Fjúkandi læknaskýrslur
Persónuvernd vísar til fyrri bréfaskipta vegna frétta af því að sjúkragögn hafi fundist á víðavangi eftir að þér tókuð þau með yður heim úr vinnu. Kemur fram í fréttinni að þér hafið geymt skýrslurnar í jakkavasa og þær dottið úr vasanum.
Með bréfi, dags. 4. október 2004, óskaði Persónuvernd skýringa yðar og svöruðuð þér með bréfi, dags. 8. s.m. Þar segir að um hafi verið að ræða fimm dagnótur af stofu yðar í X með nöfnum á sjúklingum sem þér ætluðuð að taka til aðgerðar, þ.e. [.....], á Y. Þér hafið tekið nóturnar með yður þegar þér hjóluðuð heim til yðar og hafi þær þá fokið úr vasa á bakinu á hjólaskyrtu yðar.
Með bréfi til yðar, dags. 30. nóvember 2004, reifaði Persónuvernd þær reglur sem gilda um meðferð sjúkraskráa. Sagði þar, með vísan til 1. mgr. 1. gr. og 10. tölul. 2. gr. reglugerðar nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sbr. 6. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, að telja mætti þær reglur, sem gilda um meðferð sjúkraskrá, eiga við um þessar dagnótur. Þá kom fram að Persónuvernd teldi þá meðferð yðar á gögnunum að flytja þau af starfsstöð yðar í jakkavasa orka tvímælis í ljósi 1. mgr. 14. gr. og 1. og 2. mgr. 15. gr. laga nr. 74/1997 þar sem er að finna reglur um öryggi sjúkraskráa.
Í bréfi Persónuverndar var yður greint frá því að málið hefði verið sent landlækni og var hjálagt afrit af bréfi stofnunarinnar til hans, dags. 30. nóvember 2004. Fram kom í því bréfi að málið væri sent honum í ljósi þess hlutverks hans að hafa eftirlit með heilbrigðisstéttum, sbr. grein 3.1 í lögum nr. 97/1990 um heilbrigðisþjónustu. Í kjölfar þessa sendi landlæknir bréf til yðar, dags. 3. desember 2004, og barst Persónuvernd afrit af því. Í bréfinu vísaði landlæknir til þess að þér hefðuð tekið umrædd gögn með yður af stofu yðar í X þar sem þau hefðu verið nauðsynleg daginn eftir vegna aðgerða á Y. Þér hafið því þurft að færa gögnin á milli starfsstöðva yðar í þágu sjúklinga. Þér hafið tvímælalaust sjálfur gert yður grein fyrir að búa yrði betur um hnúana næst þegar flutnings yrði þörf. Að öðru leyti teldi Landlæknisembættið ekki ástæðu til neinna aðgerða í málinu af sinni hálfu.
Persónuvernd hefur enga afstöðu tekið til framangreindar meðferðar landlæknis á málinu. Það var hins vegar rætt á fundi stjórnar Persónuverndar hinn 15. desember 2004. Taldi hún nauðsynlegt að benda yður á ákvæði 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í 1. mgr. þeirrar greinar er kveðið á um að sá sem ábyrgð ber á vinnslu persónuupplýsinga skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá er í 2. mgr. kveðið á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Ljóst er að í ákveðnum tilvikum er nauðsynlegt að flytja sjúkraskrárgögn milli einstakra starfsstöðva svo að unnt sé að nota þau við veitingu læknismeðferðar. Þegar það er gert er hins vegar brýnt að sendingarmátinn sé öruggur. Í því tilviki, sem hér um ræðir, var þeim kröfum, sem gera verður til öryggis gagna í flutningi, ekki fullnægt. Svo viðkvæm gögn, sem hér um ræðir, er mjög varasamt að flytja á milli staða í opnum skyrtuvasa, enda er ljóst að með því skapast hætta á að þau eyðileggist, s.s. vegna vætu; að þau glatist; og að óviðkomandi fái aðgang að þeim. Séu gögnin flutt á heimili heilbrigðisstarfsmanns og geymd þar fram að næsta vinnudegi, þegar fara á með þau á aðra starfsstöð, skapast og hætta á að fjölskylda hans og vinir eða ættingjar, sem kunna að koma á heimilið, sjái gögnin.
Til að girða fyrir þessar hættur er nauðsynlegt að sjúkraskrárgögn séu geymd í læstri tösku, sem enginn getur opnað nema réttmætur vörsluaðili gagnanna, eða á annan sambærilegan hátt. Þegar farið er með sjúkraskrárgögn milli staða á reiðhjóli er og nauðsynlegt að þannig sé gengið frá tösku, sem gögn eru geymd í, að ekki sé hætta á að hún glatist. Séu sjálfsagðar öryggisráðstafanir á borð við þessar ekki viðhafðar er brotið gegn framangreindum reglum 11. gr. laga nr. 77/2000 um upplýsingaöryggi.
Að lokum skal tekið fram að Persónuvernd lítur umrætt atvik alvarlegum augum og brýnir fyrir yður að viðhafa eftirleiðis tryggar aðferðir við flutning svo viðkvæmra gagna, sem hér um ræðir, milli staða.