Personvernnemndas vedtak 24. september 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets vedtak 10. august 2023 om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.
Sakens bakgrunn
A sendte 29. september 2022 en avviksmelding til Datatilsynet. Avviksmeldingen gjaldt manglende mulighet for digital tilgang til hans tannlegejournal hos Oris Dental.
I e-post 10. juli 2023 utdypet han sin henvendelse, og uttrykte bekymring knyttet til administratorpassord og tilgangsstyring ved Oris Dentals bruk av administrasjonssystemetOPUS Dental. Han ettersendte samtidig e-postveiledning fra Datatilsynet 16. juli 2018 i forbindelse med hans tidligere varsel mot Oris Dental om manglende elektronisk tilgang til tannlegejournal.
Datatilsynet traff vedtak i saken 10. august 2023. Tilsynet la til grunn at personvernforordningen artikkel 15 ikke pålegger behandlingsansvarlige en plikt eller gir den registrerte en rett til å få tilgang til journal via en egen brukerkonto og konkluderte med at det ikke forelå brudd på personvernforordningen. Datatilsynet anså As bekymringer angående administratorpassord og tilgangsstyringer som et tips og opplyste at de ikke fant grunn til å undersøke dette nærmere. Datatilsynet avsluttet deretter saken.
A klaget rettidig 24. august 2023 på Datatilsynets vedtak om elektronisk tilgang. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 3. april 2024. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har ikke gitt noen kommentarer.
Saken ble behandlet i nemndas møte 24. september 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Kort om Datatilsynets vedtak
Tilsynet legger til grunn at saken gjelder rett til innsyn i journal med egen brukerkonto.
Datatilsynet viser til at innsynsretten reguleres av personvernforordningen artikkel 15 og at forordningens fortalepunkt 63 kan gi hjelp til å utfylle og forklare innsynretten i artikkel 15.
Datatilsynet legger til grunn at verken fortalepunkt 63 eller artikkel 15 gir den behandlingsansvarlige plikt eller den registrerte rett til å få innsyn i journal via en egen brukerkonto. Datatilsynet konkluderer med at det ikke foreligger brudd på innsynsretten i denne saken.
As syn på saken i korte trekk
Han klager på Datatilsynets avgjørelse om at forordningen artikkel 15 og fortalepunkt 63 ikke gir den behandlingsansvarlige plikt eller den registrerte rett til å få innsyn i journal via egen brukerkonto.
Han viser til fortalepunkt 63 der det framgår:
«Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data.»
Han anfører for det første at «Remote access to a secure system» bare kan forstås som innlogging med eget dedikert brukernavn på egen konto.
Videre anfører han at «If possible» betyr at det må være mulig. Om «data provider» ikke har investert i et journalsystem der pasient ikke kan logge inn, så er umuligheten tilfredsstilt. Men personvernforordningen sier også at innsynet skal være enkelt lagt opp for dataobjektet. En elektronisk overførsel av data uten innlogging fordrer floppy disk, SSD eller andre måter å lagre filer på. Datamaskiner produseres ikke lenger med disse egenskapene. Filen som hentes skal pakkes ut i et program på dataobjektets datamaskin og disse programmene som kan vise komplekse journaler finnes ikke tilknyttet det dominerende journalsystemet som brukes i Norden, nemlig Opus. En klientbasert Opus-versjon for pasienten kan ikke lastes ned på produsentens websider og er dermed ikke enkelt tilgjengelig og dermed er forutsetningen «If possible» ikke tilfredsstilt. Dermed gjenstår kun brukerkonto igjen som det eneste «If possible» alternativet i skrivende stund.
For det tredje anfører han at journalsystemer med brukerkonto for pasienten har vært tilgjengelig for norske behandlingsansvarlige siden personvernforordningen ble innført. Hele den norske tannlegebransjen er behørig innført i hvordan en migrasjon, drift og bruk av pasientsentriske journalsystemer fungerer. Et eksempel er www.myjournal.no.
Helsebransjen har i sin helhet brukt Datatilsynets gjentagende avvisning av pasientens rett til innsyn med brukerkonto som grunn til å velge vekk slike journal- og datasystemer. Tilsynet er derfor direkte ansvarlig for å bremse overgangen til pasientsentrisk helsebehandling i Norge, slik både personvernforordningen og regjeringen forfektet under Arendalsuka.
Personvernnemndas vurdering
Etter personvernforordningen artikkel 15 har den registrerte rett til innsyn i personopplysninger som behandles om seg. Innsynsretten etter personopplysningsloven gjelder ved siden av retten til innsyn etter annen lovgivning.
Formålet med innsynsretten i artikkel 15 er at den registrerte skal kunne ivareta sitt personvern ved få tilgang til informasjon som behandles om dem. Bestemmelsen må ses i sammenheng med prinsippene om rettferdig og åpen behandling av personopplysninger i artikkel 5 nr. 1 bokstav a. Det følger av artikkel 12 nr. 1 at kommunikasjon med den registrerte, som anmoder om innsyn, skal gjennomføres på en «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk».
Artikkel 15 nr. 3 lyder:
«Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.»
Personvernforordningens fortale utdyper og forklarer hvordan forordningens bestemmelser skal forstås. I fortalepunkt 63 uttales det blant annet om innsynsretten at:
«Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger.»
Nemnda er enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63 gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto.
Klagen fra A har ikke ført fram.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak opprettholdes.
Oslo, 24. september 2024
Mari Bø Haugstad
Leder