Personvernnemndas avgjørelse av 28. august 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang.
2 Saksgang og faktum
Datatilsynet fikk i mars 2012 kjennskap til uautorisert uthenting av helseopplysninger fra flere virksomheter til leverandøren GE Healthcare Systems (heretter GE). Tilsynet var kjent med at leverandøren hadde kontaktet virksomheten. Leverandøren og en rekke virksomheter har også kontaktet Datatilsynet og/eller Helsetilsynet. Avviket gjaldt 11 virksomheter.
Den 18. juli 2012 fattet Datatilsynet følgende vedtak overfor Sørlandet sykehus HF (SSHF):
Virksomheten må informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterloven § 23 første ledd nr. 5
SSHF påklagde dette vedtaket i brev av 18.7.2012. Datatilsynet oversendte flere lignende saker til behandling i Personvernnemnda, men valgte ikke å oversende SSHFs klage til nemnda. Datatilsynet orienterte i et brev av 5. juli 2013 at det ville avvente nemndas
behandling før det tok videre skritt i SSHFs sak. Personvernnemndas avgjørelse i nevnte saker ble avsagt 13. desember 2013.
Etter Personvernnemndas avgjørelse i sak PVN-2013-05 gjorde Datatilsynet en fornyet vurdering av SSHFs klage. Denne vurderingen ble oversendt SSHF i et brev datert 19. februar 2014. I dette brevet vurderer tilsynet Personvernnemdas avgjørelse opp mot faktum i SSHFs sak og kommer fram til at praksis fastsatt i PVN-2013-05 m.fl. gjør seg gjeldende i denne saken. Tilsynet ba her SSHF vurdere å trekke sin klage.
SSHF besvarte på denne henstillingen i brev datert 21. mars 2014. Her konkluderer SSHF motsatt av Datatilsynet og ønsker å opprettholde sin klage. Datatilsynets øvrige vedtak er ikke påklaget.
Saken ble oversendt Personvernnemnda 26.11.2014, som mottok saken 4.12.2014. Klager ble orientert om dette i brev fra nemnda datert 8.12.2014, med frist til uttalelse innen 8.1.2015. Klager har ikke kommentert saken.
3 Klagers anførsler
SSHF anfører at opplysningene som ble utlevert var bare en liste med personnummer – i alt 2800. Det er ingen tilknytning mellom personnummer og type undersøkelse. Personnumrene inngår i en struktur som er vanskelig å lese. Opplysningene var sikret i forsendelsen fra sykehuset til GEs miljø i USA. Opplysningene oppbevares på en sikker måte hos GE. Opplysningene har ikke vært tilgjengelige for andre enn GE-ansatte.
SSHF stiller spørsmål ved hva informasjonen til berørte personer vil føre til. Informasjonen vil bare skape forvirring og utrygghet.
Endelig viser SSHF til en sak fra 2008, sak 08/01556 hvor avvik hos Skatteetaten ikke medførte at Skatteetaten måtte informere den enkelte registrerte.
4 Datatilsynets vurdering
4.1 Opplysningenes art
SSHF presiserer at det i denne saken kun er utlevert en liste med personnummer. Datatilsynet antar at man med dette mener det 11-sifrede fødselsnummeret.
Personvernnemndas avgjørelse PVN-2013-05 er relevant for vurderingen av SSHFs klage. Nemndsavgjørelse PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12 gjelder tilsvarende saker. Personvernnemnda har i de tidligere GE-sakene vurdert fødselsnummer og vekt, og i ett tilfelle ytterligere kliniske opplysninger. Opplysningene i SSHFs sak er mer begrenset enn i Personvernnemndas tidligere GE-saker.
I sak PVN-2013-05 har det foregått uthenting av opplysninger om pasienters fødselsnummer og vekt for pasienter som har vært til MR-undersøkelse. I denne saken fikk klagen ikke medhold og informasjonsplikten ble opprettholdt. I SSHFs sak er personopplysningene noe mer begrenset ettersom det kun er fødselsnummer som er utlevert.
Datatilsynet vurderer Personvernnemndas vedtak slik at spørsmålet om oversendelse av vektopplysninger ikke er avgjørende for nemndas konklusjon. Nemndas vurderinger er peker i retning av at den registrertes interesse i å bli informert ikke er direkte knyttet til personopplysningenes innhold. Nemnda sier blant annet:
Nemnda ser det slik at personverninteresser anses som viktige og vernet, in casu utover en ren presiserende tolkning av hjemmelsreglene. Ved en slik tolkning legger nemnda særlig vekt på at interessen i å vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer, er en helt sentral personverninteresse.
Det mest beskyttelsesverdige i denne saken er ikke først og fremst selve dataene, men informasjonen som kan utledes av datauttrekket – altså personopplysningenes kontekst. Altså er det informasjonen om at en person har vært innkalt til eller har vært på undersøkelse om krever beskyttelse. Denne informasjonen er tilsvarende for SSHFs avvik, jf PVN-2013-05. Datatilsynet vurderer det derfor slik at Personvernnemndas vedtak ville blitt tilsvarende for SSHFs sak.
Datatilsynet vil også påpeke at nemnda har konkludert med at økonomiske konsekvenser for den databehandlingsansvarlige ikke er avgjørende for vurderingen av informasjonsplikten. Om dette sier nemnda:
Nemnda har vurdert konsekvensene for den behandlingsansvarlige, og veid disse mot interessen i personvern, i vurderingen av reelle hensyn som ligger til grunn for konklusjonen. Nemnda ser at dette vil påføre sykehuset ekstra omkostninger i form av varsling av de omtalte pasientene. Nemnda ser det likevel slik at sykehuset er nærmest til å bære risikoen for slike omkostninger.
Datatilsynets egen praksis tilsier at også utlevering av fødselsnummer og informasjon om screening utløser individuell informasjonsplikt. Dette framkommer av sak 12/00903 (Aleris). I denne saken ble det fattet vedtak om individuell informasjonsplikt overfor de registrerte selv om opplysningene som var utlevert var kun fødselsnummer.
4.2 Sammenligning med andre saker om utlevering av fødselsnummer
I Datatilsynets sak 08/01556 overfor Skattedirektoratet ble det som tidligere nevnt ikke fattet vedtak om individuell informasjonsplikt.
Saken innebar at informasjon om alle landets innbyggere over 16 år ble sendt på CD til 9 redaksjoner. CD’ene inneholdt følgende informasjon:
- Navn
- Alder
- Postnummer
- Poststed
- Bostedskommune
- Inntekt, skatt og formue
- Fødselsnummer
Denne informasjonen har Skattedirektoratet anledning til å utlevere etter likningsloven § 8-8, med unntak av det siste punktet. Altså var intensjonen at den aktuelle informasjonen skulle utleveres – med unntak av fødselsnumrene.
Datatilsynet mener Skatteetatens sak ikke tilsier at det ikke kan stilles krav om individuell informasjon i GE-sakene.
Først og fremst er bakgrunnen for at Datatilsynet krever individuell informasjonsplikt i GEsaken, og ikke i Skatteetatens sak, at opplysningenes art er ulike. I Skatteetaten-saken var opplysningene som ble urettmessig utlevert kun fødselsnummer. Fødselsnummer er særskilt regulert i personopplysningsloven§ 12. Det går an å tolke loven slik at lovgiver har ment at fødselsnummer skal ha noe sterkere beskyttelse enn andre ikke-sensitive personopplysninger. Personopplysningsforskriften § 10-2 stiller også spesifikke krav til beskyttelse av fødselsnummer ved elektronisk og postal forsendelse. Fødselsnummer er derimot ikke en sensitiv personopplysning, jf personopplysningsloven § 2 nr 8.
Opplysningene som er utlevert i denne saken er fødselsnummer. Disse opplysningene fremstår isolert sett som ordinære personopplysninger. Datatilsynet har imidlertid tidligere i saken kommet frem til at opplysningene er beskyttelsesverdige ut fra sin kontekst. Det at et fødselsnummer finnes i det utleverte datauttrekket tilsier at de aktuelle personene har vært innkalt til eller har vært på undersøkelse. Datatilsynet vurderer det slik at dette er opplysninger om helse, og dermed sensitive personopplysninger, jf personopplysningsloven § 2 nr 8. Personopplysningsloven setter sensitive personopplysninger i en særstilling. Datatilsynet mener dette gjør at individuell informasjonsplikt er nødvendig i GE-sakene.
I tillegg vil Datatilsynet nevne at individuell informasjonsplikt ikke ble vurdert av Datatilsynet i sak 08/01556. Det betyr at det er tvilsomt om det kan utledes presedens som peker i retning av at individuell informasjonsplikt ikke er påkrevet i utleveringssaker.
Til slutt vil Datatilsynet nevne at tilsynets praksis med å fatte vedtak om individuell informasjonsplikt ved tilfeller av uautorisert utlevering av personopplysninger er av nyere dato. Skatteetatens sak er fra 2008. Datatilsynets forvaltningspraksis har utviklet seg på dette området fra 2008.
4.3 Sikkerhet i lagring og forsendelse – tilgang for utenforstående
SSHF presiserer at opplysningene var sikret både ved forsendelse til GE og at opplysningene oppbevares på en sikker måte nå. SSHF presiserer også at opplysningene som GE har hentet ut har vært tilgjengelig for ansatte i GE og ikke noe tyder på at opplysningene har lekket fra GE til andre. Datatilsynet mener at disse forholdene ikke er relevante i vurderingen av om overføringen til GE i seg selv var lovstridig.
5 Personvernnemndas syn
Det har skjedd et avvik i form av en uautorisert uthenting av data fra røntgenapparater fra Sørlandet sykehus til GE i USA. Opplysningene kommer fra undersøkelser gjennomført i to røntgeninstallasjoner som benyttes til hjerteundersøkelser. Det er overført følgende personopplysninger om 2800 personer:
- Hospital: Sørlandet Sykehus
- Type: VASC
- PasID: Fødselsnummer (fødselsdato + personnummer)
- Pasientname: NA
De overførte opplysningene er personopplysninger, og omfattes også av definisjonen av helseopplysninger, jf helseregisterloven § 2 a) og definisjonen av sensitive personopplysninger, jf personopplysningsloven § 2 nr 8 bokstav c).
Det rettslige spørsmål er hvorvidt det foreligger varslingsplikt overfor de registrerte om avviket og, dersom slik plikt foreligger, hvorvidt sykehuset skal varsle de berørte personer individuelt eller kollektivt, jf personopplysningsloven § 19.
Klager er villig til å informere de registrerte, men ønsker å gjøre dette kollektivt. Tilsvarende saker er blitt behandlet i PVN-2013-05, PVN-2013-08, PVN-2013-09, PVN-2013-10, PVN-2013-11 og PVN-2013-12.
5.1 Foreligger det varslingsplikt?
Det følger av personopplysningsloven § 19 at når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte. Personvernnemnda har tidligere tolket den gamle helseregisterloven § 23 med tilsvarende ordlyd. Den nye helseregisterloven har ikke tilsvarende bestemmelse. I PVN-2013-05 uttalte nemnda at:
Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Varslingsplikten gjelder i forkant av innsamlingen, jf § 19 bokstav c). Ordlyden sier «samles inn», «først» og «vil bli». Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted, uten at varsling ble foretatt.
Også i nærværende sak deler nemnda seg i et flertall og et mindretall.
Flertallet (Eva I E Jarbekk, Ørnulf Rasmussen, Gisle Hannemyr, Marta Ebbing, Ann R Sætnan og Nina Melsom) er kommet til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Retten til å være informert om hvor dine persondata befinner seg er kjernen i personvernet selv om det ikke følger direkte av personopplysningsloven § 19, jf nemndas drøftelse i PVN-2013-05. Det avgjørende for flertallet er at det har skjedd en uautorisert uthenting av personopplysninger gjennom leverandørs fjerntilgang, slik at personopplysningene utilsiktet har havnet i en annen jurisdiksjon. Flertallet legger også vekt på at Artikkel-29-gruppen har uttalt at det foreligger varslingsplikt ved avvik, jf Opinion 03/2014 on Personal Data Breach Notification. Artikkel-29-gruppen uttaler at:
When the personal data breach is likely to adversely affect the personal data or privacy of a data subject, the data controller shall also notify the data subject of the breach without undue delay.
Avviket må først varsles Datatilsynet. Deretter kan Datatilsynet, med grunnlag i en utvidende tolkning av personopplysningsloven § 19 og ulovfestede grunnleggende personvernprinsipper pålegge varsling av de registrerte – individuelt eller kollektivt. I denne saken har Datatilsynet pålagt individuell varsling.
Mindretallet (Arve Føyen)er fortsatt av den oppfatning at det ikke foreligger en varslingsplikt. Det vises til mindretallets begrunnelse i PVN-2013-05.
5.2 Er varslingsplikten individuell eller kollektiv?
Nemnda deler seg igjen i et flertall og et mindretall hva gjelder spørsmålet om individuell eller kollektiv varsling.
Flertallet (Eva I E Jarbekk, Ørnulf Rasmussen, Nina Melsom, Gisle Hannemyr og Ann R Sætnan) er kommet til at det i denne saken foreligger en individuell varslingsplikt og viser til nemndas flertalls resonnement i PVN-2013-05. Videre vises det til Artikkel-29 gruppens uttalelser i Opinion 03/2014 on Personal Data Breach Notification hvor det fremgår at individuell varsling er hovedregelen. Flertallet mener at det ikke foreligger grunn til å fravike hovedregelen i denne saken. Personopplysningene som har blitt overført gjelder potensiell hjertelidelse, noe som er en sensitiv personopplysning. De registrertes identitet er kjent og de kan tilskrives individuelt.
Mindretallet (Arve Føyen (subsidiært) og Marta Ebbing) finner at reelle hensyn kan tilsi en differensiering i måten varsling skjer på ut fra hvor sensitiv informasjon det er tale om. I denne saken gjelder den uautoriserte uthentingen av personopplysninger generelle opplysninger om type undersøkelse, sammen med fødselsnummer (herunder kjønn og alder), og ingen reelle helseopplysninger som høyde/vekt eller diagnose. Kollektiv informasjon vil være tilstrekkelig i tilfeller hvor den informasjon som er lekket er lite sensitiv.
Personvernnemnda avsa deretter et vedtak i samsvar med flertallets konklusjon.
6 Vedtak
Klagen tas ikke til følge.
Oslo, 28. august 2015
Eva I E Jarbekk
Leder