Sending upplýsinga úr sjúkraskrám barns til félagsmálayfirvalda
19. janúar 2010
Persónuvernd vísar til tölvubréfs þíns frá 16. október 2009. Þar spyrð þú hvort lækni hafi verið heimilt að miðla hluta af sjúkraskrá barns til félagsmálayfirvalda. Fengið hafi verið munnlegt samþykki til miðlunarinnar frá öðru foreldrinu. Hitt foreldrið hafi hins vegar ekki verið látið vita, en um sé að ræða hjón. Einnig er spurt hvort nota hafi mátt tölvupóst til að miðla upplýsingunum.
Erindi þitt var rætt á fundi stjórnar Persónuverndar hinn 17. nóvember 2009. Taldi stjórnin tilefni til að spyrja hvort erindi þitt væri tilkomið vegna einhvers tiltekins atviks og hvort líta bæri á það sem kvörtun. Með tölvubréfi hinn 19. nóvember 2009 óskaði Persónuvernd þess að þér upplýstuð um þetta atriði, en ekki hefur borist svar. Persónuvernd lítur því á erindi yðar sem almenna fyrirspurn sem svarað verður með því að fara yfir þær reglur sem hafa verður í huga í tengslum við slíka miðlun sem hér um ræðir.
Um aðgang að sjúkraskrám er fjallað í IV. kafla laga nr. 55/2009 um sjúkraskrár. Í ákvæðum kaflans er mælt fyrir um aðgang heilbrigðisstarfsfólks og sjúklinga sjálfra að sjúkraskrá. Þá er vikið að aðgangi heilbrigðisyfirvalda að sjúkraskrám, annars vegar aðgangi vegna meðferðar á kvörtunum og kærum sjúklinga og hins vegar miðlun upplýsinga sem færa á í skrár sem Landlæknisembættið heldur utan um. Ekki er hins vegar mælt fyrir um aðgang annars konar stjórnvalda að sjúkraskrám, þ. á m. félagsmálayfirvalda. Samkvæmt 12. gr. laga nr. 55/2009 má hins vegar veita aðgang að sjúkraskrá ef heimild er til þess í öðrum lögum.
Í lögum nr. 77/2000 er mælt fyrir um hvenær vinnsla persónuupplýsinga er heimil, en þar undir fellur veiting aðgangs að slíkum upplýsingum. Ávallt verður að vera fullnægt einhverju skilyrðanna í 8. gr. laganna svo að vinna megi með persónuupplýsingar. Ef um ræðir viðkvæmar persónuupplýsingar þarf einnig að vera fullnægt einhverju skilyrðanna í 9. gr. sömu laga. Upplýsingar um heilsuhagi eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laganna.
Vinnsla viðkvæmra persónuupplýsinga er m.a. heimil þegar hinn skráði hefur samþykkt vinnsluna, sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000, sbr. og 1. tölul. 1. mgr. 8. gr. sömu laga. Þarf að vera um að ræða samþykki í skilningi 7. tölul. 2. gr. laganna, en þar er samþykki skilgreint svo: „Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv."
Í 15. gr. læknalaga nr. 53/1988 er mælt fyrir um þagnarskyldu lækna og annarra heilbrigðisstétta. Samkvæmt 2. mgr. 15. gr. gildir þagnarskyldan ekki ef lög bjóða annað eða rökstudd ástæða er til þess að rjúfa þagnarskyldu vegna brýnnar nauðsynjar. Þá kemur m.a. fram að samþykki sjúklings, sem orðinn er eldri en 16 ára, leysir lækni undan þagnarskyldu, sbr. 3. mgr. sömu greinar. Sé sjúklingur yngri þarf samþykki forráðamanns.
Líta verður á framangreind ákvæði laga nr. 77/2000 og læknalaga sem heimild að lögum til aðgangs að sjúkraskrá í skilningi 12. gr. laga nr. 55/2009. Samþykki samkvæmt umræddum ákvæðum verður þó ekki talið fela í sér fullnægjandi heimild til veitingar aðgangs að sjúkraskrá nema því aðeins að veiting aðgangsins sé málefnaleg og nauðsynleg vegna lögmætra hagsmuna. Um það vísast til grunnreglna 1. mgr. 7. gr. laga nr. 77/2000 sem ávallt verður að vera fullnægt við vinnslu persónuupplýsinga. Þar kemur fram að við meðferð slíkra upplýsinga skal þess m.a. ávallt gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Af framangreindu verður ráðið að miðla megi sjúkraskrárupplýsingum um barn að fengnu samþykki foreldra þess að því gefnu að markmiðið með miðluninni sé m.a. málefnalegt, skýrt og lögmætt, auk þess sem miðlunin sé nauðsynleg til að markmiðinu verði náð.
Sérstakt álitamál getur verið hvort samþykki annars foreldris nægi sem grundvöllur miðlunar sjúkraskrárupplýsinga. Þegar foreldrar barns eru í hjúskap fara þeir báðir með forsjá barna sinna. Í 7. mgr. 28. gr. barnalaga nr. 76/2003 segir að ef annað forsjárforeldra barns er hindrað í að sinna forsjárskyldum sínum séu nauðsynlegar ákvarðanir hins um persónulega hagi barns gildar. Í athugasemdum við ákvæðið í því frumvarpi, sem varð að barnalögum, segir að ákvæðið geti t.d. átt við ef foreldri er horfið, mjög sjúkt eða langdvölum fjarri heimili. Þyki rétt að taka af öll tvímæli í þessu sambandi og ákveða að öðru forsjárforeldri sé almennt heimilt að taka nauðsynlegar ákvarðanir varðandi barn þegar svo háttar til sem í ákvæðinu segir. Ekki sé verið að vísa til minni háttar ákvarðana því að almennt sé ekki gert ráð fyrir að atbeina beggja foreldra þurfi til slíkra ákvarðana, heldur sé átt við ákvarðanir sem talist geti þýðingarmiklar. Rétt sé að undirstrika að ákvæðið sé bundið við nauðsynlegar ákvarðanir og því verði sú krafa almennt gerð að ákvarðanir, sem megi bíða þar til foreldri er ekki lengur hindrað í að sinna forsjárskyldum sínum, geri það.
Af framangreindu verður ráðið að samþykki vegna meiriháttar ráðstafana varðandi hagi barns þurfi að stafa frá báðum foreldrum, en frá því geti verið undantekningar. Ætla má að samþykki fyrir afhendingu sjúkraskrárupplýsinga til aðila utan heilbrigðisþjónustunnar geti talist til slíkra ráðstafana. Afhendingin getur þá verið heimil með samþykki annars foreldris en ekki beggja, enda séu aðstæður með þeim hætti sem tilgreindur er í 7. mgr. 28. gr. barnalaga. Þegar aðstæður eru ekki með þeim hætti verður að meta hvort afhending sjúkraskrárupplýsinga sé þess eðlis að hún teljist ekki til meiriháttar ráðstöfunar. Verði niðurstaða þess mats sú að um meiriháttar ráðstöfun sé að ræða þarf samþykki beggja foreldra til.
Ekki er mælt fyrir um form samþykkis foreldra í þeim lagareglum sem lýst er hér að ofan. Er því ekki tekið fram í lögum hvort samþykki þurfi að vera skriflegt. Ljóst er hins vegar að af sönnunarástæðum er það æskilegt, en auk þess getur reynst erfitt að fara að framangreindu ákvæði 7. tölul. 1. mgr. 2. gr. laga nr. 77/2000 um hvað samþykki skuli fela í sér nema það sé skriflegt.
Ef upplýsingar úr sjúkraskrám eru sendar með tölvupósti reynir sérstaklega á ákvæði 11. gr. laga nr. 77/2000 um upplýsingaöryggi. Samkvæmt 1. mgr. 11. gr. skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Af framangreindum ákvæðum má ætla að við sendingu sjúkraskrárupplýsinga með tölvupósti sé eðlilegt að beita tryggri dulkóðun sem aðeins réttur viðtakandi upplýsinga geti leyst úr. Þegar slíkar upplýsingar eru sendar frá lækni til félagsmálayfirvalda reynir á reglur um þagnarskyldu lækna. Eins og fyrr greinir getur samþykki foreldra aflétt þeirri þagnarskyldu. Oft verður að ætla að samþykki beggja foreldra þurfi, en eftir atvikum getur þó samþykki annars foreldris nægt.