Öryggi í tengslum við vinnslu á HSU - mál nr. 2011/1309

27.6.2012

Efni:

Niðurstaða, dags. 22. júní 2012 í máli nr. 2011/1309; annmarkar á öryggiskerfi.

Fyrirmælum beint til ábyrgðaraðila,

sbr. 1. tölul. 3. mgr. 37. gr. og 1. mgr. 40. gr. laga nr. 77/2000

I.
Upphaf máls og bréfaskipti

Þann 30. nóvember 2011 barst Persónuvernd erindi A um óeðlilegar uppflettingar í sjúkraskrá hans hjá Heilbrigðisstofnun Suðurlands. Í kvörtuninni segir m.a.:

„Ég hef verið í sambandi við B framkvæmdastjóra lækninga hjá HSU vegna gruns um að ákveðinn aðili hefði óeðlilegar upplýsingar um heilsu mína. Þann 29.11.2011 þá fékk ég afhent gögn sem fylgja þessu máli mínu. Mér finnast þessar útskýringar um uppflettingar í mínum sjúkraskrám ófullnægjandi.[...]“

Með erindi A fylgdi afrit af bréfi til hans frá HSU, dags. 24. nóvember 2011. Í því segir m.a.:

„Ég hef gert nákvæma uppflettisskoðun og færð þú afrit af því hér með. Þar kemur fram ýmislegt um uppflettingar starfsmanna Heilbrigðisstofnunarinnar í þínum sjúkraskrám, allt frá því [...]. Við fórum nákvæmlega yfir öll þau mál þar sem okkur fannst sérkennilegt hver margar uppflettingar voru miðað við fáar komur þínar á stöðina.[...] Svo virðist sem uppflettingar allra starfsmanna séu skýranlegar en þó með einni undantekningu, aðkoma X er ekki skýrð en ljóst er að það var ekki hún sem fór inn á sjúkraskrána þar sem hún var ekki í vinnu þennan dag. En á móti kemur að hún var nýkomin til starfa og [l]æknaritarar voru að stilla af hennar aðgang að kerfinu og er okkar helsta skýring að þar hafi af mistökum verið opnað inn á sjúkraskrá þína í tengslum við þær stillingar.
Það verður því ekki séð á þessari yfirferð að lög um sjúkraskrá[r] hafi verið brotin eða að uppfletting í sjúkraskránum sé ólögmæt og því málinu lokið af hálfu Heilbrigðisstofnunarinnar.“

Með bréfi, dags. 16. apríl 2012, var skýringa Heilbrigðisstofnunar Suðurlands óskað. Var einkum óskað skýringa um aðkomu læknaritara að aðgangsstjórnun og um það hvernig umrætt atvik hafi fallið að öryggisstefnu og -lýsingu stofnunarinnar skv. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá var óskað afrits af öryggislýsingu Heilbrigðisstofnunar Suðurlands, sbr. sömu lagagrein. Í svari Heilbrigðisstofnunar Suðurlands, dags. 27. apríl 2012, segir m.a.:

„Þegar læknaritarar stilltu aðgang X umræddan dag, er hún var að byrja, þá virðist svo sem að læknaritari hafi opnað inn á gögn A. Það er okkur annars með öllu óskiljanlegt hvernig farið hafi verið inn í sjúkraskrá hans þennan dag. X var ekki í vinnu þennan dag. Það er að sjálfsögðu hlutverk læknaritara að stilla aðgang starfsmanna og velja hvað þeir gera og væntanlega hefur þá vélin verið stillt þannig þegar viðkomandi atvik átti sér stað. Þetta er þó ekki algerlega 100% öruggt enda erfitt að sanna slíkt og það var reyndar ákveðið að kanna málið ekki frekar.[...]
Stefnu- og öryggisstaðlar stofnunarinnar eru í endurskoðun og ég held að fyrri öryggisstefna sé komin það vel til ára sinna að hún sé varla til útsendingar. Hins vegar fer fram vinna núna frá hendi [Velferðarráðuneytisins] um endurskoðun á öryggisstefnu og hefur mikil vinna verið lögð í hana og er hún núna væntanlega notuð í fyrsta sinn í maí. Öryggisstefnu stofnunarinnar hefur verið ábótavant að því leyti til að inngangur og aðgangur að sjúkraskrám hefur ekki verið nægilega formlegur. Öllu þessu verður breytt núna undir stjórn [Velferðarráðuneytisins] sem hefur ráðið til þess aðila.[...]“

Með bréfi, dags. 16. maí 2012, var A veittur kostur á að koma á framfæri athugasemdum við framangreint svar Heilbrigðisstofnunar Suðurlands. Í svari hans, dags. 24. maí 2012, segir m.a.:

„[...Þ]að var farið inn í mína sjúkraskrá af læknariturum og fleirum og án þess að hægt sé að skýra með fullnægjandi hætti og finnst mér það frekar skrítið og óvenjulegt í ljósi þess að ég hef ekki leitað til HSU að neinu öðru leyti en [því] þegar ég var fluttur meðvitundarlaus á HSU þann [...]. Minn heimilislæknir er á höfuðborgarsvæðinu og hef ég leitað til hans og annarra sérfræðinga á höfuðborgarsvæðinu um heilbrigðisþjónustu vegna minna veikinda. Að mínu mati þá er þetta skýrt brot á lögum 77/2000 og fellur þetta brot undir viðkvæmar persónuupplýsingar og hefur mér liðið illa með þetta þar sem að ég hef ekki fengið nauðsynlegar og réttmætar skýringar á þessum uppflettingum.“

II.
Forsendur og niðurstaða

1.
Um gildissvið og markmið laga nr. 77/2000
1.1.
Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Af framangreindu leiðir að vinnsla í tengslum við sjúkraskrá A hjá Heilbrigðisstofnun Suðurlands telst vera vinnsla persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000.

1.2.
Markmið laga nr. 77/2000 er, samkvæmt 1. gr. þeirra, m.a. það að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Þetta markmiðsákvæði ber í fyrsta lagi að skýra í ljósi 71. gr. Stjórnarskrár Íslenska lýðveldisins nr. 33/1944, eins og henni var breytt með lögum nr. 97/1995. Hún leggur m.a. þá skyldu á ríkið að binda í löggjöf skýrar reglur um rétt einstaklinga til aðgangs að upplýsingum um sjálfan sig.

Ákvæðið ber í öðru lagi að skýra með hliðsjón af 8. gr. Mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994. Þar segir að sérhver maður eigi rétt til friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta. Reynt hefur á þessa grein í nokkrum dómum Mannréttindadómstóls Evrópu. Á hana reyndi t.d. í dómi sem féll hinn 17. júlí 2008, í máli nr. 20511/03. Þar var upplýsingaöryggi sjúkraskrárupplýsinga á finnsku sjúkrahúsi talið hafa verið ófullnægjandi og finnska ríkið hafa brotið gegn 8. gr. Mannréttindasáttmála Evrópu. Málið höfðaði kona gegn finnska ríkinu, en hún taldi að sjúkraskrárupplýsingar um sig á sjúkrahúsi hefðu ekki notið fullnægjandi verndar. Hún vann sem hjúkrunarkona á sjúkrahúsinu á árunum 1989–1994 og í ársbyrjun 1992 þóttu henni athugasemdir vinnufélaga benda til þess að þeir hefðu skoðað upplýsingar í sjúkraskrá hennar í heimildarleysi. Konan höfðaði skaðabótamál fyrir finnskum dómstólum. Kröfum hennar var hafnað þar sem hún gat ekki sannað að tilteknir starfsmenn hefðu skoðað skrána, en í atburðaskrá var aðeins hægt að sjá síðustu fimm uppflettingar og þær voru ekki auðkenndar einstökum starfsmönnum heldur aðeins viðkomandi deild innan sjúkrahússins.

Niðurstaðan varð sem fyrr segir sú að finnska ríkið hefði brotið gegn sáttmálanum vegna ófullnægjandi atburðaskráningar og upplýsingaöryggis; einnig með því að leggja sönnunarbyrði á sjúklinginn. Eftir að dómurinn féll var lögum í Evrópu breytt, m.a. hér á landi. Í 14. gr. laga nr. 55/2009 um sjúkraskrár segir nú að sjúklingur eigi rétt á að vita hverjir hafi skoðað sjúkraskrána hans og til að fá aðgang að atburðaskrám.

Af þessu leiðir að réttur manna til aðgangs að atburðaskrám, að því er varðar sjúkraskrár, er hluti af þeim grundvallarrétti sem þeim er tryggður með framangreindum ákvæðum og til að tryggja að sá réttur sé virkur í raun þarf færsla atburðaskráa að vera vönduð.

2.
Ábyrgðaraðili vinnslu
Eitt af megineinkennum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er samband hins skráða og ábyrgðaraðila vinnslu. Hinum skráða eru tryggð ýmis réttindi og á ábyrgðaraðila hvíla samsvarandi skyldur – það er hans skylda að gæta réttinda hins skráða. Af þeirri ástæðu, og vegna athugsemdar HSU, um að nú vinni velferðarráðuneytið að úrbótum á öryggismálum, þarf að taka afstöðu til þess hver sé ábyrgðaraðili þeirrar vinnslu sem mál þetta varðar.

Hugtakið ábyrgðaraðili er skilgreint í 4. tölul. 2. gr. laga nr. 77/2000. Átt er við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Þá er hugtakið ábyrgðaraðili sjúkraskrár sérstaklega skilgreint í 12. tölul. 3. gr. laga nr. 55/2009 sem heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna þar sem sjúkraskrár eru færðar. Samkvæmt almennum sönnunarreglum hvílir sönnunarbyrði um það, hvort farið hafi verið eftir gildandi lögum og reglum um aðgangsöryggi að sjúkraskrárupplýsingum, á ábyrgðaraðila.
Samkvæmt framangreindu er Heilbrigðisstofnun Suðurlands ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem mál þetta varðar og ber þær skyldur gagnvart A, sem samkvæmt lögum nr. 77/2000 hvíla á ábyrgðaraðila vinnslu persónuupplýsinga gagnvart hinum skráða.

3.
Vandaðir vinnsluhættir og öryggisráðstafanir
Sú skylda hvílir á ábyrgðaraðila að tryggja að öll vinnsla persónuupplýsinga á hans vegum uppfylli meginreglur 7. gr. laga nr. 77/2000. Af 1. tölul. 1. mgr. 7. gr. leiðir að forsenda þess að vinnsla teljist hafa verið lögmæt er að hún hafi farið fram með sanngjörnum, málefnalegum og lögmætum hætti og verið í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst a) að persónuupplýsingum sé leynt gagnvart óviðkomandi, b) að þær séu áreiðanlegar og c) að þær séu aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði um öryggi er í 11. gr. laga nr. 77/2000, en samkvæmt henni skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir.

Um sjúkraskrár gilda sérlög nr. 55/2009. Í 3. mgr. 1. gr. þeirra segir að lög um persónuvernd og meðferð persónuupplýsinga gildi um sjúkraskrár að svo miklu leyti sem ekki sé mælt fyrir um annað í þeim. Í 3. mgr. 22. gr. segir að Persónuvernd hafi eftirlit með öryggi og vinnslu persónuupplýsinga í sjúkraskrám í samræmi við ákvæði laga um persónuvernd og meðferð persónuupplýsinga.

Í reglum Persónuverndar nr. 299/2001, um öryggi við vinnslu persónuupplýsinga, eru fyrirmæli til ábyrgðaraðila um öryggi persónuupplýsinga. Samkvæmt 3. gr. þeirra skal ábyrgðaraðili hafa öryggiskerfi til að tryggja vernd persónuupplýsinga. Undirbúningurinn fer fram í þremur áföngum. Í fyrsta lagi með gerð skriflegrar öryggisstefnu, í öðru lagi með gerð skriflegs áhættumats og í þriðja lagi með innleiðingu öryggisráðstafana. Öryggisráðstafanir skal endurskoða reglulega. Persónuvernd skal hvenær sem hún óskar hafa aðgang að skriflegri öryggisstefnu ábyrgðaraðila, áhættumati og lýsingu hans á öryggisráðstöfunum. Samkvæmt 4. gr. skal ábyrgðaraðili gera viðeigandi öryggisráðstafanir, en við val á þeim skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Þegar unnið er með viðkvæmar persónuupplýsingar þarf að gera meiri og markvissari ráðstafanir heldur en þegar aðeins er unnið með almennar persónupplýsingar. Bæði skal gera skipulagslegar og tæknilegar öryggisráðstafanir, t.a.m. hafa stafræna aðgangsstýringu og atburðaskráningu, sbr. 1. tölul. og 3. tölul. 7. gr. reglnanna.

4.
Niðurstaða
Mál þetta varðar kvörtun sjúklings yfir óeðlilegum uppflettingum í sjúkraskrá hans hjá Heilbrigðisstofnun Suðurlands. Að framan eru raktar þær skyldur sem hvíla á stofnuninni sem ábyrgðaraðila gagnvart hinum skráða, þ.e. samkvæmt lögum nr. 77/2000, lögum nr. 55/2009 um sjúkraskrár og reglum Persónuverndar nr. 299/2001 um öryggi við meðferð persónuupplýsinga.

Í svörum HSU til viðkomandi sjúklings kemur fram að sérkennilegt sé hve oft sjúkraskráin hafi verið skoðuð og honum flett upp, einkum í ljósi þess hve sjaldan hann hafi komið á HSU. Svo virðist sem einn starfsmaður hafi skráð sig inn en það geti þó ekki staðist því hann hafi ekki verið í vinnunni í umrætt sinn. Læknaritarar hafi með höndum aðgangsstillingar að sjúkraskrárkerfinu og getur HSU sér þess til að þeir hafi fyrir mistök opnað sjúkraskrána. Þá segir í svari HSU til Persónuverndar að stefnu- og öryggisstaðlar stofnunarinnar séu í endurskoðun. Öryggisstefna HSU sé komin það vel til ára sinna að hún sé varla til útsendingar en unnið sé að úrbótum innan velferðarráðuneytisins. Þó telur HSA ekki liggja fyrir að lög um sjúkraskrár hafi verið brotin eða að uppfletting í sjúkraskránum hafi verið ólögmæt og hefur tilkynnt að vegna þess sé málinu lokið af sinni hálfu.

Af framangreindu verður ekki ráðið að Heilbrigðisstofnun Suðurlands uppfylli skilyrði 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglna nr. 299/2001 um öryggi persónuupplýsinga. Af þeirri ástæðu, og með vísun til 1. tölul. 3. mgr. 37. gr. og 1. mgr. 40. gr. laga nr. 77/2000, beinir Persónuvernd þeim fyrirmælum til HSU að yfirfara öryggisráðstafanir sínar m.t.t. þess að tryggja lögmæti vinnslu sjúkraskrárupplýsinga hjá stofnuninni.

Á k v ö r ð u n a r o r ð
Ekki er til skrifleg lýsing á öryggiskerfi Heilbrigðisstofnunar Suðurlands og atvikaskráning (loggun) hefur ekki verið með þeim hætti að unnt hafi verið að veita sjúklingi fullnægjandi skýringu á uppflettingu í sjúkraskrá hans.

Lagt er fyrir Heilbrigðisstofnun Suðurlands að yfirfara atvikaskráningu sína m.t.t. til réttar sjúklinga samkvæmt lögum nr. 77/2000, sbr. 14. gr. laga nr. 55/2009 um sjúkraskrár. Þá skal stofnunin setja reglur um a) úthlutun aðgangsheimilda, b) reglubundna endurnýjun aðgangsorða og c) innra eftirlit er nái til allra heilbrigðisstarfsmanna á stofnuninni.

Hún skal fyrir 15. ágúst 2012 afhenda Persónuvernd skriflega lýsingu á öryggiskerfi sínu, sbr. 3. gr. reglna nr. 299/2001, þar sem þessar reglur komi fram.