Ákvörðun um heimild til samkeyrslu upplýsinga

Þann 18. ágúst 2008 tók stjórn Persónuverndar ákvörðun vegna umsóknar heilbrigðisráðherra um leyfi til að mega samkeyra persónuupplýsingar sem hann, samkvæmt leyfum úgefnum af Persónuvernd til ýmissa annarra aðila, fær í þágu verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu. Um er að ræða upplýsingar frá eftirtöldum aðilum: Landspítala, Lyfju hf., Lyfjum og heilsu hf., Lyfjavali ehf., Lyfjaveri ehf., Læknavaktinni, Rauða krossinum, Tryggingastofnun ríkisins, Heilsugæslu höfuðborgarsvæðisins, Heilbrigðisstofnun Suðurlands, Heilbrigðisstofnun Suðurnesja, Heilbrigðisstofnun Austurlands, Heilsugæslustöðinni Borgarnesi, Sjúkrahúsinu og heilsugæslustöðinni á Akranesi, Heilbrigðisstofnun Vestmannaeyja, Heilsugæslustöðinni Akureyri og Heilbrigðisstofnun Ísafjarðarbæjar.

Þann 6. desember 2007 mætti forstjóri Persónuverndar á fund með Framkvæmdanefnd um greiðsluþátttöku almennings í heilbrigðiskerfi (hér eftir nefnd framkvæmdanefnd). Þar var verkefni nefndarinnar kynnt og efnistök rædd, m.a. hvernig standa mætti að öryggismálum, hvaða verkþættir væru háðir leyfi frá Persónuvernd o.s.frv.

Þann 10. desember barst Persónuvernd bréf frá Pétri H. Blöndal, f.h. framkvæmdanefndar, þar sem fyrirhugað verkefni um raunkostnað einstaklinga vegna lyfjakaupa á árinu 2007 var formlega kynnt. Sagði m.a. að tilgangurinn væri að hér á landi yrði komið á kerfi er tryggi að enginn muni greiða meira en ákveðna upphæð fyrir lyf á mánuði og að einstaklingar verði tryggðir fyrir kostnaði umfram þessi mörk.

1.

Lyfjabúðir

Þann 10. desember 2007 barst Persónuvernd bréf frá framkvæmdanefndinni, Lyfju hf., Lyfjum og heilsu hf., Lyfjaveri ehf. og Lyfjavali ehf. Með bréfinu var óskað leyfis fyrir framangreindar lyfjabúðir til vinnslunnar. Sama dag var málið rætt á fundi stjórnar Persónuverndar. Af hálfu stjórnar var á því byggt að eftir samkeyrslu gagna yrði dulkóðunarlykli eytt, m.ö.o. að úr gögnum lyfjabúðanna yrðu aðeins til ópersónugreinanlegar upplýsingar. Ákvað stjórn að veita leyfi fyrir því.

Þann 19. desember sl. sendi Persónuvernd búðunum bréf og fór m.a. fram á að henni bærust afrit af drögum að samningi við vinnsluaðila. Þau bárust þann 17. janúar 2008.

Þann 25. janúar 2008 barst Persónuvernd bréf frá Pétri H. Blöndal, f.h. framkvæmdanefndarinnar, þar sem hann gerði athugasemdir við ákvörðun stjórnar Persónuverndar sem miðaði við að dulkóðunarlykli yrði eytt. Var þess óskað að Persónuvernd myndi heimila varðveislu dulkóðunarlykils. Málið var rætt á fundi stjórnar þann 28. janúar 2008 og ákveðið að veita umbeðið leyfi með því skilyrði að Persónuvernd myndi varðveita lykilinn og fela sérfróðum aðila bæði að fylgjast með notkun hans og annast flutning í og úr bankahólfi Persónuverndar. Persónuvernd kynnti ákvörðun sína með bréfi, dags. 4. febrúar 2008, og gerði samning við sérfræðing þann 25. febrúar 2008.

2.

Tryggingastofnun ríkisins

Þann 8. janúar sl. barst Persónuvernd bréf frá framkvæmdanefndinni og Tryggingastofnun ríkisins um samskonar heimild og lyfjabúðum, sbr. ákvörðun stjórnar Persónuverndar frá 10. desember 2007. Með bréfi, dags. 4. febrúar 2008, svaraði Persónuvernd því til að hún ynni að gerð samnings við sérfræðing en myndi skoða málið nánar að því loknu. Með bréfi, dags. 23. apríl sl., áréttaði Tryggingastofnun ríkisins ósk sína um heimild. Var tilgreint til hvaða gagna umsóknin tæki.

3.

Landspítali

Persónuvernd barst umsókn frá Landspítala, dags. 19. febrúar sl. Í henni var aðeins gert ráð fyrir samkeyrslu á gögnum sem spítalinn sjálfur ber ábyrgð á. Með bréfi, dags. 3. mars 2008 benti Persónuvernd á að slíkt væri ekki háð leyfi heldur nægði að tilkynna um slíkar samkeyrslur. Öðru máli gegnir hins vegar um miðlun upplýsinganna og á fundi stjórnar þann 10. mars var ákveðið að ef stofnuninni bærist umsókn um heimild til miðlunar, sambærileg við umsóknir annarra aðila sem útvega gögn vegna verkefnisins, yrði LSH veitt leyfi með sömu skilmálum og öðrum. Þann 14. maí 2008 barst Persónuvernd síðan umsókn frá Landspítalanum um að mega miðla gögnum vegna verkefnisins. Var tilgreint til hvaða gagna umsóknin tæki.

4.

Heilsugæslustöðvar, Læknavaktin, Rauði krossinn

Þann 18. júní sl. barst Persónuvernd bréf frá Pétri H. Blöndal, f.h. framkvæmdanefndar. Þar kemur fram að auk þeirra aðila sem Persónuvernd höfðu áður borist erindi um að myndu útvega gögn vegna verkefnisins stæði til að fá gögn frá heilsugæslustöðvum, Læknavaktinni, Rauða krossinum og tannlæknum. Í framhaldi af því útskýrði Persónuvernd, með bréfi dags. 27. júní sl., að meðan henni hefðu ekki borist umsóknir þessara ábyrgðaraðila væru ekki forsendur til útgáfu leyfa þeim til handa.

Persónuvernd hafa nú alls borist umsóknir frá eftirtöldum aðilum: Læknavaktinni, dags. 1. júlí 2008, Rauða krossinum, dags. 7. júlí 2008, Heilsugæslu höfuðborgarsvæðisins, dags. 12. ágúst 2008, Heilbrigðisstofnun Suðurlands, dags. 7. ágúst 2008, Heilbrigðisstofnun Suðurnesja, dags. 7. ágúst 2008, Heilbrigðisstofnun Austurlands, dags. 6. ágúst 2008, Heilsugæslustöðinni Borgarnesi, dags. 7. ágúst 2008, Sjúkrahúsinu og heilsugæslustöðinni á Akranesi, dags. 7. ágúst 2008, Heilbrigðisstofnun Vestmannaeyja, dags. 7. ágúst 2008, Heilsugæslustöð Akureyrar, dags. 11. ágúst 2008, og Heilbrigðisstofnun Ísafjarðarbæjar, dags. 7. ágúst 2008. Engar umsóknir hafa borist frá tannlæknum.

II.

Með framangreindu svarbréfi Persónuverndar til framkvæmdanefndarinnar, dags. 27. júní 2008, benti hún á að sig vantaði upplýsingar um ábyrgðaraðila vinnslunnar. Pétur Blöndal svaraði með bréfi, dags. 7. júlí sl. Sagði að hann yrði, sem formaður nefndarinnar, ábyrgðaraðili. Þann 9. júlí 2008 sendi Persónuvernd heilbrigðisráðherra bréf, útskýrði að framkvæmdanefndin er starfsnefnd, skipuð af honum og starfar á hans vegum. Var því innt eftir afstöðu ráðherra til þess að umbeðið leyfi yrði veitt honum sem ábyrgðaraðila vinnslunnar. Afrit af bréfinu var sent Pétri Blöndal, f.h. framkvæmdanefndarinnar. Einnig var Pétri sent bréf, dags. 16. júlí 2008, til frekari skýringar á hlutverki og stöðu ábyrgðaraðila í skilningi laga nr. 77/2000.

Þann 14. ágúst 2008 barst Persónuvernd síðan bréf frá heilbrigðisráðuneytinu. Þar segir:

III.

Ákvörðun

1.

Gildissvið laga nr. 77/2000

Lögmæti vinnslu, almennt

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Fyrir liggur að dulkóðunarlykli verður ekki eytt og telst því vera um persónugreinanlegar upplýsingar að ræða. Í skilningi laganna er vinnsla sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af því leiðir að samkeyrsla persónuupplýsinga telst til vinnslu í skilningi laganna.

Samkvæmt 33. gr. laga nr. 77/2000 getur Persónuvernd ákveðið að vinnsla megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Hefur Persónuvernd ákveðið að samkeyrsla viðkvæmra persónuupplýsinga sé leyfisskyld. Birtist þessi ákvörðun hennar í 1. tölul. 1. mgr. 7. gr. reglna nr. 698/2004 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, sem settar voru samkvæmt heimild í 31., 32. og 33. gr. laga nr. 77/2000. Samkvæmt því ákvæði er samkeyrsla skráa er hafa að geyma viðkvæmar persónuupplýsingar, s.s. um heilsufar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, háð leyfi Persónuverndar, enda eigi engin af undanþágunum frá þeirri reglu við. Þar sem engin af undanþágunum á hér við er umrædd samkeyrsla leyfisskyld samkvæmt framangreindu.

2.

Leyfi og leyfisskilmálar

2.1.

Leyfi

Að virtu öllu því sem að framan greinir, m.a. þess tilgangs sem að baki umræddri vinnslu býr og þeim öryggisráðstöfunum sem viðhafðar verða, sbr. kafla 2.2. hér að neðan, og þess að aðeins er um tímabundna vinnslu að ræða en ekki undirbúning að gerð gagnagrunns með persónuupplýsingum um hina skráðu, hefur stjórn Persónuverndar ákveðið að veita heilbrigðisráðherra leyfi til að samkeyra þær upplýsingar sem hann fær frá eftirtöldum aðilum sem hafa í dag fengið leyfi til að miðla til hans tilgreindum upplýsingum vegna verkefnis um greiðsluþátttöku almennings í heilbrigðiskerfinu:

Heimild þessi, sem veitt er í samræmi við 1. tölul. 1. mgr. 7. gr. reglna nr. 698/2004 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, sbr. 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gildir til 1. október árið 2009.

2.2.

Leyfisskilmálar

A. Lögmæt vinnsla persónuupplýsinga og þagnarskylda

a. Leyfishafi ber ábyrgð á því að meðferð persónuupplýsinga við umræddar samkeyrslur fullnægi ávallt kröfum 1. mgr. 7. gr. laga nr. 77/2000.

b. Farið skal með persónuupplýsingar í samræmi við lög nr. 77/2000 og reglur nr. 299/2001 um öryggi persónuupplýsinga. Hvílir þagnarskylda á leyfishafa og öðrum þeim sem koma að vinnu við framangreint verkefni. Þagnarskylda helst þótt látið sé af störfum.

c. Leyfi þetta heimilar einvörðungu að aflað sé persónuupplýsinga sem gildi hafa fyrir verkefni Framkvæmdanefndar um greiðsluþátttöku almennings í heilbrigðiskerfinu.

B. Öryggi við vinnslu persónuupplýsinga

1. Almennt

a. Leyfishafa ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 11. og 12. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er m.a. áskilið:

b. Leyfishafi ber ábyrgð á því að hver sá er starfar í umboði hans og hefur aðgang að persónuupplýsingum vinni aðeins með þær í samræmi við skýr fyrirmæli sem hann gefur og að því marki að falli innan skilyrða leyfis þessa, nema lög mæli fyrir á annan veg, sbr. 3. mgr. 13. gr. laga nr. 77/2000.

2. Eftirlit tilsjónarmanns

a. Tryggja skal að engin vinnsla fari fram nema undir tilsjón sérfræðings á vegum Persónuverndar.

b. Öll vinnsla, þ.m.t. smíði dulkóðunarlykla fyrir verkefnið, skal fara fram á fartölvu sem vinnsluaðili leggur til verksins. Hana má ekki tengja neinum öðrum búnaði, þ.m.t. yfir net, og skal hún vera í vörslum Persónuverndar/tilsjónarmanns frá og með smíði lykla og til loka verkefnisins.

c. Tilsjónarmaður skal sjá um að varðveita eina eintak þess dulkóðunarlykils sem notaður verður í verkefninu, milli þess sem hann er í vörslum Persónuverndar. Lykillinn skal ætíð vistaður á framangreindri fartölvu og hvorki færður af henni né afritaður af henni með neinum hætti.

d. Þegar samkeyrsla persónuupplýsinga skv. leyfi þessu fer fram skal tilsjónarmaður mæta með fyrrgreinda fartölvu, sem vinnslan fer fram á, og hafa eftirlit með vinnslulotunni á meðan hún stendur yfir. Fara skal skýlaust að þeim fyrirmælum sem hann kann að gefa við framkvæmd vinnslunnar. Skal hann, að hverri vinnslulotu lokinni, skila fyrrgreindri fartölvu til Persónuverndar þar sem hún verður varðveitt, milli vinnslulota, þar til verkefninu lýkur.

e. Leyfishafi, eða vinnsluaðili fyrir hans hönd, ber ábyrgð á því að boða tilsjónarmann, með hæfilegum fyrirvara, á þann stað þar sem vinnsla persónuupplýsinga skal fara fram skv. leyfi þessu.

f. Tilsjónarmaður skal þegar stöðva undirbúning eða vinnslu persónuupplýsinga og bera málið án tafar undir Persónuvernd, ef þær upplýsingar sem unnið er með kunna enn að teljast persónugreinanlegar eftir að búið er að dulkóða kennitölur og fjölskyldunúmer einstaklinga.

3. Eyðing gagna

a. Að verkefni loknu – og eigi síðar en 1. október árið 2009 – ber tilsjónarmanni að eyðileggja með öruggum hætti varanlegan gagnageymslumiðil („harðan disk") framangreindrar fartölvu og þar með eyða eina eintakinu af dulkóðunarlykli vegna verkefnisins, nema nýtt leyfi hafi þá verið gefið út af Persónuvernd sem heimili lengri varðveislutíma dulkóðunarlykils. Að því loknu skal fartölvunni skilað til vinnsluaðila.

b. Tilsjónarmaður Persónuverndar hefur umsjón með því að sjá til þess að dulkóðunarlykli vegna verkefnisins verði eytt.

4. Almennir skilmálar

a. Leyfishafi ber ábyrgð á að farið sé með öll persónuauðkennd gögn í samræmi við lög, reglur og ákvæði þessa leyfis.

b. Leyfishafi ábyrgist að engir fái í hendur persónugreinanleg gögn, sem sérstaklega er unnið með vegna þeirra samkeyrslna sem leyfi þetta tekur til, nema þeir hafi til þess heimild samkvæmt ákvæðum leyfisins.

c. Leyfishafa ber að veita Persónuvernd, starfsmönnum og tilsjónarmanni hennar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað afturköllun á leyfinu.