Aðgangur Heilsugæslu höfuðborgarsvæðisins að rannsóknaniðurstöðum innan Landspítala Háskólasjúkrahúss
Efni: Aðgangur Heilsugæslu höfuðborgarsvæðisins (HH)
að rannsóknaniðurstöðum innan Landspítala – Háskólasjúkrahúss (LSH).
I.
Upphaf máls
Bréfaskipti
Hinn 5. október 2005 barst Persónuvernd bréf frá LSH, dags. 3. sm., þar sem segir:
„Á LSH hefur verið í notkun hugbúnaður, sem gerir kleift að panta rannsóknir og miðla rannsóknasvörum með rafrænum hætti. Þetta fyrirkomulag tekur nú til lækna innan LSH og annarra þeirra er koma að pöntun rannsókna og vinnslu á niðurstöðum. Áformað er að útvíkka þetta fyrirkomulag þannig að það nái einnig til allra lækna og annarra starfsmanna innan Heilsugæslunnar í Reykjavík (HR), sem koma að pöntun rannsókna, vinnslu sýna og meðhöndlun á rannsóknaniðurstöðum í störfum sínum. Starfsmenn HR munu hlíta reglum LSH um aðgangsheimildir starfsmanna að heilsufarsupplýsingum sem varðveittar eru á rafrænu formi á Landspítala - háskólasjúkrahúsi, þar til sambærilegar reglur hafa verið settar innan HR [...]."
Persónuvernd svaraði með bréfi, dags. 10. október 2005. Þar er útskýrt að lögmæti heimilda til aðgangs að sjúkraskrám ræðst m.a. af þeim öryggisráðstöfunum sem viðhafðar eru og rakið hvað felst í almennum áskilnaði um öryggi við meðferð persónuupplýsinga. Í niðurlagi bréfsins er minnt á mikilvægi aðgangsstýringa, með svofelldum orðum:
„Áður en LSH veitir umræddan aðgang telur Persónuvernd því nauðsynlegt að þörf á aðgangi á HR verði metin eftir einstökum starfssviðum. Er þess óskað að niðurstöður þess mats verði sendar stofnuninni þannig að hún geti farið yfir þær forsendur sem unnið var út frá."
LSH svaraði með bréfi, dags. 24. október 2005. Þar segir m.a.:
„[...]
1. Verkefni HR á LSH munu felld undir sömu tæknilegu og skipulagslegu öryggisráðstafanir, eins og væru þau verkefni frá hinum ýmsu deildum LSH. Verður þar í engu brugðið frá starfsvenjum né öðrum öryggisatriðum sem hafa verið viðtekin. Áhættumat samkvæmt staðlinum IST BS 7799-2:2002 hefur farið fram á rannsóknarstofu í meinafræði. Á upplýsingatæknisviði LSH er áhættumati lokið á öllum deildum öðrum en símaþjónustu, en áætlað er að hefja áhættumat þar miðvikudaginn 26. október 2005. Innleiðingu staðalsins er ekki lokið en unnið að því að ljúka henni svo fljótt sem gerlegt er. Upplýsingaöryggisstefna hefur verið skráð og er í handriti, tilbúin til samþykktar hjá framkvæmdarstjórn LSH.
2. Tengingar HR inn á innra net LSH eru gerðar með VPN tækni og er með því tryggt að netið er ekki opið öðrum en þeim, sem tæknideild upplýsingatæknisviðs hefur úthlutað aðgangi.
3. Öryggisstefna er mótuð í samræmi við og með hliðsjón af IST BS 7799-2:2002. Áhættumat og öryggisráðstafanir eru unnar með hliðsjón af hugbúnaðarverkfærinu „Stiki OutGuard", sem er byggt á staðlinum IST BS 7799-2:2002.
[...]
Starfsmenn HR munu búa við sömu reglur um aðgang og heimildir, sem og starfsmenn LSH. Fylgt verður grundvallarreglum IST BS 7799-2:2002 um að þeir einir fái aðgangsheimildir, sem hafa þörf fyrir þær vegna starfa sinna. Það væri hjálp í því að fá nánari skilgreiningu á því hvað Persónuvernd á við í niðurlagsorðum í bréfi sínu, þar sem þörf HR á aðgangi „verði metin eftir einstökum starfssviðum"."
Nokkru eftir að Persónuvernd barst þetta bréf, eða hinn 16. nóvember 2005, var haldinn fundur á LSH um fyrirkomulag aðgangs að rafrænum sjúkraskrám á sjúkrahúsinu. Fundinn sátu fulltrúar LSH, HR og Persónuverndar. Fulltrúar LSH tilkynntu að stefnt væri að því að fá vottun bresku staðlastofnunarinnar á að farið væri eftir öryggisstaðlinum ISO-17799 (nú ISO 27001). Af hálfu Persónuverndar var því þá lýst yfir að vinna hennar varðandi athugun á lögmæti og öryggi rafrænna sjúkraskráa á LSH myndi liggja niðri um sinn. Samhliða frestaðist umfjöllun um erindi heilsugæslunnar þar sem einsýnt þótti þá að athugun staðlastofnunarinnar myndi og taka til tenginga milli heilsugæslunnar og LSH.
Bréfaskipti milli Persónuverndar og heilsugæslunnar (þá Heilsugæslu höfuðborgarsvæðisins (HH) sem til varð þegar HR og fleiri heilsugæslustöðvar sameinuðust) héldu þó áfram og með bréfi HH, dags. 30. janúar 2006, sendi hún Persónuvernd nánari upplýsingar. Þar segir m.a.:
„[...]
Hjá Heilsugæslunni eru þau tölvukerfi, þ.e. sjúkraskrárkerfið Saga, sem koma til með að tengjast beiðna og svarakerfi rannsókna (ROS) og gagnagrunni Flexlab rannsóknakerfisins hjá Landspítala-háskólasjúkrahúsi (LSH) varðveitt á einum stað í húsnæði Heilsugæslustöðvarinnar við Barónsstíg með öruggri aðgangsvörslu. Að sjúkraskrárkerfinu Sögu hafa þeir einir aðgang sem þess þurfa og hafa hlotið til þess heimild og verið úthlutað aðgangsorði.
[...]
Í desember 2003 samþykkti framkvæmdastjórn Heilsugæslunnar öryggisstefnu. Endurskoðuð öryggisstefna fyrir nýja stofnun tók gildi 15. janúar 2006.
Heilsugæslan hefur gert samning við öryggisfyrirtækið Anza um innleiðingu öryggisstaðalsins 27001:2005 (BS7799). Samkvæmt tímaáætlun á innleiðingu að ljúka haustið 2006.
Varðandi innra eftirlit vísast til öryggisstefnu HH.
Þar sem innleiðing öryggisstaðalsins er komin á veg óska ég [Lúðvík Ólafsson lækningaforstjóri] eftir því að Persónuvernd heimili tengingu tölvukerfa HH og LSH rannsóknakerf[unum] ROS og Flexlab."
Persónuvernd svaraði HH með bréfi, dags. 5. maí 2006. Hjálagt var afrit af bréfi hennar til LSH, dags. 4. s.m., en þar kom m.a. fram að umfjöllun um aðgang að rannsóknaniðurstöðum á LSH myndi fara fram samhliða umfjöllun um lögmæti og öryggi rafrænna sjúkraskráa á LSH. Að auki var óskað staðfestingar LSH á því hvort athugun bresku staðlastofnunarinnar myndi taka til tenginga við utanaðkomandi aðila, þ. á m. HH. Í bréfi Persónuverndar til HH sagði m.a. :
„Varðandi heimild frá Persónuvernd fyrir „tengingu tölvukerfa HH og LSH rannsóknakerf[unum] ROS og Flexlab" sendir hún yður hér með hjálagt afrit af bréfi hennar til LSH, dags. 4. þ.m., en það lýtur að framangreindum aðgangi HH að gögnum LSH. Eins og þar kemur fram hefur Persónuvernd hvorki tekið afstöðu til lögmætis vinnslunnar né hvort um leyfisskylda vinnslu sé að ræða.. [...]
Til þessa hefur aðkoma Persónuverndar einskorðast við umfjöllun um öryggisráðstafanir o.þ.h. [...]"
Varðandi mál þetta barst Persónuvernd næst bréf LSH, dags. 2. júní 2006. Þar segir m.a.:
„Fyrir nokkrum mánuðum var opnaður tilraunaaðgangur fyrir lækna Heilsugæslunnar í Mjódd að rannsóknarsvörum (Flexlab kerfi) LSH og læknunum þannig gert kleift að nálgast rannsóknarsvör sem vistuð eru innan LSH. Var þetta gert í samræmi við samning LSH við HH um rannsóknarþjónustu, sem undirritaður var 20. apríl 2004 og endurnýjaður 3. maí 2006. Í samræmi við samninga aðila hefur LSH nú ákveðið að sams konar aðgangur annarra stöðva [verði] opnaður á komandi mánuðum.
Til að tryggja öryggi í meðferð rannsóknarbeiðna og rannsóknarsvara hafa aðilar gert með sér samning, þar sem nánar er skýrt hvernig framkvæmd öryggismála er háttað, hvernig miðlun rafrænna upplýsinga fer fram milli stofnananna og hvernig aðgangi að rannsóknarbeiðnum og rannsóknarniðurstöðum er stýrt.[...]"
Með bréfinu voru hjálögð ýmis skjöl, þ. á m. samningur milli HR og LSH um rannsóknarþjónustu, dags. 1. júlí 2004; og samningur HH, sem þá hafði tekið við af HR, og LSH um meðferð rafrænna upplýsinga um niðurstöður rannsókna, dags. 3. maí 2006. Samningarnir lúta að því að LSH taki að sér að framkvæma ýmis verk fyrir HR og síðar HH, þ. á m. að veita heilsugæslulæknum aðgang að beiðna- og svarakerfi (ROS) fyrir klíníska lífefnafræði og blóðmeinafræði. Er og vísað til þess að LSH skuli setja reglur um m.a. aðgangsstýringar og að kaupandi, n.t.t. HR í fyrri samningnum og HH í þeim síðari, skuli hafa sama aðgang og starfsfólk LSH að gögnum í rannsóknastofukerfi til notkunar við meðferð sjúklinga, vísindarannsóknir og önnur rannsóknarstörf.
Með tölvubréfi, dags. 6. febrúar 2007, sendi LSH Persónuvernd skjal frá bresku staðlastofnuninni, dags. 8. desember 2006, varðandi mat hennar á því hvort farið sé að öryggisstaðlinum ISO 27001. Það tók þó aðeins til vinnslu innan upplýsingatæknisviðs LSH. Í skjalinu eru gerðar ýmsar athugasemdir við öryggiskerfi persónuupplýsinga í ljósi ákvæða staðalsins.
II.
Niðurstaða
1.
Stjórn Persónuverndar ræddi mál þetta á fundi sínum hinn 19. febrúar 2007. Að mati hennar lýtur það að lögmæti aðgangs að sjúkraskrárupplýsingum. Um sjúkraskrár er fjallað í IV. kafla laga nr. 74/1997 um réttindi sjúklinga. Ekki er þar að finna skilgreiningu á sjúkraskrá. Slíka skilgreiningu er hins vegar að finna í 1. og 2. mgr. 1. gr. reglugerðar nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sbr. 6. mgr. 14. gr. laga nr. 74/1997. Í framangreindum ákvæðum reglugerðarinnar segir:
„Sjúkraskrá [?] er safn sjúkragagna sem unnin eru eða fengin annars staðar frá vegna meðferðar einstaklinga hjá lækni eða í heilbrigðisstofnun.
Sjúkragögn í sjúkraskrá geta verið lýsing eða túlkun í rituðu máli, myndir, þ.m.t. röntgenmyndir, línurit eða upptaka sem numin hefur verið með hjálp tæknibúnaðar. Gögnin innihalda upplýsingar um heilsufar og aðra einkahagi viðkomandi einstaklinga og tímasettar upplýsingar um það sem gerist eða gert er meðan einstaklingurinn er í meðferð hjá lækni eða í heilbrigðisstofnun."
Við meðferð sjúkraskrárupplýsinga verður að fara að 1. mgr. 14. gr. laga nr. 74/1997 þar sem mælt er fyrir um að sjúkraskrá skuli varðveitt á heilbrigðisstofnun þar sem hún er færð eða hjá lækni eða öðrum heilbrigðisstarfsmanni sem hana færir á eigin starfsstofu. Einnig þarf m.a. að fara að 1. mgr. 15. gr. laganna um að þess skuli gætt við aðgang að sjúkraskrám að þær hafa að geyma viðkvæmar persónuupplýsingar og að upplýsingar í þeim eru trúnaðarmál. Þá ber að fara að 2. mgr. 15. gr. þar sem kveðið er á um að sjúkraskrár skuli geymdar á tryggum stað og að þess skuli gætt að einungis þeir starfsmenn, sem nauðsynlega þurfa, hafi aðgang að þeim.
2.
Persónuvernd telur að túlka beri framangreint ákvæði 1. mgr. 14. gr. laga nr. 74/1997 svo að rafrænar sjúkraskrár megi ekki vera aðgengilegar sjálfvirkt og fyrirvaralaust utan þeirrar heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns þar sem þær eru færðar. Annað myndi jafnast á við varðveislu sjúkraskráa utan viðkomandi stofnunar eða starfsstofu og væri þannig gengið gegn hinni skýru reglu ákvæðisins.
Tekið skal fram að Persónuvernd telur þetta ekki útiloka að tilgreindum starfsmönnum utan heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns sé veittur aðgangur að rafrænni sjúkraskrá sem bundinn er við einstök tilvik eða einstaka sjúklinga. Svo að slíkt sé heimilt verður aðgangurinn að byggjast á sérstökum rökum og verður að vera hafið yfir vafa að aðgangur sé viðkomandi starfsmönnum nauðsynlegur vegna starfa sinna.
Í ljósi þessa telur Persónuvernd að heimilt sé að veita starfsmönnum HH aðgang að upplýsingum í skrá LSH yfir rannsóknasvör, enda sé þess gætt að aðgangurinn afmarkist við þá starfsmenn sem nauðsynlega þurfa á slíkum aðgangi að halda vegna starfa sinna og sé ekki víðtækari en nauðsyn krefur í ljósi þeirra starfa.
3.
Fram hefur komið að fyrirhugað er að veita HH kost á því að panta rannsóknir á LSH. Það kynni að fela í sér varðveislu rannsóknasvara HH í rafrænu sjúkraskrárkerfi LSH og vekur það upp álitaefni í tengslum við framangreint ákvæði 1. mgr. 14. gr. laga nr. 74/1997, þ.e. hvort það banni slíka varðveislu.
Persónuvernd hefur í framkvæmd litið svo á að ákvæðið banni ekki útvistun sjúkraskráa hjá þjónustuaðila heldur sé því ætlað að tryggja að ekki sé fyrir hendi fyrirvaralaus aðgangur að sjúkraskrám utan þeirrar heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns þar sem hún er færð. Orðalag ákvæðisins miðist þannig við pappírsgögn og byggist m.a. á því að öryggi slíkra gagna sé ógnað séu þau ekki varðveitt þar sem þau eru notuð, s.s. vegna hættu á að þau glatist í flutningum frá geymslustað til heilbrigðisstofnunar. Sé um að ræða rafræn gögn má hins vegar ætla að öryggi þeirra geti aukist við útvistun hjá þjónustuaðila sem hafi til að bera sérþekkingu á upplýsingaöryggismálum sem ekki er til staðar innan viðkomandi stofnunar. Einkum má ætla að þessi rök varðandi upplýsingaöryggi eigi við um minni heilbrigðisstofnanir sem ekki hafa sérstaka deild sem sér um tölvumál. Sé um að ræða stóra stofnun líkt og HH má hins vegar ætla að öryggi rafrænna gagna sé almennt best tryggt með því að viðkomandi stofnun hafi sjálf varðveislu slíkra gagna með höndum.
Við mat á því hvernig haga skal varðveislu svara úr rannsóknum, sem LSH framkvæmir fyrir HH, telur Persónuvernd að líta verði sérstaklega til þessara sjónarmiða. Tekið skal fram að verði niðurstaða HH og LSH sú að öryggi umræddra rannsóknasvara sé best tryggt – þrátt fyrir framangreint – með þeim hætti að LSH sjái um varðveislu þeirra ber að gæta að því að ekki sé fyrir hendi sjálfvirkur og fyrirvaralaus aðgangur að þeim innan sjúkrahússins. Slíkt myndi ganga gegn grunnrökum 1. mgr. 14. gr. laga nr. 74/1997, þ.e. þeirri reglu, sem felst í ákvæðinu, að aðgangur að sjúkraskrám á almennt að afmarkast við starfsmenn þeirrar heilbrigðisstofnunar eða starfsstofu þar sem þær eru færðar.
4.
Að lokum skal eftirfarandi tekið fram: Mál þetta lýtur að því að heilsufarsupplýsingar, sem til verða á einni heilbrigðisstofnun, verði aðgengilegar á annarri heilbrigðisstofnun. Væri gildandi löggjöf túlkuð á þann hátt að engin takmörk væru fyrir veitingu slíks aðgangs yrði um leið talið heimilt að koma á heildstæðri rafrænni sjúkraskrá fyrir landið allt með samtengingum milli heilbrigðisstofnana. Slíkt myndi fela í sér mun rýmra aðgengi að upplýsingum um sjúklinga en nú er og vekja upp margs konar álitamál varðandi vernd viðkvæmra persónuupplýsinga og hversu víðtækan aðgang eðlilegt sé að veita að þeim í ljósi grundvallarreglunnar um friðhelgi einkalífs. Telur Persónuvernd að svo að slíkt aðgengi geti samrýmst 71. gr. stjórnarskrárinnar um friðhelgi einkalífs þurfi mjög skýra lagaheimild. Gildandi löggjöf hefur ekki að geyma slíka heimild.
Af tilefni framangreinds er afrit af bréfi þessu sent til heilbrigðis- og tryggingamálaráðherra í því augnamiði að vekja athygli hans á framangreindu.