Vinnsla persónuupplýsinga hjá Landspítalanum

Mál nr. 2022091502

26.6.2023

Úrskurður

um kvartanir yfir uppflettingum starfsmanna Landspítalans í sjúkraskrárkerfum spítalans í máli nr. 2022091502:

I.
Málsmeðferð

Hinn 15. september 2022 bárust Persónuvernd 44 kvartanir frá [A] (hér eftir kvartandi) yfir uppflettingu tiltekinna starfsmanna Landspítalans, þáverandi og núverandi, á árunum [...] til [...] í sjúkraskrá hennar án heimildar. Voru framangreindar 44 kvartanir á hendur tilteknum starfmönnum spítalans sameinaðar í eitt mál, nr. 2022091502, við meðferð kvartananna hjá Persónuvernd. 

Persónuvernd bauð Landspítalanum að tjá sig um fram komnar kvartanir með bréfi, dags. 23. janúar 2023, og bárust svör spítalans 20. mars s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Landspítalans með bréfi, dags. 24. s.m., og bárust þær með bréfi, dags. 5. apríl s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Kvartandi telur að allir nánar tilgreindir 44 starfsmenn Landspítalans, þáverandi og núverandi, hafi flett upp í sjúkraskrá hennar án heimildar. Byggir kvartandi á því að þeir einstaklingar sem kvörtununum er beint að hafi ekki haft lagaheimild til að opna og kynna sér innihald sjúkraskrár hennar, sbr. ákvæði 12. og 13. gr. laga nr. 55/2009, um sjúkraskrár, þar sem tilgreindir einstaklingar hafi ekki verið læknar hennar, hvorki fyrr né síðar, og hafi aldrei hlúð að henni eða sinnt umönnunarstörfum í hennar þágu.

Þá vekur kvartandi athygli á því í kvörtunum sínum að misræmi virðist vera annars vegar á þeirri skýrslu sem hún fékk afhenta frá Landspítalanum þann 30. desember 2015 yfir uppflettingar í sjúkraskrá hennar og hins vegar skýrslu sem hún fékk afhenta frá Landspítalanum í október 2020 yfir uppflettingar í sjúkraskrá hennar vegna sama tímabils. Telur kvartandi að um sé að ræða skjalafals í mörgum liðum hvað framangreint misræmi varðar.

Í svarbréfi Landspítalans kemur fram að af þeim 44 þáverandi og núverandi starfsmönnum spítalans sem kvörtunum kvartanda er beint að hafi eftirlitsnefnd um rafræna sjúkraskrá þegar rannasakað mál níu þeirra, hvað varðar óheimilar uppflettingar í sjúkraskrá kvartanda. Niðurstöður þeirra rannsókna hafi verið að ekkert benti til þess að uppflettingar í sjúkraskrá kvartanda hefðu verið ólögmætar þannig að um brot á ákvæðum sjúkraskrárlaga hefði verið að ræða. Þvert á móti hafi fyrirliggjandi rannsóknargögn bent til þess að uppflettingar allra níu starfsmannanna hefðu tengst eðlilegum störfum þeirra á Landspítalanum í tengslum við rannsóknir, greiningar og meðferð sem kvartanda var veitt í sjúkrahúslegu sinni frá [dags.] og öðrum skráningum í sjúkraskrárkerfi spítalans sem hefðu tengst heilsufari kvartanda. Vísar Landspítalinn til þess að kvartanda hafi þegar verið tilkynnt um niðurstöður rannsókna eftirlitsnefndarinnar á málum tiltekinna níu heilbrigðisstarfsmanna.

Í svarbréfi spítalans kemur einnig fram að mál þeirra 35 starfsmanna sem ekki höfðu þegar verið rannsökuð hafi nú, í tilefni af kvörtunum kvartanda, verið rannsökuð af eftirlitsnefnd um rafræna sjúkraskrá. Vísar Landspítalinn til þess að niðurstöður rannsókna á þessum 35 einstaklingum hafi verið að ekkert bendi til þess að uppflettingar þeirra í sjúkraskrá kvartanda hafi verið ólögmætar þannig að um brot á ákvæðum sjúkraskrárlaga hafi verið að ræða. Þvert á móti hafi gögn bent til þess að uppflettingar allra heilbrigðisstarfsmannanna hafi tengst eðlilegum störfum þeirra á Landspítalanum sem hafi á einhvern hátt tengst þeirri meðferð sem kvartanda var veitt í sjúkrahúslegu sinni frá [dags.] auk skráninga vegna heilsufars kvartanda, rannsókna og meðferðar hjá sérfræðingum spítalans. Í því sambandi bendir Landspítalinn á að kvartandi hafi gengist undir alls 25 rannsóknir á spítalanum á framangreindu tímabili [dags.].

Með vísan til framangreinds byggir Landspítalinn á því að ekkert bendi til þess að uppflettingar þeirra 44 þáverandi og núverandi starfsmanna spítalans sem umræddar kvartanir beinast að í sjúkraskrá kvartanda hafi verið ólögmætar þannig að brotið hafi verið gegn ákvæðum sjúkraskrárlaga nr. 55/2009 eða ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í svarbréfi Landspítalans kemur einnig fram að sjúkraskrá Landspítalans samanstandi af tugum sjúkraskrárkerfa. Kerfin séu með innbyggðri atburðaskráningu sem skrái hverjir færa inn og/eða opna sjúkraskrá. Nánari lýsingar á aðgerðum notenda séu með mismunandi hætti í kerfum, sem séu mismunandi gömul og frá mismunandi framleiðendum. Almennt sé notast við skýrslu úr Eftirlitsgátt þegar „uppflettilistar“ eru afhentir sjúklingum og hafi verið unnið að því síðustu ár að bæta framsetningu gagna í Eftirlitsgáttinni. Sjúklingar, sem fái upplýsingar um hver hefur skoðað eða skráð í sjúkraskrá þeirra, kunni því að sjá mismunandi „uppflettilista“ úr Eftirlitsgáttinni milli ára.

Loks er vísað til þess í svarbréfi Landspítalans að heilbrigðisþjónusta sé í eðli sínu flókin og margþætt. Sérhæfing sé mikil og veitendur þjónustunnar margir. Það séu þannig ekki eingöngu þeir heilbrigðisstarfsmenn sem standi í framlínu og eigi í samskiptum við sjúkling sem komi að umönnun hans, greiningu og meðferð. Hópur sérfræðinga komi að veitingu heilbrigðisþjónustu allra sjúklinga og spanni m.a. skráningu á biðlista, boðun í komu á heilbrigðisstofnun, innskráningu á sjúkrastofnun, rannsókn á sýnum, myndatökur, úrlestur úr niðurstöðum rannsókna/myndataka, greiningu sjúkdóms, meðferð vegna veikinda, verkjastillingu, ráðgjöf mismunandi sérfræðinga, umönnun sjúklings, lyfjagjöf og skráningu sjúkraskrárupplýsinga.

Í athugasemdum kvartanda við svarbréf Landspítalans er byggt á því að spítalinn sé ekki bær aðili til þess að svara fyrir þá aðila sem umræddar kvartanir til Persónuverndar beinast að. Byggir kvartandi á því að draga megi óhlutdrægni spítalans í efa og fer fram á að kallað verði eftir skýringum á uppflettingum í sjúkraskrá hennar beint frá þeim aðilum er kvartanir hennar beinast að.

II.
Niðurstaða
1.
Afmörkun máls – Gildissvið – Ábyrgðaraðili

Þær kvartanir sem til úrlausnar eru lúta allar að því að tilteknir starfsmenn Landspítalans, þáverandi og núverandi, hafi á árunum [dags.] til [dags.] flett upp í sjúkraskrá kvartanda án heimildar. Í kvörtunum er einnig gerð athugasemd við að misræmi hafi verið milli þeirrar innskráningarskýrslu yfir uppflettingar í sjúkraskrá kvartanda sem hún fékk afhenta um áramótin 2015-2016 og þeirrar skýrslu sem hún fékk afhenta í október 2020, yfir uppflettingar í sjúkraskrá hennar vegna sama tímabils. Telur kvartandi að um sé að ræða skjalafals í mörgum liðum hvað framangreint misræmi varðar. Fyrir liggur hins vegar að kvartandi hefur þegar fengið afrit af sjúkraskrá sinni samkvæmt beiðni og hvorki er kvartað yfir efnislegri afgreiðslu aðgangsbeiðninnar að öðru leyti né afgreiðslutíma hennar. Í svarbréfi Landspítalans veitti spítalinn skýringar á framangreindu misræmi í yfirlitum yfir uppflettingar í sjúkraskrá kvartanda. Með vísan til framangreinds og með hliðsjón af valdsviði Persónuverndar, sbr. umfjöllun hér að neðan, takmarkast úrskurður þessi við það hvort tilteknir starfsmenn Landspítalans hafi flett upp í sjúkraskrá kvartanda án heimildar. Kemur því ekki til nánari skoðunar af hálfu Persónuverndar hvers vegna ósamræmis gætti í yfirlitum yfir uppflettingar í sjúkraskrá kvartanda sem Landspítalinn afhenti henni annars vegar árið 2015 og hins vegar árið 2020.

Persónuvernd annast eftirlit með framkvæmd laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679. Mál þetta lýtur að uppflettingu 44 heilbrigðisstarfsmanna Landspítalans í sjúkraskrá kvartanda. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Almennt telst Landspítali vera ábyrgðaraðili að uppflettingum starfsmanna sinna í sjúkraskrá þegar þær eru framkvæmdar af þeim heilbrigðisstarfsmönnum sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar, sbr. 13. gr. laga nr. 55/2009 um sjúkraskrá. Fari starfsmaður hins vegar út fyrir aðgangsheimildir sínar samkvæmt fyrrgreindum lögum ber hann sjálfur ábyrgð á því. Í því tilviki sem hér um ræðir þarf því að taka afstöðu til þess hvort starfsmönnunum sem um ræðir var heimil sú vinnsla sem kvörtun lýtur að.

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, eða nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfjanotkun viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsufar kvartanda. Eins og hér háttar til kemur þá til skoðunar 8. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnusjúkdómalækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök lagaheimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu, sbr. h-lið 2. mgr. 9. gr. reglugerðarinnar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins, og að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í lögum nr. 55/2009 um sjúkraskrár segir í 2. gr. að við færslu og varðveislu sjúkraskráa og aðgang að þeim skuli mannhelgi og sjálfsákvörðunarréttur sjúklinga virtur og þess gætt að sjúkraskrár hafa að geyma viðkvæmar persónuupplýsingar og að upplýsingar í þeim eru trúnaðarmál. Samkvæmt 12. gr. laganna er aðgangur að sjúkraskrám óheimill nema til hans standi lagaheimild samkvæmt ákvæðum laganna eða öðrum lögum. Í 1. mgr. 13. gr. laganna er kveðið á um að heilbrigðisstarfsmenn sem koma að meðferð sjúklings og þurfa á sjúkraskrárupplýsingum hans að halda vegna meðferðarinnar skuli hafa aðgang að sjúkraskrá sjúklingsins með takmörkunum samkvæmt ákvæðum laganna og reglna settra á grundvelli þeirra.

Fyrir liggur og óumdeilt er að þeir 44 þáverandi og núverandi heilbrigðisstarfsmenn Landspítalans sem kvörtunum málsins er beint að sóttu upplýsingar í sjúkraskrá kvartanda í umrædd skipti. Einnig er óumdeilt í málinu að á þeim tíma sem 37 af 44 tilgreindum uppflettingum í sjúkraskrá kvartanda áttu sér var kvartandi inniliggjandi á Landspítalanum, þ.e. á tímabilinu frá [dags.], og þáði meðferð og þjónustu af spítalanum. Þá hefur jafnframt komið fram af hálfu Landspítalans að eftirlitsnefnd um rafræna sjúkraskrá hafi rannsakað mál allra þeirra 44 einstaklinga sem kvartanir málsins beinast að. Niðurstöður rannsókna eftirlitsnefndarinnar hafi verið að ekkert bendi til þess að uppflettingar umræddra starfmannanna í sjúkraskrá kvartanda hafi verið ólögmætar þannig að brotið hafi verið gegn ákvæðum sjúkraskrárlaga, nr. 55/2009, heldur bendi öll rannsóknargögn til þess að uppflettingarnar hafi tengst eðlilegum störfum starfsmannanna á Landspítalanum.

Eins og hér háttar til liggur ekki annað fyrir en að skoðun allra þeirra heilbrigðisstarfsmanna Landspítalans á sjúkraskrá kvartanda sem kvörtunum málsins er beint að hafi verið liður í að veita kvartanda heilbrigðisþjónustu og að umræddir starfsmenn hafi komið að meðferð kvartanda og þurft á sjúkraskrárupplýsingum hennar að halda vegna meðferðarinnar.

Með vísan til alls framangreinds verður því talið að heimild tilgreindra heilbrigðisstarfsmanna Landspítala, þáverandi og núverandi, hafi legið fyrir uppflettingu í sjúkraskrá kvartanda, sbr. 13. gr. laga nr. 55/2009 um sjúkraskrá, og jafnframt telst Landspítalinn ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem í því fólst.

Að framangreindu virtu er það niðurstaða Persónuverndar að framangreind vinnsla persónuupplýsinga af hálfu Landspítalans hafi verið heimil með vísan til 3. tölul. 9. gr. og 8. tölul. 1. mgr. 11. gr. laga nr. 90/2018, um persónuvernd og persónuupplýsingar, sbr. c-lið 1. mgr. 6. gr. og h-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Jafnframt er það niðurstaða Persónuverndar að persónuupplýsingar kvartanda hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti og þær fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, sbr. a- og b-lið 1. mgr. 8. gr. laganna, sbr. a- og b-lið 1. mgr. 5. gr. reglugerðarinnar.

Ú r s k u r ð a r o r ð:

Skoðun tilgreindra heilbrigðisstarfsmanna Landspítalans á sjúkraskrá [A] á árunum [dags.] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

 Persónuvernd 26. júní 2023

Helga Sigríður Þórhallsdóttir                            Edda Þuríður Hauksdóttir