Datatilsynets referanse: 14/00076-5/CGN

PVN-2015-02 SmerteReg

Klage på Datatilsynets vilkår i konsesjon gitt til Nasjonalt kvalitetsregister for smertebehandling («SmerteReg»)

Personvernnemndas avgjørelse av 6. november 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vilkår i konsesjon gitt til Nasjonalt kvalitetsregister for smertebehandling.

2 Saksgang og faktum

Datatilsynet mottok den 22. januar 2014 søknad om konsesjon til å behandle helseopplysninger i Nasjonalt kvalitetsregister for smertebehandling – SmerteReg. Behandlingsansvarlig for registeret er Helse Bergen HF.
     Registeret har to formål: Forskning og kvalitetssikring av behandlingen av smertepasienter. Registeret skal sikre dokumentasjon av behandlingsresultater og gjennom systematiserte målinger bidra til at medisinsk behandling av smertepasienter kan gjennomføres på best mulig måte. Registeret skal baseres på samtykke. Målgruppen er inneliggende pasienter som formelt henvises fra sykehusenes ulike poster for tilsyn fra smerteklinikkens personale.
     SmerteReg blir opprettet som et permanent kvalitetsregister. I vedtak av 20. mars 2014 ble konsesjon gitt på følgende vilkår:

De behandlingsansvarlige for Nasjonalt kvalitetsregister for smertebehandling skal gi de registrerte jevnlig informasjon om hvordan dataene i registeret brukes, herunder utleveringer, koblinger og opplysninger om konkrete prosjekter. Retten til informasjon kan også anses ivaretatt dersom den er gitt i forbindelse med konkrete prosjekter.

I brev av 14. april 2014 påklaget Helse Bergen HF vilkårsstillingen.
     Saken ble oversendt Personvernnemnda 18.12.2014, som mottok saken 5.1.2015. Klager ble orientert om dette i brev fra nemnda datert 6.1.2015, med frist til uttalelse innen 30.1.2015. Klager kommenterte saken i brev av 27.1.2015.

3 Klagers anførsler

Helse Bergen anfører at konsesjonens vilkår innebærer at plikten til informasjon etter §§ 23 og 24 i helseregisterloven utvides, og at de skisserte løsningene ikke anses tilstrekkelige.
     Helse Bergen anfører at Datatilsynet ikke vurderer hvorvidt vilkårene som er stilt medfører at ulempene for de registrerte begrenses. Klager mener videre at hensynet til at de registrerte skal få informasjon ivaretas gjennom REKs godkjenninger av forskningsprosjekter, og at plikten til å gi informasjon må vurderes for de enkelte prosjektene.
     Helse Bergen mener at de registrerte gis tilstrekkelig informasjon gjennom de utarbeidede informasjonsskriv og samtykkeskjema, nettsiden, eventuelle nyhetsbrev og de krav REK eventuelt stiller i sine godkjenninger. Helse Bergen anfører at det ikke er nødvendig å sette vilkår utover dette.
     Slik klager forstår Datatilsynets vedtak 20. mars 2014 ble vilkåret satt fordi bestemmelsene i helseregisterloven §§ 21-24 ikke dekker informasjonsforpliktelsen som tilsynet mener bør påligge registeret. Vilkåret er med andre ord en informasjonsplikt om bruk av data som ikke dekkes av forpliktelsen i nevnte bestemmelser. Vilkåret ble satt for å sikre at personvernulempene blir redusert.
     Etter personopplysningsloven § 34 skal Datatilsynet klarlegge om behandlingen av opplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene II-V og vilkår etter § 35. Det følger av forarbeidene, Ot.prp. nr. 92 (1998-99) side 129:

Som ledd i vurderingen av om det skal gis konsesjon må det først klarlegges om personopplysningsbehandlingen vil volde problemer for den enkelte, og om problemene eventuelt avhjelpes ved lovens regler for behandlingen. Hvis behandlingen ikke volder problemer for den enkelte, vil det som regel ikke være aktuelt å nekte konsesjon. Dersom lovens materielle regler ikke gir et fullgodt personvern, kan det fastsettes supplerende, mer detaljerte eller strengere regler for hvordan behandlingen kan skje, enten i form av konsesjonsvilkår i henhold til § 35 i lovforslaget, eller - dersom det dreier seg om en homogen gruppe behandlingsansvarlige, typisk en bransje - i form av forskrifter med hjemmel i § 33 siste ledd.

Helse Bergen ønsker innledningsvis å kommentere det siste først. Konsesjonen gjelder et av flere titalls liknende registre som Helse Bergen har og et hundretalls liknende registre i landet for øvrig. Smerteregisteret er som sådan ikke spesielt eller unikt. Det er derfor naturlig å stille spørsmål ved om konsesjonsvilkår er riktig virkemiddel her når tilsynet først er kommet til at lovens bestemmelser ikke er tilstrekkelige.
     Etter personopplysningsloven § 35 må tilsynet vurdere om det skal settes vilkår når det er nødvendig for å begrense ulempene behandlingen ellers ville medføre for den registrerte. l forarbeidene sier departementet at behovet for å sette vilkår blir antagelig mindre på grunn av lovens øvrige detaljerte regler. Departementet presiserer avslutningsvis at yttergrensene for hvor tyngende vilkår som kan settes, følger av alminnelige forvaltningsrettslige regler sammenholdt med lovens formål.
     Etter klagers syn vurderer ikke tilsynet i vedtaket om den planlagte behandling av helseopplysninger medfører ulemper for de registrerte. Ikke på noe punkt går tilsynet inn på den konkrete behandlingen av opplysninger eller de samlede tiltak for informasjon som de registrerte mottar. Datatilsynet viser bare til at de registrerte «selv [må] oppsøke en nettside». Til dette vil Helse Bergen gjøre gjeldende at dette bare er en av flere «kanaler». Tilsynet glemmer å vise til informasjonsskriv, samtykke, nyhetsbrev og potensielt konkrete tiltak i tråd med REKs vedtak. Registrene i Helse Bergen HF bestreber seg på å være presise i den samlede informasjon og vurderingen av denne informasjonen må også være konkret.
     Det fremstår for Helse Bergen som spesielt at tilsynet tilsynelatende legger vekt på at informasjon via en nettside (som i alle kjente nettlesere finnes på første treff ved for eksempel søkeordet «smertereg») krever egeninnsats fra den registrerte, samtidig som tilsynet viser til helseregisterloven §§ 21 og 22, som begge krever egeninnsats for å få informasjon.
     Vedtaket vurderer bare i begrenset grad om vilkåret som settes bidrar til å begrense en eventuell ulempe for de registrerte. Under enhver omstendighet gjøres det ingen sammenlikning mellom virkningen av informasjonen som er planlagt fra registerets side og virkningen av vilkåret som settes. Dermed har tilsynet heller ikke vist at vilkåret bidrar til å begrense en eventuell ulempe.
     I oversendelsen til nemnda legger tilsynet vekt på at det kan være vanskelig å overskue konsekvensene av hva et samtykke til deltakelse i et permanent register kan bli. Dette fordi mange registre endrer seg. Helse Bergen ser ikke grunn til bekymring på dette punkt. En endring vil normalt kreve beskjed eller melding til tilsynet, eventuelt ny konsesjon, og da kan tilsynet ha kontroll med hvilken informasjon de registrerte skal få.
     Tilsynet skriver på den ene side at plikt til å gi informasjon kan anses ivaretatt dersom det gis i forbindelse med konkrete prosjekter. På den andre side skriver tilsynet i at det er avgjørende at vilkåret knyttes til selve registeret. Dette er forvirrende og i praksis vil det lede til unødvendig usikkerhet hos registeret (behandlingsansvarlig) og prosjektene (prosjektlederne), og forholdet disse to i mellom.
     Klager vil avslutningsvis legge til at vilkår om «jevnlig» informasjon til de registrerte fremstår som upresist og uklart. Videre omfattes av all «bruk» av opplysningene. Dette gjør vilkåret vanskelig å etterleve og kontrollere. Klager ber nemnda vurdere aktuelle vilkårssetting.

4 Datatilsynets vurdering

Datatilsynet ga med hjemmel i helseregisterloven § 5, jf personopplysningsloven § 33, jf §
34, konsesjon til å behandle helseopplysninger i Nasjonal kvalitetsregister for smertebehandling (SmerteReg).
     Datatilsynets konsesjon er betinget av at behandlingen av personopplysninger er samtykkebasert. Gyldige samtykker skal være frivillige, informerte og uttrykkelige. Datatilsynet forutsatte at informasjonsskrivet ble endret slik at det inkluderer opplysninger om registerets varighet.
     Datatilsynet stilte med hjemmel i personopplysningsloven § 35, jf § 33, jf helseregisterloven § 5, i tillegg vilkår om at de registrerte skulle gis jevnlig informasjon om hvordan opplysninger om dem blir behandlet i SmerteReg.
     Plikten til å gi informasjon følger av helseregisterloven §§ 21 og 22, i tillegg til at databehandlingsansvarlig har informasjonsplikt etter helseregisterloven § 23 når det samles inn opplysninger fra den registrerte selv, og etter § 24 når det samles inn opplysninger fra andre enn den registrerte.
     I SmerteReg er det lagt opp til at det skal legges ut informasjon på en nettside med adresse
http://www.helse-bergen.no/no/FagOgSamarbeid/forsking/Sider/Smerteregisteret.aspx
     I vurderingen la Datatilsynet vekt på at det ved godkjenning av enkeltprosjekter som tar utgangspunkt i SmerteReg, er muligheter for at man kommer til at det ikke er nødvendig å informere de registrerte. For at den registrerte skal få informasjon om bruken, må vedkommende selv oppsøke en nettside.
     Datatilsynet kom til at de registrerte bør få jevnlig informasjon om hvordan opplysningene i registeret brukes. Registeret skal opprettes på permanent basis, og for å sikre at de registrerte kan ivareta sine rettigheter og valgmuligheter, anså Datatilsynet det som helt nødvendig at de blir informert om hva opplysningene faktisk brukes til.
     Datatilsynets adgang til å stille vilkår er regulert i personopplysningsloven § 35. Etter denne bestemmelsen kan tilsynet gi vilkår i tilknytning til en konsesjon når slike vilkår er nødvendige for å begrense ulempene behandlingen eller ville ha medført for den registrerte.

Av forarbeidene til personopplysningsloven går det frem at det skal gjøres en interesseavveining, og at det skal vurderes om lovens materielle regler gir et fullgodt personvern.
     Etter personopplysningsloven § 34 skal Datatilsynet vurdere om eventuelle ulemper oppveies av hensyn som taler for behandlingen av opplysninger. Ved bruk av vilkår gitt i medhold av personopplysningsloven § 35 kan Datatilsynet sikre at personvernulempene blir redusert.

A) Om informasjonsplikt etter helseregisterloven §§ 23 og 24
Informasjon om behandling av egne personopplysninger er en viktig for utsetning for at den registrerte skal kunne utøve kontroll over egne personopplysninger, kreve innsyn og eventuelt retting og sletting. Den data behandlingsansvarlige har derfor plikt til av eget tiltak å informere den registrerte om visse forhold, både når det samles inn opplysninger fra den registrerte selv og når det samles inn opplysninger fra andre, jf helseregisterloven §§ 23 og 24.
     For å vurdere om informasjonsplikten skal vurderes etter helseregisterloven § 23 eller 24 må man først ta stilling til hvorvidt opplysningene er innsamlet fra «den registrerte selv» eller av «andre enn den registrerte selv». Datatilsynet mener at informasjonsplikten uansett gjelder om behandlinger den registrerte ikke har kunnskap om. Dette er også i tråd med kravene som
stilles til at gyldige samtykker skal være informerte, jf helseregisterloven § 2 nr. 11.
     I forarbeidene til helseregisterloven § 2 uttales det om informerte samtykker at den registrerte skal forstå hva han eller hun samtykker i. Nødvendig informasjon som er regnet opp i forarbeidene samsvarer med innholdet i informasjonsplikten som er oppramset i helseregisterloven § 23. Her går det blant annet frem at man skal få informasjon om hvorvidt opplysningene skal utleveres og hvem som er mottaker, og at den behandlingsansvarlige skal gi informasjon som gjør den registrerte i stand til å bruke sine rettigheter etter loven.
     Dette kan enten skje på registreringstidspunktet, eller i etterkant hvis den informasjonen som ble gitt opprinnelig ikke er tilstrekkelig for å kunne oppnå formålet om å sette den registrerte i best mulig stand til å ivareta sine rettigheter.
     Det er naturlig å unnta for informasjonsplikt hvis den registrerte allerede kjenner til innholdet i informasjonen. Ordlyden i helseregisterloven §§ 23 og 24 angir at det kan gjøres unntak fra informasjon når det er «på det rene» at den registrerte kjenner innholdet fra før. Dette er et relativt strengt krav som innebærer at den behandlingsansvarlige må være sikker på at informasjonen er kjent før unntaket kan anvendes.
     I mange tilfeller kan være tilstrekkelig å gi den registrerte informasjon en gang, mens det ved langvarig behandling eller gjentatt innsamling må gis informasjon jevnlig. I forarbeidene til helseregisterloven, ot.prp. nr. 5, 1999-2000 s 137 går det frem at det ikke utløses ny informasjonsplikt dersom samme behandling gjentas mange ganger, for eksempel gjennom oppdatering av registre.

B) Vurdering av ulempene behandlingen medfører
Klager anfører at Datatilsynet ikke har vurdert om vilkårene som stilles i konsesjonen reduserer ulempene for de registrerte.
     Informasjon om behandlinger om seg selv anses som en helt grunnleggende personvernrettighet, og kunnskap er en avgjørende faktor for å kunne ivareta rettighetene man har som registrert.
     SmerteReg er opprettet som et permanent kvalitetsregister. Samtykket som er avgitt i forbindelse med rekruttering til registeret, må være gyldig for hele registerets eksistens. Helseregisterloven stiller krav om at samtykker skal være informerte, frivillige og uttrykkelige.
     Ulempene for personvernet til den enkelte består etter Datatilsynets oppfatning i at den løsningen som det er lagt opp til i registeret i prinsippet kan tilfredsstille helseregisterlovens og personopplysningslovens plikter til å gi informasjon.
     Datatilsynets vurdering er imidlertid at det kan være vanskelig å overskue konsekvensene av hva et samtykke til deltakelse i et permanent kvalitetsregister kan bli. I mange tilfeller endrer registre seg, og Datatilsynets opplevelse er at opprinnelige samtykker blir strukket langt og anses å ha en rekkevidde i mange tilfeller ikke har vært mulig å forutse ved inkludering. Dette ble for eksempel resultatet i Personvernnemndas avgjørelse i PVN-2013-14, Farmers biobank, hvor man kom til at samtykker som var avgitt for ca. 20 år siden fortsatt ble ansett gyldige selv om prosjektet etter Datatilsynets oppfatning hadde endret seg både i omfang, formål og varighet.
     Dette er etter Datatilsynets oppfatning en klar ulempe som må ivaretas gjennom tilstrekkelig informasjon om behandlinger som faktisk foretas – ikke bare de som er planlagt ved oppstart.

C) Om ivaretakelse av informasjonsplikt knyttet til forskningsprosjekter
Helse Bergen anfører at informasjonsplikten ivaretas gjennom REKs saksbehandling og godkjenning av forskningsprosjekter.
     Datatilsynet er enig i at dette i mange prosjekter kan være tilfelle. Imidlertid mener tilsynet at det er et moment av betydning at REKs myndighetsområde er knyttet til enkeltprosjekter innen helseforskning. Formålet med SmerteReg er både forskning og kvalitetssikring, og det er derfor grunn til å tro at mange behandlinger av personopplysninger fra registeret skjer uten forhåndsvurdering fra REK.
     Som eksempel hjemler helsepersonelloven § 26 behandling av helseopplysninger for intern kvalitetssikring. Slik behandling av opplysninger blir i praksis ofte unntatt fra informasjonsplikten.
     I tillegg vurderer REK enkeltprosjekter isolert sett. For å ta stilling til om informasjonsplikten i varetas i stilstrekkelig grad totalt sett i SmerteReg, er det etter Datatilsynets vurdering helt avgjørende å knytte vilkåret til selve registeret og ikke henvise til vurderinger i enkeltprosjekter som utledes fra registeret.

D) Vurderingen av om det gis tilstrekkelig informasjon uten Datatilsynets vilkår
Helse Bergen mener at den samlede informasjonen som gis i forbindelse med deltakelse i SmerteReg er tilstrekkelig for at helseregisterloven §§ 23 og 24 kan anses oppfylt. Det vises til informasjonsskriv og samtykker, nettsiden for registeret og til eventuelle nyhetsbrev.
     En slik løsning forutsetter aktivitet fra den registrerte selv, ved at han eller hun kan oppsøke nettsiden for informasjon. Datatilsynet mener at dette i prinsippet kan tenkes å oppfylle informasjonsplikten som følger av helseregisterloven, særlig i kombinasjon med andre informasjonstiltak som jevnlige nyhetsbrev.
     Tilsynet er imidlertid svært betenkt over at tilgangen til informasjon i løsningen forutsetter aktivitet fra den registrerte selv. Registeret er permanent, og tidsaspektet er et klart moment som taler for at aktiviteten som informasjonen forutsetter bør ligge hos den behandlingsansvarlige og ikke hos den registrerte selv. Det er nærliggende å anta at bevisstheten rundt deltakelsen er synkende over tid, og at det derfor vil være nødvendig å gi ny informasjon om behandlingene som foretas. Tilsynet mener at det er den behandlingsansvarlige som har aktivitetsplikten her og da må det legges opp til en løsning som ligger så nær de registrertes behov og ikke innrettes med tanke på den behandlingsansvarlige først og fremst.

E) Datatilsynets vurdering av vilkårets gyldighet
Datatilsynet har kommet til at vilkåret er nødvendig for å sikre at de registrertes grunnleggende rett til informasjon blir ivaretatt. En aktiv plikt til løpende informasjon vil etter
Datatilsynets oppfatning, redusere den ulempen risikoen for manglende informasjon innebærer. Vilkåret anses å ha nær og saklig sammenheng med vedtaket og formålet med konsesjonsregulering etter personvernregelverket.
     Datatilsynets oppfatning er at informasjonsplikten som følger av helseregisterloven §§ 23 og 24 ligger tett opp til vilkåret Datatilsynet har stilt for konsesjonen, og at vilkåret til en viss grad dekker informasjonsplikten som følger av helseregisterloven.
     Datatilsynet har ikke stilt noen krav knyttet til hvordan den praktiske gjennomføringen av informasjonsplikten skal gjøre. Datatilsynet antar at helseforetaket har metoder og løsninger for å ivareta informasjonsplikt og kommunikasjon med sine pasienter som kan benyttes også i SmerteReg, blant annet gjennom fremtidig bruk av sikker digital kommunikasjon med respondentene. Tilsynet er åpne for at det finnes løsninger for den praktiske gjennomføringen av informasjonsplikten som gjør vilkåret forholdsvis enkelt å gjennomføre. Vilkåret anses følgelig ikke urimelig tyngende for Helse Bergen.
     Vilkåret i konsesjon av 20. mars 2014 anses gitt innenfor rammene i personopplysningsloven § 35, jf § 33 og helseregisterloven § 5 og de kravene som følger av generelle forvaltningsrettslige prinsipper ved bruk av vilkår.

5 Personvernnemndas syn

SmerteReg er et nasjonalt medisinsk kvalitetsregister basert på samtykke fra de registrerte. Datatilsynet har gitt konsesjon til registeret etter den gamle helseregisterloven (opphevet 31.12.2014), og har stilt vilkår, med hjemmel i personopplysningsloven § 35, jf § 33, jf dagjeldende helseregisterlov § 5, om at de registrerte skal gis jevnlig informasjon om hvordan opplysninger i registeret blir brukt:

De behandlingsansvarlige for Nasjonalt kvalitetsregister for smertebehandling skal gi de registrerte jevnlig informasjon om hvordan dataene i registeret brukes, herunder utleveringer, koblinger og opplysninger om konkrete prosjekter. Retten til informasjon kan også anses ivaretatt dersom den er gitt i forbindelse med konkrete prosjekter.

Spørsmålet er om vilkåret er lovlig.
     Det følger av personopplysningsloven § 35 at det er tillatt å stille vilkår, «når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte». Bestemmelsen i § 35 utdyper ikke selv hvilke betraktninger som skal gjøres ved vurderingen av vilkårets lovlighet. Den ulovfestede vilkårslæren vil supplere bestemmelsen. Vilkårene som stilles skal være formålsmessige og forholdsmessige.
     Personvernnemnda har vurdert formålsmessigheten og forholdsmessigheten ved vilkåret. Når det gjelder formålsmessighetskravet, legger nemnda til grunn at gitt at samtykket er så bredt som i denne saken, kan det bli det vanskelig for den registrerte å ha oversikt over hvordan opplysningene vil brukes fremover i tid. Vilkårets formål er nettopp å sikre den registrertes personverninteresser. Det pålegger behandlingsansvarlig å sørge for regelmessig informasjon til de registrerte i samsvar med formålet. Dermed finner nemnda at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Det er dog ikke tilstrekkelig at informasjonen utelukkende legges ut på nett. Dette forutsetter at de registrerte selv må huske at de er registrert og komme på å sjekke hva som skjer med deres personopplysninger. Nemnda er derfor enig med Datatilsynet i at informasjonen må sendes ut til de registrerte.
     For så vidt gjelder forholdsmessighetskravet vurderer nemnda to sider av vilkåret «jevnlig informasjon om hvordan dataene i registeret brukes» (nemndas utheving). En naturlig språklig forståelse av «hvordan dataene i registeret brukes» tilsier at et standardisert nyhetsbrev til alle registrerte er tilstrekkelig, typisk med informasjon om registeret og om planlagte og pågående prosjekter. Hva gjelder vilkåret om at informasjonen skal være «jevnlig», er dette upresist og åpner for tolkningstvil. Vilkår må være konkrete og målbare. Den upresise formuleringen avhjelpes av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter.
     Under forutsetning av en slik forståelse av det stilte vilkåret, finner nemnda at vilkåret er lovlig.

6 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 6. november 2015

Eva I E Jarbekk
Leder