Sending bréfpósts frá Heilbrigðisstofnun Austurlands - mál nr. 2012/489

10.9.2012

Ákvörðun

Hinn 20. ágúst 2012 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2012/489:

I.
Málsatvik og bréfaskipti
1.
Tildrög máls
Þann 28. mars 2012 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi), yfir því að sjúkraskrárupplýsingar um sig hefðu verið sendar með almennum bréfpósti frá Heilbrigðisstofnun Austurlands (HSA) en ekki með ábyrgðarpósti. Í kvörtuninni segir m.a.:

Ég hafði samband við B og bað um að fá sendar sjúkraskrárupplýsingar um mig. Er mjög ósáttur við að hafa fengið sjúkraskrárupplýsingar sendar á heimilisfang sem ég er ekki skráður fyrir [og] ekki í ábyrgðarpósti. Er mjög ósáttur við að viðkvæmar persónuupplýsingar um mig séu sendar í almennum bréfpósti en ekki í ábyrgðarpósti. Öryggi er ekki nægilega tryggt þar sem allir geta gert mistök og bréfið hefði getað borist óviðkomandi t.d. ef það hefði endað í röngum póstkassa, sem oft hefur gerst.

2.
Bréfaskipti
Með bréfi, dags. 26. apríl 2012, var HSA boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi HSA, dags. 2. maí 2012, segir eftirfarandi:

A hafði samband við undirritaðan símleiðis þann 13. mars sl. og óskaði eftir því að fá sendar sjúkraskrárupplýsingar um sig vegna kærumála sem hann hefur lagt fram.
Bað hann sérstaklega um að upplýsingarnar yrðu sendar á heimilisfangið að [...] sem var gert samdægurs samkvæmt ósk hans. Bréfið var hins vegar fyrir mistök sent með almennum bréfpósti en almenna reglan hér er sú að senda slíkan póst í ábyrgðarbréfi.

Með bréfi, dags. 3. maí 2012, tilkynnti Persónuvernd kvartanda um svar HSA. Hann kom á fund á skrifstofu Persónuverndar hinn 11. júní 2012,  áréttaði fyrri sjónarmið sín um að ekki hafi verið gætt viðhlítandi öryggisráðstafana við útsendingu sjúkraskráa og ítrekaði kröfu sína um ákvörðun Persónuverndar í málinu.

II.
Forsendur og niðurstaða
1.
Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Með vísun til framangreinds er ljóst að hér er um að ræða meðferð persónuupplýsinga sem falla undir lög nr. 77/2000 og þ.a.l. valdsvið Persónuverndar.

2.
Hugtakið ábyrgðaraðili er skilgreint í 4. tölul. 2. gr. laga nr. 77/2000 sem sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Þá er hugtakið ábyrgðaraðili sjúkraskrár skilgreint í 12. tölul. 3. gr. laga nr. 55/2009 sem heilbrigðisstofnun eða starfsstofa heilbrigðisstarfsmanna þar sem sjúkraskrár eru færðar.  Samkvæmt framangreindu er HSA því ábyrgðaraðili þeirra sjúkraskráa sem hér um ræðir.

3.
Við vinnslu persónuupplýsinga ber m.a. að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, þar sem m.a. segir í 1. tölul. ákvæðisins að við meðferð persónuupplýsinga skuli þess gætt að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Þá segir í 1. mgr. 11. gr. að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Samkvæmt 2. mgr. 11. gr. skal beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. 

Í 4. gr. reglna Persónuverndar nr. 299/2001, eru einnig ákvæði um öryggi persónuupplýsinga. Þar segir að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir til að tryggja nægilegt öryggi og vernda persónuupplýsingar m.a. gegn því að þær glatist. Við val öryggisráðstafana skuli taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skuli þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Með hliðsjón af framangreindu, og viðkvæmu eðli sjúkraskráa, þarf að gæta öryggisráðstafana þegar þær eru sendar milli aðila. Meðal slíkra ráðstafana er sú að senda þær með ábyrgðarpósti, en með því má auka öryggi sendinga verulega. Fyrir liggur að það var ekki gert í því tilviki sem hér um ræðir. Þá hefur ekkert komið fram um að aðrar viðhlítandi ráðstafanir hafi verið viðhafðar. Verður því ekki talið að viðhlítandi öryggis hafi verið gætt í því tilviki sem málið varðar.

Með vísan til 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000 er hér með lagt fyrir HSA að nota umrætt tilefni til þess að fara yfir starfsreglur sínar um meðferð trúnaðarupplýsinga - þ. á m.  við lögmæta sendingu viðkvæmra persónuupplýsinga úr sjúkraskrám - með forstöðumönnum og lykilstarfsmönnum stofnunarinnar.

Ákvörðunarorð:

Heilbrigðisstofnun Austurlands (HSA) viðhafði ekki nægar öryggisráðstafanir við útsendingu sjúkraskráar [...]. Lagt er fyrir HSA að viðhafa slíkar ráðstafanir eftirleiðis.