Personvernnemndas avgjørelse av 10. november 2008 (Jon Bing, Gro Hillestad Thune, Leikny Øgrim, Siv Bergit Pedersen, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets avvisningsvedtak. Klager mener at Datatilsynet skulle ha foretatt tilsyn hos en fysioterapeut som klager har vært pasient hos. Klager hadde klaget fysioterapeuten inn for Helsetilsynet for feilbehandling. Helsetilsynet fikk ikke pasientjournal som det ba om fordi fysioterapeuten hadde fått virus på datamaskinen og ødelagt harddisk. Fysioterapeuten sendte harddisken til datagjenvinningsfirmaet IBAS AS (heretter IBAS), men IBAS klarte ikke å gjenopprette eller rekonstruere innholdet. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften.
2 Saksgang og faktum
Klager hadde klaget inn sin fysioterapeut for Helsetilsynet i 2006. Det kom da frem at pasientopplysninger hadde gått tapt på grunn av et virus som hadde rammet fysioterapeutens harddisk. Fysioterapeuten kunne ikke fremlegge den dokumentasjon som Helsetilsynet hadde begjært utlevert.
Etter råd fra Datatilsynet påla Helsetilsynet fysioterapeuten å gjenopprette data som hadde vært lagret på harddisken. Fysioterapeuten sendte harddisken til den private aktøren IBAS som konkluderte med at det ikke var mulig å rekonstruere materialet. Helsetilsynets behandling av saken resulterte i at fysioterapeuten fikk en advarsel for brudd på journalforskriften. Saken ble avsluttet.
Etter at Helsetilsynet fattet sitt vedtak i saken, har Datatilsynet bistått klager i å få innsyn i konklusjonene fra IBAS. Etter gjentatte henvendelser fra Datatilsynet, mottok klager i mai 2008 en kopi av en e-post sendt fra IBAS til fysioterapeuten med IBAS’ konklusjoner.
I brev datert 13.7.2008 blir Datatilsynet bedt om å innhente harddisken for å gjenopprette de ødelagte data. Klager purret opp henvendelsen i e-post av 14.8.2008.
Datatilsynet besluttet i vedtak av 19.8.2008 å avvise klagers anmodning om å gjennomføre et tilsyn mot fysioterapeuten eller følge opp saken på annen måte. Klagers anmodning om at Datatilsynet skulle innhente fysioterapeutens harddisk for å gjenopprette klagers pasientjournal ble også avvist. Videre ble det i tilsynets vedtak konkludert med at klagers krav om innsyn i rapporten fra IBAS var oppfylt og således ferdigbehandlet.
Datatilsynets vedtak ble påklaget den 22.8.2008.
Personvernnemnda mottok saken fra Datatilsynet 2.10.2008. Klager ble orientert om dette i brev fra nemnda 6.10.2008, med frist til uttalelse innen 21.10.2008.
Klager sendte i brev av 3.10.2008 flere vedlegg i saken. I e-post av 14.10.2008 mottok Personvernnemnda ytterligere vedlegg i saken. I brev av 19.10.2008 (adressert til Datatilsynet) og 20.10.2008 sendte klager nye vedlegg i saken.
3 Klagers anførsler
Klagen knytter seg til tre forhold. For det første gjelder den avvisning av anmodningen om å gjennomføre et tilsyn. For det annet gjelder den avvisning av anmodning om å iverksette nye forsøk på å gjenopprette data. For det tredje gjelder den innsyn i rapporten fra IBAS.
Klager ønsker at Datatilsynet skal dobbeltsjekke fysioterapeutens harddisk. Han ønsker at Datatilsynet innhenter harddisken og eventuelt hele datamaskinen fra fysioterapeuten for å finne ”tilsvarende filer” som IBAS etterlyser. Datatilsynet må sende harddisken på nytt til et gjenopprettingsfirma fordi fysioterapeuten ikke har oppgitt gjenopprettingsårsak til IBAS. Harddisken må også sjekkes for virus. Videre stiller klager spørsmålstegn ved at fysioterapeuten ikke kunne legge frem journalen vinteren 2006 fordi han hadde fått virus. I følge Helsetilsynet førte imidlertid fysioterapeuten kun papirjournal frem til våren 2006.
Klager mener at Datatilsynet er rette organ når det gjelder datakriminalitet. Klager ber om at Datatilsynet bruker sin myndighet til å komme til bunns i denne saken.
Klager fikk innsyn på en ”uoffisiell måte” i det usignerte brevet med IBAS-rapporten vedlagt.
Klager ber om at Personvernnemnda sørger for at fysioterapeutens harddisk blir gransket.
4 Datatilsynets anførsler
Når det gjelder klagen på avvisningen av anmodningen om å gjennomføre et tilsyn, bemerker Datatilsynet at det følger av forvaltningsloven § 17 at ”forvaltningsorganet skal påse at saken er så godt opplyst som mulig før vedtak treffes”. Datatilsynet har en særlig plikt etter personverndirektivet art 28 nr 4 andre ledd til å bistå den registrerte i saker hvor det gjøres innhogg i den registrertes individuelle rettigheter med hjemmel i direktivets art 13, tilsvarende personopplysningsloven § 23 om unntak fra rett til innsyn og informasjon. Etter Datatilsynets vurdering har Helsetilsynets behandling av saken i tilstrekkelig grad belyst de spørsmål som knytter seg til klagers innsigelser overfor fysioterapeuten. Dette gjelder også de forhold som reguleres av det regelverket Datatilsynet håndhever. Datatilsynet finner det ikke formålstjenlig å gjennomføre et tilsyn mot en virksomhet som har vært underlagt kontroll av Helsetilsynet vedrørende de samme forhold. Datatilsynet er derfor av den oppfatning at det ikke er påkrevd å foreta et tilsyn mot fysioterapeuten.
For så vidt gjelder klagen på avvisningen av anmodningen om å iverksette nye forsøk på å gjenopprette data, bemerker Datatilsynet at IBAS utførte i 2007 et forsøk på å gjenopprette eller rekonstruere materialet. Datatilsynet finner ikke holdepunkter for å betvile kvaliteten på undersøkelsene gjort av IBAS eller resultatene av undersøkelsen. I klagen legges det vekt på at IBAS refererer til slagskader på harddisken, mens fysioterapeuten har opplyst at harddisken ble utsatt for et virusangrep. Slik Datatilsynet oppfatter rapporten er det ikke grunnlag for å anta at det er sannsynlig at nye forsøk på å rekonstruere harddiskens innhold vil være mer vellykkede.
I klagen anføres det at klager fikk tilgang til rapporten fra IBAS på en ”uoffisiell måte”. Det bestrides imidlertid ikke at klager har fått tilgang til rapporten. Datatilsynet er derfor av den oppfatning at spørsmålet om innsyn i rapporten ikke krever ytterligere behandling fra tilsynets side.
Datatilsynet mener at saken er tilstrekkelig opplyst og den krever ikke ytterligere oppfølgning fra tilsynets side.
5 Personvernnemndas merknader
I saken tar klager opp flere aspekter ved sin livssituasjon som han oppfatter som vanskelig. Personvernnemnda må begrense sin saksbehandling til klagesaken som ble behandlet i Datatilsynet og som faller inn under personopplysningslovens virkeområde.
Slik Personvernnemnda oppfatter denne saken, har Helsetilsynet behandlet en klage på feilbehandling. I forbindelse med sin saksbehandling, ba Helsetilsynet den innklagede fysioterapeuten om kopier av pasientjournalen. Fysioterapeutens faste magnetplate for lagring av data (harddisk) var skadet etter et virusangrep, derfor kunne ikke fysioterapeuten etterkomme anmodningen. Helsetilsynet ba deretter om råd fra Datatilsynet. Datatilsynet rådet Helsetilsynet til å be fysioterapeuten om å sende magnetplaten til en profesjonell aktør for gjenoppretting av data. Fysioterapeuten sendte magnetplaten til IBAS. IBAS er den fremste aktøren i Norge for gjenoppretting av data og IBAS’ gode renommé er kjent for nemnda. IBAS konkluderte med at innholdet på den faste magnetplaten ikke kunne gjenopprettes eller rekonstrueres. Etter hva Personvernnemnda forstår, fikk Helsetilsynet dermed et mindre fullstendig grunnlag for å behandle klagesaken. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften. Etter at saken var avsluttet hos Helsetilsynet, bisto Datatilsynet klager med å få innsyn i IBAS-rapporten. Etter en del purringer, fikk klager innsyn i rapporten.
Etter Personvernnemndas syn, har Datatilsynet gjort det som kan gjøres innenfor rammen av Datatilsynets virksomhetsområde i denne saken. Personvernnemnda er enig med Datatilsynet i at det ikke er formålstjenlig å gjennomføre et tilsyn mot en virksomhet som har vært underlagt kontroll av Helsetilsynet vedrørende de samme forhold. Videre har klager fått innsyn i IBAS-rapporten. Klageren krever imidlertid ytterligere granskning i saken for så vidt gjelder magnetplaten. Personvernnemnda ser det slik at når IBAS ikke klarer å gjenopprette eller rekonstruere innholdet på den faste magnetplaten, er det ikke sannsynlig at andre vil klare det. Saken må derfor anses som avsluttet.
6 Vedtak
Klagen tas ikke til følge. Datatilsynets vedtak opprettholdes.
Oslo, 10. november 2008
Jon Bing
Leder