Skráning upplýsinga um HIV-smitaða í gagnagrunn í Svíþjóð til nota við læknismeðferð og gæðaeftirlit á Landspítala
I.
Erindi Landspítalans
Persónuvernd vísar til tölvubréfs Landspítalans frá 27. mars 2009. Þar segir:
„Um nokkurt skeið hafa verið uppi hugmyndir um að skrá betur upplýsingar um sjúklinga með HIV smit (alnæmi), sem fá þjónustu sína á göngudeild smitsjúkdóma á LSH. Í því skyni að bæta skráninguna hefur Magnús Gottfreðsson yfirlæknir smitsjúkdómadeildarinnar verið í sambandi við forsvarsmenn InfCare gagnagrunnsins sem rekinn hefur verið í Svíþjóð um árabil en honum er stýrt frá Karolinska sjúkrahúsinu í Stokkhólmi. Sá grunnur tekur til allra sjúklinga með HIV smit í Svíþjóð, en auk þess taka þátt í grunninum valin sjúkrahús í Danmörku og Finnlandi. Framsetning sjúkraskrárupplýsinga í InfCare grunninum gerir alla túlkun flókinna og margháttaðra rannsóknarniðurstaðna auðveldari, auk þess sem hún gefur læknum möguleika á að setja upplýsingar fram á aðgengilegu myndrænu formi gagnvart sjúklingum. Þá má geta þess að með því að taka þátt í InfCare skapast möguleikar á að finna með einföldum hætti alla þá sjúklinga sem uppfylla ákveðin skilmerki, t.d. hafa fengið tiltekna lyfjameðferð. Þannig stuðlar grunnurinn að bættu öryggi, enda eru þess dæmi að lyf hafi verið tengd alvarlegum aukaverkunum eftir að notkun þeirra hófst.
Nú býðst LSH að taka þátt í þessu verkefni. Ef af verður mun framkvæmdin vera tæknilega nánast samhljóða þeirri sem hefur verið notuð við skráningu í SCAAR gagnagrunninn (hjartaþræðingar) [sem einnig er varðveittur í Svíþjóð, en samkvæmt bréfi Persónuverndar til Landspítala, dags. 4. júlí 2007, gerði hún ekki athugasemdir við skráningu upplýsinga í hann (mál nr. 2006/747)]. Tæknilega hliðin hefur verið metin af forsvarsmönnum á upplýsinga- og tæknisviði LSH og hafa þeir haft tækifæri til að kalla eftir öllum þeim upplýsingum um tækni- og öryggismál sem þeir telja þörf á."
Hjálögð með bréfi Landspítalans eru drög að samningi milli Landspítala og Karólínska sjúkrahússins í Stokkhólmi um varðveislu upplýsinga um HIV-smitaða í umræddum gagnagrunni. Persónuvernd hefur farið yfir þessi samningsdrög. Samkvæmt samningsdrögunum (kaflanum „Purpose") er tilgangurinn með færslu upplýsinganna í gagnagrunninn sá að veita kost á samanburði á þáttum tengdum HIV-smiti á milli sjúkrahúsa og landa, bæta meðferð einstakra sjúklinga, fækka sjúkdómstilvikum, draga úr dánartíðni og lækka kostnað við veitingu meðferðar.
Samkvæmt samningnum (kaflanum „Transfer of Data") verða upplýsingar fluttar rafrænt frá Landspítala í gagnagrunninn um öruggar fjarskiptalínur. Meðal upplýsinga (sbr. kaflann „Collection of Data"), sem skráðar séu í gagnagrunninn, séu nafn sjúklings, fæðingardagur, kyn, áhættuþættir, dagsetning jákvæðrar HIV-greiningar, hvernig smit bar að, fyrri sjúkdómar, fjöldi T-hjálparfrumna, RNA-erfðaefni HIV-veiru, meðferðarsaga og niðurstöður prófunar á HIV-mótstöðu. Fram kemur (í kaflanum „Transfer of Data") að upplýsingar verða auðkenndar með kennitölum sjúklinga.
Ráðið verður af samningnum að aðgangur þeirra sem skrá upplýsingar í gagnagrunninn nái aðeins til persónugreinanlegra upplýsinga sem viðkomandi aðilar hafi sjálft fært inn. Þetta má sjá af ákvæðum samningsins (í kaflanum „Right of Property and Use of Information") þess efnis að Landspítali hafi aðgang að öllum upplýsingum um sjúklinga sem þar hafa notið meðferðar. Aðgangur að upplýsingum frá öðrum heilbrigðisstofnunum takmarkist hins vegar við tölfræðigögn. Þá segir að upplýsingar, sem Landspítali skráir í gagnagrunninn, séu eign hans og að Karólínska sjúkrahúsið og aðrir hafi ekki heimild til notkunar þeirra án leyfis Landspítala.
Tekið er fram (í kaflanum „Processing") að Landspítali sé ábyrgðaraðili að umræddri vinnslu persónuupplýsinga, þ.e. sá sem ákveði tilgang vinnslu persónnuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinga. Karólínska sjúkrahúsið sé hins vegar vinnsluaðili og muni aðeins vinna með persónuupplýsingar í samræmi við fyrirmæli Landspítala nema sænsk lög mæli fyrir á annan veg. Þarlend lög gilda samkvæmt samningnum um öryggisráðstafanir við umrædda vinnslu (sbr. kaflann „Background and description of project").
II.
Niðurstaða Persónuverndar
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
2.
Af bréfi Landspítala, dags. 27. mars 2009, verður ráðið að umræddur gagnagrunnur í Svíþjóð, þ.e. InfCare, sé sjúkraskrárgagnagrunnur. Um sjúkraskrár er fjallað í lögum nr. 55/2009 um sjúkraskrár og er ljóst að varðveislan verður að samrýmast þeim lögum. Hið sama gildir um flutning gagnanna til Svíþjóðar. Samkvæmt 1. mgr. 29. gr. laga nr. 77/2000 er heimilt að flytja persónuupplýsingar til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd. Í 2. mgr. 29. gr. er tekið fram að ríki, sem framfylgja tilskipun Evrópusambandsins nr. 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga, teljast veita slíkra vernd. Svíþjóð er á meðal þeirra ríkja og hamla lög nr. 77/2000 því ekki umræddum flutningi gagna þangað. Ekki verður séð að önnur lög, þ. á m. lög nr. 55/2009, hamli flutningnum heldur.
Við varðveislu upplýsinga í gagnagrunninum verður að gæta að öryggi þeirra. Um öryggisráðstafanir skal fara eftir sænskum lögum, sbr. 4. mgr. 13. gr. laga nr. 77/2000, sbr. 3. mgr. 16. gr. tilskipunar nr. 95/46/EB sem liggur lögunum til grundvallar. Lúta þau ákvæði að réttarsambandi ábyrgðaraðila og vinnsluaðila. Með ábyrgðaraðila að vinnslu persónuupplýsinga, í þessu tilviki Landpítala, er átt við þann sem ákveður hvers vegna og hvernig unnið er með persónuupplýsingar, sbr. 4. tölul. 2. gr. laga nr. 77/2000, og með vinnsluaðila, í þessu tilviki Karólínska sjúkrahúsið, er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. sömu greinar. Ábyrgðaraðili skal ávallt gera sérstakan samning við vinnsluaðila sem afmarkar réttindi og skyldur vinnsluaðilans, sbr. 13. gr. laga nr. 77/2000 og 16. gr. tilskipunarinnar. Í framangreindum ákvæðum þessara greina er mælt fyrir um að hafi vinnsluaðilinn staðfestu í öðru aðildarríki, í þessu tilviki Svíþjóð, skuli í slíkum samningi mælt fyrir um að við þá vinnslu, sem vinnsluaðilinn hefur með höndum, skuli um upplýsingaöryggi fara að lögum í ríki vinnsluaðilans.
Ákvæði í samningi Landspítala og Karólínska sjúkrahússins eru í samræmi við framangreint, sbr. kaflann „Background and description of project". Tekið skal fram að Persónuvernd telur ekki að þessi kafli samningsins – né heldur framangreind ákvæði 13. gr. laga nr. 77/2000 og 16. gr. tilskipunar 95/46/EB – leiði til þess að sérákvæði laga nr. 55/2009 um öryggi sjúkraskráa, sbr. nánar 3. kafla hér á eftir, gildi ekki um umræddar upplýsingar, enda lúta þau ekki aðeins að öryggisráðstöfunum sem slíkum heldur einnig trúnaðarskyldu og réttindum til aðgangs.
3.
Samkvæmt 1. mgr. 5. gr. laga nr. 55/2009 er einungis heilbrigðisstarfsmönnum og öðrum starfsmönnum og nemum í starfsnámi í heilbrigðisvísindum, sem undirgengist hafa sambærilega trúnaðar- og þagnarskyldu og heilbrigðisstarfsmenn, heimilt að færa upplýsingar í sjúkraskrá. Í 3. mgr. 5. gr. segir að við sérhverja færslu í sjúkraskrá skuli koma fram nafn þess sem skráir, starfsheiti hans og tímasetning færslu. Viðbót, leiðrétting, breyting eða eyðing, sem gerð er á færslu sjúkraskrárupplýsinga, skuli ætíð vera rekjanleg. Ábyrgðar- og umsjónaraðilar sjúkraskráa skulu hafa virkt eftirlit með því að framfylgt sé ákvæðum laganna. Með ábyrgðaraðila sjúkraskráa er átt við þá heilbrigðisstofnun eða starfsstofu heilbrigðisstarfsmanna þar sem sjúkraskrár eru færðar, sbr. 12. tölul. 3. gr. laganna. Með umsjónararaðila sjúkraskráa er átt við lækni, eða annan heilbrigðisstarfsmann sé lækni ekki til að dreifa, sem ábyrgðaraðili hefur falið að hafa eftirlit með og sjá um að skráning og meðferð sjúkraskrárupplýsinganna samrýmist lögunum, sbr. 13. tölul. 3. gr.
Í 12. gr. laganna er kveðið á um að aðgangur að sjúkraskrám sé óheimill nema til hans standi lagaheimild. Slíka heimild er að finna í 1. mgr. 13. gr. laganna fyrir heilbrigðisstarfsmenn. Þar segir að heilbrigðisstarfsmenn, sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar, skuli hafa aðgang að sjúkraskrá sjúklingsins með þeim takmörkunum sem leiði af ákvæðum laganna og reglum samkvæmt þeim. Umsjónaraðili sjúkraskráa geti veitt öðrum starfsmönnum og nemum í starfsnámi í heilbrigðisvísindum, sem undirgengist hafa sambærilega trúnaðar- og þagnarskyldu og heilbrigðisstarfsmenn og koma að meðferð sjúklings, heimild til aðgangs að sjúkraskrá hans að því marki sem nauðsynlegt sé vegna starfa þeirra í þágu sjúklingsins.
Mælt er fyrir um takmarkanir að upplýsingum, sem sjúklingur sjálfur telur sérstaklega viðkvæmar, í 2. mgr. 12. gr. laganna. Segir þar að hann skuli að jafnaði takmarkaður við starfsmenn sem starfa innan þeirrar einingar eða deildar heilbrigðisstofnunar eða starfsstofu heilbrigðisstarfsmanns þar sem meðferð er veitt, en aðgangur annarra heilbrigðisstarfsmanna sé óheimill nema með samþykki sjúklings. Þá segir að um þurfi að vera að ræða starfsmenn sem nauðsynlega þurfa upplýsingarnar vegna meðferðar sjúklingsins. Í 4. mgr. 12. gr. segir að sjúklingur eða umboðsmaður hans geti lagt bann við því að tiltekinn starfsmaður eða starfsmenn, þ.m.t. nemar í starfsnámi, hafi aðgang að sjúkraskrá hans. Með umboðsmanni sjúklings er átt við forráðamann hans eða þann sem sjúklingur hefur veitt skriflegt umboð til að taka ákvarðanir varðandi sjúkraskrá sína eða heimild til aðgangs að henni, sbr. 16. tölul. 3. gr. laganna.
4.
Persónuvernd telur ekki ástæðu til að gera athugasemdir við að Landspítali skrái upplýsingar um HIV-smitaða í gagnagrunninn InfCare á Karólínska sjúkrahúsinu í Stokkhólmi í Svíþjóð, enda verði fullnægjandi öryggis gætt við vinnslu upplýsinganna og farið að þeim lagakröfum sem að framan eru raktar. Minnt er á skyldu til að tilkynna um vinnslu persónuupplýsinga til Persónuverndar á þar til bæru formi, sbr. 31. og 32. gr. laga nr. 77/2000, sbr. reglur Persónuverndar um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Er Landspítala leiðbeint um að gera það varðandi skráningu upplýsinga í framangreindan gagnagrunn, þ.e. með því að fylla út rafrænt eyðublað á heimasíðu Persónuverndar sem sent er beint þaðan. Tilkynningin birtist því næst í þar til gerðri skrá á heimasíðu stofnunarinnar sem haldin er í samræmi við 17. gr. laga nr. 77/2000.