala, dags. 12. október s.á. Svarað var með bréfi, dags. 24. s.m. Í svarbréfinu hafnar kvartandi skýringum viðkomandi starfsmanns að um mistök og tilviljun hafi verið um að ræða við innslátt kennitölu kvartanda í sjúkraskrárkerfi Landspítalans. Kvartandi telur einnig að sú spurning lögfræðings Landspítala hafi verið leiðandi og að svar TM Software hafi verið óskýrt. Að lokum segir í bréfinu að skýringar umrædds starfsmanns Landspítala um ástæður þess að kennitala kvartanda var slegin inn í sjúkraskrárkerfi spítalans, þ.e. að um sé að ræða hreina tilviljun, séu rangar og ósannaðar.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Landspítali vera ábyrgðaraðili að umræddri vinnslu.
2.
Um lögmæti vinnslu persónuupplýsinga og öryggisráðstafanir
Upplýsingar um heilsuhagi teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000. Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil þarf hún að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. sem og eitthvert af skilyrðum 1. mgr. 9. gr. laganna.
Jafnframt verður öll vinnsla persónuupplýsinga að samrýmast öllum skilyrðum 7. gr. laga nr. 77/2000. Þar er meðal annars mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.). Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi.
Samkvæmt 1. mgr. 13. gr. laga nr. 55/2009 um sjúkraskrár skulu heilbrigðisstarfsmenn, sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar, hafa aðgang að sjúkraskrám sjúklings með þeim takmörkunum sem leiðir af ákvæðum laganna og reglum settum samkvæmt þeim. Þá segir í 4. mgr. ákvæðisins að sjúklingur geti lagt bann við því að tiltekinn starfsmaður hafi aðgang að sjúkraskrá hans.
Einnig segir í 4. mgr. 14. gr. laganna að sjúklingur eigi rétt á því að fá upplýsingar frá umsjónaraðila sjúkraskráa um það hverjir hafi aflað upplýsinga úr sjúkraskrá hans, hvar og hvenær upplýsinga var aflað og í hvaða tilgangi. Þá ber ábyrgðar- og umsjónaraðila sjúkraskráa að hafa eftirlit með því að framfylgt sé ákvæðum laga nr. 55/2009, sbr. 1. mgr. 22. gr. laganna. Hefur Persónuvernd eftirlit með öryggi og vinnslu persónuupplýsinga í sjúkraskrám í samræmi við ákvæði laga um persónuvernd og meðferð persónuupplýsinga, sbr. ákvæði 3. mgr. 22. gr. um sjúkraskrár.
3.Niðurstaða
Í því tilviki sem hér um ræðir er deilt um hvort tiltekinn starfsmaður Landspítala hafi flett upp í sjúkraskrá kvartanda þann 18. janúar 2015. Af hálfu kvartanda var lögð fram skrá um uppflettingar í sjúkraskrá hennar hjá spítalanum þar sem segir að tiltekinn starfsmaður hafi opnað sjúkraskrá hennar þann 18. janúar 2015.
Fyrir liggur að viðkomandi starfsmaður sló inn kennitölu kvartanda í sjúkraskrárkerfi Landspítalans þann 18. janúar 2015. Af hálfu Landspítalans hefur komið fram að þar sem viðkomandi starfsmaður hafi ekki verið í meðferðartengslum við kvartanda þá opnaðist gluggi þar sem starfsmaðurinn var beðinn um skýringar. Ekkert var valið og hætt var við opnun skrárinnar. Einnig hefur komið fram um kerfisvillu sé að ræða sem sýni að sjúkraskrá hafi verið opnuð. Í tölvupóstsamskiptum sem fylgdu bréfi Landspítala, dags. 12. október 2016, staðfestir forstöðumaður TM Software, að viðkomandi starfsmaður hafi í raun ekki skoðað sjúkraskrá kvartanda, heldur hafi verið hætt við áður en sjúkraskrá hafi verið opnuð.
Í kvörtun segir að sú skýring sem hafi verið gefin til opnun sjúkraskrár, sé að hún hafi verið vegna líknarmeðferðar. Í bréfi Landspítala, dags. 11. júlí 2016 segir að líknarmeðferð vísi til þeirrar deildar sem viðkomandi starfsmaður tilheyri innan spítalans. Á þeirri skrá sem fylgdi kvörtun má einnig sjá að líknarmeðferð tilheyrir þeim dálki sem inniheldur staðsetningu (deild) viðkomandi starfsmanns.
Að framangreindu verður ekki ráðið að viðkomandi starfsmaður hafi opnað sjúkraskrá kvartanda og því hafi meðferð sjúkraskrár kvartanda verið í samræmi við lög nr. 77/2000.
Ú r s k u r ð a r o r ð:
Meðferð sjúkraskrár kvartanda var í samræmi við lög nr. 77/2000.