Niðurstaða stjórnar Persónuverndar um lögmæti og öryggi vinnslu persónuupplýsinga á vegum Landspítala-háskólasjúkrahúss, n.t.t. í lífsýnasafni LSH og á Rannsóknastofu í meinafræði

4.12.2003

Með bréfi, dags. 6. ágúst 2002, tilkynnti Persónuvernd að hún hefði ákveðið að gera úttekt á vinnslu persónuupplýsinga hjá Rannsóknastofu í meinafræði (RM), sem hét þá Rannsóknastöð Háskólans í meinafræði (RH), og lífsýnasafni Landspítala-háskólasjúkrahúss (LSH). Ábyrgðaraðilinn að þessari vinnslu, í skilningi 4. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, telst vera LSH (yfirstjórn þess).

Í bréfi Persónuverndar var tekið fram að markmið úttektarinnar væri að sannreyna hvort notað væri öryggiskerfi sem uppfyllti kröfur laga og reglna og þess óskað að Persónuvernd bærust gögn þar að lútandi. LSH (n.t.t. Upplýsingatæknisvið) svaraði með bréfi, dags. 1. október 2002. Með því fylgdu margvísleg gögn, þ. á m. öryggisstefna LSH, og lýsingar á ýmsum öryggisráðstöfunum.

Persónuvernd taldi sig þurfa aðstoð sérfróðs ráðgjafa við gerð úttektarinnar. Með bréfi, dags. 13. nóvember 2002, óskaði Persónuvernd þess af Svönu Helen Björnsdóttur, verkfr. og forstj. Stika ehf., að hún veitti Persónuvernd upplýsingar um áætlaðan kostnað vegna slíks verks. Svana Helen sendi Persónuvernd kostnaðaráætlun með bréfi, dags. 20. s.m. Var LSH boðið að tjá sig um hana með bréfi, dags. 16. desember 2002. LSH svaraði með bréfi, dags. 16. janúar 2003. Sagði þar að ekki væru gerðar athugasemdir við kostnaðaráætlunina. Í kjölfar þessa gerði Persónuvernd samning við Svönu Helen um vinnu vegna úttektarinnar, dags. 24. febrúar 2003. Þar er kveðið á um heildargreiðslu í samræmi við framangreinda kostnaðaráætlun, um þagnarskyldu um þær upplýsingar sem sanngjarnt er og eðlilegt að leynt fari o.fl.

Svana Helen aflaði ýmissa gagna, m.a. á fundum með fulltrúum LSH. Auk þess var gerður spurningalisti (gátlisti) og gerðar vettvangsathuganir á starfsstöðvum Upplýsingatæknisviðs og RM. Hinn 11. mars 2003 skilaði Svana Helen Persónuvernd skýrslu um niðurstöður þessara athugana. Með bréfi, dags. 23. apríl 2003, bauð Persónuvernd LSH að tjá sig um efni skýrslunnar. Svör bárust með bréfum, dags. 19. júní 2003 (frá RH) og 30. s.m. (frá Upplýsingatæknisviði), þar sem gerðar eru ýmsar athugasemdir við skýrsluna.

RM sér um rannsóknir vefjasýna sem tekin eru úr lifandi fólki á LSH. Þar er og framkvæmdur meirihluti þeirra sjúkrahúskrufninga sem gerðar eru á hér á landi og allar réttarkrufningar. Þangað berst og fjöldi vefjasýna frá öðrum sjúkrahúsum og læknum utan sjúkrahúsa, til sjúkdómsgreiningar og vegna annarrar læknisþjónustu.

Þau vefjasýni sem berast RM mynda lífsýnasafn. Forstjóri LSH skipar fimm manna stjórn safnsins og fimm til vara til þriggja ára. Yfirlæknir RM er formaður stjórnarinnar og yfirmaður safnsins. Stjórnin tilnefnir mann sem ber ábyrgð á aðgangi að lífsýnum til frekari greiningar sjúkdóma, vísindarannsókna svo og að lífsýnum án persónuauðkenna til gæðaeftirlits, aðferðaþróunar og kennslu.

Starfsemi lífsýnasafnsins og RM fer fram á fleiri en einum stað. Elsti hluti safnsins, svonefnt S-safn, er geymdur í húsi A. Starfsemi á vegum RM og lífsýnasafnsins fer og fram í byggingum B, C og D, en þar eru nýrri hlutar lífsýnasafnsins geymdir. Í F (forsvarsmaður þar er NN, prófessor í M) eru varðveitt lífsýni tengd rannsóknum á heilavef. Í G (forsvarsmaður þar er NN, prófessor í N) eru varðveitt lífsýni tengd lögreglurannsóknum. Að auki fer starfsemi á vegum RM og lífsýnasafns LSH fram í starfsstöðvum Upplýsingatæknisviðs LSH, þ.e. í H, í vélasal í I og í J, en þar er einnig að finna vélasal.

Nánari lýsingu er að finna í fskj. nr. 1. Þar er ítarleg umfjöllun um starfsemina eins og henni er lýst í framangreindri skýrslu Svönu Helenar Björnsdóttur. Byggist sú skýrsla að miklu leyti á gögnum frá RM. Einnig vísast til fskj. nr. 2. þar sem gerð er grein fyrir athugasemdum LSH (RM og Upplýsingatæknisviðs). Telst efni fylgiskjalanna hluti niðurstöðu þessarar.

Undir gildissvið laga nr. 77/2000 fellur vinnsla persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með "persónuupplýsingum" átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Teljast lífsýni til persónuupplýsinga í skilningi laganna, nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni. Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með "vinnslu" átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Telst meðferð lífsýnasafns LSH og RM á persónuupplýsingum, þ. m. t. lífsýnum, til vinnslu í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.

Við meðferð málsins hefur verið höfð hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis. Þar er miðað við að eftir atvikum geti verið nauðsynlegt við gerð úttekta að kanna lögmæti viðkomandi vinnslu. Verður í niðurstöðu þessari fyrst fjallað um hvort vinnslan eigi sér stoð í lögum og síðan hvort uppfylltar séu kröfur laga og reglna um öryggi hennar.

Samkvæmt 37. gr. laga nr. 77/2000 eru verkefni Persónuverndar m.a. þau að mæla fyrir um, eftir því sem þurfa þykir, ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslu persónuupplýsinga þannig að hún verði í samræmi við ákvæði laganna, að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum, að skilgreina og afmarka hvar einkalífsvernd er hætta búin og veita ráð um leiðir til lausnar. Persónuvernd hefur ákveðið að í niðurstöðu þessari verði ýmist veitt ráð um leiðir til lausnar eða gefin bein fyrirmæli um ráðstafanir.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, m.a. þær sem verða til við rannsóknir á lífsýnum, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Því þarf vinnsla þessara upplýsinga að eiga sér stoð bæði í 8. og 9. gr. laganna.

Við mat á því hvort framangreind skilyrði séu uppfyllt þarf að líta til þess tilgangs sem býr að baki rekstrar lífsýnasafns LSH og RM, en skv. gögnum málsins er hann tvíþættur, bæði læknisfræðilegur (þjónusturannsóknir) og vísindalegur (vísindarannsóknir).

Í 4. tölul. 1. mgr. 8. gr. laga nr. 77/2000 segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að vernda brýna hagsmuni hins skráða. Þá segir í 7. tölul. 1. mgr. sömu greinar að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Í 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 segir að vinnsla viðkvæmra persónuupplýsinga sé heimil standi til hennar sérstök heimild samkvæmt lögum. Hér ber að líta til 4. gr. laga nr. 110/2000 um að starfræksla lífsýnasafns skuli háð leyfi frá heilbrigðis- og tryggingamálaráðherra. Hinn 18. júní 2002 var LSH veitt slíkt leyfi til starfrækslu lífsýnasafns LSH á RM og segir þar að markmið stofnunar og starfrækslu lífsýnasafnsins sé söfnun, varsla, meðferð, vistun og nýting lífsýna í vísindalegum og læknisfræðilegum tilgangi. Þá ber að líta til 8. tölul. 1. mgr. 9. gr., þar sem vinnsla viðkvæmra persónuupplýsinga er heimiluð sé hún nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu. Loks ber að líta til þess að samkvæmt 9. tölul. getur slík vinnsla verið heimil sé hún sé nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á.

Vinnsla persónuupplýsinga í læknisfræðilegum og vísindalegum tilgangi á sér stoð í framangreindum ákvæðum og telst því standa ótvíræð lagaheimild til þess að LSH starfræki umrætt lífsýnasafn og rannsóknarstofu. Engin afstaða hefur hins vegar verið tekin til lögmætis einstakra þátta í vinnslunni.

Samkvæmt 31. og 32. gr. laga nr. 77/2000, og reglum Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, ber að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Sú vinnsla sem er til úrlausnar í máli þessu er tilkynningarskyld og hafa Persónuvernd þegar borist allmargar tilkynningar um hana. Engin afstaða hefur verið tekin til þess hvort tilkynningar hafi borist um hana alla þannig að fyrir liggi að framangreindri skyldu hafi verið fullnægt.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Í 1. mgr. 8. gr. þeirra laga segir að lífsýni skuli tryggilega geymd og merkt en varðveitt án persónuauðkenna, sbr. 1. mgr. Þá segir í 2. mgr. 8. gr. að varsla lífsýna skuli vera þannig að þau glatist hvorki né skemmist og að óviðkomandi hafi ekki aðgang að þeim.

Fram hefur farið athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Rannsóknastofu í meinafræði og í lífsýnasafni LSH. Þá hefur, í ljósi aðstæðna hverju sinni, ýmist verið ákveðið að gefa bein fyrirmæli eða veita leiðsögn að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laga og reglna – skv. því sem hér segir:

1. Öryggisstefna
LSH hefur sett sér öryggisstefnu, þ.e. með skjalinu "Stefnumörkun í öryggismálum upplýsingavinnslu og gagnaneta Landspítala-háskólasjúkrahúss". Var hún samþykkt hinn 28. nóvember 2000. Öryggisstefna skal hafa að geyma almenna lýsingu á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála og taka mið af því hvaða persónuupplýsingar á að vernda, hvernig og hvaða aðferð skal nota við vinnsluna, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, sbr. 5. mgr. 11. gr. laga nr. 77/2000. Þar sem unnið er með upplýsingar, sem telja verður viðkvæms eðlis, er því nauðsynlegt að öryggisstefna taki mið af því. Þá þarf að lýsa eðli vinnslunnar og tilgreina hvaða öryggisþætti leggja á mesta áherslu á. Í umræddu skjali er einkum tekið mið af vinnslu persónuupplýsinga í tölvukerfum og fullnægir skjalið þessum kröfum hvað það varðar. Hins vegar skortir þar lýsingu á stefnu LSH hvað varðar öryggi gagna að öðru leyti, þ. á m. í lífsýnasafni.

Er því hér með lagt fyrir LSH að gera öryggisstefnu sem taki til allra þátta vinnslu persónuupplýsinga, bæði hjá RM og lífsýnasafni LSH.

2. Áhættumat
Ekki hefur verið gert áhættumat í samræmi við 5. mgr. 11. gr. laga nr. 77/2000 og 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001. Í síðarnefnda ákvæðinu segir m.a. að áhættumat eigi að taka til þeirrar hættu sem steðji að persónuupplýsingum sem unnið er með, með hliðsjón af eðli þeirra. Þar skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinga og hvaða líkur séu á slíku. Við gerð áhættumats ber að taka mið af þeim aðstæðum sem eru hjá ábyrgðaraðila, m.a. annars sérstökum aðstæðum á hverri starfsstöð. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Í áhættumati á ekki aðeins að vera almenn upptalning á þekktum áhættuþáttum án nokkurrar tengingar, s.s. við einstakar starfsstöðvar, heldur þarf á hverjum stað að meta sérstætt þá hættu sem þar kann að steðja að.

Er hér með lagt fyrir LSH að framkvæma áhættumat fyrir RM og lífsýnasafn LSH sem uppfylli framangreint.

3. Nauðsynlegar öryggisráðstafanir
Samkvæmt 1. mgr. 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr. Athugun Persónuverndar hefur hins vegar leitt í ljós að víða er, í starfsemi RM og lífsýnasafns LSH, nauðsynlegt að grípa til víðtækari öryggisráðstafana en nú eru viðhafðar. Hefur hún af því tilefni komist að eftirfarandi niðurstöðu um einstakar öryggisráðstafanir sem hún telur vera nauðsynlegar:

3.1.
Í fylgiskjölum er ítarleg lýsing á einstökum starfsstöðvum. Þar kemur fram að ýmsir annmarkar eru á ástandi öryggismála, miðað við hlutverk hverrar og einnar starfsstöðvar. Um nánari lýsingu er vísað til fylgiskjals nr. 1, en helstu atriði eru þessi:

• Í starfsstöðvum Upplýsingatæknisviðs á H er hvorki inngangsvarsla né gestaskráning og aðgangur opinn um allt húsið að degi til. Þá liggur ekki fyrir hvernig útgáfu lykla er háttað.
• Bæta þarf eftirlit með aðgangi að vélasal í I.
• Ekki liggur fyrir hvernig móttöku og útgáfu lykla er háttað í starfsstöð Upplýsingatæknisviðs í J. Þá er ekki þjófavörn í vélasal og frágangur á dyrum hans ótryggur, auk þess sem bæta þarf aðgangseftirlit að salnum.
• Í B er móttaka í anddyri ekki mönnuð allan þann tíma sem húsið er opið, engir hreyfiskynjarar eru í gluggaherbergjum og vegna þrengsla standa skjalaskápar og aðrar ólæstar hirslur með viðkvæmum gögnum á göngum og víðar. Þá eru raflagnir í ólagi.
• Í C er móttaka ekki mönnuð allan þann tíma sem opið er og bæta þarf inngangsvörslu og gestaskráningu. Móttaka er þannig staðsett að þar er ekki unnt að fylgjast með mannaferðum um húsið. Vegna þrengsla standa ólæstir skápar og aðrar hirslur á göngum og víðar. Þá lekur byggingin, m.a. þar sem lífsýni eru geymd. Loks er nokkuð af lífsýnum geymt í risi upp undir þaki þar sem þeim er hætt við skemmdum vegna ofhitnunar að sumri til.
• Í D er móttaka ekki mönnuð allan þann tíma sem opið er og bæta þarf inngangsvörslu og gestaskráningu. Vegna þrengsla standa skjalaskápar og aðrar ólæstar hirslur með viðkvæmum gögnum á göngum og víðar. Óljóst er hvernig útgáfu lykla er háttað, hvort hreyfiskynjarar séu á öllum nauðsynlegum stöðum, hvort þeir sem sinna ræstingum hafi undirritað trúnaðarheit og hvernig tölvubúnaði, sem T-deild kaupir fyrir rannsóknarfé, sé fargað.
• Í F er hvorki inngangsvarsla né gestaskráning. Svæði þar sem unnið er með lífsýni á vegum RM og lífsýnasafns LSH er ekki varið með viðvörunarkerfi (hins vegar vegar mun standa yfir undirbúningur fyrir flutning lífsýna í lokað og gluggalaust húsnæði í byggingunni sem varið verði með viðvörunarkerfi). Óljóst er hvernig útgáfu lykla er háttað, hvort þeir sem sinna ræstingum hafi undirritað trúnaðarheit og hvernig tölvubúnaði, sem ekki er í eigu LSH, sé fargað.
• Í G er hvorki inngangsvarsla né gestaskráning. Þá eru ekki til staðar öruggar geymslur fyrir lífsýni eða gögn um þau. Loks er óljóst hvernig útgáfu lykla er háttað og hvort þeir sem sinna ræstingum hafi undirritað trúnaðarheit.
• Í A er hvorki inngangsvarsla í móttöku né gestaskráning. Ekki hefur verið sett sú regla að nettenging tölvu í geymslu fyrir lífsýni sé óheimil.

Varðandi framangreind atriði er hér með lagt fyrir LSH, eftir því sem þörf krefur á hverjum stað, að viðhafa eftirfarandi öryggisráðstafanir:

• Að tryggja að móttaka sé mönnuð allan þann tíma sem hús er opið og að eftir því sem við á sé haft eftirlit með mannaferðum.
• Að setja verklagsreglur um notkun skjávara og um að fjarlægja skuli viðkvæmar persónuupplýsingar af borðum að loknum vinnudegi/þegar ekki er verið að vinna með þær.
• Að tryggja að lífsýni séu aðeins aðgengileg þeim sem á þeim þurfa að halda starfa sinna vegna og eftir atvikum gæta þess að tölvur í geymslum fyrir lífsýni séu ekki nettengdar.
• Að fara yfir þá staði þar sem geymd eru lífsýni og aðrar viðkvæmar persónuupplýsingar og kanna hvort ekki megi koma þeim betur fyrir.
• Að læsa inngöngum að stöðum sem aðeins eru ætlaðir starfsmönnum, s.s. með notkun talnakóða.
• Að bæta aðgangseftirlit að vélasölum og koma þar upp rafrænu aðgangsstýringarkerfi.
• Að bæta frágang á dyrum að vélasal í starfsstöð Upplýsingatæknisviðs í K.
• Að tryggja að öllum tölvubúnaði sé fargað á öruggan hátt.
• Að hindra eftirlitslausa umferð óviðkomandi um rými þar sem unnið er með lífsýni og aðrar viðkvæmar persónuupplýsingar, þ.e. tryggja að enginn geti farið þar um nema í fylgd starfsmanns.
• Að fara yfir og skrá útgáfu lykla.
• Að fjölga hreyfiskynjurum þar sem þess þarf og eftir atvikum setja upp örugg viðvörunarkerfi.
• Að læsa hirslum undir lífsýni og aðrar viðkvæmar persónuupplýsingar.
• Eftir atvikum að bregðast við lélegu ástandi raflagna, leka og annarri slíkri hættu vegna ástands viðkomandi húsnæðis.
• Að tryggja að allir sem sinna ræstingum hafi undirritað trúnaðarheit.
• Að fara yfir hvernig þeim tækjabúnaði sem hefur að geyma viðkvæmar persónuupplýsingar er fargað og gera nauðsynlegar úrbætur sé þeirra þörf, þ.e. tryggja að ekki verði vistaðar persónuupplýsingar í búnaði sem hætt er að nota.

Skal LSH skila Persónuvernd, eigi síðar en 1. maí 2004, skýrslu um að hvaða marki gripið hafi verið til öryggisráðstafana á hverri og einni starfsstöð í samræmi við framangreint.

3.2.

Fram kemur, sbr. fskj. með niðurstöðu þessari, að rekstur upplýsingakerfa RM fer oft úrskeiðis, að aðgangsstýringar í kerfunum eru ófullnægjandi og að ekki liggur fyrir hvernig vernda á kerfin fyrir vatnstjóni eða bruna. Þá munu vera á meginupplýsingakerfi RM, Meina, alvarlegir annmarkar þannig að niðurstöður úr rannsóknum á lífsýnum geta skráðst á ranga einstaklinga.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Í ljósi athugasemda LSH, m.a. um að ákvörðun hafi verið tekin um endurnýjun upplýsingakerfa, hefur hins vegar verið ákveðið, að svo stöddu, að gefa ekki bein fyrirmæli um slíka endurnýjun. Meðan henni er ólokið verður hins vegar að yfirfara þessi mál og meta hvernig vernda megi upplýsingakerfi RM og lífsýnasafns LSH, þ. á m. fyrir tjóni af völdum vatns eða bruna. Skal gera viðeigandi ráðstafanir á grundvelli þess mats. Sérstaklega er mikilvægt að yfirfara aðgangsstýringar. Þá ber brýna nauðsyn til að hindra að lífsýni skráist á ranga einstaklinga. Er lagt fyrir LHS að skila Persónuvernd, eigi síðar en 1. maí 2004, skýrslu um að hvaða marki þetta hafi verið gert.

4. Skráning öryggisráðstafana
Samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 skal ábyrgðaraðili skrá með hvaða hætti hann ákveður öryggisráðstafanir. Ýmsar öryggisráðstafanir hafa verið skráðar hjá LSH, m.a. varðandi afritun gagna, en ekki liggur fyrir að skráningin taki til allrar vinnslunnar. Af skjölum málsins eru þrjú sem varða RM sérstaklega, þ.e. "Verklagsreglur vegna erfðafræðilegra vísindarannsókna á Frumulíffræðideild R.H. í meinafræði, Landspítala-háskólasjúkrahúsi", "Skipulagsskrá og starfsreglur Lífsýnasafns Landspítala-háskólasjúkrahúss á Rannsóknastofu Háskólans í meinafræði" og "Verklagsreglur um viðbrögð vegna vandamála í upplýsingakerfinu Meina". Um tölvukerfi LSH í heild og nethögun liggur fyrir að gert hefur verið skjal sem heitir "Rýmdaráætlun tölvuumhverfis Landspítala", dags. 25. janúar 2001.

Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 á ákvörðun um öryggisráðstafanir að byggjast á því sem fram kemur í áhættumati. Þar sem ekki hefur verið gert áhættumat verður hins vegar að endurmeta þær ráðstafanir sem kveðið er á um í þessum og öðrum skjölum. Auk þess verður skráning öryggisráðstafana að vera víðtækari en nú er og á hún að ná til allra þeirra þátta sem reifaðir eru í áhættumati.

Er því hér með lagt fyrir LSH að skrá öryggisráðstafanir fyrir RM og lífsýnasafn LSH þannig að framangreint verði uppfyllt.

Þar sem öryggi tölvuskráðra upplýsinga er mjög háð gerð tölvunets er mikilvægt að á hverjum tíma liggi fyrir ítarleg lýsing á því. Slík lýsing skal veita yfirsýn yfir tilhögun nets. Þar skal m.a. koma fram hvaða öryggisráðstafanir eru viðhafðar til að hindra aðgang óviðkomandi, s.s. að gögnum sem eru varðveitt á miðlum sem þráðlaus netaðgangur er að. Persónuvernd gerir ekki kröfu um slík skjöl að svo stöddu, enda er viðfangsefnið nú aðeins öryggi hjá Rannsóknastofu í meinafræði og lífsýnasafni en ekki hjá LSH í heild.

5. Samningar við vinnslu- og þjónustuaðila
Ekki liggur fyrir að utanaðkomandi aðilar, þ. e. aðilar utan LSH, vinni með persónuupplýsingar fyrir RM eða lífsýnasafnið. Verður því ekki séð að þörf sé á gerð vinnslusamninga samkvæmt 13. gr. laga nr. 77/2000, sbr. IV. kafla reglna nr. 299/2001. Hins vegar er fjölþætt þjónusta keypt frá utanaðkomandi aðilum, s.s. ræstingafyrirtækjum.

Persónuvernd leggur fyrir LSH að gæta þess að í samningum við slíka aðila verði ákvæði um þagnarskyldu og um að þeir starfsmenn, sem í störfum sínum hafa aðgang að viðkvæmum persónuupplýsingum, undirriti sérstakar trúnaðaryfirlýsingar.

6. Innra eftirlit
Ekki liggur fyrir, sbr. fskj. 1, að hjá RM eða lífsýnasafni fari fram reglubundið innra eftirlit með því að unnið sé í samræmi við lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þó munu öll frávik frá eðlilegri vinnslu, s.s. villutilfelli, vera skráð af þeim tæknimanni sem fær viðkomandi tilfelli til úrlausnar, sbr. fskj. 2, en slíkt er almennt talinn liður í innra eftirliti.

Er því hér með lagt fyrir LSH að taka upp innra eftirlit hjá RM og lífsýnasafni LSH í samræmi við fyrirmæli laga og reglna.