Skráning upplýsinga um hjartasjúklinga, sem notið hafa meðferðar á Landspítala, í gagnagrunn í Svíþjóð til nota við m.a. læknismeðferð
3. febrúar 2009
I.
Erindi Landspítala
Persónuvernd vísar til tölvubréfs yðar frá 18. desember 2008 þar sem greint er frá gerð samnings við Uppsala kliniska forskningscentrum með aðsetur í Akademiska sjukhuset, Uppsölum, Svíþjóð. Samningurinn lýtur að skráningu upplýsinga frá Landspítala um sjúklinga með hjartasjúkdóma í gagnagrunninn RIKS-HIA sem þar er haldinn. Skráningin yrði með sama hætti og skráning á vegum sænskra sjúkrahúsa, sem og sjúkrahúsa í fleiri löndum sem hafa afnot af gagnagrunninum.
Samkvæmt samningnum er tilgangur skráningar upplýsinga í gagnagrunninn að koma á skrá yfir hjartasjúklinga til nota á einstökum sjúkrahúsum og í einstökum ríkjum, sem og til að fá samanburð milli sjúkrahúsa og ríkja. Langtímamarkmiðið er sagt vera að bæta meðferð einstakra sjúklinga, draga úr sjúkdómseinkennum og dánartíðni meðal sjúklinga og bæta nýtingu fjármuna við veitingu meðferðar. Fram kemur að skrá á upplýsingar um aldur, kyn, áhættuþætti, fyrri sjúkdóma og meðferðarsögu, svo og aðra þætti, t.d. helstu aðferðir við sjúkdómsgreiningar og læknisaðgerðir. Upplýsingar verði auðkenndar með kennitölum svo að unnt sé að nota þær við meðferð einstakra sjúklinga. Þær verði sendar um öruggar fjarskiptalínur, annaðhvort um Netið eða með þar til gerðum samskiptamáta sem tíðkast í Svíþjóð við sendingu rafrænna gagna í grunninn. Gögn verði afrituð á hverri nóttu.
Í samningnum segir að Landspítalinn sé ábyrgðaraðili að umræddri vinnslu en umsjónaraðili RIKS-HIA innan Uppsala kliniska forskningscentrum, sem er samnefndur gagnagrunninum, vinnsluaðili. Umsjónaraðilinn muni aðeins vinna með upplýsingar í samræmi við fyrirmæli Landspítala, enda sé ekki mælt fyrir um annað í sænskum lögum (sbr. sams konar ákvæði í 3. mgr. 13. gr. hérlendra persónuupplýsingalaga, nr. 77/2000, um að vinnsluaðili skuli hlíta fyrirmælum ábyrgðaraðila nema lög mæli fyrir á annan veg). Við vinnsluna verði farið að ákvæðum sænskra laga og reglugerða. Þá megi umsjónaraðilinn og Uppsala kliniska forskningscentrum ekki nota gögn frá Landspítala nema með leyfi spítalans. Þó verður ráðið af samningnum (undir liðnum „Right of Property and Use of Information") að tölfræðilegar niðurstöður, sem leiddar verða af gögnum frá Landspítala, verði gerðar aðgengilegar öðrum notendum gagnagrunnsins.
II.
Niðurstaða Persónuverndar
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
Við mat á heimild til skráningar persónuupplýsinga í gagnagrunna skiptir máli hvers eðlis þær eru, þ. á m. hvort um sé að ræða sjúkraskrárupplýsingar. Í 1. og 2. mgr. 1. gr. reglugerðar nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sbr. 6. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, er að finna svohljóðandi skilgreiningu á sjúkraskrám:
„Sjúkraskrá [?] er safn sjúkragagna sem unnin eru eða fengin annars staðar frá vegna meðferðar einstaklinga hjá lækni eða í heilbrigðisstofnun.
Sjúkragögn í sjúkraskrá geta verið lýsing eða túlkun í rituðu máli, myndir, þ.m.t. röntgenmyndir, línurit eða upptaka sem numin hefur verið með hjálp tæknibúnaðar. Gögnin innihalda upplýsingar um heilsufar og aðra einkahagi viðkomandi einstaklinga og tímasettar upplýsingar um það sem gerist eða gert er meðan einstaklingurinn er í meðferð hjá lækni eða í heilbrigðisstofnun."
Ráðið verður af gögnum málsins að þær upplýsingar, sem Landspítalinn muni skrá í gagnagrunninn RIKS-HIA, séu sjúkraskrárupplýsingar. Því sé hér um að ræða rafrænar sjúkraskrár sem notaðar verði vegna meðferðar sjúklinga og gæðaeftirlits.
Upplýsingar í sjúkraskrám lúta að heilsuhögum. Þær eru því viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000. Svo að vinnsla slíkra upplýsinga sé heimil þarf ávallt að vera fullnægt einhverju skilyrðanna í 9. gr. laganna. Eins og endranær við vinnslu persónuupplýsinga þarf einnig að vera fullnægt einhverju skilyrðanna í 8. gr. laganna.
Samkvæmt 8. tölul. 1. mgr. 9. gr. er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu. Þá er í 4. tölul. 1. mgr. 8. gr. mælt fyrir um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að vernda brýna hagsmuni hins skráða, sbr. 4. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 7. tölul. sömu málsgreinar á hið sama við þegar vinnsla er nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Persónuvernd telur umrædda vinnslu fá samrýmst þessum ákvæðum. Einnig verður hins vegar að vera farið að þeim sérákvæðum sem gilda um sjúkraskrár. Meðal þessara sérákvæða er 1. mgr. 14. gr. laga nr. 74/1997 þar sem mælt er fyrir um að sjúkraskrá skuli varðveitt á heilbrigðisstofnun þar sem hún er færð eða hjá lækni eða öðrum heilbrigðisstarfsmanni sem hana færir á eigin starfsstofu.
Í framkvæmd hefur Persónuvernd litið svo á að þetta ákvæði banni ekki útvistun sjúkraskráa hjá þjónustuaðila, í þessu tilviki Uppsala kliniska forskningscentrum, heldur sé því ætlað að tryggja að ekki sé fyrir hendi fyrirvaralaus aðgangur að sjúkraskrám utan þeirrar heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns þar sem hún er færð. Orðalag ákvæðisins miðist þannig við pappírsgögn og byggist á því að öryggi slíkra gagna sé ógnað séu þau ekki varðveitt á þeim tiltekna stað þar sem þau eru notuð, þ.e. vegna aðgangs óviðkomandi og einnig m.a. vegna hættu á að þau glatist í flutningum frá geymslustað til heilbrigðisstofnunar.
Samkvæmt þessu telur Persónuvernd lög nr. 74/1997 ekki banna að umræddar upplýsingar séu fluttar til Uppsala kliniska forskningscentrum og varðveittar þar. Taka verður hins vegar afstöðu til þess hvort lög nr. 77/2000 hamli flutningi umræddra upplýsinga þangað. Í 30. gr. þeirra laga er að finna takmarkanir á heimildum til flutnings persónuupplýsinga úr landi. Þær takmarkanir eiga ekki við þegar upplýsingar eru fluttar til lands sem framfylgir tilskipun Evrópusambandsins nr. 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga, sbr. 2. mgr. 29. gr. laga nr. 77/2000. Í Svíþjóð eru í gildi lög sem fullnægja kröfum þeirrar tilskipunar, þ.e. persónuuplýsingalögin (s. personuppgiftslagen) nr. 1998:204. Af því leiðir að heimildir til flutnings persónuupplýsinga til aðila, sem hafa staðfestu þar í landi, eru hinar sömu og ef um íslenska aðila væri að ræða. Eru lög nr. 77/2000 því ekki því til fyrirstöðu, fremur en lög nr. 74/1997, að umræddar upplýsingar séu fluttar í framangreindan gagnagrunn.
Við varðveislu upplýsinga í gagnagrunninum verður að gæta að öryggi þeirra. Um það skal fara eftir sænskum lögum, sbr. 4. mgr. 13. gr. laga nr. 77/2000, sbr. 3. mgr. 16. gr. tilskipunar nr. 95/46/EB sem liggur lögunum til grundvallar. Lúta þau ákvæði að réttarsambandi ábyrgðaraðila og vinnsluaðila. Með ábyrgðaraðila að vinnslu persónuupplýsinga, í þessu tilviki Landspítala, er átt við þann sem ákveður hvers vegna og hvernig unnið er með persónuupplýsingar, sbr. 4. tölul. 2. gr. laga nr. 77/2000, og með vinnsluaðila, í þessu tilviki Uppsala kliniska forskningscentrum, er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. sömu greinar. Ábyrgðaraðili skal gera sérstakan samning við vinnsluaðila sem afmarkar réttindi og skyldur vinnsluaðilans, sbr. 13. gr. laga nr. 77/2000 og 16. gr. tilskipunarinnar. Í framangreindum ákvæðum þessara greina er mælt fyrir um að hafi vinnsluaðilinn staðfestu í öðru aðildarríki, í þessu tilviki Svíþjóð, skuli í slíkum samningi mælt fyrir um að við þá vinnslu, sem vinnsluaðilinn hefur með höndum, skuli um upplýsingaöryggi fara að lögum í ríki vinnsluaðilans.
Ákvæði í drögum að samningi Landspítalans og Uppsala kliniska forskningscentrum eru í samræmi við framangreint, sbr. liðinn „Processing" í samningnum. Tekið skal fram að Persónuvernd telur þetta ákvæði ekki – né heldur framangreind ákvæði 13. gr. laga nr. 77/2000 og 16. gr. tilskipunar 95/46/EB – leiða til þess að sérákvæði 1. og 2. mgr. 15. gr. laga nr. 74/1997 um öryggi sjúkraskráa gildi ekki um umræddar upplýsingar, enda lúta þau ekki aðeins að öryggisráðstöfunum sem slíkum heldur einnig trúnaðarskyldu og réttindum til aðgangs. Samkvæmt þessum ákvæðum skal þess gætt við aðgang að sjúkraskrám að þær hafa að geyma viðkvæmar persónuupplýsingar og að upplýsingar í þeim eru trúnaðarmál, sem og m.a. að einungis þeir starfsmenn, sem nauðsynlega þurfa, hafi aðgang að þeim.
Samkvæmt framangreindu gerir Persónuvernd ekki athugasemdir við að Landspítalinn feli Uppsala kliniska forskningscentrum með aðsetur í Akademiska sjukhuset, Uppsölum, Svíþjóð, varðveislu sjúkraskrárupplýsinga um hjartasjúklinga á Landspítalanum, þ.e. í þeim tilgangi að nota þær vegna meðferðar sjúklinga og gæðaeftirlits. Um öryggi upplýsinganna gilda sænsk lög, að því undanskildu að fara ber að sérákvæðum 1. og 2. mgr. 15. gr. laga nr. 74/1997 um öryggi sjúkraskráa.