Skráning kennitalna sjúklinga í Vinnustund - mál nr. 2012/1433

14.5.2013

Reykjavík, 16. apríl 2013

Ákvörðun

I.
Málsatvik og bréfaskipti
Persónuvernd barst ábending frá starfsmanni Heilbrigðisstofnunar Vesturlands með tölvubréfi þann 3. desember 2012, varðandi notkun kennitölu sjúklinga í launakerfi stofnunarinnar. Í erindinu segir m.a. eftirfarandi:

„[...]Í dag fékk ég tölvupóst með tilmælum frá stjórn stofnunnar, þar sem því er beint til starfsmanna að skrá kennitölur sjúklinga í launakerfið (og gefa þannig starfsmönnum í launadeild upplýsingar um það hverjir eru meðal sjúklinga, upplýsingar sem þessi starfsmenn hafa ekki haft aðgang að). Annars yrði ekki greitt fyrir útköll. (Nú er vel hægt að rekja það í GSM-kerfinu hvort hringt hefur verið af stofnuninni í starfsmann á bakvakt, og þyrfti þar ekki að gefa neina upplýsinga varðandi sjúklinga). Eftirfarandi er hluti af pdf-skjali sem ég fékk: Viðbótar reglur um skráningu útkalla í vinnustund - 1. desember 2012 - Á fundi framkvæmdastjórnar þann 14. nóvember 2012 var gerð eftirfarandi samþykkt: Starfsmenn sem kallaðir eru út á bakvöktum er gert að skrá tilurð útkalls í vinnustund, þ.e. nafn þess starfsmanns sem kallar út, viðkomandi deild og kennitölu sjúklings. Í þessu ljósi tilkynnist það hér með að frá og með 1. desember 2012 skulu allir starfsmenn bæta við skýringu á tilurð útkalls við skráningu sína, þ.e. að skrá inn nafn þess starfsmanns sem kallar út, á hvaða deild viðkomandi starfsmaður vinnur og kennitölu sjúklings.“

Með bréfi, dags. 16. janúar 2013, óskaði Persónuvernd nánari skýringa um framangreint frá Heilbrigðisstofnun Vesturlands (HV). Með bréfi stofnunarinnar fylgdi afrit af erindinu sem barst stofnuninni þann 3. desember 2012.

Í svarbréfi HV, dags. 30. janúar 2013, segir m.a. eftirfarandi um tilgang og aðferðir við skráningu kennitalna í tímaskráningarkerfið Vinnustund:

„Þann 14. nóvember sl. ákvað framkvæmdastjórn Heilbrigðisstofnunar Vesturlands að frá og með 1. desember 2012, skyldu starfsmenn, sem eru á bakvöktum á rannsóknastofu, myndgreiningardeild og á skurðstofu og fl. skrá kennitölur þeirra sjúklinga er útkallið varðaði inn í tímaskráningarkerfið Vinnustund. Starfsmenn ofangreindra deilda eru á bakvöktum en við útkall er greidd yfirvinna eins og kjarasamningar kveða á um. Það fer svo eftir hvaða starfsgrein starfsmaðurinn tilheyrir hversu margir tímar eru greiddir fyrir útkallið. Starfsfólk skurðstofu; þ.e. hjúkrunarfræðingar og sjúkraliðar fá greitt eftir vinnuframlagi en aðrar reglur gilda um lífeindafræðinga og geislafræðinga. Engar upplýsingar eru skráðar um tilefni ofangreindra útkalla. Til að hafa eftirlit með útköllum á bakvöktum starfsfólks var ákveðið að fara þessa leið. Hingað til hefur verið nær ómögulegt, tímafrekt og flókið að staðreyna tilefni og eðli útkalla. Ein ástæða þessa eftirlits er að fjöldi útkalla er breytilegur og ekki alltaf skýranlegur út frá því álagi, sem annars staðar er í starfseminni en tengist henni samt náið. Annar tilgangur með skráningunni er að fylgjast með meðferðarkostnaði einstakra sjúklinga.[...] Um stóran útgjaldalið er að ræða og því brýnt að strangt eftirlit sé haft með þessum kostnaði rétt eins og öðrum útgjaldaliðum í rekstri.“

Um aðgang að tímaskráningarkerfinu Vinnustund segir:

„Aðgangur að tímaskráningarkerfinu Vinnustund hefur starfsmaður með persónulegu notanda- og lykilorði. Starfsmaður skráir útkall með því að stimpla sig inn rafrænt við komu á stofnunina og út að lokinni vinnu. Í athugasemd vegna útkallsins skráir hann aðeins kennitölu sjúklings en engar aðrar upplýsingar um hann. Næsti yfirmaður starfsmanns, sem mánaðarlega yfirfer og samþykkir tímaskráningu, hefur einnig aðgang að þessum upplýsingum í Vinnustund svo og launafulltrúi. Aðrir starfsmenn hafa ekki aðgang; þar með talinn forstjóri. Eftirlit með útköllum annast framkvæmdastjóri lækninga, sem hefur aðgang að sjúkraskrárkerfinu SÖGU. Upplýsingar um útköll og kennitölu sjúklinga fær hann frá launafulltrúa og þau gögn eru síðan samlesin við sjúkraskrá og sannreynd. Þess skal getið að kennitölur sjúklinga koma óhjákvæmilega fyrir augu starfsmanna skrifstofu af ýmsu tilefni.[...] Starfsmenn skrifstofu eru að sjálfsögðu eins og aðrir starfsmenn bundnir þagnarskyldu, sem þeim hefur verið kynnt og þeir síðan undirritað við ráðningu.“

Varðandi upplýsingar um skráða sjúklinga segir:

„Það er misskilningur í erindi starfsmanns til Persónuverndar að starfsfólki skrifstofu sé annars ekki kunnugt um hverjir eru skráðir sjúklingar á stofnuninni hverju sinni. Í erindi starfsmanns er fullyrt að hægt sé í staðinn að skoða notkun GSM síma og út frá henni meta tímasetningu útkalla. Fjarri lagi er að allar hringingar í bakvaktasíma snúist um tafarlaus útköll þó það fari stundum saman. Oft er kallað í starfsfólk á bakvakt til vinnu með góðum fyrirvara, jafnvel nokkurra tíma. Þá eru bakvaktasímar notaðir til samskipta án þess að til útkalls komi.“

II.
Ákvörðun Persónuverndar
1.
Gildissvið o.fl.
Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Það að skrá kennitölur sjúklinga í tímaskráningarkerfið Vinnustund telst því vinnsla persónuupplýsinga sem fellur undir lög nr. 77/2000.  

2.
Lagaumhverfi og sjónarmið
2.1. Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, eins og t.d. heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

Í ljósi þess að skráðar eru upplýsingar um sjúklinga, eru upplýsingarnar taldar vera viðkvæmar, í skilningi 8. tölul. 2. gr. laganna. Í ljósi þeirrar starfsemi sem um ræðir, sem og skýringa HV, gæti vinnslan verið heimil sé hún nauðsynleg til að HV geti gætt lögmætra hagsmuna, nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra, sbr. 7. tölul. 1. mgr. 8. gr., og að hún sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu, sbr. 8. tölul. 1. mgr. 9. gr.

2.2.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

2.3.
Í því máli sem hér um ræðir liggur ljóst fyrir að HV krefst þess af tilteknum starfsmönnum á bakvöktum að þeir skrái kennitölur þeirra sjúklinga er útköll varða í tímaskráningarkerfið Vinnustund. Umrætt kerfi er rekið af Fjársýslu ríkisins, og vistað hjá vinnsluaðila þess, þ.e. Advania, en tilgangur þess er að skrá upplýsingar um viðveru starfsmanna sem þiggja laun frá hinu opinbera. Hefur HV lýst því að tilgangurinn með skráningunni sé að hafa eftirlit með útköllum á bakvöktum starfsfólks, sem og til að fylgjast með meðferðarkostnaði einstakra sjúklinga.

3.
Niðurstaða Persónuverndar
Fallist er á þau sjónarmið HV að tilgangurinn með skráningu upplýsinga um sjúklinga, eins og lýst er í bréfi, dags. 30. janúar 2013, sé málefnalegur. Aftur á móti getur Persónuvernd ekki fallist á að sú aðferð, sem HV hefur ákveðið að nota til að ná umræddu markmiði, sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. 7. gr. laganna, enda samrýmist það ekki tilgangi kerfisins Vinnustund að skrá í það viðkvæmar upplýsingar um sjúklinga sem leita meðferðar hjá heilbrigðisstofnun. Þá liggur ekki fyrir að HV hafi gert vinnslusamning við Fjársýslu ríkisins um varðveislu upplýsinga um sjúklinga. Er það því mat Persónuverndar að áframhaldandi skráning kennitalna í Vinnustund færi í bága við framangreint ákvæði þeirrar greinar.

Beinir Persónuvernd þeim fyrirmælum til HV að hún leiti annarra leiða við skráningu upplýsinga um viðveru starfsmanna á bakvöktum. Þá er jafnframt mælt fyrir um að HV geri þær nauðsynlegu ráðstafanir sem þörf er á til þess að ganga úr skugga um að öllum kennitölum, sem þegar hafa verið skráðar í Vinnustund í framangreindum tilvikum, verði eytt úr kerfinu. Óskar Persónuvernd þess að henni berist staðfesting um framangreint, sem og nánari upplýsingar um hvaða aðferð HV hyggst nota framvegis við meðferð umræddra upplýsinga, eigi síðar en 1. október næstkomandi.

Á k v ö r ð u n a r o r ð:
Sú aðferð HV, að láta starfsmenn á bakvöktum skrá kennitölur sjúklinga í tímaskráningarkerfið Vinnustund, samrýmist ekki skilyrði laga um vandaða vinnsluhætti persónuupplýsinga. HV skal leita annarra leiða við skráningu upplýsinga um viðveru starfsmanna á bakvöktum og ganga úr skugga um að öllum kennitölum sjúklinga í Vinnustund verði eytt, sem og að Persónuvernd berist staðfesting þess efnis eigi síðar en 1. október næstkomandi.