Ákvörðun Persónuverndar varðandi öryggi í tengslum við aðgang að sjúkraskrám - um notkun aðgangsorða og raungagna við kennslu

27.7.2010

Ákvörðun

1.

Bréfaskipti

Persónuvernd vísar til fyrri bréfaskipta vegna þess að við kennslu á LSH, þ.e. kennslu tæknimanna á möguleikum og virkni upplýsingakerfa, hafi verið notuð raungögn. Þá lá fyrir að við kennslu höfðu tæknimenn skráð sig inn á tölvur með sínu aðgangsorði en notað aðgangsorð tiltekinna heilbrigðisstarfsmanna til að komast inn á við kvæmar skrár. Ekki liggur fyrir að umræddir heilbrigðisstarfsmenn hafi þá verið viðstaddir.

Með bréfi, dags. 1. mars 2010, óskaði stjórn Persónuverndar eftir afdráttarlausari og áreiðanlegri svörum en hún hafði þá þegar fengið um viðbrögð LSH við framangreindu. Var óskað svara sem væru nægilega skýr svo af mætti ráða að úr yrði bætt og slíkir öryggisbrestir endurtækju sig ekki. Þá var óskað svara um hvort viðkomandi sjúklingum hafi verið veitt fræðsla um að sjúkraskrár þeirra hafi verið notaðar sem kennsluefni við fyrirlestra og hvort landlækni hafi verið kynnt málið. Var spurt hvort áætlað væri að endurskoða vinnslusamning um upplýsingakerfið og þess þá óskað að Persónuvernd bærust ný drög að samningi. Þá var spurt um agaaviðbrögð gagnvart þeim lækni sem leyfði umrædda notkun gagna og aðgangsorð síns. Loks var óskað afrits af skýrslu eftirlitsnefndar sjúkrahússins með logg-skrám, o.þ.h. í samræmi við öryggisreglur sjúkrahússins.

Í bréfi Ólafs Baldurssonar, framkvæmdastjóra lækninga á Landspítala, dags. 28. apríl 2010, er framangreindum spurningum svarað. Hvað varðar það hvort viðkomandi sjúklingi hafi verið veitt fræðsla segir í bréfinu að ekki hafi verið um undirbúinn fyrirlestur að ræða heldur kynningu á kerfi sem spítalinn hafi verið að taka í notkun á LSH. Upplýsingar þær sem sjúkraskrá varðveiti væru ekki inntak kennslunnar heldur virkni þeirra kerfa sem birta sjúkraskrár. Þegar fyrra bréf hafi verið samið hafi LSH ekki verið búið að kynna viðkomandi sjúklingi málavöxtu. Hafi LSH talið eðlilegt að svara Persónuvernd og bíða með frekari aðgerðir þar til afstaða hennar lægi fyrir. Enn fremur kemur fram að framkvæmdastjóri lækninga hafi óskað eftir því að siðfræðinefnd LSH tæki afstöðu til þess hvort hún teldi eðlilegt að kynna viðkomandi sjúklingi málavöxtu. Í svari siðanefndarinnar hafi komið fram að hún taldi vandséð að kennsla í heilsugáttarham sjúkraskrárkerfis LSH fyrir eiðsvarinn hóp lækna og kandidata í afmörkuðu rými á Landspítala hafi skaðað sjúkling. Á grundvelli þessa telur Landspítali að viðkomandi sjúklingur hafi ekki borið neinn skaða af umræddu atviki og telur vandséð að kynning á því þjóni hagsmunum hans. Ekki sé því fyrirhugað að kynna viðkomandi sjúklingi atvikið.

Hvað varðar það hvort landlækni hafi verið kynnt málið segir í bréfinu að LSH hafi ekki kynnt landlækni málavöxtu, fyrir samningu fyrra bréfs spítalans. Taldi LSH eðlilegt að svara Persónuvernd áður en til frekari aðgerða yrði gripið og bíða með frekari aðgerðir þar til afstaða Persónuverndar lægi fyrir. Landlækni hafi nú verið kynnt málið og hafi hann komið til fundar við framkvæmdastjóra lækninga þann 16. mars 2010 þar sem afstaða LSH var reifuð. Landlæknir hafi ekki gert athugasemdir við afgreiðslu spítalans.

Hvað varðar það hvort áætlað sé að endurskoða vinnslusamning um upplýsingakerfið segir í bréfinu að Landspítali sé bæði ábyrgðaraðili og vinnsluaðili sjúkraskrárupplýsinga á spítalanum og Heilsugáttin sé þróuð af Landspítala. Í ljósi þess að LSH sé ábyrgðaraðili við alla vinnslu upplýsinganna, sem fer fram í húsakynnum spítalans, hafi LSH ekki talið að gera ætti sérstakan samning um vinnsluna. Því sé ekki fyrirliggjandi neinn samningur um þessa vinnslu og ekki hafi verið áformað að gera slíkan samning, enda ekki gert ráð fyrir slíkum samningi í lögum um Persónuvernd.

Hvað varðar agaviðbrögð gagnvart þeim lækni sem leyfði umrædda notkun gagna og aðgangsorðs síns segir í bréfinu að umræddur læknir hafi leyft notkun „sjónarhorns“ síns í þeim tilgangi að hægt væri að þróa sjúkraskrárkerfi spítalans og prófa það með notkun raungagna og þannig sannreyna að gögn birtist með réttum hætti, áður en kerfið yrði tekið í notkun á spítalanum. Þessi heimild hafi ekki tekið til þess að nota gögnin eða aðgangsorð læknisins við kennslu eða leiðsögn og ekki gert ráð fyrir að þesi heimild yrði nýtt við þær aðstæður. Það sé hlutverk LSH að viðhalda þeim sjúkraskrárkerfum sem notuð eru á spítalanum við meðferð sjúkraskrárupplýsinga og þróa þau. Jafnframt þurfi að tryggja að gögn birtist með réttum hætti þegar þjónusta við sjúklinga fari fram. Prófun tæknimanna á sjúkraskrárkerfum í raunumhverfi er því að mati LSH lögmæt starfsemi og nauðsynleg til að fyrirbyggja eftir megni að mistök eigi sér stað, mistök sem í versta tilviki geti leitt til alvarlegs skaða fyrir sjúklinga spítalans. Í bréfinu kemur fram að hafi verið leitað til siðfræðinefndar LSH um þetta mál. Í svari hennar hafi m.a. komið fram að hún telji ekki rétt að beita agaviðbrögðum í nefndu tilviki. Sá hópur sem valinn hefði verið og falið það verkefni að leysa flókin vandamál tengd sjúkraskrárkerfinu, og kenna öðrum læknum nýtingu þess, hafi nefndinni sýnst vinna af trúmennsku og án ásetnings eða hnýsni. Á grundvelli þessa telur LSH að læknirinn hafi ekki brotið af sér í starfi. Að mati LSH megi umrætt atvik rekja til þess að vinnureglur hafi ekki verið nægilega skýrar. Hafi vinnureglur nú verið skýrðar og umræddir tæknimennirnir muni í framtíðinni eingöngu sinna kennslu í samstarfi við heilbrigðisstarfsmenn á viðkomandi starfseiningu, sem beri þá ábyrgð á allri notkun sjúkragagna.

Með bréfinu fylgdi einnig afrit af skýrslu eftirlitsnefndar um rafrænar sjúkraskrár. Eftir skoðun á umræddri skýrslu taldi Persónuvernd rétt að boða Stefán Yngvason, formann nefndarinnar á sinn fund. Á fundi stjórnar Persónuverndar með honum þann 17. maí 2010 voru niðurstöður skýrslunnar ræddar. Fram kom að lækningaforstjóri hefði haft samband við Stefán og beðið hann um að athuga „log“ færslur hjá Ó, lækni, í tengslum við mögulega misnotkun á aðgangi. Seinna hafi T, læknir, einnig haft samband við Stefán og beðið hann um að athuga nánar innskráningu á hans notendanafni í tengslum við ákveðnar kennitölur. Við athugun á innskráningu þessara tveggja lækna hafi komið í ljós að notandinn „[k]“ hafi skráð sig á ákveðna tölvu en notað notendanöfn framangreindra lækna til að komast inn á Heilsugáttina. Stefán gat ekki fullyrt að umræddir læknar hafi verið viðstaddir þegar þessi innskráning í Heilsugátt átti sér stað. Hins vegar væri það ljóst, ef sjúkraskrárnar væru skoðaðar, að T hefði ekki haft nein meðferðartengsl við þá sjúklinga sem flett hafði verið upp á hans notendanafni.

Á fundinum kom fram af hálfu forstjóra Persónuverndar að þegar Heilsugáttin var sett á stofn hafi verið ákveðið að hafa eftirlit með aðgangi eftirfarandi en ekki fyrirfram. Í stað þess að úthluta aðgangsleyfum fyrirfram hefði, á grundvelli hagsmunamats, þannig verið ákveðið að veita heilbrigðisstarfsmönnum tæknilega víðtækan aðgang en þeir ættu aðeins að nota hann að því marki sem þeim væri nauðsynlegt í þágu læknismeðferðar. Hafa ætti eftirfarandi eftirlit með því að þeir færu að þessu og hefði eftirlitsnefndin fengið það hlutverk. Hefði verið miðað við að Persónuvernd fengi skýrslur eftirlitsnefndarinnar reglulega en þær hefðu ekki borist. Stefán kvað slíkar skýrslur hafa verið unnar og taldi ekkert því til fyrirstöðu að lækningaforstjóri sendi Persónuvernd þær.

Stefán útskýrði einnig hvernig eftirlitsnefndin hagar eftirliti sínu. Það væri með þeim hætti að stikkprufur væru teknar, t.d. með því að athuga uppflettingar á tilteknu tímabili, og kanna hvort farið hafi verið inn í sjúkraskrár þjóðþekktra einstaklinga, einstaklinga sem fæddir eru á tilteknu tímabili o.s.frv. Ef einhverjar færslur bendi til misnotkunar þá er það athugað sérstaklega. Var hann inntur eftir því hvort einhver sjálfvirkni væri til staðar þegar kæmi að eftirliti en sagði svo ekki vera, þó vissulega væri þörf á því að hafa slíkt kerfi við eftirlit.

Var Stefán inntur eftir því hvort breyta þyrfti reglum í sambandi við hlutverk eftirlitsnefndarinnar og auka eftirlit. Stefán sagði að að honum meðtöldum ynnu nú þrír starfsmenn við eftirlit og einn skrifstofustjóri. Taldi hann að nauðsynlegt væri að efla eftirlitið og hann hafi nefnt þetta við forstjóra spítalans og Ó. Einnig taldi hann, í ljósi aðgangs í gegnum Ljórann, þá þyrfti að endurskoða allar eftirlitsreglur en Ljórinn væri gátt sem veitir öðrum spítölum og sjúkrastofnunum, öðrum en Landspítala, aðgang að sjúkraskrám Landspítalans. Í þessu sambandi var bent á, af hálfu stjórnarmanna Persónverndar, að með þessu yrði ákveðin eðlisbreyting þegar ekki væri lengur einungis um starfsmenn spítalans að ræða. Var niðurstaðan sú að þetta þyrfti að athuga sérstaklega.

Á fundinum kom fram að Stefán taldi, í sambandi við notkun raungagna við kennslu á kerfið Heilsugátt, að vel væri hægt að nota gervigögn, þ.e. skáldaðar sjúkraskrár. Engin þörf væri á að nota raungögn í kennslu sem þessari. Þá væri oft hægt að ná sama árangri með því að styðjast við raunverulega sjúkraskrá en skipta út almennum lýðskrárupplýsingum og kennitölu.

2.

Samkvæmt 2. tölul. 2. mgr. 37. gr. laga nr. 77/2000 er hlutverk Persónuverndar meðal annars að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum. Stjórn Persónuverndar ræddi þetta mál á fundi sínum í dag. Hún telur að sú framkvæmd sem áður hefur verið lýst samrýmist ekki 7. og 11. gr. laga nr. 77/2000 um upplýsingaöryggi.

Persónuvernd bendir á að í 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 segir að við meðferð persónuupplýsinga skuli að því gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í 2. tölul. 1. mgr. 7. gr. segir enn fremur að perónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskyldu að viðeigandi öryggis sé gætt. Í 5. tölul. 1. mgr. 7. gr. segir að persónuupplýsingar skuli varðveittar í því formi að ekki sé unnta að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.

Í „upplýsingaöryggi“ felast þrír grundvallarþættir: (a) Að persónuupplýsingum sé leynt gagnvart óviðkomandi, (b) að þær séu áreiðanlegar og (c) að þær séu aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði um öryggi er í 11. gr. laga nr. 77/2000. Samkvæmt henni skal ábyrgðaraðili að vinnslu persónuupplýsinga, þ.e. sá sem ákveður hvers vegna og hvernig vinna skal með slíkar upplýsingar, sbr. 4. tölul. 2. gr. laga nr. 77/2000 – í þessu tilviki LSH – gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda upplýsingarnar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Að virtu framansögðu, hefur stjórn Persónuverndar tekið ákvörðun á grundvelli 1. mgr. 40. gr. laga nr. 77/2000 um bann við frekari notkun sjúkraskrárupplýsinga, í tengslum við upplýsingakerfi spítalans, og ráðstafanir sem tryggja lögmæti vinnslunnar, svo sem greinir í neðangreindri ákvörðun.

　

Á k v ö r ð u n

Óheimilt er að nota raunverulegar og persónugreinanlegar sjúkraskrár þegar almenn kennsla á upplýsingakerfi spítalans fer fram. Þess í stað skal stuðst við gervigögn, s.s. skrár sem ekki hafa að geyma raunveruleg persónuauðkenni (nöfn, heimilisföng, kennitölur o.fl.)

Þegar fram fer kennsla á upplýsingakerfi spítalans er starfsmönnum óheimilt að nota önnur aðgangsorð en sín eigin, nema að sá starfsmaður sem hefur umrætt aðgangsorð sé viðstaddur.