Öryggisbrestur hjá S.Á.Á. - Sektarákvörðun

10.3.2020

Ákvörðun

Hinn 5. mars 2020 kvað stjórn Persónuverndar upp svohljóðandi ákvörðun í máli nr. 2020010428 (áður 2019071408):

I.

Málsmeðferð

1.

Upphaf máls

Hinn 21. júlí 2019 barst Persónuvernd tilkynning um öryggisbrest frá S.Á.Á. sjúkrastofnunum, Efstaleiti 7, 103 Reykjavík. Var þar vísað til Facebook-færslu fyrrverandi starfsmanns S.Á.Á., [A], hinn 19. júlí 2019 þar sem hann fjallaði um það þegar hann fékk í hendur persónulega muni sína eftir starfslok sín sem hann sagði starfsmenn S.Á.Á. hafa pakkað niður. Þá sagði í færslunni að þegar hann hefði farið í gegnum þessa muni hefðu komið í ljós sjúkraskrárgögn sem varðað hefðu fjölda fyrrverandi vistmanna á sjúkrastofnun S.Á.Á., Vík. Var tekið fram í tilkynningu S.Á.Á. að hinn 20. júlí 2019 hefði persónuverndarfulltrúi brýnt fyrir [A] í símtali að á honum hvíldi trúnaðarskylda og að honum bæri að skila gögnunum. Þá hefðu átt sér stað tölvupóstsamskipti við hann sama dag þar sem hann hefði sagt gögnin hafa borist sér haustið 2018 ásamt persónulegum munum en hann hefði ekki uppgötvað það fyrr en við innihaldsskoðun daginn sem Facebook-færslan var birt.

Persónuvernd hafði af þessu tilefni samband við [B], forstjóra lækninga hjá S.Á.Á., hinn 24. júlí 2019 til að grennslast fyrir um hvort sjúkragögn frá samtökunum, sem fyrrverandi starfsmaður þeirra hefði í fórum sínum, væru mikilvæg vegna daglegrar starfsemi S.Á.Á. Hún sagði svo ekki vera þar sem upplýsingar úr gögnunum væru í rafrænni sjúkraskrá. Einnig var haft samband símleiðis við [C], persónuverndarfulltrúa S.Á.Á., sama dag, til þess að gefa henni kost á að koma frekari upplýsingum á framfæri. Hún fór yfir að verið væri að skerpa á verkferlum til að tryggja öryggi gagna.

Áðurnefndur fyrrverandi starfsmaður S.Á.Á., [A], sendi einnig inn erindi til Persónuverndar, dags. 21. júlí 2019. Þar lýsti hann því yfir að gögnin væru í læstum skjalaskáp á öruggum stað. Hann óskaði eftir leiðbeiningum um hvað hann ætti að gera við gögnin í kjölfarið en benti jafnframt á að hann yrði ekki í Reykjavík fyrr en 13. ágúst s.á. Í kjölfarið var hann í samskiptum við Persónuvernd. Óskaði stofnunin þess með bréfi, dags. 25. júlí 2019, að hann staðfesti hvar gögnin væru varðveitt og hvernig öryggis þeirra væri gætt. Svar við erindi Persónuverndar barst svo með tölvupósti 13. ágúst 2019.

Var þar áréttað að gögnin hefðu verið færð í læsta geymslu, en hana var að finna á [starfsstofu heilbrigðisstarfsmanna þar sem A starfaði]. Að auki kom fram lýsing hans á málsatvikum. Nánar tiltekið segir að störfum hans hjá S.Á.Á. hafi lokið […] 2017 í tengslum við það sem kallað hafi verið skipulagsbreytingar […]. Síðustu mánuðina fyrir starfslok hafi hann haft starfsstöð á göngudeild S.Á.Á. í Efstaleiti en fram að því á meðferðarheimilinu Vík þar sem hann hafi verið orðinn [yfirmaður]. […] Miklar framkvæmdir hafi staðið yfir í Vík um þetta leyti og hafi gögnum frá honum verið pakkað niður í tengslum við þær og þau sett þar í læst herbergi. Einnig er því m.a. lýst að haustið 2018 hafi [starfsmaður S.Á.Á.] haft samband við hann og óskað eftir að hann sækti umrædd gögn sem þá hafi verið í geymslum S.Á.Á. í kjallara göngudeildarinnar í Efstaleiti. Hafi hann sótt þau sjálfur að nokkru leyti í tveimur bílferðum en afganginn hafi S.Á.Á. sent með sendiferðabíl og hafi honum síðar orðið ljóst að umrædd gögn um sjúklinga hafi verið þarna á meðal eins og fyrr er lýst. Hafi þau verið í kassa sem merktur hafi verið „Sjúklingaskrá + möppur + ýmislegt“ og hafi einhver annar en hann sjálfur ritað á kassann.

Að fengnu þessu svari var [A] sent sameiginlegt bréf Persónuverndar og Embættis landlæknis, dags. 14. ágúst 2019, þar sem embættin tilkynntu að ákveðið hefði verið að beina til hans sameiginlegum fyrirmælum um að umrædd gögn skyldu afhent eigi síðar en 16. ágúst 2019. Voru gögnin afhent á skrifstofu Embættis landlæknis þann dag og yfirfarin, en þar var um að ræða ítarleg sjúkraskrárgögn 252 einstaklinga og innritunarbækur frá Vík, auk fundabóka AA-funda frá meðferðarheimilinu að Sogni. Þá lá fyrir að frekari gögn væru á heimili [A] sem þörfnuðust yfirferðar. Var því farið í vettvangsheimsókn þangað ásamt Embætti landlæknis hinn 21. ágúst 2019 og það rými skoðað þar sem gögnin voru geymd, en um var að ræða […] og höfðu gögnin sem afhent voru 16. s.m. einnig verið þar. Voru gögnin yfirfarin að [A] viðstöddum og þau þeirra afhent sem þýðingu höfðu fyrir athugun embættanna og færð í vörslur Embættis landlæknis. Frekari skoðun Persónuverndar á öllum gögnunum átti sér stað 31. október 2019.

2.

Andlag öryggisbrestsins

Athugun á innihaldi gagnanna leiddi í ljós að þar var m.a. að finna viðkvæmar persónuupplýsingar sjúklinga sem hlotið hafa meðferð hjá S.Á.Á. Nánar tiltekið er um að ræða eftirfarandi gögn:

• Sjúkraskrárgögn frá 252 einstaklingum (frá 2016).

- Af þeim voru sjö á aldrinum 16-17 ára við skráningu upplýsinganna.

• Handskrifuð blöð og minnispunktar með upplýsingum um sjúklinga.
• Útprentanir á tölvupóstsamskiptum um m.a. stúlku á unglingadeild S.Á.Á..
• Þrjú útprentuð skjöl frá 1991 með lýsingu á tilteknum sjúklingum.
• Sjúklingalistar frá meðferðarheimilinu Staðarfelli frá 2012, yfirleitt 18 ára og eldri á skráningartíma en stöku sinnum 17 ára.
• Innritunarbækur frá Vík frá 1997-2006 og ein frá 2009. Í þeim eru eftirtaldar upplýsingar:

- Nöfn u.þ.b. 3.000 sjúklinga, oft en ekki alltaf kennitala viðkomandi, sem og símanúmer, stundum hjá maka eða vini.

- Stundum starfsheiti, búsetustaða (heimilisfang) og hjúskaparstaða.

- Dagsetning á því hvenær viðkomandi var innritaður.

• Framhaldslyfjablað merkt sjúkrastofnuninni Vogi.
• Umsagnir hjúkrunarfræðinga.
• Hegðunarmat sjúklinga (t.d. „er kurteis“, „einangrar sig“, „er tortrygginn“, „tengist vel“ o.fl.).
• Tvö bréf frá sjúklingum til Víkur.
• Fundabækur fjalladeildar AA á Sogni fyrir árin 1982–1988, 1999, 1999–2003 og 2005–2007.
• Dagbók úr starfi S.Á.Á. frá árinu 2015 með nöfnum sjúklinga og m.a. upptalningu á fólki í svokallaðri „mini-grúppu“, þó ekki með fullum nöfnum;
• Gestabók frá Sogni með færslum frá m.a. sjúklingum þar á árunum 1978-1989;
• Ljósmyndir úr starfi S.Á.Á.

Ítarlegustu upplýsingarnar var að finna í áðurnefndum sjúkraskrárgögnum frá 2016. Þar var nánar tiltekið um að ræða eftirfarandi gögn:

• Svonefnd meðferðarblöð titluð „Sjúkraskrá nr. …“ Koma þar fram grunnupplýsingar um hlutaðeigandi, þ.e. kennitala, menntun, hjúskaparstaða, atvinnustaða, húsnæðisaðstæður, meðlagsgreiðslur og fjöldi barna á framfæri, en einnig koma fram grunnupplýsingar um maka, þ.e. kennitala, starf og atvinnustaða. Einnig er á baksíðu að finna útfylltan spurningalista um einkenni og neyslu, m.a. um hvaða efni um ræði og um þátttöku í starfi samtakanna AA og Al-Anon.
• Með meðferðarblöðunum eru hjálögð frekari gögn, mismikil, með upplýsingum um hvern og einn sjúkling. Þessi fylgigögn eru heftuð við meðferðarblöðin eða höfð með þeim í möppu. Á meðal þeirra gagna sem fyrir koma eru umsagnir hjúkrunarfræðinga um afeitrun, punktar úr viðtölum við aðstandendur, dagbókarfærslur sjúklinga, lyfjakort, sjálfsmatsblöð og spurningalistar útfylltir af foreldrum.
• Í gögnunum er að finna nánari upplýsingar um fíkniefnanotkun, m.a. hvers konar fíkniefni viðkomandi einstaklingur hafði notað og upplýsingar um fyrri meðferð, allt merkt með nafni og kennitölu. Fylgiskjöl voru með þeim langflestum, í þeim voru t.d. upplýsingar um hvernig viðkomandi gekk (á þeim tíma) í meðferð og afeitrun, t.d. handskrifaðar dagbókarfærslur frá fólkinu sjálfu um hvernig gekk í meðferð.
• Gögnin vörðuðu t.a.m. [sjö einstaklinga undir 18 ára aldri og var þar meðal annars um að ræða upplýsingar um refsiverða háttsemi]
• Tvær skýrslur skoðaðar af handahófi vörðuðu sjúklinga sem höfðu reynt sjálfsvíg.

3.

Gögn sem aflað var frá S.Á.Á.

Vegna rannsóknar málsins sendi Persónuvernd bréf til S.Á.Á., dags. 20. september 2019. Þar var, með vísan til 1. og 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018, óskað eftir afritum af þeim gögnum sem útbúin hefðu verið um þá vinnslu persónuupplýsinga sem fer fram hjá S.Á.Á., þ. á m. verklagsreglum sem kynnu að hafa verið settar eða annarri skjalfestingu á upplýsingaöryggi, s.s. gæðahandbókum, kennslu- eða hliðsjónarefni fyrir starfsfólk. Einnig var óskað eftir upplýsingum um hvort S.Á.Á. hefði tekið saman vinnsluskrá samkvæmt 26. gr. laga nr. 90/2018 eða framkvæmt mat á áhrifum á persónuvernd skv. 29. gr. sömu laga.

Svar barst frá S.Á.Á með bréfi, dags. 2. október 2019, en þar var öryggismálum S.Á.Á. lýst, auk þess sem umbeðin gögn fylgdu. Megnið af þeirri vinnu sem þar er vísað til mun hafa farið fram veturinn 2018-2019, þ.e. áður en öryggisbresturinn komst upp.

Þau gögn sem S.Á.Á. sendi Persónuvernd eru eftirfarandi:

• Upplýsingaöryggisstefna frá 22. maí 2019
• Öryggisreglur frá febrúar 2019
• Upplýsingaöryggisstefna – Útfærsla á einstökum öryggisþáttum
• Vinnureglur um meðferð tölvupósts og netnotkun starfsmanna
• Vinnureglur um meðferð starfsmanna á vinnuskjölum frá 9. júlí 2019
• Persónuverndarstefna SÁÁ frá 28. maí 2019
• Meðferð persónuupplýsinga sjúklinga SÁÁ, skjal frá 6. júlí 2018
• Meðferð persónuupplýsinga starfsmanna SÁÁ, skjal frá 6. júlí 2018
• Jafnréttisstefna SÁÁ frá 2018
• Starfsmannastefna SÁÁ frá 2017
• Starfsmanna og jafnréttisstefna SÁÁ frá 2018
• Útvistunarstefna SÁÁ frá febrúar 2019
• Verklagsreglur vegna upplýsingatæknimála frá febrúar 2019
• Kröfur til innihalds þjónustusamninga við UT aðila
• Erindisbréf öryggisnefndar frá maí 2019
• Vinnsluskrá frá 22. janúar 2019
• Vinnsluskrá um ýmsar vinnslur frá 23. janúar 2019
• Öryggisbrestir – Frávikaskráning
• Áhættumat fyrir upplýsingakerfi SÁÁ frá 16. ágúst 2019 (skjöl um forsendur þess, breytingasögu, skilgreiningu ógna og niðurstöður áhættumats með tillögum um úrbætur)
• Neyðaráætlun vegna reksturs upplýsingakerfa SÁÁ frá maí 2019
• Tveir gátlistar vegna úttekta
• Vinnslusamningur við [X], dags. 12. október 2018
• Vinnslusamningur við [Y], dags. 23. apríl 2019
• Vinnslusamningur við [Z], dags. 21. febrúar 2019

4.

Vettvangsheimsókn í Vík

[Farið var í vettvangsheimsókn í Vík á Kjalarnesi 16. ágúst 2019. Í heimsókninni var rætt um geymslu gagna á staðnum, tölvukerfi kannað og spurningar lagðar fyrir starfsfólk, auk þess sem gengið var um húsnæðið í fylgd starfsmanna S.Á.Á. og aðstæður skoðaðar. Fram kom að almenna reglan væri sú að pappírsgögn væru ekki geymd til lengri tíma. Til væri innritunarbók fyrir árið 2018 en í raun væri ekki ástæða til að halda slíkar bækur lengur enda allar upplýsingar skráðar rafrænt og hefði allt verið rafrænt í starfseminni frá mars 2018. Einnig kom meðal annars fram að viðhöfð væri aðgangsstýring að herbergjum, að aðgangur væri bundinn við einstaka starfsmenn og hann skráður. Þá kom fram að sjúkraskrár væru vistaðar í aðgangsstýrðu kerfi og hlutverk notenda skilgreint, auk þess sem þjónustuaðili, sem sæi um hýsingu, viðhefði sólarhringsvakt á kerfinu. Tekið var fram að öryggishópur hefði það hlutverk að móta ferla og útbúa skjöl, að áhættumat hefði verið tilbúið í maí 2019 og að það væri í endurskoðun. Persónuverndarstefna hefði verið gerð aðgengileg starfsfólki og siðareglur gerðar fyrir starfsmenn S.Á.Á.]

Varðandi afhendingu gagna til [A] kom fram að kassar með þeim hefðu verið færðir í læsta geymslu í Efstaleiti og sóttir í október 2018. Afhendingin hefði verið ákveðin í gegnum síma. Um hefði verið að ræða marga kassa sem [A] hefði sjálfur pakkað ofan í ásamt fleira starfsfólki. Þá kom fram að S.Á.Á. hefði fengið upplýsingar um öryggisbrestinn í gegnum Facebook, samtökunum hefði ekki verið tilkynnt um hann sérstaklega.

5.

Vettvangsheimsókn á Vog

[Farið var í vettvangsheimsókn á Vog 22. nóvember 2019 til að kanna þar varðveislu sjúkragagna á pappírsformi. Þegar komið var á staðinn var aðalinngangur læstur. Gengið var um húsnæðið í fylgd starfsmanna S.Á.Á. og aðstæður skoðaðar. Kom fram að notkun pappírsgagna færi minnkandi og að þau væru ekki varðveitt á skrifstofum nema þegar þau væru í vinnslu og væru skrifstofurnar læstar. Var þetta verklag sýnt með því að opna dyrnar að einni skrifstofunni með lykli og voru þar ekki sjáanleg gögn um sjúklinga. Að öðru leyti skal tekið fram að skoðaðir voru skjalaskápar og skjalageymslur. Var leitt í ljós að skjöl voru geymd í öruggum, eldvörðum rýmum, þ. á m. sérstökum eldvörðum skápum sem læstir voru með talnalás. Þá kom í ljós að beitt var rafrænni vöktun til að tryggja öryggi og að viðhaft var fyrirkomulag til að tryggja öryggi í tengslum við lykla.]

6.

Fyrirmæli Persónuverndar

Persónuvernd taldi, í kjölfar framangreindrar vettvangsheimsóknar, að öryggi pappírsgagna á Vogi væri fullnægjandi. Þá taldi stofnunin þau gögn sem [A] hafði fengið frá S.Á.Á. ekki lengur nauðsynleg í þágu rannsóknar málsins. Voru gögn úr starfsemi Fjalladeildar AA á Sogni, auk gagna frá Félagi áfengisráðgjafa sem verið höfðu hjá [A], því afhent hlutaðeigandi félögum hinn 4. desember 2019. Þá voru gögn úr starfsemi S.Á.Á. afhent samtökunum sama dag og var það gert í samvinnu Persónuverndar og Embættis landlæknis. Áður, með bréfi dags. 2. desember 2019, hafði Persónuvernd beint fyrirmælum til S.Á.Á. vegna afhendingarinnar.

Þar kom fram það mat Persónuverndar að þörf væri á því að þau gögn, sem talin voru viðkvæmust, yrðu varðveitt áfram á þann hátt að unnt yrði að rekja það í sjúkraskrám sjúklinga að þau hefðu um tíma verið varðveitt utan starfsstöðva S.Á.Á. Fyrir lá að pappírsgögn um hvern og einn sjúkling voru varðveitt hjá S.Á.Á. í möppu auðkenndri honum og var ljóst að unnt væri að færa þar inn athugasemd um öryggisbrestinn. Með vísan til framangreinds, auk m.a. 4. og 6. tölul. 42. gr. laga nr. 90/2018, mælti Persónuvernd fyrir um að ákveðin gögn skyldu varðveitt áfram og auðkennd sérstaklega, áður en þeim yrði komið fyrir í möppum einstakra sjúklinga hjá S.Á.Á. Nánar tiltekið var þar um að ræða fyrrnefnd meðferðarblöð og fylgigögn með þeim, handskrifuð blöð og minnispunkta með upplýsingum um sjúklinga, útprentanir á tölvupóstsamskiptum og útprentuð skjöl frá 1991 með lýsingu á tilteknum sjúklingum.

Að öðru leyti var vísað til þess að gæta bæri öryggis umræddra upplýsinga. Einnig voru í þessu sambandi áréttaðar reglur um þagnarskyldu, sbr. m.a. 17. gr. laga nr. 34/2012 um heilbrigðisstarfsmenn.

Var þess óskað að Persónuvernd bærist staðfesting þess efnis að farið hefði verið að þessum fyrirmælum stofnunarinnar eigi síðar en 3. janúar 2020. Barst sú staðfesting með tölvupósti þann 20. desember 2019. Segir þar að lituð blöð hafi verið heftuð við þau gögn sem Persónuvernd tilgreindi með texta um að þau hefðu farið úr húsi vegna öryggisbrestsins. Hefðu sams konar blöð einnig verið heftuð við innritunarbækur frá meðferðarheimilinu Vík sem einnig fóru úr húsi þrátt fyrir að fyrirmæli Persónuverndar hefðu ekki náð til þeirra.

7.

Andmælaferli vegna mögulegrar álagningar sekta

Með bréfi, dags. 13. nóvember 2019, var S.Á.Á. gefinn kostur á andmælum vegna mögulegrar álagningar stjórnvaldssektar á samtökin vegna málsins. Í bréfi Persónuverndar var farið yfir þau sjónarmið sem reynir á við ákvörðun slíkra sekta.

Svar barst með bréfi, dags. 26. nóvember 2019. Þar er lögð áhersla á að [A] hafi sjálfur pakkað niður þeim gögnum sem um ræðir í málinu og að honum sem fyrrverandi yfirmanni á Vík hefði átt að vera ljóst innihald kassanna. Þá eru gerðar athugasemdir við þá fullyrðingu [A] að hann hafi fengið hluta gagnanna sendan til sín með sendiferðabíl og því haldið fram að hann hafi sjálfur sótt þau öll. Að auki vísar S.Á.Á. til þess að [A] hafi kosið að birta færslu um öryggisbrestinn á Facebook, fremur en að skila gögnunum strax til samtakanna. Eins er því mótmælt að einhver annar en [A] hafi merkt þann kassa er innihélt sjúkraskrárgögnin.

Tekið er fram að um hafi verið að ræða einstakt tilvik sem rekja megi til gáleysis og að S.Á.Á. hafi gert allt sem í valdi samtakanna stóð í því skyni að endurheimta gögnin.

Auk framangreinds er í bréfinu vísað til þeirrar umfangsmiklu umbótavinnu á sviði persónuverndar sem unnin hafi verið innan samtakanna, sem og þess að S.Á.Á. séu almannaheillasamtök sem leggi sjálfsaflafé til opinberrar heilbrigðisþjónustu.

Farið er yfir einstaka liði 47. gr. laga nr. 90/2018 þar sem fjallað er um sjónarmið sem líta ber til við ákvörðun um hvort lögð verði á sekt og hver fjárhæð hennar skuli vera. Nánar tiltekið vísar S.Á.Á. til eftirfarandi atriða:

• Eðli, umfang og tilgangur vinnslu

- Samtökin vísa til þess að þau geri sér grein fyrir að um sé að ræða alvarlegan öryggisbrest sem varði viðkvæmar persónuupplýsingar u.þ.b. 3.000 sjúklinga sem nefndir séu í innritunarbókum, auk mjög viðkvæmra persónuupplýsinga um 252 einstaklinga. Þó benda samtökin á að þarna séu einnig undir gögn sem ekki tilheyri beinlínis S.Á.Á.

• Huglæg afstaða

- Samtökin vísa til þess að um sé að ræða mannleg mistök.

• Aðgerðir til að draga úr tjóni skráðra einstaklinga

- Samtökin vísa til þess að þau hafi óskað eftir því að [A] skilaði umræddum gögnum og hafi einnig tilkynnt um öryggisbrestinn til Persónuverndar.

• Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

- Samtökin vísa hér til þess að unnið hafi verið umfangsmikið umbótastarf á sviði persónuverndar eins og nánar er fjallað um hér á eftir.

• Fyrri brot

- Samtökin vísa til þess að þau hafi ekki áður gerst brotleg við persónuverndarlög.

• Umfang samvinnu við Persónuvernd

- Samtökin vísa til þess að þau hafi tilkynnt öryggisbrestinn til Persónuverndar án tafar, afhent öryggishandbók og muni hlíta þeim fyrirmælum sem kunni að berast frá Persónuvernd.

• Flokkar persónuupplýsinga

- Samtökin vísa til þess að um viðkvæmar persónuupplýsingar sé að ræða.

• Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot

- Samtökin vísa til þess að þau hafi tilkynnt öryggisbrestinn til Persónuverndar um 42 tímum eftir að hann komst upp.

• Fylgni við fyrirmæli til úrbóta

- Samtökin vísa til þess að ekki höfðu komið fram fyrirmæli frá Persónuvernd þegar andmælaréttarbréfið var ritað.

• Aðrir íþyngjandi eða mildandi þættir

- Samtökin vísa til þess að um sé að ræða óarðsækin samtök sem vinni að almannaheillum og leggi sjálfsaflafé til heilbrigðisþjónustu sem sé opin almenningi.

Um það sem fyrr greinir um umbótastarf á sviði Persónuverndar tekur S.Á.Á. fram að pappírsgögn hafi verið látin víkja fyrir öruggum rafrænum lausnum á Vík í áföngum frá árinu 2015. Rafræn kerfi séu viðurkennd og þjónustuð af vottuðum þjónustuaðilum í samræmi við þjónustusamninga og vinnslusamninga. Þau séu aðgangsstýrð og eftirlit viðhaft með notkun þeirra. Hafi verið fenginn óháður aðili til að framkvæma úttekt á upplýsingakerfum SÁÁ og hafi hann skilað niðurstöðum til Embættis landlæknis 9. maí 2019.

Jafnframt er tekið fram að aðgangsstýringar séu að húsnæði, skrifstofum og skjalageymslum, ýmist […]. Hafi vinnsla persónuupplýsinga verið kortlögð og hún skráð í vinnsluskrá, auk þess sem áhættumat hafi verið gert á vinnsluþáttum.

Að auki segir að gefin hafi verið út öryggishandbók sem innihaldi m.a. þau gögn sem afhent voru Persónuvernd 2. október 2019. Þá hafi verið haldnir þrír fræðslufundir um persónuvernd af persónuverndarfulltrúa, þ.e. 3. október 2018 til að veita almenna fræðslu um persónuvernd og nýja löggjöf, 28. ágúst 2019 til fjalla um uppfærðar verklagsreglur og 9. október s.á. til að fjalla um sama málefni.

Tekið er fram að skipuð hafi verið upplýsingaöryggisnefnd sem í sitji þrír starfsmenn S.Á.Á. ásamt persónuverndarfulltrúa sem gegni ráðgjafarhlutverki í nefndinni. Verkefni hennar séu m.a. að viðhalda vinnsluskrá, endurmeta áhættur samkvæmt áhættumati með reglulegum hætti, halda utan um frávikaskráningu, endurskoða vinnureglur með reglulegum hætti, hafa eftirlit með aðgangsstýringum að kerfum og húsnæði, hafa eftirlit með vinnsluaðilum, hafa eftirlit með uppflettingum í sjúkraskrám og standa að fræðslu fyrir starfsfólk.

Hjálagðar með bréfi S.Á.Á. voru m.a. niðurstöður fyrrnefnds aðila sem fór yfir upplýsingakerfi S.Á.Á. Um er að ræða staðfestingu sem hann sendi Embætti landlæknis í tölvupósti hinn 9. maí 2019 á að hann teldi upplýsingaöryggiskerfi S.Á.Á. fullnægjandi.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Þá er með skrá átt við skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun og staðsetningu, sbr. 5. tölul. 3. gr. laganna, sbr. 6. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu persónuupplýsinga hjá sjúkrastofnun. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Þó skal tekið fram að viss gögn, sem talin eru upp í 2. kafla í I. þætti hér að framan, falla utan gildissviðsins þar sem um ræðir gögn sem til urðu við handvirka vinnslu án þess að þau væru eða ættu að verða hluti af skrá í framangreindum skilningi. Er hér nánar tiltekið átt við dagbók úr starfi S.Á.Á. frá árinu 2015, gestabók frá Sogni og fundabækur Fjalladeildar AA á Sogni, en nöfn fundarmanna eru þar víða ekki skráð og komi þau fram er jafnan einungis um fornöfn að ræða. Þá má hér nefna að ljósmyndir á meðal gagnanna geta fallið utan gildissviðsins, þ.e. hafi þær verið teknar með hliðrænum hætti. Hér er hins vegar aðeins um lítinn hluta gagnanna að ræða.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. einnig 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast S.Á.Á. sjúkrastofnanir vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. ákvæðis laganna, sbr. c-lið ákvæðis reglugerðarinnar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, viðkvæmar, sbr. einnig 1. mgr. 9. gr. reglugerðarinnar. Eins og hér háttar til kemur þá einkum til skoðunar 8. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu, sbr. einnig h-lið 1. mgr. 9. gr. reglugerðarinnar. Má í þessu sambandi nefna að samkvæmt 4. gr. laga nr. 55/2009 um sjúkraskrár skal heilbrigðisstarfsmaður, sem fær sjúkling til meðferðar, færa sjúkraskrá, auk þess sem í lögunum er m.a. mælt fyrir um öryggi sjúkraskráa, sbr. 8. gr. laganna, og aðgang að þeim, sbr. IV. kafla laganna.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar m.a. kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða; að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Samkvæmt 23. gr. laga nr. 90/2018, sbr. 24. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar. Kemur fram í 24. gr. laganna, sbr. 25. gr. reglugerðarinnar, að með þessum ráðstöfunum skuli tryggja að persónuvernd sé innbyggð og sjálfgefin. Þá kemur fram í 2. mgr. 24. gr. reglugerðarinnar að þar sem það samrýmist meðalhófi í tengslum við vinnslustarfsemina skuli ráðstafanirnar m.a. fela í sér að ábyrgðaraðili innleiði viðeigandi persónuverndarstefnur. Hvað varðar þær ráðstafanir sem gera þarf vegna vinnslu persónuupplýsinga er til þess að líta að þær skulu m.a. tryggja að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar óviðkomandi aðilum og þannig ótakmörkuðum fjölda fólks, sbr. 2. mgr. 25. gr. reglugerðarinnar.

Framangreindar reglur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 eru áréttaðar í 1. mgr. 27. gr. laganna, en þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar, en sú grein verður talin meginákvæði hennar um upplýsingaöryggi. Segir í 2. mgr. greinarinnar að við mat á því hvort viðeigandi öryggi sé til staðar skuli einkum líta til þeirrar áhættu sem vinnslan hefur í för með sér, m.a. með hliðsjón af því hvernig persónuupplýsingar eru sendar, geymdar eða unnar á annan hátt, hættu á að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Af gögnum málsins er ljóst að upplýsingar um sjúkrasögu sjúklinga hjá S.Á.Á. voru gerðar aðgengilegar fyrrverandi starfsmanni samtakanna, sem fékk gögn í hendur frá S.Á.Á. eftir að hann hætti þar störfum. Það að hann hafi sjálfur átt þátt í að pakka þeim niður getur ekki orðið til þess að réttlæta þann skort á tæknilegum og skipulagslegum ráðstöfunum sem hefðu komið í veg fyrir slíka afhendingu og áttu að vera til staðar hjá S.Á.Á, sem ábyrgðaraðila vinnslunnar, vegna vinnslu svo viðkvæmra persónuupplýsinga sem hér um ræðir.

Í ljósi atvika máls og þeirra krafna sem lög nr. 90/2018 og reglugerð (ESB) 2016/679 gera til öryggis við vinnslu viðkvæmra persónuupplýsinga er það mat Persónuverndar að S.Á.Á. hafi ekki tryggt nægilega vel að viðkvæmar persónuupplýsingar um áfengis- og vímuefnameðferð þúsunda einstaklinga kæmu ekki fyrir augu óviðkomandi aðila. Þrátt fyrir að verulegt starf hafi verið unnið til að koma öryggismálum í viðunandi horf var viðeigandi öryggi umræddra upplýsinga því ekki tryggt líkt og áskilið er í 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Því er niðurstaða Persónuverndar sú að vinnsla S.Á.Á. á persónuupplýsingum um sjúklinga hafi brotið gegn framangreindum ákvæðum laganna og reglugerðarinnar.

3.

Sjónarmið um beitingu viðurlaga

Að framangreindu virtu kemur því til skoðunar hvort beita skuli S.Á.Á. stjórnvaldssektum vegna þessa, sbr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Eftirfarandi atriði koma til skoðunar í þessu máli:

a. Eðli, umfang og tilgangur vinnslu

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Ljóst er að hér var um að ræða vinnslu á viðkvæmum persónuupplýsingum, yfir langt tímabil, sem vörðuðu yfir 3.000 sjúklinga hjá S.Á.Á., en einnig komu fyrir upplýsingar um aðstandendur þeirra. Voru hér undir m.a. sjúkraskrárgögn, þ. á m. innritunarbækur sjúklinga en einnig mun ítarlegri gögn, s.s. minnispunktar meðferðaraðila úr viðtölum við sjúklinga, þar sem m.a. eru skráð atriði er varða heilsufar og refsiverða háttsemi. Þar er einkum um að ræða svonefnd meðferðarblöð, auk fylgigagna með þeim, en þau vörðuðu 252 einstaklinga. Þá komu fram ítarlegar upplýsingar um nokkra einstaklinga til viðbótar, svo sem tölvupóstsamskipti varðandi þá og skjöl með lýsingum á þeim.

Tilgangur vinnslunnar er að veita fólki með áfengis- og vímuefnavandamál heilbrigðisþjónustu. Verður því að gera sérlega ríkar kröfur til þess að öryggis sé gætt. Fyrir liggur að ekki voru viðhafðar fullnægjandi ráðstafanir til að tryggja að sjúkraskrárgögn færu ekki úr húsi þegar fyrrverandi starfsmanni S.Á.Á. voru fengin í hendur gögn sem innihéldu viðkvæmar persónuupplýsingar og varðveitt voru hjá samtökunum.

b. Huglæg afstaða

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. Ekkert liggur fyrir um annað en að hér hafi átt sér stað mannleg mistök og ekkert hefur komið fram í málinu sem bendir til þess að hér sé um ásetningsbrot að ræða.

c. Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga. Í því sambandi hefur það vægi að S.Á.Á. hafði strax samband við umræddan fyrrverandi starfsmann samtakanna, þegar upplýst var um öryggisbrestinn, og fór fram á að gögnunum yrði skilað. Einnig var öryggisbresturinn tilkynntur til Persónuverndar.

d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda. Þetta er m.a. skýrt nánar í 32. gr. reglugerðarinnar, á þann hátt að með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga skuli ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættu. Hér hefðu því, í ljósi þeirrar vinnslu sem um ræðir, átt að vera til staðar skipulagslegar ráðstafanir sem komið hefðu í veg fyrir afhendingu þeirra gagna sem málið varðar og þar með öryggisbrest. Ljóst er að þrátt fyrir mikið starf sem unnið hafði verið vegna öryggismála hjá S.Á.Á. voru slíkar ráðstafanir ekki til staðar þegar afhendingin fór fram. Þess má hins vegar geta að hinn 9. júlí 2019, þ.e. skömmu áður en S.Á.Á. fékk vitneskju um öryggisbrestinn, höfðu samtökin sett sér vinnureglur um meðferð starfsmanna á vinnuskjölum. Kemur fram í 2. mgr. 4. gr. þeirra reglna að starfsmanni skuli gefinn kostur á að fara yfir vinnurými og taka saman einkaskjöl sín og aðrar eigur áður en hann yfirgefur starfsstöð sína. Segir einnig m.a. að honum sé með öllu óheimilt að taka vinnuskjöl með sér, auk þess sem tekið er fram í 3. mgr. greinarinnar að yfirmanni sé heimilt að vera viðstaddur þegar starfsmaður gengur frá einkaskjölum sínum við starfslok, enda virði hann einkalífsrétt starfsmanns.

e. Fyrri brot

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru. Ekki liggur fyrir að S.Á.Á. hafi áður gerst sek um brot gegn persónuverndarlöggjöf.

Eftir að hann varð hafa Persónuvernd hins vegar borist tvær aðrar tilkynningar um öryggisbrest frá S.Á.Á., dags. 23. október 2019 (mál nr. [...]) og 29. janúar 2020 (mál nr. [...]). Þessir öryggisbrestir þóttu ekki þess eðlis að tilefni væri til sérstakra aðgerða af hálfu Persónuverndar og þóttu viðbrögð S.Á.Á. fullnægjandi.

f. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess. Ljóst er að S.Á.Á. hefur orðið við kröfum og fyrirmælum Persónuverndar í kjölfar þess að upplýst var um öryggisbrestinn, auk þess sem stofnunin hefur fengið góðan aðgang að húsakynnum og starfsfólki S.Á.Á. undir vinnslu málsins.

g. Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á. Hér er m.a. um að ræða sjúkraskrárgögn, þ. á m. innritunarbækur sjúklinga og minnispunkta meðferðaraðila úr viðtölum við sjúklinga, þar sem m.a. eru skráð atriði er varða heilsufar og refsiverða háttsemi. Er því um að ræða viðkvæmar persónuupplýsingar í skilningi 3. tölul. 3. gr. laga nr. 90/2018, auk upplýsinga sem falla undir 12. gr. sömu laga og varða refsiverða háttsemi.

h. Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot

Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti eftirlitsstjórnvaldi var gert kunnugt um brot. Fyrir liggur að S.Á.Á. tilkynnti um öryggisbrestinn skömmu eftir að hann komst upp. Þá hafa samtökin brugðist greiðlega við beiðnum Persónuverndar um skýringar og upplýsingar innan þeirra tímafresta sem veittir hafa verið.

i. Fylgni við fyrirmæli til úrbóta

Samkvæmt 9. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. i-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta á grundvelli 42. gr. laganna. Persónuvernd beindi með bréfi, dags. 2. desember 2019, fyrirmælum til S.Á.Á. vegna afhendingar gagna til samtakanna. Staðfesting um að farið hefði verið að þeim barst innan veitts frests. Einnig hefur S.Á.Á. að eigin frumkvæði lagt fram gögn um breytt og vandaðra verklag við vinnslu persónuupplýsinga.

j. Aðrir íþyngjandi eða mildandi þættir

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, s.s. hagnaðar eða taps sem komist var hjá með beinum eða óbeinum hætti vegna brots.

Í því sambandi er til þess að líta að S.Á.Á. hefur lagt í umfangsmikla vinnu innan samtakanna, í samvinnu við sérfræðinga á sviði persónuverndar, í því skyni að uppfæra verklag, með skjalfestum hætti, í tengslum við vinnslu persónuupplýsinga innan samtakanna. Var þessi vinna hafin áður en öryggisbresturinn komst upp.

4.

Niðurstaða um viðurlög

Eins og rakið er að framan í kafla II.2. um lögmæti vinnslu liggur fyrir að vinnsla S.Á.Á. braut gegn 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Kemur fram í 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðarinnar, að brot gegn f-lið 1. mgr. 5. gr. og 32. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga og til þess að um er að ræða samtök sem vinna að almannaheillum, starfa ekki í fjárhagslegum tilgangi og leggja sjálfsaflafé til heilbrigðisþjónustu sem er opin almenningi, þykir stjórnvaldssekt vera hæfilega ákveðin 3.000.000 krónur.

Á k v ö r ð u n a r o r ð:

Vinnsla S.Á.Á. sjúkrastofnana, Efstaleiti 7, Reykjavík, á persónuupplýsingum um sjúklinga á sjúkrastofnuninni Vík braut gegn 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.

Er 3.000.000 króna stjórnvaldssekt lögð á S.Á.Á. sjúkrastofnanir. Sektina skal greiða í ríkissjóð innan tveggja mánaða frá dagsetningu ákvörðunarinnar.

Í Persónuvernd, 5. mars 2020

Björg Thorarensen
formaður

Aðalsteinn Jónasson             Ólafur Garðarsson

Þorvarður Kári Ólafsson