Datatilsynets referanse: 12/00299-16/MEP

PVN-2014-24 Unilabs Norge AS

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Personvernnemndas avgjørelse av 13. august 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang.

2 Saksgang og faktum

Datatilsynet fikk i mars 2012 kjennskap til uautorisert uthenting av helseopplysninger fra flere virksomheter til leverandøren GE Healthcare Systems (heretter GE). Tilsynet var kjent med at leverandøren hadde kontaktet virksomheten. Leverandøren og en rekke virksomheter har også kontaktet Datatilsynet og/eller Helsetilsynet. Avviket gjaldt 11 virksomheter.
     Den 18. juli 2012 fattet Datatilsynet følgende vedtak overfor Unilabs Norge AS:

Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterloven § 23 første ledd nr. 5

Unilabs påklagde dette vedtaket i brev av 6.12.2012. Datatilsynet oversendte flere lignende saker til behandling i Personvernnemnda, men valgte ikke å oversende Unilabs klage til nemnda. Datatilsynet orienterte i et brev av 5. juli 2013 at det ville avvente nemndas
behandling før det tok videre skritt i Unilabs sak. Personvernnemndas avgjørelse i nevnte saker ble avsagt 13. desember 2013.
     Etter Personvernnemndas avgjørelse i sak PVN-2013-05 gjorde Datatilsynet en fornyet vurdering av Unilabs klage. Denne vurderingen ble oversendt Unilabs i et brev datert 19. februar 2014. I dette brevet vurderer tilsynet Personvernnemdas avgjørelse opp mot faktum i Unilabs sak og kommer fram til at praksis fastsatt i PVN-2013-05 m.fl. gjør seg gjeldende i denne saken. Tilsynet ba her Unilabs vurdere å trekke sin klage.
     Unilabs besvarte ikke denne henstillingen. Datatilsynet har derfor konkludert med at Unilabs opprettholder sin klage på vedtak nr 3. Datatilsynets øvrige vedtak er ikke påklaget.
     Saken ble oversendt Personvernnemnda 26.11.2014, som mottok saken 4.12.2014. Klager ble orientert om dette i brev fra nemnda datert 8.12.2014, med frist til uttalelse innen 8.1.2015. Klager har kommentert saken i brev av 5.1.2015.

3 Klagers anførsler

Det er hentet ut personopplysninger om 12 100 pasienter fra Unilabs. Informasjonen som er hentet ut er fødselsnummer og type undersøkelse (mammografi). Unilabs mener at å informere pasientene om avviket vil føre til unødig engstelse blant pasientene. De negative effektene ved å informere pasientene om hendelsen veier vesentlig mer enn det positive ved at pasientene blir gjort kjent med avviket. Unilabs ber også Personvernnemnda om å legge vekt på at det lange tidsrommet fra mammografiundersøkelsen til eventuell individuelt varsel øker risikoen for at selve varselet ikke kommer frem til rett person eller at mottakeren av varselet slett ikke er i samme kondisjon som på det tidspunkt undersøkelsen ble foretatt.

4 Datatilsynets vurdering

Unilabs presiserer at det i denne saken kun er utlevert følgende informasjonselementer:

  • Fødselsnummer
  • Type undersøkelse

Personvernnemndas avgjørelse PVN-2013-05 er relevant for vurderingen av Unilabs klage. Nemndsavgjørelse PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12 gjelder tilsvarende saker. Personvernnemnda har i de tidligere GE-sakene vurdert fødselsnummer og vekt, og i ett tilfelle ytterligere kliniske opplysninger. Opplysningene i Unilabs sak er mer begrenset enn i Personvernnemndas tidligere GE-saker.
     I sak PVN-2013-05 har det foregått uthenting av opplysninger om pasienters fødselsnummer og vekt for pasienter som har vært til MR-undersøkelse. I denne saken fikk klagen ikke medhold og informasjonsplikten ble opprettholdt. I Unilabs sak er personopplysningene noe mer begrenset ettersom det kun er fødselsnummer og type undersøkelse som er utlevert. Opplysninger om vekt er ikke utlevert.
     Datatilsynet vurderer Personvernnemndas vedtak slik at spørsmålet om oversendelse av vektopplysninger ikke er avgjørende for nemndas konklusjon. Nemndas vurderinger er peker i retning av at den registrertes interesse i å bli informert ikke er direkte knyttet til personopplysningenes innhold. Nemnda sier blant annet:

Nemnda ser det slik at personverninteresser anses som viktige og vernet, in casu utover en ren presiserende tolkning av hjemmelsreglene. Ved en slik tolkning legger nemnda særlig vekt på at interessen i å vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer, er en helt sentral personverninteresse.

Det mest beskyttelsesverdige i denne saken er ikke først og fremst selve dataene, men informasjonen som kan utledes av datauttrekket – altså personopplysningenes kontekst. Altså er det informasjonen om at en person har vært innkalt til eller har vært på undersøkelse som krever beskyttelse. Denne informasjonen er tilsvarende for Unilabs avvik, jf PVN-2013-05. Datatilsynet vurderer det derfor slik at Personvernnemndas vedtak ville blitt tilsvarende for Unilabs sak.
     Datatilsynet mener at denne vurderingen fra Personvernnemnda innebærer en avveining mellom de angivelige negative effektene av å få informasjon mot retten til å vite. Etter Datatilsynets syn har nemnda valgt å vekte den registrertes rett til å vite tyngst.
     Datatilsynet vil også påpeke at nemnda har konkludert med at økonomiske konsekvenser for den databehandlingsansvarlige ikke er avgjørende for vurderingen av informasjonsplikten. Om dette sier nemnda:

Nemnda har vurdert konsekvensene for den behandlingsansvarlige, og veid disse mot interessen i personvern, i vurderingen av reelle hensyn som ligger til grunn for konklusjonen. Nemnda ser at dette vil påføre sykehuset ekstra omkostninger i form av varsling av de omtalte pasientene. Nemnda ser det likevel slik at sykehuset er nærmest til å bære risikoen for slike omkostninger.

Datatilsynets egen praksis tilsier at også utlevering av fødselsnummer og informasjon om screening utløser individuell informasjonsplikt. Dette fremkommer av sak 12/00903 (Aleris). I denne saken ble det fattet vedtak om individuell informasjonsplikt overfor de registrerte ­ selv om opplysningene som var utlevert var kun fødselsnummer.

5 Personvernnemndas syn

Det har skjedd et avvik i form av en uautorisert uthenting av data fra Unilabs’ mammografiapparat til GE i USA. Det er 12 100 kvinner hvis fødselsnummer (herunder kjønn og alder) samt informasjon om type undersøkelse (mammografi). Det kan ikke utledes fra informasjonen om det dreier seg om screening undersøkelse eller klinisk mammografi. Dette er personopplysninger, men det er i yttergrensen av definisjonen av helseopplysninger, jf helseregisterloven § 2 a).
     Saken gjelder hvorvidt det foreligger er varslingsplikt overfor de registrerte om avviket og, dersom slik plikt foreligger, hvorvidt Unilabs skal varsle de berørte personer individuelt eller kollektivt, jf personopplysningsloven § 19 og helseregisterloven § 24.
     Klager er villig til å informere de registrerte, men ønsker å gjøre dette kollektivt. Tilsvarende saker er blitt behandlet i PVN-2013-05, PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12.

5.1 Foreligger det varslingsplikt?

Opplysningene er blitt overført til USA. De bestemmelsene i personopplysningsloven som gjelder for overføring til USA skiller ikke på om det er helseopplysninger eller ikke.
     Det følger av personopplysningsloven § 19 at når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte. Personvernnemnda har tidligere tolket den gamle helseregisterloven § 23 med tilsvarende ordlyd. Den nye helseregisterloven har ikke tilsvarende bestemmelse. I PVN-2013-05 uttalte nemnda at:

Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Varslingsplikten gjelder i forkant av innsamlingen, jf § 19 bokstav c). Ordlyden sier «samles inn», «først» og «vil bli». Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted, uten at varsling ble foretatt.

Også i nærværende sak deler nemnda seg i et flertall og et mindretall.

Flertallet (Eva I E Jarbekk, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing, Ann R Sætnan og Nina Melsom) er kommet til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Retten til å være informert om hvor dine persondata befinner seg er kjernen i personvernet. Det følger ikke direkte av personopplysningsloven § 19, jf nemndas drøftelse i PVN-2013-05. Det avgjørende for flertallet er at det har skjedd en uautorisert uthenting av personopplysninger, slik at personopplysningene utilsiktet har havnet i en annen jurisdiksjon. Flertallet legger også vekt på at Artikkel-29-gruppen har uttalt at det foreligger varslingsplikt ved avvik, jf Opinion 03/2014 on Personal Data Breach Notification. Artikkel-29-gruppen uttaler at:

When the personal data breach is likely to adversely affect the personal data or privacy of a data subject, the data controller shall also notify the data subject of the breach without undue delay.

Avviket må først varsles Datatilsynet. Deretter kan Datatilsynet, med grunnlag i en utvidende tolkning av personopplysningsloven § 19 og ulovfestede grunnleggende personvernprinsipper pålegge varsling av de registrerte – individuelt eller kollektivt. I denne saken har Datatilsynet pålagt individuell varsling.

Mindretallet (Arve Føyen) er fortsatt av den oppfatning at det ikke foreligger en varslingsplikt. Det vises til mindretallets begrunnelse i PVN-2013-05.

5.2 Er varslingsplikten individuell eller kollektiv?

Nemnda deler seg igjen i et flertall og et mindretall hva gjelder spørsmålet om individuell eller kollektiv varsling.

Flertallet (Arve Føyen, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing og Nina Melsom) mener at kollektiv varsling er tilstrekkelig i denne saken. Artikkel-29-gruppen åpner også for slik differensiering, selv om det uttales at individuell varsling er hovedregelen

There are cases in which, even having a direct contractual relationship with the end user, the provider has not enough details to ensure proper notification. In that sense, even taking into account the possibility of notifying through advertisements in media, the obligation of pursuing individual notifications by making all reasonable efforts still persists.

Flertallet finner at reelle hensyn kan tilsi en differensiering i måten varsling skjer på ut fra hvor sensitiv informasjon det er tale om. I denne saken kan differensiering gjøre seg gjeldende idet utleveringen gjelder i hovedsak generelle opplysninger om type undersøkelse, sammen med fødselsnummer. De registrerte har en interesse i å få vite hvor deres personopplysninger befinner seg. Imidlertid kan denne interessen oppfylles ved kollektiv informasjon. Kollektiv informasjon vil være tilstrekkelig i tilfeller hvor den informasjon som er lekket er svært lite sensitiv.

Mindretallet (Eva Jarbekk og Ann R Sætnan) er kommet til at det også i denne saken foreligger en individuell varslingsplikt og viser til nemndas flertalls resonnement i PVN-2013-05, samt uttalelsene i Opinion 03/2014 on Personal Data Breach Notification. Mindretallet mener at det ikke foreligger grunn til differensiering i denne saken. De registrertes identitet er kjent og de kan tilskrives individuelt. 

Personvernnemnda avsa deretter et vedtak i samsvar med flertallets konklusjon og ga klager medhold i at varsling kan skje kollektivt. 

6 Vedtak

Klagen tas til følge.

 

 

Oslo, 13. august 2015

Eva I E Jarbekk
Leder