Hjem

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2013-16 Folkeregisteret

Klage på Datatilsynets vedtak om avslutning av sak vedrørende feilregistreringer hos Folkeregisteret

Klager pålagde Datatilsynets avslutning av saken. Klager opplevde at sønnens nasjonalitet ble uriktig registrert, at sønnen ikke fikk registrert bostedsadresse, samt manglende innsyn. Personvernnemnda kom til samme konklusjon som Datatilsynet. Personvernnemnda er enig med Datatilsynet i at problemstillingen reguleres av folkeregisterloven og folkeregisterforskriften. Folkeregisterloven er lex specialis. Klager ble veiledet og oppfordret til å klage sin sak til de rette myndigheter. Det har klager også gjort. Personvernnemnda finner at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt etter forvaltningsloven i denne saken.

PVN-2013-15 Oslo universitetssykehus

Klage på avslag på søknad om konsesjon til kobling av data mellom et allerede eksisterende forskningsprosjekt og data i Kreftregisteret og Reseptregisteret

SPCG-7/SFUO-3 studien – langtidsoppfølging ved registerkobling. I samtykkeskjemaet har pasientene samtykket til gjennomgang av pasientjournalen, men klager ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret. Det er imidlertid et forbud mot samtidig tilgang i reseptregisterforskriften § 4-1. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til slik kobling, med mindre koblingen er pseudonymisert eller den registrerte samtykker. Personvernnemnda slutter seg til Datatilsynets vedtak i denne saken.

PVN-2013-14 Farmers' biobank

Klage på Datatilsynets vedtak om avslag på konsesjonssøknad

Personvernnemnda kom til at det opprinnelige samtykket også omfatter slik forskning som det nå søkes om. Den foreliggende informasjon og samtykkegrunnlaget dekker imidlertid ikke en overføring til utlandet.

PVN-2013-13 Anmodning om gjenåpning av OBOS-sak

Klage på Datatilsynets avvisningsvedtak vedrørende anmodning om gjenåpning av OBOS-sak

Nemnda konkluderte med at en lagmannsrettsdom av 11.2.2013 ga klageren en legitim interesse i å få bragt på det rene hvorvidt de aktuelle dokumenter foreligger hos OBOS eller hos Advokatkontoret i OBOS. Nemnda kom til at klagers sak ikke ble tilfredsstillende utredet av Datatilsynet. Saken sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 35, jf. § 41.

PVN-2013-12 Curato Røntgen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-11 Oslo universitetssykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-10 Helse Stavanger

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-09 Helse Bergen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-08 Haraldsplass Diakonale Sykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-07 Nyrebiopsiregisteret

Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger – Det Norske Nyrebiopsiregisteret

Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.