Home

PVN-2006-13 Personopplysninger i forsikringssak

Datatilsynets referanse: 
05/00516-10/sve

Personvernnemndas avgjørelse av 21. mars 2007 (Jon Bing, Gro Hillestad Thune, Siv Bergit Pedersen, Leikny Øgrim, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager.

2 Saksgang

Datatilsynet mottok den 30.3.2005 et brev fra klager (datert 23.3.2005) som gjaldt ønske om uttalelse fra Datatilsynet om hvorvidt det er brudd på personopplysningsloven i forbindelse med en utarbeidet spesialisterklæring.

I brev av 27.5.2005 gir Datatilsynet uttrykk for at det ikke finner det naturlig å intervenere i saken. Datatilsynet mener at saken gjelder helsepersonellovens bestemmelser om taushetsplikt.

Klager rettet en ny henvendelse til Datatilsynet den 22.7.2005 og ber om en ny vurdering av saken. Datatilsynet opprettholder sitt syn i brev av 25.8.2005.

Klager retter nok en henvendelse til Datatilsynet den 15.3.2006, som blir purret ved brev 27.6.2006.

Datatilsynet besvarte henvendelsen 13.7.2006, som ble påklaget ved brev av 18.9.2006.

Personvernnemnda mottok saken fra Datatilsynet 17.11.2006. Klager ble orientert om dette i brev fra nemnda samme dag. Klager utdypet klagen i brev av 18.1.2007.

3 Faktum og anførsler

Klager har vært utsatt for tre trafikkulykker (i 1992, 1996 og 1999) og Vesta forsikring (heretter ”Vesta”) ønsket en utredning av trygdemedisinsk karakter.

Klager underskrev en fullmakt til Vesta – Erklæring om fritak for taushetsplikt – og ga forsikringsselskapet fullmakt til å innhente ”fullstendig og uredigert kopi av journaler, epikriser, rapporter og trygdedokumenter”. I fullmakten er det inntatt begrensning om at ”fullmakten gjelder ikke identifiserbare opplysninger om andre enn den som har underskrevet”. Videre følger det av fullmakten at ”De angitte kilder/instanser løses med dette fra taushetsplikten tilsvarende denne fullmakten. Skulle selskapet finne det nødvendig med opplysninger ut over dette, må det innhentes særskilt fullmakt”.

Vesta ba om at det ble utarbeidet en spesialisterklæring i saken. I brevet fra Vesta til legen ble det bedt om følgende:

”I forbindelse med spesialisterklæringen bes det om at det i tillegg til den rent kliniske undersøkelse også gis en beskrivelse av skadelidtes helse, trygde- og sykehistorie og at det særskilt redegjøres for omstendighetene i forbindelse med ulykken”

I spesialisterklæringen nedtegnet legen også taushetsbelagt og sensitiv informasjon om andre personer enn klager. For eksempel ble det nedtegnet at klagers samboer er sykemeldt, at begge foreldrene er uføretrygdet og at også klagers søstre har psykiske plager og nakkeplager. Denne informasjonen fikk legen under samtalen med klager, ikke fra andre kilder.

Klager mener at spesialisterklæringen som ble utarbeidet ikke er i samsvar med pasientjournalen, til tross for at de er skrevet av samme person. Videre fremgår det av spesialisterklæringen ulike personopplysninger om andre personer enn pasienten, uten at det er innhentet samtykke fra disse. Klager anfører videre at det i mandatet er bedt om en redegjørelse av trygdemedisinske forhold, og at legen i spesialisterklæringen har gått ut over fullmaktens rammer.

Klager ønsker en uttalelse fra Datatilsynet om hvorvidt de ovennevnte forhold er å anse som brudd på personopplysningsloven.

Saken ble først forelagt Helsetilsynet i Vestfold, som i brev av 26.9.2005 konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet påpeker blant annet at det er vanlig at nær families helsetilstand og psykososiale forhold blir innhentet, men det fremkommer imidlertid ikke av spesialisterklæringen om det er innhentet fullstendig familieanamnese. Helsetilsynet mente imidlertid ikke at det dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55.

4 Datatilsynets vurdering

Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen. Spørsmålet om hva legen nedtegnet av informasjon er et spørsmål om helsepersonells taushetsplikt. Taushetsplikten er særskilt regulert i helsepersonelloven, som her går foran personopplysningsloven, jf helseregisterloven § 36, jf personopplysningsloven § 5.

Vesta har konsesjon fra Datatilsynet. Konsesjonen fastsetter premisser for hvordan selskapet skal behandle og innhente personopplysninger. Vilkår nr 3 i konsesjonen er en presisering av grunnvilkåret i personopplysningsloven § 11 bokstav d. Bestemmelsen retter seg både mot den enkelte lege som utleverende behandlingsansvarlig og mot Vesta som mottaker og behandlingsansvarlig hva gjelder de personopplysninger som benyttes i forsikringssaken.

Den enkelte lege må forsikre seg om at kun de opplysninger som er nødvendig for å oppfylle det relevante formålet – å opplyse forsikringssaken – utleveres. Vesta på sin side, plikter å ikke etterspørre mer informasjon enn det som er nødvendig for å få belyst alle forhold rundt den skade det kreves erstatning for.

Den enkelte lege er derfor avhengig av forsikringsselskapets spesifikasjon av de forhold som skal belyses. Den aktuelle saken er relatert til tre trafikkulykker. I samsvar med relevanskravet, kan Vesta be om alle opplysninger som er relevante for denne vurderingen. Dette gjelder alle skader som er en følge av ulykkene, men også skader eller lignende plager som vedkommende hadde forut for at ulykkene inntraff. Datatilsynet legger til grunn Helsetilsynet i Vestfolds uttalelse om at det er vanlig at nær families helsetilstand og psykososiale forhold blir nedtegnet i slike erstatningssaker.

Det følger av relevanskravet at et forsikringsselskap som hovedregel ved tegning av forsikring kun kan innhente ytterligere informasjon om de forhold forsikringssøker har oppgitt i egenerklæringen, mens innhenting av ytterligere informasjon ved oppgjør må knyttes til meldt sykdom eller skade.

Dersom det er nødvendig for å opplyse saken, vil det deretter foreligge en mulighet for å innhente informasjon om beslektede/relaterte/lignende skader/sykdommer/tilfeller til oppgitte eller meldte forhold. Uredigert journal kan kun innhentes i unntakstilfeller. Etter Datatilsynets mening bør man ikke be om samtykke til dette før innhenting av uredigert journal fremstår som tvingende nødvendig.

Slik Datatilsynet forstår helsepersonelloven, samsvarer relevanskravet i stor grad med vurderingene etter bestemmelsene om taushetsplikt. Forsikringsselskapet skal spesifisere hva slags forhold som ønskes belyst av avgiver. Fullmaktene som forsikringsselskapet benytter må derfor gjenspeile dette. Datatilsynet mener at denne spesifisering savnes i den forelagte fullmakt. De medisinske opplysninger som det bes om, må etter Datatilsynets oppfatning knyttes til den sykdommen eller skaden det søkes erstatning for.

Datatilsynet legger Helsetilsynets i Vestfolds konklusjon om at spesialisterklæringen ”ikke er utarbeidet i henhold til god praksis” til grunn. Etter Datatilsynets oppfatning kan det synes som om relevanskravet er vurdert av legen på en måte som ikke umiddelbart fremstår i samsvar med behovet i den aktuelle saken. Datatilsynet vil på ingen måte gi uttrykk for at det er akseptabelt å utlevere opplysninger som synes å være av begrenset relevans. Legen er ikke pliktsubjekt etter Vestas konsesjon, og har således ikke brutt denne. Sett hen til dette, og at Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning.

5 Personvernnemndas merknader

Spørsmålet for Personvernnemnda er om det har skjedd et brudd på personopplysningsloven i denne saken.

I saken nedtegnet legen informasjon om andre enn klager i spesialisterklæringen som skulle brukes av Vesta i en forsikringssak som gjaldt klager. Nærmere bestemt nedtegnet legen personopplysninger om klagers samboer, søstre og foreldre. Legen er i henhold til klagers samtykkeerklæring fritatt for taushetsplikt i forhold til klager, men fullmakten gjelder ikke identifiserbare opplysninger om andre enn den som har underskrevet.

Personvernnemnda har forstått det slik at det ofte er medisinsk relevant å ta med hele familiens sykehistorie når man skal behandle en pasient. Imidlertid er det etter nemndas syn stor forskjell på å nedtegne opplysninger om pasientens familie i behandlingsøyemed og å utlevere personopplysninger om andre enn pasienten til et forsikringsselskap. Det er bare opplysninger om den som har samtykket som kan gis videre til forsikringsselskapet.

Slik Personvernnemnda ser det, er utlevering av personopplysninger om andre enn den som har samtykket sannsynligvis et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Disse reglene er spesialregulering og går foran personopplysningslovens regler, jf personopplysningsloven § 5.

Det følger av helseregisterloven § 36 at ”i den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser”. Det følger av samme lov § 11, 1. ledd at ”enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet” og i § 14, 1. ledd heter det at ”helseopplysninger kan utleveres eller overføres til sammenstilling som er tillatt etter § 12”. ”Helseopplysninger kan dessuten utleveres eller overføres når utlevering eller overføring har hjemmel i eller i medhold av lov, og den som mottar opplysningene har adgang til å behandle dem etter personopplysningsloven”, jf helseregisterloven § 14, 2. ledd.

Det følger av helseregisterloven § 15 at ”enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13 e og helsepersonelloven”. Hovedregelen om taushetsplikt for helsepersonell finnes i helsepersonelloven § 21: ”Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell”. Det følger av § 22 at ”taushetsplikt etter § 21 er ikke til hinder for at opplysninger gjøres kjent for den opplysningene direkte gjelder, eller for andre i den utstrekning den som har krav på taushet samtykker”. En lege har med andre ord taushetsplikt om det pasienten forteller. Det gjelder også i forhold til det pasienten forteller om andre personer, slik at dette ikke kan formidles videre. En pasient kan ikke samtykke på vegne av andre personer, pasienten kan bare frita legen for taushetsplikt i forhold til opplysninger om pasienten selv.

I helsepersonelloven kapittel 11 reguleres også reaksjoner ved brudd på lovens bestemmelser, for eksempel advarsel, tilbakekall av autorisasjon, suspensjon mv., jf lovens §§ 55 flg. Helsetilsynet i Vestfold konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte det imidlertid slik at det ikke dreide seg om så grov uaktsomhet at det forelå mulig pliktbrudd som etter lovens § 55 burde bli sendt til Statens helsetilsyn for behandling. Personvernnemnda tar vedtaket fra Helsetilsynet i Vestfold til etterretning. Når saken er vurdert av Helsetilsynet i Vestfold som mulig taushetspliktsbrudd etter helsepersonelloven og Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes, må Personvernnemnda legge dette til grunn. Dette selv om opplysningene sannsynligvis ble utlevert i strid med taushetsplikt, noe Personvernnemnda ikke kan fastslå med sikkerhet idet nemnda ikke kjenner hele saken. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven. Nemnda stadfester derfor Datatilsynets vedtak.

6 Vedtak

Klagen tas ikke til følge.

Oslo, 21. mars 2007

Jon Bing
Leder