Datatilsynets referanse: 12/00298-8/BSO

PVN-2013-05 Diakonhjemmet sykehus

Klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Personvernnemndas avgjørelse av 13. desember 2013 (Eva I. E. Jarbekk, Arve Føyen, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing, Ann R Sætnan)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang.

2 Saksgang

Datatilsynet fikk i mars 2012 kjennskap til uautorisert uthenting av helseopplysninger fra flere
virksomheter til leverandøren GE Healthcare Systems ("GE"). Tilsynet var kjent med at leverandøren hadde kontaktet virksomheten. Leverandøren og en rekke virksomheter har også kontaktet Datatilsynet og/eller Helsetilsynet. Avviket gjaldt opprinnelig 10 virksomheter, men gjelder nå 11 virksomheter.

Datatilsynet varslet vedtak om pålegg i brev av 26. mars 2012. Datatilsynet mottok brev fra
Diakonhjemmet av 18. april 2012. Datatilsynet fattet vedtak om pålegg i brev av 18. juli
2012. I brev av 21. september 2012 ba Diakonhjemmet om utsatt klagefrist. Dette skyldtes i hovedsak at informasjon om at antall berørte pasienter var korrigert fra 4 til 3430.

Datatilsynet ga i brev av 5. oktober 2012 utsettelse av klagefristen til samtlige virksomheter som hadde fått pålegg av tilsynet til 22. oktober 2012. I brev av 22. oktober 2012 klaget Diakonhjemmet på pålegg nummer 3 om informasjon.

Saken ble oversendt Personvernnemnda 3.4.2013, som mottok saken 11.4.2013. Klager ble orientert om dette i brev fra nemnda datert 12.4.2013, med frist til uttalelse innen 30.4.2013. Den 4.9.2013 sendte nemnda et brev til samtlige klagere og til Datatilsynet med spørsmål vedrørende hjemmelsgrunnlaget for plikten til å gi informasjon til de registrerte.

3 Faktum

Når det gjelder bakgrunnen for saken og Datatilsynets brev av 26. mars 2012, ble Datatilsynet gjort kjent med at det har forekommet uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Tilknytningen er etablert for at leverandøren skal drive vedlikehold og overvåking av medisinskteknisk utstyr. Etter det opprinnelig opplyste gjaldt avviket, avhengig av hvilke systemer fra leverandøren som benyttes, opplysninger om pasienters navn, ID-nummer, kjønn, høyde, vekt, størrelse, fødselsdato, kliniske opplysninger, og i noen tilfeller bilder. Ved de 10 berørte
virksomhetene i Norge omfatter avviket totalt 126 344 pasienter. Opplysningene er blitt hentet ut og overført til USA.

Etter Datatilsynets vurdering kunne det slås fast at det forelå uautorisert uthenting av opplysninger fra virksomheten, og at helseopplysninger er på avveie. I dette tilfellet har opplysningene uautorisert blitt hentet ut av leverandøren og overført til leverandørens informasjonssystem i USA. Datatilsynet mente det ut fra sakens opplysninger forela et avvik etter helseregisterloven § 16, jf personopplysningsforskriften §§ 2-6 og 2-11.

Datatilsynet har ikke gått nærmere inn forholdet til taushetsplikten etter helsepersonelloven, ettersom tilsynet ikke forvalter dette regelverket.

4 Klagers anførsler

Diakonhjemmet klager i brev av 22. oktober 2012 på punkt 3 i vedtaket. Pålegget lyder:

"Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5."

Diakonhjemmet ber om at pålegget avgrenses til å informere berørte personer til de tilfeller hvor det er utlevert kliniske opplysninger. Pålegget vil derfor ikke gjelde i tilfeller hvor det er utlevert opplysninger om fødselsnummer, vekt og at det er utført MR-undersøkelse ved sykehuset.  Dette er begrunnet i at disse opplysninger ikke anses som helseopplysninger.

Diakonhjemmet viser til at de bestemmelser i helseregisterloven som det vises til i Datatilsynets pålegg, gjelder helseopplysninger. Definisjonen av helseopplysninger i loven § 2 nr. 1 er:

"taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og
vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson"

Som utgangspunkt er altså alle opplysninger om folks legems- og sykdomsforhold, dvs. pasientopplysninger, å anse som helseopplysninger etter helseregisterlovens definisjon når de kan knyttes til en enkeltperson. Identifikasjon kan for eksempel være fødselsnummer.

Det er lagt til grunn at det kan gjelde unntak fra definisjonen av helseopplysninger. I en kommentarutgave til helseregisterloven er det for eksempel vist til at det at man har bestilt time hos en allmennpraktiker, bare vil anses som en helseopplysning dersom det gir grunnlag for slutninger om sykdom og helse. Diakonhjemmet mener at samme vurdering som i dette eksempelet kan legges til grunn når det gjelder de personer som det er utført MR-undersøkelse av. Selv om det her er registrert vekt i tillegg til fødselsnummer, så gir ikke det at det er gjennomført en MR-undersøkelse grunnlag for konkrete slutninger om sykdom og helse. Det er altså i disse tilfellene ikke hentet ut noen kliniske opplysninger om vedkommende.

Diakonhjemmet har vist til to saker Datatilsynet ikke har gitt pålegg om å informere den enkelte registrerte. Det er vist til sak med Google Street View og Skatteetaten som også gjaldt urettmessig utlevering/uthenting av personopplysninger. Datatilsynet har i disse sakene ikke gitt pålegg om å informere den enkelte registrerte:

Google Street View
Google Street View samlet i 2010 inn store mengder data om privat trafikk på nettverket da de kjørte rundt i forbindelse med datafangst for tjenesten. Overskuddsdata ble ikke slettet umiddelbart, begrunnet i mulige rettsprosesser. Datatilsynet har i denne saken avgrenset seg til å be om sletting av data, uten at pålegg ble gitt. Å informere de berørte ble ikke nevnt i denne saken.

Skatteetaten
Skatteetaten sendte i 2008 ut skattelister til flere mediahus med fødselsnummer på alle skattepliktige i landet. Heller ikke i denne saken ble det pålagt å informere den enkelte registrerte.

Diakonhjemmet viser til begrunnelsen over, og anmoder om omgjøring av pålegget pkt. 3. Dette innebærer altså en avgrensning av pålegget om å informere berørte personer til å gjelde de der GEs urettmessige uthenting av opplysninger innbefatter kliniske opplysninger. Pålegget vil etter dette ikke gjelde de personer der det kun er hentet ut opplysninger om at de har fått utført en MR-undersøkelse ved sykehuset.

Diakonhjemmet anfører subsidiært at informasjonen som er utlevert er av så lite sensitiv art at det ikke bør stilles krav om individuell informasjonsplikt etter helseregisterloven § 23 i form av brev til den enkelte pasient. Slikt brev kan virke mot sin hensikt og kan skape utrygghet hos pasienten. Diakonhjemmet er derfor av den oppfatning at informasjon til pasientene, der det ikke er utlevert klinisk informasjon, bør gjøres i form av informasjon til allmennheten via presse og egen nettside, samt at det legges til rette for kontaktpunkt for spørsmål omkring avviket.

5 Datatilsynets vurdering

Generelt om GE sin rolle og krav til en databehandler
Tilknytningen mellom GE og virksomhetene ble etablert for at GE skulle drive vedlikehold og overvåking av medisinskteknisk utstyr. Det er uklart hva som er GEs nærmere rolle. Noen peker på at GE ikke er en databehandler. Andre peker på at GE kun er en teknisk leverandør som ikke skal ha adgang til å overføre opplysninger ut av sykehusnettet. Det er også fremhevet av flere virksomheter at opplysninger som har vært nødvendig å utlevere til GE for driftstekniske format er anonyme opplysninger, og at slike behandlinger av opplysninger faller utenfor personvernregelverket. Det fremgår imidlertid av samtlige
virksomheter at dette avviket gjelder en uautorisert uthenting av person- og helseopplysninger.

Datatilsynet påpeker at databehandler er definert i helseregisterloven § 2 nr 9. Der heter det at en databehandler er den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Begrepet databehandler er vidt, og kan være en som bearbeider opplysninger for den databehandlingsansvarlige, eller det kan være en som kommer i kontakt med opplysningene på en mer passiv måte, som for eksempel ved oppbevaring av opplysninger når dette er nødvendig for å kunne utføre service på datasystemer etc. En reparatør av datamaskiner vil for eksempel kunne være en databehandler, dersom det er nødvendig for vedkommende å behandle, for eksempel lagre, helseopplysninger. Det er ikke noe krav om at vedkommende skal bearbeide data for å omfattes av begrepet databehandler.

Det følger av lovens § 18 at grunnlaget for databehandlers befatning med helseopplysninger må fremgå i en skriftlig avtale mellom den databehandlingsansvarlige og databehandleren. Databehandleren kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt, noe som klart skal avgrense databehandlerens rådighet over helseopplysningene. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den databehandlingsansvarlige skal det også fremgå at databehandleren plikter å gjennomføre slike sikringstiltak som følger av helseregisterloven § 16.

Det følger også av helseregisterloven § 13 første ledd annet punktum at tilgang til helseopplysninger bare kan gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende regler om taushetsplikt. Dette innebærer for det første at en databehandler kun kan ha tilgang til helseopplysninger i den grad dette er nødvendig for vedkommendes arbeid. For det annet må tilgangen være i samsvar med gjeldende bestemmelser om taushetsplikt. Datatilsynet har ikke gått nærmere inn dette på forholdet, ettersom tilsynet ikke forvalter de alminnelige regler om taushetsplikt.

Datatilsynet vil likevel bemerke at et eventuelt aktuelt unntak fra taushetsplikten i helsepersonelloven § 25 annet ledd har klare begrensninger. Bestemmelsen åpner opp for at teknisk personell kan få tilgang på taushetsbelagt informasjon, men har samtidig inntatt et krav om at slik informasjon ikke skal gjøres tilgjengelig såfremt det ikke anses "nødvendig" for å oppfylle lovbestemte krav til dokumentasjon. Dette kravet tar sikte på at det både må være nødvendig med teknisk bistand og at denne igjen forutsetter at taushetsbelagt informasjon må gis. Det vil med andre ord ikke anses nødvendig hvis opplysningene kan
anonymiseres.  Det er opplyst i brev fra flere virksomheter at GE kun trenger
anonyme opplysninger, og at slike opplysninger faller utenfor personvernregelverket. Datatilsynet bemerker at behandling av anonyme opplysninger ikke er omfattet av verken personopplysningsloven eller helseregisterloven. Dette forutsetter imidlertid at det er tale om behandling av reelt anonyme opplysninger, jf helseregisterloven § 2 nr 3.

Datatilsynet har i forbindelse med oppfølging av dette avviket ikke gått nærmere inn på en eventuell databehandlerrelasjon den enkelte virksomhet kan ha med GE. Datatilsynet påpeker imidlertid at en eventuell inngåelse av en databehandlerrelasjon med GE må skje i henhold til regelverkets krav, herunder de ovenfor nevnte bestemmelsene.

Det vises også til punktet nedenfor om helseregistre og behandling av helseopplysninger, samt punktet nedenfor om overføring av helseopplysninger.

Lovvalgsspørsmål – personopplysningsloven eller helseregisterloven
Det rettslige utgangspunkt er at personopplysningsloven gjelder for all behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten, jf. personopplysningsloven § 5.

Dersom helseregisterloven får anvendelse vil den særskilt regulere behandling av helseopplysninger. Helseregisterlovens saklige virkeområde er nedfelt i lovens § 3. Loven er blant annet begrenset til å gjelde for behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten. Det følger også av § 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i § 1.

Etter Datatilsynets vurdering omfattes virksomheten og den uautoriserte utleveringen av opplysninger av helseregisterloven. Dette fordi virksomheten er en del av helsetjenesten etter helseregisterloven § 3. Datatilsynet mener også virksomheten i denne saken har behandlet helseopplysninger for å fremme formål som er beskrevet i lovens § 1. Datatilsynet mener også det er utlevert helseopplysninger om pasientene.

Begrepet helseopplysning og konkret vurdering
Generell vurdering  av begrepet  helseopplysning
Definisjonen av helseopplysninger i helseregisterloven § 2 nr 1 lyder:

"taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. "

Slik Datatilsynet tolker ordlyden i helseregisterloven § 2 nr 1 er begrepet helseopplysning nokså vidtrekkende.

Begrepet er omtalt på følgende måte i Ot.prp. nr 5 (1999-2000) (helseregisterloven) side 178 til 179:

"Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell. Alle pasientopplysninger, dvs taushetsbelagte
opplysninger i henhold til helsepersonelloven, omfattes av gruppen helseopplysninger. Langt de fleste helseopplysninger vil også være pasientopplysninger, men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger, for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell.

Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger § 2 nr. 8 bokstav c. Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket "helseforhold" omfatter opplysninger om en persons tidligere, nåværende og fremtidige fysiske eller psykiske tilstand, inkludert opplysninger om medisin og narkotikamisbruk. Videre uttales at også opplysninger om sosiale forhold kan falle inn under "helseforhold", dersom de sosiale forholdende påvirker helsen. "

Det vises også til Ot.prp. nr 5 (1999-2000) (helseregisterloven) punkt 7.2.1.3. Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand. Det vises til følgende uttalelse:

"Etter lov om helsepersonell § 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger, anført i samme lov § 40. Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand."

I Innst.O.nr 55 (2007-2008) punkt 1.3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven: 

"Når det gjelder helseopplysninger, så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven."

I NOU 2005: 1 punkt 4.4.3 er følgende uttalt om begrepet helseopplysninger:

"Helseopplysning omfatter objektive data som for eksempel høyde, vekt, medikamentbruk, tidligere sykdommer (inkludert sykdommer hos slektninger) og familiesituasjon, og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter. Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn, for eksempel ved helsekontroller."

Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning. Det vises i den forbindelse til Helse- og omsorgsdepartementets brev av 27. august 2010 på side 1 til 2. Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon. Departementet skriver deretter følgende:

"Det er viktig å merke seg at en og samme opplysning kan være personopplysning (dvs. opplysning og vurdering som kan knyttes til en enkeltperson, uten at det knyttes til helseforhold) i en sammenheng, og helseopplysning i en annen sammenheng. Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse, men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt. Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet "helseopplysning(er)", hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene."

Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng (uten at den kan knyttes til helseforhold), men helseopplysning i en annen sammenheng. Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning. Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning.

Datatilsynet mener at opplysninger som er innsamlet i et helseregister, og derfor er innenfor helseregisterlovens saklige virkeområde, normalt må anses som helseopplysninger.
Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene, samt at
behandlingen foretas av en databehandlingsansvarlig i helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten i denne retning.  Det vises til helseregisterloven §§ 3 og 1. Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf. også ovenfor nevnte uttalelse i Ot.prp. nr 5 (1999-2000) (helseregisterloven) punkt 7.2.1.3.

Datatilsynet mener også at konsekvens- og harmoniseringshensyn trekker i samme retning. Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister, herunder behandlingsrettede helseregistre, blir regulert av de alminnelige bestemmelsene i personopplysningsloven. Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser. For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter. Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre. Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap.

Konkret vurdering av begrepet helseopplysning for denne saken
Etter Datatilsynets vurdering er opplysninger om fødselsnummer, vekt og at det er gjennomført MR-undersøkelse å anse som helseopplysninger. Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende, og mener disse opplysningene er omfattet av begrepet. Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider. Det vises også spesielt til NOU 2005: 1 punkt 4.4.3. Tilsynet mener i tillegg at konsekvens- og harmoniseringshensyn trekker i samme retning.    

Slik Datatilsynet leser brevet fra Diakonhjemmet klages det ikke på pålegg om informasjon til den gruppen pasienter det er utlevert kliniske opplysninger om.

Om informasjonsplikt
Informasjon om hvilke personopplysninger som behandles om en, og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger, kreve innsyn og eventuelt retting og sletting.

Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold (bestemmelsens nr 1 til 5) "når det samles inn opplysninger fra den registrerte" jf helseregisterloven § 23.  Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte.

At begrepet "samler inn fra den registrerte selv" skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen, jf Ot.prp. nr 5 (1999-2000) (helseregisterloven) side 199. Der står blant annet følgende:

"Uttrykket "samler inn opplysninger fra den registrerte" omfatter både muntlige og skriftlige henvendelser. Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer (pasienter) henvender seg til helsetjenesten for undersøkelse, behandling, etc."

Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene:

"Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser, helseundersøkelser, spørreundersøkelser etc."

Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte (pasienter). Informasjonsplikten etter helseregisterloven § 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte.

Unntak fra denne informasjonsplikten følger av helseregisterloven § 23 annet ledd og helseregisterloven § 25. Datatilsynet peker på at unntaket i helseregisterloven § 23 siste ledd ikke kommer til anvendelse. Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven § 23 første ledd. Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven § 25 kommer til anvendelse.

Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen. Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven §§ 23 annet ledd og 25 ut fra praktiske hensyn.

Datatilsynet kan ikke se at unntaket i helseregisterloven § 25 nr 3 kommer til anvendelse. Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses "utilrådelig" at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær. Det følger av ordlyden "utilrådelig" at det er et strengt krav. Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte (pasientene) i denne saken.

Unntak fra informasjonsplikten etter helseregisterloven § 24 annet ledd nr 2 gjelder
ikke for helseregisterloven § 23. Helseregisterloven § 24 annet ledd nr 2 gjør unntak fra informasjonsplikten, dersom varsling er umulig eller uforholdsmessig vanskelig. Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte
av å bli varslet, vurdert opp mot de ressurser det vil kreve.

Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt.

Om sakene Diakonhjemmet har vist til
Diakonhjemmet har vist til to saker hvor Datatilsynet ikke har gitt pålegg om å informere de registrerte. Datatilsynet påpeker at pålegg om informasjonsplikt til de registrerte vurderes konkret i hver enkelt sak ut fra sitt konkrete saksforhold. Dette gjelder både saker etter personopplysningsloven og helseregisterloven.

Etter Datatilsynet vurdering skiller saksforholdene i de nevnte sakene seg vesentlig fra denne saken. Denne saken dreier seg om pålegg om informasjon etter helseregisterloven § 32 i en sak om uautorisert utlevering av helseopplysninger til en teknisk leverandør i USA. Datatilsynet viser også spesielt til de konkrete vurderingene nedenfor om adgang til å gi pålegg og pålegg om informasjonsplikt.

Datatilsynet kan derfor ikke se at de nevnte sakene kan ha nevneverdig vekt i retning mot pålegg i denne saken.

Om helseregistre og behandling av helseopplysninger
Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring. Det vil si avhengig av om de er forankret i en sentral enhet, en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag.

Behandlingsrettede helseregistre er en type helseregister. Etter helseregisterloven § 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33, helseforskningsloven eller behandlingen følger av annen lov. Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven § 5 første ledd jf. helsepersonelloven §§ 39 og 40 jf. journalforskriften. Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven § 5.

Et spørsmål, som ikke er vurdert nærmere i denne saken, er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA, jf. helseregisterloven 5 første ledd. Dette må også vurderes opp mot helsepersonelloven § 2 om virkeområde. Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven § 5 er alternativet konsesjon fra Datatilsynet.

Om overføring av helseopplysninger
Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet. Derfor gjelder personopplysningsloven kapittel V utfyllende, jf helseregisterloven § 36. Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven § 30 første ledd, og faller også utenfor personopplysningsloven § 29.

Et annet spørsmål, som ikke er vurdert nærmere i denne saken, er forholdet til regler om overføring av helseopplysninger til USA. For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor-avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven § 30 annet ledd.

GE Healthcare-Medical Diagnostic er oppført på Safe Harbor-listen. Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems. Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA. Det vises til vedlagt dokument 12/00526-2, og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer.

Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt
Det følger av helseregisterloven § 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven. Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til. Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme.

Datatilsynet har knyttet pålegget etter helseregisterloven § 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven § 23. Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler, ville informasjonsplikten etter helseregisterloven § 23 gjort seg gjeldende jf. bestemmelsens første ledd nr 3.

Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse, men også en pasientinteresse. Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen, se for eksempel pasient- og brukerrettighetsloven § 3-6 tredje ledd.  Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger. Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger.

Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke, med mindre annet er bestemt i eller i medhold av lov, jf helseregisterloven § 5 tredje ledd. Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke. Etter Datatilsynet vurdering er dette et moment i en "fra det mer til det mindre"-betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven § 32.

Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA. Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting/anonymisering av ulovlige utleverte helseopplysninger. Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene.

Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning. Dette fordi det kan forekomme erstatningskrav. Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt. Det påpekes også at dersom pasientene (de registrerte) ikke blir informert om den uautoriserte utleveringen av helseopplysninger, kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven § 35.

De sentrale hensynene som står imot hverandre i denne saken er personvern- og pasientinteresser på den ene siden og praktiske hensyn på den andre siden. Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern- og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt.

Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven § 32 gir adgang til når det gjelder individuell informasjonsplikt.

6 Personvernnemndas merknader

Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen, jf Datatilsynets påleggspunkt nr 3 i vedtaket. Datatilsynet har anvendt helseregisterloven § 23, som lyder:

§ 23. Informasjonsplikt når det samles inn opplysninger fra den registrerte
Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om
1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. formålet med behandlingen av helseopplysningene,
3. opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
4. det er frivillig å gi fra seg helseopplysningene, og
5. annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf § 22, og retten til å kreve retting og sletting, jf §§ 26 og 28.

Personopplysningsloven § 19 har tilsvarende regulering.

Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte. Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted. Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert, jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å  bruke rettighetene sine. Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger, jf første ledd nr 5.

I denne saken var det ikke ment å skje noen utlevering. Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger. Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens § 23 om at det skulle skje en utlevering til GE.

GE samlet likevel inn data om pasientene. Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte, men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene. Når opplysningene så er sendt til, og lagret hos, GE i USA, er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem. Det er videre opplyst at GE ikke vil slette dem.

Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger/personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen. Datatilsynet har lagt til grunn at det følger en slik plikt av helseregisterloven § 23 nr 5, jf personopplysningsloven § 19 bokstav e). Tilsynet mener at dette er informasjon om «annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven».

Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Varslingsplikten gjelder i forkant av innsamlingen, jf § 19 bokstav c). Ordlyden sier «samles inn», «først» og «vil bli». Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted, uten at varsling ble foretatt.

Situasjonen er altså den, at om sykehuset selv hadde blitt klar over at dataene ville bli lastet ned og overført til USA av GE, ville det ha foreligget en informasjonsplikt på et tidligere tidspunkt. Nemnda ser det slik at mislighold av en slik plikt neppe i seg selv ville kunnet suspendere plikten. I denne saken var imidlertid sykehuset ikke klar over at personopplysninger ville bli kopiert av GE og overført til selskapets database i USA. Det rettslige spørsmålet er dermed, slik flertallet i nemnda ser det, om denne manglende kunnskap hos den behandlingsansvarlige fratar de registrerte retten til å være informert om overførselen, og derved behandlingsansvarlige plikten til å gi informasjon om hendelsen i ettertid.

Det rettslige utgangspunktet er at forvaltningen trenger en lovhjemmel for å gi pålegg. Det har vært diskutert så vel i rettspraksis som i juridisk teori hvor klar en slik hjemmel må være. Med andre ord i hvilken grad andre rettskildefaktorer enn lovens ordlyd er relevante ved tolkningen av hjemmelen. Det har vært formulert som spørsmålet om det er et klarhetskrav i legalitetsprinsippet, og i så fall hvilket nivå dette ligger på.

Høyesterett har ved flere anledninger lagt til grunn at reelle hensyn kan vektlegges slik at resultatet blir en utvidende tolkning i forhold til hjemmelens ordlyd. Hvor nært samsvar det skal være mellom normens rekkevidde og hjemmelens ordlyd avhenger av hva slags type inngrep det dreier seg om og hvilke konsekvenser vedtaket vil få. Nemnda viser særlig til Høyesteretts uttalelser i Tvangsmedisineringsdommen i Rt 1993 s 249, og Fjordlaksdommen i Rt 1995 s 530. Begge gir prinsipielle retningslinjer for lovtolkning på legalitetsprinsippets område.

I Rt 1993 s 249 aksepterte Høyesterett en utvidende tolkning, utover hjemmelens ordlyd, i en situasjon som ligger i kjernen av legalitetsprinsippet; bruken av fysisk og kjemisk tvang i helsevesenet. Høyesterett la avgjørende vekt på reelle hensyn.

I Rt 1995 530 uttalte Høyesterett at det i utgangspunktet er strenge krav til en klar lovhjemmel for å pålegge en avgift, men at andre forhold enn lovens ordlyd kan trekkes inn – og det vises til konsekvensvurderinger og reelle hensyn:

Et sentralt spørsmål under prosedyren har vært om det må kreves en "klar og uomtvistelig" hjemmel i lov for avgiftsvedtakene, slik kravet ble formulert blant annet i avgjørelsen inntatt i Rt. 1954 side 96. Etter min mening kan en ikke ut fra rettspraksis vedrørende råfiskloven trekke den konklusjon at det på dette området generelt gjelder et krav om "klar og uomtvistelig" lovhjemmel. Det er vesentlige ulikheter mellom vår sak og de saker der en kan finne hjemmelskravet formulert slik. Jeg antar, med bakgrunn i teori og rettspraksis, at kravet til lovhjemmelen må nyanseres blant annet ut fra hvilket område en befinner seg på, arten av inngrepet, hvordan det rammer og hvor tyngende det er overfor den som rammes. Også andre rettskildefaktorer enn loven selv må etter omstendighetene trekkes inn. En slik mer sammensatt vurdering må etter min mening legges til grunn ved avgjørelsen av de hjemmelsspørsmål som oppstår i denne saken.

Nemnda legger til grunn at Høyesterett åpner for at det er tilfeller hvor man etter en konkret vurdering kan tolke hjemmelen utover sin ordlyd som følge av reelle hensyn.

Nemnda vil også peke på at Høyesterett også har ansett interessen i å være informert som viktig og rettsbeskyttet også uten lovhjemmel, og tuftet et slikt vern på ulovfestede alminnelige rettsgrunnsetninger, smln Sykejournaldommen i Rt 1977 s 1035.

Nemnda ser det slik at personverninteresser anses som viktige og vernet, in casu utover en ren presiserende tolkning av hjemmelsreglene. Ved en slik tolkning legger nemnda særlig vekt på at interessen i å vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer, er en helt sentral personverninteresse.  Det vektlegges videre at pasientene har et slikt lovfestet vern, som altså etter ordlyden og klagers forståelse, vil bortfalle i en situasjon der den behandlingsansvarliges (klagers) egen manglende kontroll med personopplysningene i så fall blir avgjørende for at vernet anses bortfalt. Det er ikke tvilsomt at den aktuelle dataflyten er kommet ut av den behandlingsansvarliges kontroll, uten at nemnda med det har vurdert om dette gir grunnlag for å rette noen kritikk mot den behandlingsansvarlige.  Prinsipielt sett bør det vises stor varsomhet med å la overtredelse av plikt i seg selv suspendere plikten. Særlig gjelder dette i situasjoner der man har en korresponderende rettighet for andre, som dermed blir krenket.

Nemnda vil også peke på at det i dette tilfellet dreier seg om utlevering over landegrensen. Slik dataflyt er spesielt regulert i personopplysningsloven, smln kap V, og underlagt en strengere regulering. Utlevering til USA er ikke uten videre legitimert selv om grunnkravene i personopplysningsloven er oppfylt, jf § 29 første ledd. Unntakene i § 30 forutsetter samtykke fra den omtalte eller at utlevering er pliktig eller nødvendig. Ingen av disse forhold er til stede her. Det har vært hevdet at nettopp det forhold at personopplysningene har blitt overført til et annet land, utenfor både EU-direktivets rekkevidde og norske myndigheters jurisdiksjon, gjør at personopplysningslovens § 19 e) og helseregisterlovens § 23 nr 5, nettopp ikke blir relevant. Dataene er utenfor pasientens juridiske rekkevidde. Nemnda vil bemerke at den ikke legger avgjørende vekt på § 19 e) og § 23 nr 5, men derimot på § 19 c) og § 23 nr 3; informasjonsplikten, fordi det å vite, har i seg selv en sentral og grunnleggende betydning for den enkeltes personvern.

Nemnda har vurdert konsekvensene for den behandlingsansvarlige, og veid disse mot interessen i personvern, i vurderingen av reelle hensyn som ligger til grunn for konklusjonen.   Nemnda ser at dette vil påføre sykehuset ekstra omkostninger i form av varsling av de omtalte pasientene. Nemnda ser det likevel slik at sykehuset er nærmest til å bære risikoen for slike omkostninger. Det er bare sykehuset som kunne ha gardert seg mot en slik utlevering, og sikret pasientene mot krenkelsen. Pasienten har ikke en gang vært kjent med risikoen. Nemnda ser det og slik at personvern anses om et gode i seg selv i vår lovgivning, og ikke alene en kostandsfaktor. Mothensynene mot en utvidende tolkning anses således ikke tilstrekkelig tunge til å hindre dette.

Personvernnemnda er altså kommet til at det i denne saken foreligger rettslig grunnlag for å pålegge sykehuset en informasjonsplikt, og stadfester Datatilsynets vedtak på dette punkt.

Personvernnemndas mindretall (Arve Føyen) avsa følgende dissens:
Dette medlem ser det slik at en varslingsplikt for behandlingsansvarlig ved utilsiktet utlevering (avvik) ikke følger direkte av loven, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Ved et slikt avvik har den behandlings-ansvarlige derimot plikt til å varsle Datatilsynet, jf personopplysningsforskriften § 2-6. Loven og forskriftens system er i et slikt tilfelle ikke slik at det legges opp til at den behandlingsansvarlige skal varsle berørte personer direkte.

Spørsmålet er dermed om man kan foreta en utvidende tolkning av lovteksten for å pålegge en slik varslingsplikt. Sykehuset har ikke hatt tilstrekkelig kontroll over hvilken tilgang leverandøren får via apparatene. Det har skjedd en avvikshendelse og som følge av dette har personopplysninger blitt overført til tredjeland. Det foreligger reelle hensyn som taler for å pålegge behandlingsansvarlig en informasjonsplikt i en slik situasjon.

Dette medlemmet av nemnda mener imidlertid at man skal være varsomme med å gi et slikt pålegg uten klar lovhjemmel. Høyesterett har, som det fremgår av flertallets begrunnelse, i enkelte tilfelle åpnet for å bruke reelle hensyn ved utvidende tolkning av ordlyden i konkrete lovhjemler. Det avhenger imidlertid av hva slags type inngrep det dreier seg om og hvilke konsekvenser det vil få, og må vurderes i forhold til den skade som har skjedd, og som pålegget skal sikte på å rette opp. I denne saken dreier det seg om et pålegg med økonomiske konsekvenser for den som vedtaket retter seg mot, veiet opp mot betydningen for den enkelte pasient ved å bli informert om at opplysninger om vedkommendes fødselsnummer og vekt er kommet en amerikansk teknisk leverandør i hende. Dette er relativt trivielle opplysninger. Retten til å være informert er et grunnleggende prinsipp som tar sikte på at individet skal gis mulighet til å gjøre sine rettigheter gjeldende. Det er i denne saken vanskelig å se hvilke rettigheter den enkelte skal kunne gjøre gjeldende.

Dette medlemmet er kommet til at det i denne saken foreligger ikke rettslig grunnlag for å pålegge sykehuset en informasjonsplikt, og at det ikke foreligger tilstrekkelig sterke hensyn til å foreta en utvidende fortolkning av personopplysningsloven § 19 c) og e) og vil stemme for følgende:

Vedtak
Klagen tas til følge.

Etter dette kom Personvernnemndas flertall (Eva I. E. Jarbekk, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing og Ann R Sætnan) til at klagen ikke tas til følge.

7 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 13. desember 2013

Eva I E Jarbekk
Leder