Datatilsynets referanse: 12/00300-12/MEP

PVN-2014-22 Vestre Viken HF

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Personvernnemndas avgjørelse av 13. august 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang.

2 Saksgang og faktum

Datatilsynet fikk i mars 2012 kjennskap til uautorisert uthenting av helseopplysninger fra flere virksomheter til leverandøren GE Healthcare Systems (heretter GE). Tilsynet var kjent med at leverandøren hadde kontaktet virksomheten. Leverandøren og en rekke virksomheter har også kontaktet Datatilsynet og/eller Helsetilsynet. Avviket gjaldt 11 virksomheter.
     Den 18. juli 2012 fattet Datatilsynet følgende vedtak overfor Vestre Viken HF (VVHF):

Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterloven § 23 første ledd nr. 5

VVHF påklagde dette vedtaket i brev av 21.9.2012. Datatilsynet oversendte flere lignende saker til behandling i Personvernnemnda, men valgte ikke å oversende VVHFs klage til nemnda. Datatilsynet orienterte i et brev av 5. juli 2013 at det ville avvente nemndas
behandling før det tok videre skritt i VVHFs sak. Personvernnemndas avgjørelse i nevnte saker ble avsagt 13. desember 2013.
     Etter Personvernnemndas avgjørelse i sak PVN-2013-05 gjorde Datatilsynet en fornyet vurdering av Vestre Viken HFs klage. Denne vurderingen ble oversendt Vestre Viken HF i et brev datert 19. februar 2014. I dette brevet vurderer tilsynet Personvernnemdas avgjørelse opp mot faktum i Vestre Viken HFs sak og kommer fram til at praksis fastsatt i PVN-2013-05 m.fl. gjør seg gjeldende i denne saken. Tilsynet ba her Vestre Viken HF vurdere å trekke sin klage.
     Vestre Viken HF besvarte på denne henstillingen i brev datert 20. mars 2014. Her konkluderer VVHF motsatt av Datatilsynet og ønsker å opprettholde sin klage. Datatilsynets øvrige vedtak er ikke påklaget.
     Saken ble oversendt Personvernnemnda 26.11.2014, som mottok saken 4.12.2014. Klager ble orientert om dette i brev fra nemnda datert 8.12.2014, med frist til uttalelse innen 8.1.2015. Klager har kommentert saken i brev av 11.12.2014.

3 Klagers anførsler

VVHF presiserer at de ønsker at Personvernnemnda gjør en vurdering av om kollektiv varsling ovenfor de berørte pasientene er tilfredsstillende. Bakgrunnen for dette er at de berørte pasientene er en ensartet gruppe som det er mulig å nå via media. Et utspill i media sammen med et kontaktpunkt i VVHF der pasientene kan avklare ytterligere spørsmål anser VVHF som tilfredsstillende.
     Opplysningene som er utlevert er kun fødselsnummer til de registrerte, samt informasjon om at type undersøkelse er mammografi. Dette er screeningundersøkelser som alle kvinner i en viss alder innkalles til. VVHF peker på at slik informasjon er allment kjent. VVHF mener dermed at opplysningene er av en slik art at kollektiv informasjon er tilfredsstillende. VVHF hevder også at opplysningene som er utlevert ikke er helseopplysninger og at det dermed er feil å hjemle informasjonsplikten i helseregisterloven.
     Videre viser VVHF til Datatilsynets sak 08/01556. Saken handler om et avvik i Skatteetaten der offentlige skattelister ble sendt til media. I forsendelsen var ikke fødselsnummer fjernet slik at også dette ble distribuert til media. I denne saken ble Skatteetaten ikke pålagt å informere den enkelte registrerte.
     VVHF påpeker at Datatilsynet har benyttet feil lov. VVHFs tolkning er at informasjon om at en kvinne som tilhører aldersgruppen 50-69 år og rutinemessig blir innkalt til mammografi ikke er helseopplysninger og dermed ikke regulert av helseregisterloven. Derfor blir det feil å hjemle informasjonskravet i helseregisterloven § 23.
     VVHF argumenterer subsidiært med Datatilsynets sak 12/00297 og PVN-2013-11. Denne saken gjelder utlevering av personopplysninger fra GE-utstyr hos Oslo Universitetssykehus. Her uttalte Datatilsynet at informasjonsplikten etter helseregisterloven § 24 kan i varetas ved kollektiv informasjon. VVHF presiserer at denne vurderingen ikke er berørt i Personvernnemndas klagebehandling.
     Mammografibussene er kun knyttet opp mot det nasjonale screeningprogrammet for mammografi, i regi av Kreftregisteret. Alle kvinner i alderen 50-69 år mottar invitasjon hvert annet år til å delta i programmet.
     I aktuell periode hvor avviket oppsto (10.6.2008 - 8.12.2011, samt 4.1.2012), ble det screenet 99 200 kvinner i programmet, av dem fikk 36 688 følgende opplysninger uautorisert hentet ut av foretakets systemer installert i mammografibussene:

  • Fødselsnummer
  • Type undersøkelse: Mammografi

Dette er en ensartet gruppe deltakere, som det mulig å informere via media som kanal, samt tilrettelegge for et kontaktpunkt, hvor deltakere i screeningprogrammet kan få avklart eventuelle spørsmål rundt avviket.
     Datatilsynet har pålagt Vestre Viken HF å varsle berørte personer individuelt etter Helseregisterloven § 24. Vestre Viken påpeker at de ikke vil unndra seg informasjonsplikten ut til berørte personer, men ønsker å foreta varslingen kollektivt, ikke individuelt som Datatilsynet pålegger virksomheten.
     Klager ønsker også å gjøre Personvernnemnda oppmerksom på Datatilsynets vedtak for Oslo Universitetssykehus (sak 12/00297 s. 8), tilsvarende avvik fra samme leverandør og som blant annet rammet samme ensartede gruppe i OUS, og gjengir:

OUS har informert om endret faktagrunnlag når det gjelder hvilke opplysninger som er utlevert. En type opplysninger som er utlevert er som nevnt at kvinner tilhører den aldersgruppen som rutinemessig blir innkalt til screeningundersøkelser ved mammografi for å utelukke brystkreft Det følger av sakens opplysninger at det for denne gruppen er utlevert opplysning om fødselsnummer og at de er innkalt til screening. Det er også opplyst at dette er opplysninger som er mottatt fra Kreftregisteret. Dette innebærer at pålegg om informasjonsplikt for denne) gruppen pasienter må vurderes opp mot helseregisterloven § 24.

Informasjon etter helseregisterloven § 24 skal i utgangspunktet være individuell.
Datatilsynet har kommet til at det for denne gruppen registrerte skal informeres kollektivt i form av informasjon til allmennheten via presse og egen nettside. Det er i vurderingen lagt avgjørende vekt på at tilsynet under tvil kom til at de utleverte opplysningene var å anse som helseopplysninger i helseregisterlovens forstand. Det er altså tale om opplysninger som etter tilsynets vurdering befinner seg helt i yttergrensen av hva som kan betegnes som helseopplysninger, og som dermed er omfattet av helseregisterlovens virkeområde.

Vestre Viken har ingen intensjon å unndra seg pålagt informasjonsplikt ut til berørte personer, men ønsker å foreta varslingen kollektivt i form av informasjon til allmennheten via presse og egen nettside, for denne ensartede gruppen.

4 Datatilsynets vurdering

4.1 Opplysningenes art

VVHF presiserer at det i denne saken kun er utlevert følgende informasjonselementer:

  • Fødselsnummer
  • Type undersøkelse: Mammografi

De registrerte er kvinner som er innkalt til eller har gjennomført mammografiundersøkelse. De registrerte anses ikke som pasienter før det eventuelt foreligger funn. VVHF anser disse opplysningene til ikke å være helseopplysninger.
     Personvernnemndas avgjørelse PVN-2013-05 er relevant for vurderingen av VVHFs klage. Nemndsavgjørelse PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12 gjelder tilsvarende saker. Personvernnemnda har i de tidligere GE-sakene vurdert fødselsnummer og vekt, og i ett tilfelle ytterligere kliniske opplysninger. Opplysningene i VVHFs sak er mer begrenset enn i Personvernnemndas tidligere GE-saker.
     I sak PVN-2013-05 har det foregått uthenting av opplysninger om pasienters fødselsnummer og vekt for pasienter som har vært til MR-undersøkelse. I denne saken fikk klagen ikke medhold og informasjonsplikten ble opprettholdt. I VVHFs sak er personopplysningene noe mer begrenset ettersom det kun er fødselsnummer som er utlevert.
     Datatilsynet vurderer Personvernnemndas vedtak slik at spørsmålet om oversendelse av vektopplysninger ikke er avgjørende for nemndas konklusjon. Nemndas vurderinger er peker i retning av at den registrertes interesse i å bli informert ikke er direkte knyttet til personopplysningenes innhold. Nemnda sier blant annet:

Nemnda ser det slik at personverninteresser anses som viktige og vernet, in casu utover en ren presiserende tolkning av hjemmelsreglene. Ved en slik tolkning legger nemnda særlig vekt på at interessen i å vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer, er en helt sentral personverninteresse.

Det mest beskyttelsesverdige i denne saken er ikke først og fremst selve dataene, men informasjonen som kan utledes av datauttrekket – altså personopplysningenes kontekst. Altså er det informasjonen om at en person har vært innkalt til eller har vært på undersøkelse om krever beskyttelse. Denne informasjonen er tilsvarende for VVHFs avvik, jf PVN-2013-05. Datatilsynet vurderer det derfor slik at Personvernnemndas vedtak ville blitt tilsvarende for VVHFs sak.
     Datatilsynet vil også påpeke at nemnda har konkludert med at økonomiske konsekvenser for den databehandlingsansvarlige ikke er avgjørende for vurderingen av informasjonsplikten. Om dette sier nemnda:

Nemnda har vurdert konsekvensene for den behandlingsansvarlige, og veid disse mot interessen i personvern, i vurderingen av reelle hensyn som ligger til grunn for konklusjonen. Nemnda ser at dette vil påføre sykehuset ekstra omkostninger i form av varsling av de omtalte pasientene. Nemnda ser det likevel slik at sykehuset er nærmest til å bære risikoen for slike omkostninger.

Datatilsynets egen praksis tilsier at også utlevering av fødselsnummer og informasjon om screening utløser individuell informasjonsplikt. Dette fremkommer av sak 12/00903 (Aleris). I denne saken ble det fattet vedtak om individuell informasjonsplikt overfor de registrerte ­ selv om opplysningene som var utlevert var kun fødselsnummer. Også her det vist til helseregisterloven § 23 som hjemmel for informasjonsplikten.

4.2 Sammenligning med andre saker om utlevering av fødselsnummer

I Datatilsynets sak 08/01556 overfor Skattedirektoratet ble det som tidligere nevnt ikke fattet vedtak om individuell informasjonsplikt.
     Saken innebar at informasjon om alle landets innbyggere over 16 år ble sendt på CD til 9 redaksjoner. CD’ene inneholdt følgende informasjon:

  • Navn
  • Alder
  • Postnummer
  • Poststed
  • Bostedskommune
  • Inntekt, skatt og formue
  • Fødselsnummer

Denne informasjonen har Skattedirektoratet anledning til å utlevere etter likningsloven § 8-8, med unntak av det siste punktet. Altså var intensjonen at den aktuelle informasjonen skulle utleveres – med unntak av fødselsnumrene.
     Datatilsynet mener Skatteetatens sak ikke tilsier at det ikke kan stilles krav om individuell informasjon i GE-saken.
     Først og fremst er bakgrunnen for at Datatilsynet krever individuell informasjonsplikt i GE­saken, og ikke i Skatteetatens sak, at opplysningenes art er ulike. I Skatteetaten-saken var opplysningene som ble urettmessig utlevert kun fødselsnummer. Fødselsnummer er særskilt regulert i personopplysningsloven§ 12. Det går an å tolke loven slik at lovgiver har ment at fødselsnummer skal ha noe sterkere beskyttelse enn andre ikke-sensitive personopplysninger. Personopplysningsforskriften § 10-2 stiller også spesifikke krav til beskyttelse av fødselsnummer ved elektronisk og postal forsendelse. Fødselsnummer er derimot ikke en sensitiv personopplysning, jf personopplysningsloven § 2 nr 8.
     Opplysningene som er utlevert i GE-saken er fødselsnummer og informasjon om type undersøkelse (mammografi). Disse opplysningene fremstår isolert sett som ordinære personopplysninger. Datatilsynet har imidlertid tidligere i saken kommet frem til at opplysningene er beskyttelsesverdige ut fra sin kontekst. Det at et fødselsnummer finnes i det utleverte datauttrekket tilsier at de aktuelle personene har vært innkalt til eller har vært på undersøkelse. Datatilsynet vurderer det slik at dette er opplysninger om helse, og dermed sensitive personopplysninger, jf personopplysningsloven § 2 nr 8. Personopplysningsloven setter sensitive personopplysninger i en særstilling. Datatilsynet mener dette gjør at individuell informasjonsplikt er nødvendig i GE-sakene.
     I tillegg vil Datatilsynet nevne at individuell informasjonsplikt ikke ble vurdert av Datatilsynet i sak 08/01556. Det betyr at det er tvilsomt om det kan utledes presedens som peker i retning av at individuell informasjonsplikt ikke er påkrevet i utleveringssaker.
     Til slutt vil Datatilsynet nevne at tilsynets praksis med å fatte vedtak om individuell informasjonsplikt ved tilfeller av uautorisert utlevering av personopplysninger er av nyere dato. Skatteetatens sak er fra 2008. Datatilsynets forvaltningspraksis har utviklet seg på dette området fra 2008.

4.3 Lovvalg

VVHF argumenterer med at det er feil av Datatilsynet å hjemle informasjonskravet i helseregisterloven fordi de utleverte opplysningene ikke er helseopplysninger.
     Datatilsynet vil til dette anføre at Personvernnemndas drøftelser i de relevante sakene ikke har vært avhengig av om opplysningene er helseopplysninger eller ikke.
     Datatilsynet vil også påpeke at det blir en kunstig rettstilstand om behandling av personopplysninger i registre som benyttes til dokumentasjon av helsehjelp ikke i sin helhet reguleres av helseregisterloven. Det fins trolig mange behandlingsrettede helseregistre i helsetjenesten som i enkelte tilfeller kun inneholder personopplysninger. Det er for eksempel mulig å tenke seg at helsevirksomheter oppretter journaler på framtidige pasienter og fyller denne med tradisjonelle personopplysninger, som navn og fødselsnummer. Først ved konsultasjon eller behandling registreres helseopplysninger i journalen. Det vil framstå som kunstig om journalopplysningene i ett øyeblikk er regulert av personopplysningsloven og et annet av helseregisterloven. Datatilsynet mener at behandling av personopplysninger i behandlingsrettede helseregistre reguleres av helseregisterloven selv om enkeltopplysninger i systemet kun er ordinære personopplysninger. Datatilsynet mener derfor at helseregisterloven er riktig hjemmel i denne saken.
     Datatilsynet vil til slutt påpeke at personopplysningsloven har en tilsvarende bestemmelse i § 19. Datatilsynets vedtak om informasjonsplikt ville derfor blitt likt uavhengig av lovvalg.

4.4 VVHFs subsidiære påstand

VVHF påpeker at Datatilsynets sak 12/00297 er relevant for vurderingen av denne saken. Her konkluderte Datatilsynet med at kollektiv informasjon er tilstrekkelig i en tilsvarende sak. Denne saken ble oversendt Personvernnemnda (PVN-2013-11).
     Nemnda har ikke eksplisitt vurdert distinksjonen mellom individuell og kollektiv informasjon. Nemnda har derimot gjort det tydelig at ved uautorisert utlevering av helseopplysninger fra helsetjenesten er verdien i informasjon sterk – uavhengig av opplysningenes innhold. Personvernnemdas vedtak i sak PVN-2013-11 må tolkes som skjerpende ut fra Datatilsynets vedtak.

5 Personvernnemndas syn

Det har skjedd et avvik i form av en uautorisert uthenting av data fra det digitale mammografianlegg i mobile enheter (Mammografibussene) til GE i USA. Det er 36 688 kvinner hvis fødselsnummer (herunder kjønn og alder) samt informasjon om type undersøkelse (mammografi), er hentet ut. Dette er personopplysninger, men det er i yttergrensen av definisjonen av helseopplysninger, jf helseregisterloven § 2 a).
     Saken gjelder hvorvidt det foreligger er varslingsplikt overfor de registrerte om avviket og, dersom slik plikt foreligger, hvorvidt VVHF skal varsle de berørte personer individuelt eller kollektivt, jf personopplysningsloven § 19.
     Klager er villig til å informere de registrerte, men ønsker å gjøre dette kollektivt. Tilsvarende saker er blitt behandlet i PVN-2013-05, PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12.

5.1 Foreligger det varslingsplikt?

Opplysningene er blitt hentet ut og overført til USA. De bestemmelsene i personopplysningsloven som gjelder for overføring til USA skiller ikke på om det er helseopplysninger eller ikke.
     Det følger av personopplysningsloven § 19 at når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte. Personvernnemnda har tidligere tolket den gamle helseregisterloven § 23 med tilsvarende ordlyd. Den nye helseregisterloven har ikke tilsvarende bestemmelse. I PVN-2013-05 uttalte nemnda at:

Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Varslingsplikten gjelder i forkant av innsamlingen, jf § 19 bokstav c). Ordlyden sier «samles inn», «først» og «vil bli». Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted, uten at varsling ble foretatt.

Også i nærværende sak deler nemnda seg i et flertall og et mindretall.

Flertallet (Eva I E Jarbekk, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing, Ann R Sætnan og Nina Melsom) er kommet til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Retten til å være informert om hvor dine persondata befinner seg er kjernen i personvernet. Det følger ikke direkte av personopplysningsloven § 19, jf nemndas drøftelse i PVN-2013-05. Det avgjørende for flertallet er at det har skjedd en uautorisert uthenting av personopplysninger, slik at personopplysningene utilsiktet har havnet i en annen jurisdiksjon. Flertallet legger også vekt på at Artikkel-29-gruppen har uttalt at det foreligger varslingsplikt ved avvik, jf Opinion 03/2014 on Personal Data Breach Notification. Artikkel-29-gruppen uttaler at:

When the personal data breach is likely to adversely affect the personal data or privacy of a data subject, the data controller shall also notify the data subject of the breach without undue delay.

Avviket må først varsles Datatilsynet. Deretter kan Datatilsynet, med grunnlag i en utvidende tolkning av personopplysningsloven § 19 og ulovfestede grunnleggende personvernprinsipper pålegge varsling av de registrerte – individuelt eller kollektivt. I denne saken har Datatilsynet pålagt individuell varsling.

Mindretallet (Arve Føyen) er fortsatt av den oppfatning at det ikke foreligger en varslingsplikt. Det vises til mindretallets begrunnelse i PVN-2013-05.

5.2 Er varslingsplikten individuell eller kollektiv?

Nemnda deler seg igjen i et flertall og et mindretall hva gjelder spørsmålet om individuell eller kollektiv varsling.

Flertallet (Arve Føyen, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing og Nina Melsom) mener at kollektiv varsling er tilstrekkelig i denne saken. Artikkel-29-gruppen åpner også for slik differensiering, selv om det uttales at individuell varsling er hovedregelen;

There are cases in which, even having a direct contractual relationship with the end user, the provider has not enough details to ensure proper notification. In that sense, even taking into account the possibility of notifying through advertisements in media, the obligation of pursuing individual notifications by making all reasonable efforts still persists.

Flertallet finner at reelle hensyn kan tilsi en differensiering i måten varsling skjer på ut fra hvor sensitiv informasjon det er tale om. I denne saken kan differensiering gjøre seg gjeldende idet utleveringen gjelder i hovedsak generelle opplysninger om type undersøkelse sammen med fødselsnummer. De registrerte har en interesse i å få vite hvor deres personopplysninger befinner seg. Imidlertid kan denne interessen oppfylles ved kollektiv informasjon. Kollektiv informasjon vil være tilstrekkelig i tilfeller hvor den informasjon som er lekket er svært lite sensitiv.

Mindretallet (Eva Jarbekk og Ann R Sætnan) er kommet til at det også i denne saken foreligger en individuell varslingsplikt og viser til nemndas flertalls resonnement i PVN-2013-05, samt uttalelsene i Opinion 03/2014 on Personal Data Breach Notification. Mindretallet mener at det ikke foreligger grunn til differensiering i denne saken. De registrertes identitet er kjent og de kan tilskrives individuelt.  

Personvernnemnda avsa deretter et vedtak i samsvar med flertallets konklusjon og ga klager medhold i at varsling kan skje kollektivt.

6 Vedtak

Klagen tas til følge.

 

 

Oslo, 13. august 2015

Eva I E Jarbekk
Leder