Personvernnemndas avgjørelse av 16. februar 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets delvise avslag om konsesjon til behandling av helseopplysninger.
2 Saksgang
Datatilsynet mottok 17.6.14 en søknad fra Helsedirektoratet om konsesjon for behandling av helseopplysninger i forbindelse med utredning av behandlingstilbud for personer med kjønnsdysfori, transpersoner og transseksuelle. Da det viste seg at søknaden ikke var komplett fikk Datatilsynet ettersendt flere opplysninger i saken 3.7.14. Vedtak om delvis avslag på konsesjonssøknaden ble fattet 13.8.14 og oversendt Helsedirektoratet samme dag. Datatilsynet mottok klage fra Helsedirektoratet den 9.9.14. Klagen er datert 4.9.14.
Saken ble oversendt Personvernnemnda 5.12.2014, som mottok saken 5.1.2015. Klager ble orientert om dette i brev fra nemnda datert 6.1.2015, med frist til uttalelse innen 30.1.2015. Rapporten «Rett til rett kjønn – helse til alle kjønn» ble publisert av Helsedirektoratet med statistikk utarbeidet av Norsk pasientregister (NPR) 10.4.2015.
Personvernnemnda sendte Helsedirektoratet spørsmål vedrørende faktum i saken i brev av 28.9.2015. Personvernnemnda purret på svar i brev av 28.10.2015. Henvendelsen ble besvart av Helsedirektoratet i brev av 16.11.2015. Brevet ble videresendt til Datatilsynet 25.11.2015 for kommentarer. Datatilsynet kommenterte i epost av 9.12.2015. Personvernnemnda sendte da oppfølgingsspørsmål til NPR i brev av 10.12.2015. Brevet ble besvart av Helsedirektoratet/NPR i brev av 5.1.2016.
3 Faktum
Søknaden fra Helsedirektoratet gjelder konsesjon for å gjøre en utredning av helsetilbudet til personer med kjønnsidentitetstematikk. Det vil si personer med kjønnsdysfori, transpersoner og transseksuelle.
Utredningen skal utføres av en ekspertgruppe bestående av representanter for de relevante medisinske fagene og brukerne/pasientene – til sammen 18 personer.
Ekspertgruppen skal gjennomgå eksisterende utrednings- og behandlingstilbud til personer med kjønnsdysfori, vurdere behovene for og foreslå endringer i dagens pasient- og behandlingstilbud. En del av ekspertgruppas mandat er også å utrede hvilke kriterier som skal gjelde for endring av kjønn i Norge, herunder hvorvidt det gjeldende steriliseringskravet skal bortfalle og eventuelle konsekvenser av et slikt bortfall.
Utvalget i studien er alle pasienter diagnostisert med fire spesifikke tilstandskoder knyttet til kjønnsdysfori i 2011, 2012 og 2013. Uttrekket skal gjøres av Norsk pasientregister (NPR) og inneholde variablene:
Fødselsår, kjønn, diagnose, sykehus, helseforetak, helseregion.
Det er ikke nødvendig med direkte identifiserbare opplysninger for gjennomføringen av prosjektet. Det er imidlertid ikke mulig å anonymisere datasettet fordi utvalget er en svært
liten pasientgruppe, og kombinert med variabler som fødselsår og behandlende sykehus vil opplysningene uten store ressurser (arbeidsinnsats og kostnader) kunne tilbakeføres til enkeltpersoner.
NPR har gjort et prøveuttrekk for 2011 og funnet at det på de fire tilstandskodene er tale om 41 pasienter (28 + 1 + l + 11) på psykisk helsevern for voksne og 30 pasienter (15 + 11 + 0 + 4) på barne- og ungdomspsykiatrisk. Det legges til grunn at tallene for 2012 og 2013 er i samme størrelsesordenen. Totalt vil det i så fall dreie seg om rundt 200 pasienter.
Det er ikke planlagt å innhente samtykke fra de pasientene som helseopplysningene gjelder. Det ble derfor søkt om konsesjon for behandling av helseopplysningene basert på personopplysningsloven § 11, jf §§ 8 d) og 9 h).
Det er ikke planlagt å gi informasjon. Søker har ikke anført noe unntak fra informasjonsplikten.
Datatilsynet har gitt konsesjon, men satt som betingelse at det innhentes samtykke fra de registrerte.
4 Klagers anførsler
Helsedirektoratet anfører at behandling av helseopplysninger i det aktuelle prosjektet ikke bør baseres på samtykke fordi en prosess med å involvere de registrerte kan gi større personvernmessige implikasjoner enn å ikke informere den enkelte om uttrekket. Hvilke personvernmessige implikasjoner det kan være tale om er ikke utdypet.
Helsedirektoratet anfører at de ved krav om innhenting av samtykke må regne med et visst frafall (personer som av ulike grunner avstår eller ikke svarer). Helsedirektoratet mener prosjektet er helt avhengig av et fullstendig tallmateriale, og at ethvert frafall vil forringe materialet.
Helsedirektoratet anfører at helseopplysningene i det aktuelle prosjektet kan behandles med hjemmel i personopplysningsloven §§ 8 d 9 h. Dette begrunnes med at opplysningene må anses som av vesentlig interesse for samfunnet og at deltakernes integritet er i varetatt ved at helseopplysningene ikke vil være gjenstand for noen form for analyse eller vurdering på
individnivå.
Prosjektet er dessuten kortvarig og få personer har tilgang til helseopplysningene. Dette er momenter som veier opp for inngripen i de registrertes integritet.
5 Datatilsynets vurdering
Bruk av helseopplysninger fra Norsk pasientregister reguleres av forskrift om innsamling og behandling av helseopplysninger i Norsk pasientregister (Norsk pasientregisterforskriften). Bestemmelsene §§ 3-3 til 3-7 gir nærmere regler om utlevering av opplysninger fra registeret til en mottaker.
Dersom mottaker ønsker statistikk/anonyme opplysninger kreves det ikke at mottaker har et eget behandlingsgrunnlag. Dette alternativet er ikke aktuelt i denne saken. Dersom mottaker ønsker avidentifiserte opplysninger kreves det at § 3-4 er oppfylt. Norsk pasientregister har i denne saken vurdert det slik at utvalget i denne saken kombinert med de variabler som ønskes utlevert ikke gjør det mulig å sikre reell avidentifisering.
Dersom mottaker ønsker utlevert personidentifiserbare opplysninger, eller utleveringen ikke har hjemmel i øvrige utleveringsbestemmelser, kreves det konsesjon fra Datatilsynet, jf. Norsk pasientregisterforskrift § 3-6.
Når det gjelder anførselen om en prosess med å involvere de registrerte kan gi større
personvernmessige implikasjoner enn å ikke informere den enkelte om uttrekket er det som nevnt ikke utdypet hvilke personvernmessige implikasjoner det kan være tale om. Denne anførselen er dermed vanskelig å kommentere.
Helsedirektoratet anfører at tallmaterialet til prosjektet vil bli forringet ved frafallet en må regne med dersom det må innhentes samtykker fra de registrerte. Datatilsynet vurderer dette argumentets vekt som liten sett opp mot ulempen for den enkelte ved ikke selv å kunne bestemme om en ønsker å bidra med helseopplysninger om kjønnsdysfori i et nasjonalt prosjekt ledet av helsemyndighetene.
Datatilsynet har gjort en vurdering av om vilkårene i helseregisterloven § 5, jf personopplysningsloven §§ 8 d) 9 h) er oppfylt som rettslig grunnlag for behandling av helseopplysninger i den aktuelle utredningen. Bestemmelsene gir rettslig grunnlag for behandling av sensitive personopplysninger i den grad behandlingen er
-nødvendig for å utføre en oppgave av allmenn interesse
og
-behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte.
Datatilsynet legger til grunn at utredningen er av vesentlig interesse for samfunnet. Spørsmålet er om denne samfunnsinteressen overstiger hensynet til de registrertes personvern. Personvern handler om personlig autonomi og selvbestemmelse. Personopplysningsvern handler om at enhver person i størst mulig grad skal ha kontroll over opplysninger om seg selv. Dette betyr kontroll med hvor de er lagret, hva de blir brukt til, hvem som har tilgang til dem osv. Å frata en person kontrollen med sine helseopplysninger er en personvernulempe. Dette gjelder uavhengig av om opplysningene blir innhentet i forbindelse med forsknings-prosjektet eller om opplysningene er innhentet på et tidligere tidspunkt.
Norsk pasientregister (NPR) er et sentralt helseregister som er hjemlet i helseregisterloven § 8 nr 8. Formålet med registeret er definert i forskrift og er knyttet til administrasjon, styring og kvalitetssikring av spesialisthelsetjenester. Utgangspunktet er at opplysninger herfra skal utleveres avidentifisert – det vil si anonyme på forskers hånd. Dersom opplysninger fra NPR skal utleveres i identifiserbar form, og uten samtykke fra den registrerte, må dette begrunnes særskilt.
Helsedirektoratet har anført at en prosess med å involvere de registrerte kan gi større personvernmessige implikasjoner enn å ikke informere den enkelte om uttrekket, men har som nevnt ikke utdypet hvilke personvernmessige implikasjoner det kan være tale om. Det er dermed vanskelig for å vurdere hvorvidt dette er relevante momenter i en interesseavveining.
Prosjektbeskrivelsen inneholder følgende tiltak som skal redusere personvernulempen for de registrerte i prosjektet:
- Prosjektet er kortvarig, og skal avsluttes innen utgangen av 2015. Datatilsynet er enig i at kort varighet er et tiltak som bidrar til å avhjelpe personvernulempene.
- Det er kun 2-5 personer som skal ha tilgang til helseopplysningene. Datatilsynet er enig i at begrensning i antall involverte i studien bidrar til å avhjelpe personvernulempene.
Det er et stort inngrep i personers selvbestemmelsesrett å bruke deres helseopplysninger til forskning uten at de blir bedt om samtykke til dette. Helsedirektoratet har kompensert for
dette inngrepet med tiltak som beskrevet ovenfor, men etter Datatilsynets vurdering veier ikke disse tiltakene opp for inngripen i selvbestemmelsesretten. Datatilsynet har i denne vurderingen lagt vekt på at det er tale om særlig sensitive helseopplysninger og at de registrerte vil være i stand til å ta et valg med hensyn til deltakelse med tilrettelagt
informasjon.
Etter en konkret vurdering er Datatilsynet kommet til at prosjektet ikke oppfyller vilkårene for behandlingsgrunnlag i personopplysningsloven § 8 d) og § 9 h). Dette betyr at vi er tilbake i hovedregelen om samtykke fra de registrerte. Databehandlingsansvarlig har uansett en informasjonsplikt som gjelder uavhengig av krav om samtykke. Helseregisterloven § 24 fastslår at en «databehandlingsansvarlig som samler inn helseopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 23 første ledd så snart opplysningen er innhentet.»
Dette betyr at uavhengig av om en behandling av sensitive personopplysninger skal baseres på samtykke eller et annet rettslig grunnlag, så skal det gjøres en selvstendig vurdering av informasjonsplikten. Kollektiv informasjon oppfyller ikke informasjonsplikten i helseregisterloven § 24.
Når databehandlingsansvarlig uansett er forpliktet til å informere den enkelte registrerte må det sees som lite byrdefullt å samtidig innhente samtykke fra den registrerte.
Helsedirektoratets argumentasjon knyttet til det å unngå ulemper for de registrerte som følge av å bli kontaktet vil dessuten falle bort når det uansett foreligger en informasjonsplikt.
Når det gjelder antall registrerte som må informeres har Personvernnemnda i sak PVN-2009-
07 tolket helseregisterloven § 24 andre ledd nr 2 og fastslått at det ikke kan være slik at hovedregelen om informasjonsplikt ikke skal følges når det gjelder de manges personvern, men bare når det gjelder de fås personvern. Nemnda sier følgende: «Det er et prinsipielt poeng som nemnda vil fremheve fordi det anføres stadig oftere at det er uforholdsmessig vanskelig når det dreier seg om et større antall personer.» I nevnte klagesak var det tale om 3200 personer og nemnda anså ikke dette som et stort antall. Nemnda presiserte tvert i mot at dette vil være å anse som et ganske lite register sammenlignet med mange andre registre som finnes i Norge i dag.
I den foreliggende saken er det potensielt 200 pasienter som det skal innhentes helseopplysninger om. Dette er slik tilsynet ser det et overkommelig antall for Helsedirektoratet å tilskrive.
6 Personvernnemndas syn
Helsedirektoratet har søkt om konsesjon til å behandle opplysninger om fødselsår, kjønn, diagnose, sykehus, helseforetak og helseregion for en gruppe personer med kjønnsdysfori, samt transpersoner og transseksuelle. Gruppen omfatter ca. 200 personer. Det er lagt til grunn at det ikke er mulig å anonymisere datasettet fordi utvalget er en svært liten pasientgruppe, og kombinert med variabler som fødselsår og behandlende sykehus vil opplysningene uten store anstrengelser kunne tilbakeføres til enkeltpersoner. Dette er således behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Opplysningene er dessuten sensitive, jf personopplysningsloven § 2 nr 8. Sensitive personopplysninger kan bare behandles dersom behandlingen oppfyller et av vilkårene i personopplysningsloven § 8 og § 9 (behandlingsgrunnlag).
Helsedirektoratet har anført at behandlingen er en oppgave av allmenn interesse og at samfunnets interesse i at behandlingen finner sted klart overstiger personvernulempen for den enkelte, jf personopplysningsloven § 8 d) og § 9 h). Datatilsynet er uenig og har konkludert med at prosjektet ikke oppfyller vilkårene for behandlingsgrunnlag i personopplysningsloven § 8 d) og § 9 h). Datatilsynet har således kommet til at prosjektet kan få konsesjon under forutsetning av at det innhentes samtykke fra de registrerte.
Nemnda ba om en redegjørelse for hvorvidt det omsøkte datasettet var indirekte identifiserbart. NPR har oppgitt at behandlingen omfatter opplysninger om fødselsår, kjønn, diagnose, sykehus, helseforetak og helseregion, men også prosedyrekoder var omfattet av søknaden. For det tilfelle at noen skulle kjenne til «den ene» personen som er diagnostisert med en kjønnsidentitetsforstyrrelse på et gitt sykehus, vil vedkommende gjennom omsøkte data (herunder prosedyrekoder) også kunne bli kjent med hvilken behandling den aktuelle personen har fått. Nemnda finner dermed at det omsøkte datasettet er indirekte identifiserbart og at behandlingen vil kunne føre til en videre utlevering av sensitiv informasjon. Følgelig krever behandlingen konsesjon.
I enhver sak hvor det vurderes å gi konsesjon for behandling av sensitive personopplysninger, skal formålet med behandlingen vurderes opp mot personvernulempen for de registrerte, jf personopplysningsloven § 34. Etter § 34 skal det foretas en avveining av personvernulempene og eventuelle tiltak som kan avhjelpe disse ulempene. Datatilsynet har stilt som vilkår at det skal innhentes samtykke. Det er dette vilkåret som er påklaget. Spørsmålet er hvilke virkninger vilkåret om samtykke vil få innenfor rammen av avveiningene i § 34. I dette tilfellet vil samtykkeinnhentingen måtte foregå ved at hvert enkelt helseforetak søker gjennom de pasientadministrative systemene for å identifisere de ca 200 pasientene med nevnte diagnoser ved fødselsnummer, navn og adresse for å kunne kontakte vedkommende. NPR har forbud mot selv å kontakte de registrerte for denne typen behandling, jf norsk pasientregisterforskrift § 1-3. Identifiseringen av pasienter vil derfor skje uten forbindelse med aktuell helsehjelp, siden det dreier seg om pasienter som ble registrert i årene 2011-2013. Ettersom hvert enkelt helseforetak ikke vet hvilke av sine pasienter som er behandlet ved andre helseforetak, vil nevnte pasienter risikere å få henvendelser fra flere helseforetak med forespørsel om samtykke til å bli med i uttrekket. Pasientens svar på samtykkeforespørselen, må registreres ved det enkelte helseforetaket i en liste med fødselsnummer, slik at NPR kan gjøre det endelige uttrekket. Dette innebærer at den enkelte pasient blir registrert uavhengig av om vedkommende gir samtykke. Det er for øvrig paradoksalt at ved denne prosessen vil pasienten bli registrert i et nytt register, uavhengig av om vedkommende samtykker. Følgelig vil det å be om samtykke fra de registrerte, i denne saken, i seg selv være en inngripen i den enkeltes personvern.
Når det gjelder avveiningen som skal foretas etter personopplysningsloven § 34, vil nemnda peke på at relevant informasjon for forskningsprosjektet kunne vært fremskaffet på annen lovlig måte. Helsedirektoratet søkte om å få utlevert sensitive personopplysninger fra NPR for å utarbeide statistikk i forbindelse med en utredning om juridisk kjønn. Nemnda legger til grunn at statistikken kunne ha vært utarbeidet ved NPR uten noen videre utlevering av sensitive personopplysninger, jf norsk pasientregisterforskrift § 3-1. Det ville da ikke vært behov for å behandle fødselsnummer eller andre direkte identifiserende kjennetegn i forbindelse med utarbeidelsen av statistikken. Nemnda har for øvrig merket seg at rapporten «Rett til rett kjønn – helse til alle kjønn» (IS-0496) ble ferdigstilt 10. april 2015 med statistikk utarbeidet ved NPR.
På denne bakgrunn konkluderer nemnda med at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.
7 Vedtak
Saken sendes tilbake til Datatilsynet.
Oslo, 16. februar 2016
Eva I E Jarbekk
Leder