Datatilsynets referanse: 06/01541-17/BSO

PVN-2011-07 Tilgang til fellesregister Gerica

Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre

Personvernnemndas avgjørelse av 13. januar 2012 (Arve Føyen, Leikny Øgrim, Ørnulf Rasmussen, Tom Bolstad, Jostein Halgunset, Gisle Hannemyr)

1 Innledning

Personvernemnda har ved oversendelse fra Datatilsynet mottatt en klage på Datatilsynets vedtak om tilgang til Oslo kommunes helseregistre.

2 Saksgang

Oslo kommune henvendte seg til Datatilsynet første gang 30.10.2006 vedrørende overgang til felles database for Gerica. Det ble avholdt et møte 30.1.2007. Datatilsynet stilte en rekke spørsmål til Oslo kommune i e-post av 14.2.2007. Oslo kommune besvarte i e-post av 21.2.2007.

Datatilsynet sendte et brev til Helsedirektoratet 19.7.2007 for å få avklaringer knyttet til helselovgivningen. Oslo kommune har i brev av 25.9.2007 til Helsedirektoratet foretatt en vurdering av regelverket. Helsedirektoratet besvarte Datatilsynets henvendelse i brev av 10.6.2010. Helsedirektoratet deler Datatilsynets syn. Det ble avholdt et møte mellom Oslo kommune, Helsedirektoratet og Datatilsynet 15.11.2010. Det ble avtalt at Oslo kommune skulle oversende oppdatert informasjon om bruken av pleie- og omsorgssystemet. Datatilsynet mottok dette i brev av 20.1.2011.

Datatilsynet sendte et varsel om vedtak i brev av 9.3.2011. Oslo kommune svarte i brev av 6.4.2011. Datatilsynet fattet deretter vedtak i brev av 8.6.2011.

Oslo kommune påklaget vedtaket i brev av 30.6.2011. KS har sendt et følgeskriv til Personvernnemnda 28.6.2011. Det klages over både vurderingen av helseregisterloven § 13 og tidsfristen som er satt for gjennomføring av pålegget.

Saken ble oversendt Personvernnemnda 11.8.2011, som mottok saken 16.8.2011. Klager ble orientert om dette i brev fra nemnda datert 18.8.2011, med frist til uttalelse innen 9.9.2011.

Oslo kommune kommenterte saken i brev av 5.9.2011 og Helse- og omsorgsdepartementet kommenterte saken i brev av 9.9.2011. Datatilsynet kom med bemerkninger til brevet fra Helse- og omsorgsdepartementet i brev av 19.9.2011.

3 Faktum

Saken dreier seg om hvorvidt Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre.

Oslo kommune har inngått avtale med private virksomheter for å oppfylle sin plikt etter kommunehelsetjenesteloven § 1-3. I dag er ca en tredel av sykehjemsplassene i Oslo kommune driftet av nitten ulike leverandører hvorav fjorten er ideelle organisasjoner og fem kommersielle. Oslo kommune har i den forbindelse gitt private og ideelle virksomheter tilgang til kommunens pleie- og omsorgssystem Gerica (helseregister).

Datatilsynet vurderer det slik at de private virksomhetene har et selvstendig databehandlingsansvar for sine helseregistre. Datatilsynet mener derfor at helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Datatilsynet ga først Oslo kommune en frist til 31.12.2011 til å sørge for at tilgang til kommunens helseregistre skjer i henhold til helseregisterloven § 13. Denne fristen ble senere utsatt til 31.12.2012.

4 Klagers anførsler

Klager anfører at de ikke har stilt spørsmål ved Datatilsynets vurdering av helseregisterloven § 13, en vurdering som synes å være i samsvar med Helsedirektoratets lovfortolkning. Kommunen aksepterer at dagens praksis er lovstridig. Det er vedtaket som er påklaget, ikke lovforståelsen som ligger til grunn for det. De sentrale helsemyndigheter er enige om at helseregisterloven § 13 og øvrig regelverk har ført til dagens uholdbare rettstilstand som ikke tar tilstrekkelig høyde for primærhelsetjenestens vesen og dens organisering. Etter at kommunen ble oppmerksom på at praksisen ikke var i tråd med helseregisterlovens § 13 har man antatt at det er ovennevnte problemstilling som er årsaken til at myndighetene ikke har reagert overfor de utallige tilfeller i kommunehelsetjenesten i Norge der behandlingsrettede helseregistre ikke er organisert i tråd med § 13. Det er uklart for Oslo kommune hvorfor de er blitt valgt ut for å motta et pålegg nå. Oslo kommune undrer også på om vedtaket representerer en endring i policy i forhold til hvordan motsetningen mellom lovverkets bokstav og primærhelsetjenestens organisering og krav til faglig forsvarlighet skal håndteres.

Oslo kommune har i sin klage omtalt en rekke antatte konsekvenser av Datatilsynets pålegg. Dersom en pasient i en tjeneste må ha en rekke forskjellige pasientjournaler som brukes av ulike helsepersonell med utgangspunkt i deres status som juridisk person vil det neppe være mulig å gi en forsvarlig behandling over tid.

Et system med mange forskjellige journaler for samme pasient vil gi et behov for kommunikasjon av taushetsbelagte opplysninger mellom helsepersonell med et omfang som vil gi høy risiko for svikt.

Dersom man legger til grunn at forsvarlig virksomhet tilsier at ansvarlig lege må ha direkte tilgang til pasientjournalen må man vurdere avvikling av bruk av private leger i helsestasjon, skolehelsetjenesten, sykehjem og kommunal legevakt. Oslo kommune mener at nåværende praksis ivaretar helseregisterlovens formål på en god måte.

Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Datatilsynet har ikke vurdert forholdsmessigheten av deres vedtak og heller ikke redegjort for hvorfor helseregisterloven § 13 går foran krav til forsvarlighet i helsepersonelloven. Det er heller ikke kommentert etiske spørsmål knyttet til det å innføre endringer i en helsetjeneste som den som er ansvarlig for helsetjenesten mener vil forringe kvaliteten, redusere pasientsikkerheten og øke sannsynligheten for at taushetsbelagte opplysninger skal komme på avveie.

Etter Oslo kommunes vurdering utgjør de ovennevnte manglene i Datatilsynets saksbehandling en saksbehandlingsfeil som i seg selv begrunner oppheving av vedtaket.

5 Helse- og omsorgsdepartementets kommentarer

Helse- og omsorgsdepartementet har tilskrevet Personvernnemnda og gjort oppmerksom på at det arbeider med en forskrift hjemlet i helseregisterloven § 6b om virksomhetsovergripende, behandlingsrettede helseregistre. Departementet arbeider ut fra en forutsetning om at forskriften skal regulere den type situasjoner som er gjenstand for klage i denne saken. Det arbeides for at forskriften kan vedtas innen Datatilsynets frist for gjennomføring av pålegget utløper.

Datatilsynet har ønsket å kommentere brevet fra Helse- og omsorgsdepartementet. Datatilsynet skriver at de ikke kan se at Helse- og omsorgsdepartementets arbeid med en ny forskrift har betydning for denne klagesaken. Klagen må vurderes ut fra gjeldende rett, jf helseregisterloven § 31. Datatilsynet forstår brevet fra Helse- og omsorgsdepartementet dit hen at de deler tilsynets vurdering av gjeldende rett. Tilsynet mener også at en avklaring av gjeldende rett i denne saken er viktig for departementets videre arbeid med forskriften. Endelig bemerkes at det beror på en tolkning av helseregisterloven § 6b om den situasjonen som er gjenstand for klage kan reguleres i forskrift.

6 Datatilsynets vurdering

Datatilsynet viser til at helseregisterloven § 13 setter de ytre rammer for hvem som kan gis tilgang til helseopplysninger i den behandlingsansvarliges virksomhet. Dagens ordning er i strid med loven.
Datatilsynet kan ikke se at lovendringene i helseregisterloven kan gjøre dagens praksis lovlig. Det vises til lovendringene i helseregisterloven §§ 13, 6a og 6b. Lovgiver har satt klare forutsetninger og rammer for å nyttiggjøre seg av de samhandlingsløsninger lovendringene åpner for. Helseregisterloven § 13 inneholder klare vilkår for å åpne opp for tilgang på tvers, herunder bestemmelsens tredje ledd om at slik tilgang bare kan gis etter uttrykkelig samtykke fra den registrerte. Forskrift skal sette nærmere vilkår for å åpne for tilgang på tvers, men den er ikke trådt i kraft ennå. Det er heller ikke vedtatt forskrifter til §§ 6a og 6b.

Datatilsynet fastholder at helseregisterloven § 13 er til hinder for direkte tilgang mellom Oslo kommune og private virksomheters helseregistre. Datatilsynet påpeker at en tolkning av helseregisterloven §§ 6 og 13 gjør at man per i dag har et indirekte forbud mot etablering av virksomhetsovergripende behandlingsrettede helseregistre. Det er imidlertid gitt forskriftshjemmel for etablering av virksomhetsovergripende helseregistre i helseregisterloven §§ 6a og 6b.

Datatilsynet omgjør vedtakets tidsfrist for gjennomføring av pålegget. Tidsfristen endres fra 31. desember 2011 til 31. desember 2012. Datatilsynet legger avgjørende vekt på arbeidet det medfører for Oslo kommune å komme innenfor lovens rammer sett opp mot at det er foretatt endringer i både helseregisterloven og helsepersonelloven for å bedre samhandling. I tillegg arbeides det med etablering av en nasjonal kjernejournal. Det er også lagt vekt på at endringer i journalsystemene ikke må få negative følger for pasientsikkerheten.

Datatilsynet peker på at lang tidsfrist for gjennomføring av pålegget er problematisk fordi det ikke kan utelukkes at behandlingen av helseopplysninger også kan være forbudt ved annen lov eller annet særskilt rettsgrunnlag, se helseregisterloven § 5 første ledd. Datatilsynet trekker i den forbindelse for det første frem helselovgivningen, herunder reglene om taushetsplikt etter helsepersonelloven og journalforskriften. Videre nevnes internasjonale avtaler Norge er bundet av, herunder menneskerettskonvensjonen (EMK) artikkel 8. Legalitetsprinsippet setter også særskilte skranker for behandling av helseopplysninger.

Som forutsetning for omgjøring av tidsfristen i vedtaket setter Datatilsynet at Oslo kommune lager er fremdriftsplan for lukking av avviket og at denne legges frem for Datatilsynet senest innen 30.3.2012.

7 Personvernnemndas merknader

Eva Jarbekk fratrådte behandling av saken på grunn av inhabilitet. Jarbekk er nå ansatt i Kluge advokatfirma, som bistår KS med et utredningsoppdrag som kan komme til å tangere denne saken.

Personvernnemnda påpeker at partene synes å være enige om at dagens ordning og praksis er i strid med helseregisterloven § 13. Personvernnemnda deler dette syn og legger helseregisterloven til grunn for sin vurdering.  Personvernnemnda har ikke hjemmel til å gi dispensasjon fra loven og finner det i denne sammenheng ikke relevant at det er varslet at det arbeides med en ny lov og/eller forskrift.

Nemnda gir sin tilslutning til Datatilsynets avgjørelse om at tilgang til kommunens helseregistre må bringes i samsvar med loven innen 31. desember 2012, og at en fremdriftsplan må fremlegges innen 30. mars 2012.

8 Vedtak

Klagen tas ikke til følge. Datatilsynets vedtak opprettholdes.

 

 

Oslo, 13. januar 2012

Arve Føyen
Nestleder