PVN ref. klagesak 2004/06 DT-ref. 2003/523 HPG/-

KLAGESAK 2004/06:
Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.

Personvernnemndas avgjørelse av 15.2.2005 (Jon Bing, Gro Hillestad Thune, Per Anders Stalheim, Hanne Bjurstrøm, Dag Elgesem, Siv Bergit Pedersen, Sidsel Rogde).

1. Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak av 5.2.2004. Saken gjelder klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.


2. Saksgang

Datatilsynet ga 31.3.2003 Ullevål Universitetssykehus (UUS) konsesjon med vilkår til prosjektet "Etterundersøkelse av pasienter innlagt for selvpåført forgiftning". Opplysninger om de registrerte behandles i pseudonymisert form, og en koblingsnøkkel oppbevares separat for kobling av nye opplysninger til de pseudonymiserte personene. I brev av 30.4.2003 mottok Datatilsynet en klage fra UUS på vilkåret om at koblingsnøkkelen måtte oppbevares eksternt. Datatilsynet omgjorde delvis dette vilkåret i brev av 23.7.2003.

UUS søkte konsesjon til prosjektet "Oppfølging av pasienter etter selvpåført forgiftning" i brev av 7.4.2003 (Datatilsynets oversendelsesbrev viser til dato 7.4.2004). Datatilsynet ga 23.7.2003 UUS konsesjon til prosjektet med tilsvarende vilkår som førstnevnte studie. Etter en klagerunde ble omgjort konsesjon gitt 26.9.2003. Denne klagen gjaldt samtykkeerklæring fra de registrerte pasientene. Vilkåret om oppbevaring av koblingsnøkkelen ble ikke påklaget i denne runden.

Den 19.10.2003 mottok Datatilsynet en forespørsel fra personvernombudet ved UUS der det ble bedt om tillatelse til at ombudet oppbevarer koblingsnøkler for forskningsprosjekter som utføres ved sykehuset. Datatilsynet ga delvis avslag på denne henvendelsen i brev av 5.2.2004. UUS ved personvernombudet påklaget vedtaket i brev av 29.2.2004. (Datatilsynets oversendelsesbrev viser ved en inkurie til dato 7.4.2004). Klagen ble behandlet og besvart av Datatilsynet i brev av 21.4.2004.

Ved ny gjennomgang av saken, sier Datatilsynet i brev av 21.4.2004 at tilsynet hadde gjort en saksbehandlingsfeil da uttalelsen i brev av 5.2.2004 ble kalt for et vedtak, med den følge at UUS var gitt klagerett. Datatilsynets viser til personopplysningsloven § 35 om at tilsynets vedtakskompetanse i denne sammenheng er begrenset til vilkår gitt i konkrete konsesjonssaker. Det ble likevel presisert at henvendelsen eventuelt kunne anses som klage i henhold til de to ovennevnte konsesjonsvedtak.

På bakgrunn av egen håndtering av saken, valgte Datatilsynet å akseptere UUS henvendelse i brev av 29.2.2004 som en klage knyttet til vilkåret om ekstern oppbevaring av koblingsnøkler, gitt ved konsesjon den 23.7.2003.

Datatilsynet oversendte saken til Personvernnemnda den 9.9.2004. Personvernnemnda sendte brev til klager med frist for eventuelle kommenterer, 28.9.2004. Nemnda har ikke mottatt ytterligere dokumenter i saken.


3. Faktum

Ved flere forskningsprosjekter ved UUS behandles sensitive personopplysninger tilknyttet livsområder som anses å være ekstra følsomme. I denne saken er dette eksemplifisert ved prosjektet "Oppfølging av pasienter etter selvpåført forgiftning". Prosjektet omfatter i stor grad selvmordsforsøk, og størsteparten av de registrete vil være sannsynlig suicidale personer. Hensikten med studien er å kartlegge dødelighet og dødsårsaker ved ulike tidspunkt i etterkant av innleggelse.

Det dreier seg om et register på mellom 4100-5200 personer. Prosjektet er en ren registerstudie og involverer ikke direkte kontakt med pasientene. Opplysninger blir samlet inn fra pasientenes journaler. Registeret inneholder opplysninger om blant annet fødselsnummer, alder, kjønn, hvilken avdeling de var innlagt på, liggetid, med hvilken grad av sannsynlighet det ble antatt å foreligge selvmordsforsøk og eventuell dødsårsak.

Pasientutvalget blir sammenholdt med Folkeregisteret for å finne ut hvem som er døde etter henholdsvis 5, 10 og 15 år. Navn og fødselsnummer på de døde sendes deretter til Statistisk sentralbyrå, som returnerer dødsmeldinger. Der fremgår dødsårsaker og tidspunkt for død.

I konsesjonsbetingelsene fra Datatilsynet er det ved flere forskningsprosjekter ved UUS forutsatt at krysslister eller koblingsnøkler skal oversendes til Statistisk sentralbyrå, Norsk samfunnsvitenskapelig datatjeneste eller tilsvarende godkjent arkivinstitusjon mellom perioder for bruk. UUS ønsker at deres eget personvernombud skal kunne oppbevare koblingsnøkler. Denne saken gjelder spesielt prosjektet "Oppfølging av pasienter etter selvpåført forgiftning", men UUS ønsker at lokal oppbevaring av koblingsnøkler skal etableres som fast praksis også i andre forskningsprosjekter.


4. Anførslene

UUS anfører at oppbevaring av koblingsnøkler internt på sykehuset ikke vil svekke den registrertes personvern. Sensitiv pasientinformasjon forekommer i mange forskningsprosjekter. Slik sensitiv pasientinformasjon må ikke komme på avveie, og UUS mener at det er langt tryggere å oppbevare disse opplysningene i sykehusets egne databaser. Forskerne finner det paradoksalt å skulle spre informasjon om pasienter for å sikre at sensitiv informasjon ikke lekker ut. UUS mener at det er en større trussel mot personvernet at eksterne aktører blir innblandet.

UUS anfører at det kan stride mot taushetsplikten å sende ut koblingsnøkler uten at pasientene verken er blitt spurt eller har gitt samtykke til dette. Det blir ikke gitt informasjon til den offentlige arkivinstansen om årsaken til innleggelsen. UUS mener likevel at det er mulig at pasienter som leser om undersøkelsen, kan få vite at opplysninger om at de har vært innlagt på sykehuset er gitt videre til eksempelvis Statistisk sentralbyrå, uten at de har gitt samtykke til dette. UUS hevder at det finnes flere eksempler på at sensitiv informasjon har kommet på avveie via offentlige kontorer, enten ved tyveri eller annen uautorisert tilgang.

UUS anfører at sykehuset har lang og solid erfaring ved behandling av sensitiv informasjon, og at medisinske professorer står som garantister for at sensitiv informasjon ikke kommer på avveie.

UUS anfører at spredning av sensitiv informasjon som allerede ligger inne i UUS egne databaser er unødvendig. Flertallet av pasientene som inngår i prosjektet "Oppfølging av pasienter etter selvpåført forgiftning", har allerede vært innlagt på UUS. Registeret til denne studien inneholder dermed et fåtall nye opplysninger i forhold til det som allerede ligger arkivert om deltakerne i sykehusets journaler. Det er kun snakk om eventuelle tilleggsopplysninger om dødsårsak.

Unødvendigheten i spredning av pasientinformasjon blir ytteligere begrunnet med at forskerne ved UUS som oftest vil ha tilgang til pasientjournaler uavhengig av konkrete forskningsprosjekter.

Fordi UUS er et universitessykehus er det normal prosedyre at forskeren tar del i behandlingen av pasienten sammen med legen. I prosjektet "Oppfølging av pasienter etter selvpåført forgiftning" har forskerne arbeidet i de institusjoner som behandlet pasientene, og følgelig vil han eller hun ha tilgang til pasientens journal uavhengig av prosjektet. Sensiviteten på opplysningene i oppfølgingsstudien vil være av samme karakter som informasjonen i pasientjournalene. UUS ser altså ikke poenget med ekstern oppbevaring av materiell som allerede er tilgjengelig for forskerne.

UUS mener at de tar sikring av sensitive personopplysninger svært alvorlig. Forskningsbasene på sykehuset var på klagetidspunktet (mars 2004) lokalisert på egne tjenermaskiner hvor hvert forskningsteam har egne og unike passord for å få tilgang til sine databaser. Ingen andre enn forskere som arbeider med prosjektet, har tilgang til disse tjenermaskinene. UUS vil også etablere ytterligere sikkerhetsrutiner for tilgang og oppbevaring av data.

Det fremgår av Datatilsynets avslag, at nærhet mellom forskingsdataene og koblingsnøkkelen vil utgjøre en trussel mot personvernet, fordi personvernombudet vil være underlagt den (data)behandlingsansvarliges instruksjonsmyndighet og at mulighet for påvirkning er til stede. UUS anfører at selv om personverombudet er ansatt ved UUS, er organisering og plassering av ombudet adskilt fra både det kliniske miljøet og forskningsmiljøet.

Risikoen for uautorisert tilgang på forskningsmateriell blant ansatte på sykehuset er ifølge UUS marginal. Dersom det skulle komme et krav fra en kliniker eller forsker om å få tilgang til kryssreferanselister uten at vedkommende forsker har konsesjon, vil ikke personvernombudet ha myndighet til å tillate dette. Sykehusets ledelse har underbygd at et slikt ikke-legitimt krav vil bli avvist.

Gjennom flere klagerunder poengterer UUS at forskning er svært viktig, både for pasienter og for sykehusets egen profilering. Oppbevaring av pasientlister på andre offentlige kontorer, vil ifølge UUS trolig få store konsekvenser også for oppfølgingsstudier av kreftpasienter, hjertepasienter, HIV/AIDS-pasienter og andre. UUS anfører at det ikke bare er tryggere, men også mer smidig og praktisk for forskningen i det daglige dersom koblingsnøkkelen kan oppbevares lokalt på sykehuset. Forskerne er bekymret for at de strenge retningslinjene kan påvirke legene til ikke å ville gi ut pasientopplysninger fordi legene på vegne av sine pasienter frykter eksponering via en tredje aktør.


5. Datatilsynets vurdering

Datatilsynet er av den oppfatning at vilkåret om at koblingsnøkkelen i mellomperioder skal oppbevares utilgjengelig for prosjektleder og medarbeidere, ikke vil være like effektivt dersom personvernombudet ved UUS skal utføre og ivareta denne oppgaven. Det er videre ikke en oppgave som Datatilsynet ønsker skal tillegges personvernombudene.

Datatilsynet anfører at den ønskede plassering av oppgaven skal være både person- og organisasjonsuavhengig. Tilsynet ønsker her et klart og tydelig skille mellom den behandlingsansvarlige og den som besitter koblingsnøkkelen. På generelt grunnlag mener tilsynet at en uavhengig arkivinstitusjon som Datatilsynet aksepterer, er best egnet til å utføre oppgaven.

Tilsynet anfører at et personverombud alltid vil være ansatt eller engasjert av den behandlingsansvarlige, og vil således være underlagt dennes instruksjonsmyndighet og påvirkningsmuligheter. Datatilsynet mener at det medfører en nærhet mellom forskingsdataene og koblingsnøkkelen som ikke i tilstrekkelig grad sikrer personvernet. Dette til forskjell fra når koblingsnøkkelen oppbevares hos en ekstern aktør.
De registrerte i dette prosjektet har aldri fått informasjon om at de er med i denne undersøkelsen. Datatilsynet mener det er lite lojalt at prosjektleder til enhver tid skal sitte på noe annet enn avidentifiserte persondata når det ikke er behov for det utover akkurat i koblingsøyeblikket.

Datatilsynet anfører at utlevering av koblingsnøkkelen til en ekstern aktør ikke er en uvanlig prosedyre, men et vanlig konsesjonsvilkår i saker der det behandles sensitiv informasjon. Tilsynet mener at koblingsnøkkelen vil gi arkivinstitusjonen svært lite informasjon, da krysslisten kun behøver å inneholde navn og løpenummer, og en referanse slik at forsker vet hvilket prosjekt navnelisten er knyttet til. Det vil altså ikke være snakk om en spredning av store mengder sensitiv informasjon slik det anføres i klagen fra UUS.


6. Personvernnemndas vurderinger

Etter personopplysningslovens § 35 skal det i forbindelse med tildeling av konsesjon vurderes vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte. Vurderingstemaet som nemnda tar stilling til er derfor hvorvidt vilkåret om ekstern oppbevaring av koblingsnøkkel er nødvendig for å begrense ulempene ved behandlingen for den registrerte.

Nemnda anser at ekstern oppbevaring av koblingsnøkkelen vil begrense ulempene for den registrerte, samt at det er viktig med et skille mellom den behandlingsansvarlige og de som oppbevarer koblingsnøkkelen. Personvernombudet vil være under den behandlingsansvarliges instruksjonsmyndighet fordi ombudet er ansatt ved UUS. Personvernombudet vil riktignok ikke være direkte underlagt instruksjonsmyndighet fra prosjektleder eller dennes avdeling fordi personvernombudet ikke er i direkte linje med avdelingen til prosjektleder. Imidlertid vil begge i prinsippet være underlagt den behandlingsansvarliges instruksjonsmyndighet, og Personvernnemnda anser også en slik indirekte kobling som lite ønskelig.

Personvernnemnda kan ikke se store ulemper for klager ved ekstern oppbevaring av koblingsnøkkelen. I forbindelse med UUS anførsel om at forskerne ved UUS som oftest vil ha tilgang til pasientjournaler uavhengig av konkrete forskningsprosjekter vil Personvernnemnda for ordens skyld nevne at det etter de vanlige reglene bare er behandlende leger og annet helsepersonell som deltar i behandlingen av pasienten som har tilgang til journalene. Qua forsker vil ikke en lege ved UUS ha tilgang til journalene for pasienter som behandles ved sykehuset.

Nemnda ser ikke behovet for at UUS skal oppbevare koblingsnøkkel med den begrunnelse at det er mer smidig og praktisk for forskningen. Koblingsnøkkelen skal kun benyttes ved kobling, og skal dermed ikke være tilgjengelig for forskeren annet enn i koblingsøyeblikket.

Nemnda mener at offentlige godkjente arkivinstitusjoner som Norsk samfunnsvitenskapelig datatjeneste eller Statistisk sentralbyrå er best egnet. Datatilsynet opplyser at en slik ordning vil være i tråd med tilsynets tidligere praksis. Personvernnemnda slutter seg til Datatilsynets syn på hvilke oppgaver som bør tillegges et personvernombud. Personvernnemnda anser også at nåværende praksis generelt vil gi den beste løsning med mindre det i det enkelte tilfellet foreligger konkrete forhold som begrunner et annet resultat. Personvernnemnda kan ikke se at det er tilfellet i den foreliggende sak. Personvernnemnda opprettholder derfor Datatilsynets vedtak.


7. Vedtak

Klagen har ikke ført frem.

For Personvernnemnda

Jon Bing
Leder