archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    også det er utlevert helseopplysninger om pasientene Begrepet helseopplysning og konkret vurdering Generell vurdering av begrepet helseopplysning Definisjonen av helseopplysninger i helseregisterloven 2 nr 1 lyder taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold som kan knyttes til en enkeltperson Slik Datatilsynet tolker ordlyden i helseregisterloven 2 nr 1 er begrepet helseopplysning nokså vidtrekkende Begrepet er omtalt på følgende måte i Ot prp nr 5 1999 2000 helseregisterloven side 178 til 179 Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell Alle pasientopplysninger dvs taushetsbelagte opplysninger i henhold til helsepersonelloven omfattes av gruppen helseopplysninger Langt de fleste helseopplysninger vil også være pasientopplysninger men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger 2 nr 8 bokstav c Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket helseforhold omfatter opplysninger om en persons tidligere nåværende og fremtidige fysiske eller psykiske tilstand inkludert opplysninger om medisin og narkotikamisbruk Videre uttales at også opplysninger om sosiale forhold kan falle inn under helseforhold dersom de sosiale forholdende påvirker helsen Det vises også til Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand Det vises til følgende uttalelse Etter lov om helsepersonell 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger anført i samme lov 40 Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand I Innst O nr 55 2007 2008 punkt 1 3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven Når det gjelder helseopplysninger så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven I NOU 2005 1 punkt 4 4 3 er følgende uttalt om begrepet helseopplysninger Helseopplysning omfatter objektive data som for eksempel høyde vekt medikamentbruk tidligere sykdommer inkludert sykdommer hos slektninger og familiesituasjon og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn for eksempel ved helsekontroller Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning Det vises i den forbindelse til Helse og omsorgsdepartementets brev av 27 august 2010 på side 1 til 2 Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon Departementet skriver deretter følgende Det er viktig å merke seg at en og samme opplysning kan være personopplysning dvs opplysning og vurdering som kan knyttes til en enkeltperson uten at det knyttes til helseforhold i en sammenheng og helseopplysning i en annen sammenheng Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet helseopplysning er hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng uten at den kan knyttes til helseforhold men helseopplysning i en annen sammenheng Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning Datatilsynet mener at opplysninger som er innsamlet i et helseregister og derfor er innenfor helseregisterlovens saklige virkeområde normalt må anses som helseopplysninger Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgsforvaltningen eller helse og omsorgstjenesten i denne retning Det vises til helseregisterloven 3 og 1 Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf også ovenfor nevnte uttalelse i Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Datatilsynet mener også at konsekvens og harmoniseringshensyn trekker i samme retning Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister herunder behandlingsrettede helseregistre blir regulert av de alminnelige bestemmelsene i personopplysningsloven Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Konkret vurdering av begrepet helseopplysning for denne saken Etter Datatilsynets vurdering er opplysninger om fødselsnummer vekt og at det er gjennomført MR CT angio undersøkelse å anse som helseopplysninger Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende og mener disse opplysningene er omfattet av begrepet Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider Det vises også spesielt til NOU 2005 1 punkt 4 4 3 Tilsynet mener i tillegg at konsekvens og harmoniseringshensyn trekker i samme retning OUS vurderer at fødselsnummer og opplysninger om at en kvinne hører til den aldersgruppen som rutinemessig blir innkalt til screeningundersøkelser ved mammografi for å utelukke brystkreft ikke er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har under tvil kommet til at slike opplysninger også er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har lagt avgjørende vekt på formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgstjenesten Tilsynet legger også vekt på konsekvens og harmoniseringshensyn OUS vurderer at opplysninger om identifiserbare pasienter som har fatt utført klinisk mammografi som ledd i utredning og eller behandling er å anse som helseopplysninger Datatilsynet deler vurderingen av at dette er å anse som helseopplysninger Slik Datatilsynet leser brevet fra OUS klages det ikke på pålegg om informasjon til denne gruppen pasienter Om informasjonsplikt Informasjon om hvilke personopplysninger som behandles om en og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger kreve innsyn og eventuelt retting og sletting Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold bestemmelsens nr 1 til 5 når det samles inn opplysninger fra den registrerte jf helseregisterloven 23 Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte At begrepet samler inn fra den registrerte selv skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen jf Ot prp nr 5 1999 2000 helseregisterloven side 199 Der står blant annet følgende Uttrykket samler inn opplysninger fra den registrerte omfatter både muntlige og skriftlige henvendelser Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer pasienter henvender seg til helsetjenesten for undersøkelse behandling etc Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser helseundersøkelser spørreundersøkelser etc Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte pasienter Informasjonsplikten etter helseregisterloven 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte Unntak fra denne informasjonsplikten følger av helseregisterloven 23 annet ledd og helseregisterloven 25 Datatilsynet peker på at unntaket i helseregisterloven 23 siste ledd ikke kommer til anvendelse Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven 23 første ledd Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven 25 kommer til anvendelse Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven 23 annet ledd og 25 ut fra praktiske hensyn Datatilsynet kan ikke se at unntaket i helseregisterloven 25 nr 3 kommer til anvendelse Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær Det følger av ordlyden utilrådelig at det er et strengt krav Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte pasientene i denne saken Unntak fra informasjonsplikten etter helseregisterloven 24 annet ledd nr 2 gjelder ikke for helseregisterloven 23 Helseregisterloven 24 annet ledd nr 2 gjør unntak fra informasjonsplikten dersom varsling er umulig eller uforholdsmessig vanskelig Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte av å bli varslet vurdert opp mot de ressurser det vil kreve Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt Om sakene OUS har vist til OUS har vist til at to saker hvor Datatilsynet ikke har gitt pålegg om å informere de registrerte Datatilsynet påpeker at pålegg om informasjonsplikt til de registrerte vurderes konkret i hver enkelt sak ut fra sitt konkrete saksforhold Dette gjelder både saker etter personopplysningsloven og helseregisterloven Etter Datatilsynet vurdering skiller saksforholdene i de nevnte sakene seg vesentlig fra denne saken Denne saken dreier seg om pålegg om informasjon etter helseregisterloven 32 i en sak om uautorisert utlevering av helseopplysninger til en teknisk leverandør i USA Datatilsynet viser også spesielt til de konkrete vurderingene nedenfor om adgang til å gi pålegg og pålegg om informasjonsplikt Datatilsynet kan derfor ikke se at de nevnte sakene kan ha nevneverdig vekt i retning mot pålegg i denne saken Om helseregistre og behandling av helseopplysninger Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring Det vil si avhengig av om de er forankret i en sentral enhet en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag Behandlingsrettede helseregistre er en type helseregister Etter helseregisterloven 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller behandlingen følger av annen lov Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven 5 første ledd jf helsepersonelloven 39 og 40 jf journalforskriften Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven 5 Et spørsmål som ikke er vurdert nærmere i denne saken er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA jf helseregisterloven 5 første ledd Dette må også vurderes opp mot helsepersonelloven 2 om virkeområde Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven 5 er alternativet konsesjon fra Datatilsynet Om overføring av helseopplysninger Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet Derfor gjelder personopplysningsloven kapittel V utfyllende jf helseregisterloven 36 Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven 30 første ledd og faller også utenfor personopplysningsloven 29 Et annet spørsmål som ikke er vurdert nærmere i denne saken er forholdet til regler om overføring av helseopplysninger til USA For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven 30 annet ledd GE Healthcare Medical Diagnostic er oppført på Safe Harbor listen Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA Det vises til vedlagt dokument 12 00526 2 og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt Det følger av helseregisterloven 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme Datatilsynet har knyttet pålegget etter helseregisterloven 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven 23 Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler ville informasjonsplikten etter helseregisterloven 23 gjort seg gjeldende jf bestemmelsens første ledd nr 3 Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse men også en pasientinteresse Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen se for eksempel pasient og brukerrettighetsloven 3 6 tredje ledd Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke med mindre annet er bestemt i eller i medhold av lov jf helseregisterloven 5 tredje ledd Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke Etter Datatilsynet vurdering er dette et moment i en fra det mer til det mindre betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven 32 Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting anonymisering av ulovlige utleverte helseopplysninger Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning Dette fordi det kan forekomme erstatningskrav Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt Det påpekes også at dersom pasientene de registrerte ikke blir informert om den uautoriserte utleveringen av helseopplysninger kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven 35 De sentrale hensynene som står imot hverandre i denne saken er personvern og pasientinteresser på den ene siden og praktiske hensyn på den andre siden Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven 32 gir adgang til når det gjelder individuell informasjonsplikt 6 Personvernnemndas merknader Personvernnemnda har vurdert tilsvarende problemstilling i PVN 2013 05 Diakonhjemmet sykehus Faktum i denne saken er sammenlignbart med PVN 2013 05 Personvernnemnda er derfor kommet til samme konklusjon i herværende sak Nemndas resonnement fra PVN 2013 05 hitsettes Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen jf Datatilsynets påleggspunkt nr 3 i vedtaket Datatilsynet har anvendt helseregisterloven 23 som lyder 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte Når det samles inn helseopplysninger fra den registrerte selv skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om 1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant 2 formålet med behandlingen av helseopplysningene 3 opplysningene vil bli utlevert og eventuelt hvem som er mottaker 4 det er frivillig å gi fra seg helseopplysningene og 5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte som for eksempel informasjon om retten til å kreve innsyn jf 22 og retten til å kreve retting og sletting jf 26 og 28 Personopplysningsloven 19 har tilsvarende regulering Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å bruke rettighetene sine Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger jf første ledd nr 5 I denne saken var det ikke ment å skje noen utlevering Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens 23 om at det skulle skje en utlevering til GE GE samlet likevel inn data om pasientene Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene Når opplysningene så er sendt til og lagret hos GE i USA er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem Det er videre opplyst at GE ikke vil slette dem Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen Datatilsynet har lagt til grunn at det følger en slik plikt av helseregisterloven 23 nr 5 jf personopplysningsloven 19 bokstav e Tilsynet mener at dette er informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd jf helseregisterloven 23 nr 3 og 5 jf personopplysningsloven 19 bokstav c og e Varslingsplikten gjelder i forkant av innsamlingen jf 19 bokstav c Ordlyden sier samles inn først og vil bli Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted uten at varsling ble foretatt Situasjonen er altså den at

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_11.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    helsetjenesten etter helseregisterloven 3 Datatilsynet mener også virksomheten i denne saken har behandlet helseopplysninger for å fremme formål som er beskrevet i lovens 1 Datatilsynet mener også det er utlevert helseopplysninger om pasientene Begrepet helseopplysning og konkret vurdering Generell vurdering av begrepet helseopplysning Definisjonen av helseopplysninger i helseregisterloven 2 nr 1 lyder taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold som kan knyttes til en enkeltperson Slik Datatilsynet tolker ordlyden i helseregisterloven 2 nr 1 er begrepet helseopplysning nokså vidtrekkende Begrepet er omtalt på følgende måte i Ot prp nr 5 1999 2000 helseregisterloven side 178 til 179 Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell Alle pasientopplysninger dvs taushetsbelagte opplysninger i henhold til helsepersonelloven omfattes av gruppen helseopplysninger Langt de fleste helseopplysninger vil også være pasientopplysninger men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger 2 nr 8 bokstav c Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket helseforhold omfatter opplysninger om en persons tidligere nåværende og fremtidige fysiske eller psykiske tilstand inkludert opplysninger om medisin og narkotikamisbruk Videre uttales at også opplysninger om sosiale forhold kan falle inn under helseforhold dersom de sosiale forholdende påvirker helsen Det vises også til Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand Det vises til følgende uttalelse Etter lov om helsepersonell 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger anført i samme lov 40 Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand I Innst O nr 55 2007 2008 punkt 1 3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven Når det gjelder helseopplysninger så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven I NOU 2005 1 punkt 4 4 3 er følgende uttalt om begrepet helseopplysninger Helseopplysning omfatter objektive data som for eksempel høyde vekt medikamentbruk tidligere sykdommer inkludert sykdommer hos slektninger og familiesituasjon og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn for eksempel ved helsekontroller Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning Det vises i den forbindelse til Helse og omsorgsdepartementets brev av 27 august 2010 på side 1 til 2 Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon Departementet skriver deretter følgende Det er viktig å merke seg at en og samme opplysning kan være personopplysning dvs opplysning og vurdering som kan knyttes til en enkeltperson uten at det knyttes til helseforhold i en sammenheng og helseopplysning i en annen sammenheng Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet helseopplysning er hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng uten at den kan knyttes til helseforhold men helseopplysning i en annen sammenheng Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning Datatilsynet mener at opplysninger som er innsamlet i et helseregister og derfor er innenfor helseregisterlovens saklige virkeområde normalt må anses som helseopplysninger Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgsforvaltningen eller helse og omsorgstjenesten i denne retning Det vises til helseregisterloven 3 og 1 Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf også ovenfor nevnte uttalelse i Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Datatilsynet mener også at konsekvens og harmoniseringshensyn trekker i samme retning Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister herunder behandlingsrettede helseregistre blir regulert av de alminnelige bestemmelsene i personopplysningsloven Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Konkret vurdering av begrepet helseopplysning for denne saken Etter Datatilsynets vurdering er opplysninger om fødselsnummer vekt og at det er gjennomført MR undersøkelse å anse som helseopplysninger Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende og mener disse opplysningene er omfattet av begrepet Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider Det vises også spesielt til NOU 2005 1 punkt 4 4 3 Tilsynet mener i tillegg at konsekvens og harmoniseringshensyn trekker i samme retning Helse Stavanger vurderer at fødselsnummer og opplysninger om at en kvinne hører til den aldersgruppen som rutinemessig blir innkalt til screeningundersøkelser ved mammografi for å utelukke brystkreft ikke er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har under tvil kommet til at slike opplysninger også er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har lagt avgjørende vekt på formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgstjenesten Tilsynet legger også vekt på konsekvens og harmoniseringshensyn Helse Stavanger vurderer at fødselsnummer og opplysninger om hjerteundersøkelsene er å anse som helseopplysninger Datatilsynet deler denne vurderingen Slik Datatilsynet leser brevet fra Helse Stavanger klages det ikke på pålegg om informasjon til denne gruppen pasienter Om informasjonsplikt Informasjon om hvilke personopplysninger som behandles om en og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger kreve innsyn og eventuelt retting og sletting Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold bestemmelsens nr 1 til 5 når det samles inn opplysninger fra den registrerte jf helseregisterloven 23 Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte At begrepet samler inn fra den registrerte selv skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen jf Ot prp nr 5 1999 2000 helseregisterloven side 199 Der står blant annet følgende Uttrykket samler inn opplysninger fra den registrerte omfatter både muntlige og skriftlige henvendelser Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer pasienter henvender seg til helsetjenesten for undersøkelse behandling etc Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser helseundersøkelser spørreundersøkelser etc Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte pasienter Informasjonsplikten etter helseregisterloven 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte Unntak fra denne informasjonsplikten følger av helseregisterloven 23 annet ledd og helseregisterloven 25 Datatilsynet peker på at unntaket i helseregisterloven 23 siste ledd ikke kommer til anvendelse Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven 23 første ledd Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven 25 kommer til anvendelse Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven 23 annet ledd og 25 ut fra praktiske hensyn Datatilsynet kan ikke se at unntaket i helseregisterloven 25 nr 3 kommer til anvendelse Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær Det følger av ordlyden utilrådelig at det er et strengt krav Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte pasientene i denne saken Unntak fra informasjonsplikten etter helseregisterloven 24 annet ledd nr 2 gjelder ikke for helseregisterloven 23 Helseregisterloven 24 annet ledd nr 2 gjør unntak fra informasjonsplikten dersom varsling er umulig eller uforholdsmessig vanskelig Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte av å bli varslet vurdert opp mot de ressurser det vil kreve Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt Om helseregistre og behandling av helseopplysninger Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring Det vil si avhengig av om de er forankret i en sentral enhet en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag Behandlingsrettede helseregistre er en type helseregister Etter helseregisterloven 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller behandlingen følger av annen lov Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven 5 første ledd jf helsepersonelloven 39 og 40 jf journalforskriften Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven 5 Et spørsmål som ikke er vurdert nærmere i denne saken er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA jf helseregisterloven 5 første ledd Dette må også vurderes opp mot helsepersonelloven 2 om virkeområde Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven 5 er alternativet konsesjon fra Datatilsynet Om overføring av helseopplysninger Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet Derfor gjelder personopplysningsloven kapittel V utfyllende jf helseregisterloven 36 Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven 30 første ledd og faller også utenfor personopplysningsloven 29 Et annet spørsmål som ikke er vurdert nærmere i denne saken er forholdet til regler om overføring av helseopplysninger til USA For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven 30 annet ledd GE Healthcare Medical Diagnostic er oppført på Safe Harbor listen Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA Det vises til vedlagt dokument 12 00526 2 og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt Det følger av helseregisterloven 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme Datatilsynet har knyttet pålegget etter helseregisterloven 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven 23 Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler ville informasjonsplikten etter helseregisterloven 23 gjort seg gjeldende jf bestemmelsens første ledd nr 3 Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse men også en pasientinteresse Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen se for eksempel pasient og brukerrettighetsloven 3 6 tredje ledd Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke med mindre annet er bestemt i eller i medhold av lov jf helseregisterloven 5 tredje ledd Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke Etter Datatilsynet vurdering er dette et moment i en fra det mer til det mindre betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven 32 Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting anonymisering av ulovlige utleverte helseopplysninger Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning Dette fordi det kan forekomme erstatningskrav Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt Det påpekes også at dersom pasientene de registrerte ikke blir informert om den uautoriserte utleveringen av helseopplysninger kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven 35 De sentrale hensynene som står imot hverandre i denne saken er personvern og pasientinteresser på den ene siden og praktiske hensyn på den andre siden Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven 32 gir adgang til når det gjelder individuell informasjonsplikt 6 Personvernnemndas merknader Personvernnemnda har vurdert tilsvarende problemstilling i PVN 2013 05 Diakonhjemmet sykehus Faktum i denne saken er sammenlignbart med PVN 2013 05 Personvernnemnda finner at dette angår personopplysninger Personvernnemnda er derfor kommet til samme konklusjon i herværende sak Nemndas resonnement fra PVN 2013 05 hitsettes Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen jf Datatilsynets påleggspunkt nr 3 i vedtaket Datatilsynet har anvendt helseregisterloven 23 som lyder 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte Når det samles inn helseopplysninger fra den registrerte selv skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om 1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant 2 formålet med behandlingen av helseopplysningene 3 opplysningene vil bli utlevert og eventuelt hvem som er mottaker 4 det er frivillig å gi fra seg helseopplysningene og 5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte som for eksempel informasjon om retten til å kreve innsyn jf 22 og retten til å kreve retting og sletting jf 26 og 28 Personopplysningsloven 19 har tilsvarende regulering Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å bruke rettighetene sine Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger jf første ledd nr 5 I denne saken var det ikke ment å skje noen utlevering Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens 23 om at det skulle skje en utlevering til GE GE samlet likevel inn data om pasientene Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene Når opplysningene så er sendt til og lagret hos GE i USA er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem Det er videre opplyst at GE ikke vil slette dem Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen Datatilsynet har lagt til grunn at det følger en slik plikt av helseregisterloven 23 nr 5 jf personopplysningsloven 19 bokstav e Tilsynet mener at dette er informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd jf helseregisterloven 23 nr 3 og 5 jf personopplysningsloven 19 bokstav c og e Varslingsplikten gjelder i forkant av innsamlingen jf 19 bokstav c Ordlyden sier samles inn først og vil bli Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted uten at varsling ble foretatt Situasjonen er altså den at om sykehuset selv hadde blitt klar over at dataene ville bli lastet ned og overført til USA av GE ville det ha foreligget en informasjonsplikt på et tidligere tidspunkt Nemnda ser det slik at mislighold av en slik plikt neppe i seg selv ville kunnet suspendere plikten I denne saken var imidlertid sykehuset ikke klar over at personopplysninger ville bli kopiert av GE og overført til selskapets database i USA Det rettslige spørsmålet er dermed slik flertallet i nemnda ser det om denne manglende kunnskap hos den behandlingsansvarlige fratar de registrerte retten til å være informert om overførselen og derved behandlingsansvarlige plikten til å gi informasjon om hendelsen i ettertid Det rettslige utgangspunktet er at forvaltningen

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_10.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    helseregisterloven 2 nr 1 er begrepet helseopplysning nokså vidtrekkende Begrepet er omtalt på følgende måte i Ot prp nr 5 1999 2000 helseregisterloven side 178 til 179 Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell Alle pasientopplysninger dvs taushetsbelagte opplysninger i henhold til helsepersonelloven omfattes av gruppen helseopplysninger Langt de fleste helseopplysninger vil også være pasientopplysninger men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger 2 nr 8 bokstav c Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket helseforhold omfatter opplysninger om en persons tidligere nåværende og fremtidige fysiske eller psykiske tilstand inkludert opplysninger om medisin og narkotikamisbruk Videre uttales at også opplysninger om sosiale forhold kan falle inn under helseforhold dersom de sosiale forholdende påvirker helsen Det vises også til Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand Det vises til følgende uttalelse Etter lov om helsepersonell 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger anført i samme lov 40 Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand I Innst O nr 55 2007 2008 punkt 1 3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven Når det gjelder helseopplysninger så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven I NOU 2005 1 punkt 4 4 3 er følgende uttalt om begrepet helseopplysninger Helseopplysning omfatter objektive data som for eksempel høyde vekt medikamentbruk tidligere sykdommer inkludert sykdommer hos slektninger og familiesituasjon og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn for eksempel ved helsekontroller Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning Det vises i den forbindelse til Helse og omsorgsdepartementets brev av 27 august 2010 på side 1 til 2 Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon Departementet skriver deretter følgende Det er viktig å merke seg at en og samme opplysning kan være personopplysning dvs opplysning og vurdering som kan knyttes til en enkeltperson uten at det knyttes til helseforhold i en sammenheng og helseopplysning i en annen sammenheng Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet helseopplysning er hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng uten at den kan knyttes til helseforhold men helseopplysning i en annen sammenheng Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning Datatilsynet mener at opplysninger som er innsamlet i et helseregister og derfor er innenfor helseregisterlovens saklige virkeområde normalt må anses som helseopplysninger Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgsforvaltningen eller helse og omsorgstjenesten i denne retning Det vises til helseregisterloven 3 og 1 Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf også ovenfor nevnte uttalelse i Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Datatilsynet mener også at konsekvens og harmoniseringshensyn trekker i samme retning Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister herunder behandlingsrettede helseregistre blir regulert av de alminnelige bestemmelsene i personopplysningsloven Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Konkret vurdering av begrepet helseopplysning for denne saken Etter Datatilsynets vurdering er opplysninger om fødselsnummer vekt og at det er gjennomført MR undersøkelse å anse som helseopplysninger Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende og mener disse opplysningene er omfattet av begrepet Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider Det vises også spesielt til NOU 2005 1 punkt 4 4 3 Tilsynet mener i tillegg at konsekvens og harmoniseringshensyn trekker i samme retning Helse Bergen vurderer at fødselsnummer og opplysninger om at en kvinne hører til den aldersgruppen som rutinemessig blir innkalt til screeningundersøkelser ved mammografi for å utelukke brystkreft ikke er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har under tvil kommet til at slike opplysninger også er å anse som helseopplysninger i helseregisterlovens forstand Datatilsynet har lagt avgjørende vekt på formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgstjenesten Tilsynet legger også vekt på konsekvens og harmoniseringshensyn Helse Bergen vurderer at opplysninger om identifiserbare pasienter som har fått utført klinisk mammografi som ledd i utredning og eller behandling er å anse som helseopplysninger Det er opplyst at her vil det kunne være mulig å trekke en slutning om at det har foreligget en mistanke eller visshet om bestemte sykdomstilstander i brystene som for eksempel brystkreft Datatilsynet deler vurderingen av at dette er å anse som helseopplysninger Slik Datatilsynet leser brevet fra Helse Bergen klages det ikke på pålegg om informasjon til denne gruppen pasienter Om informasjonsplikt Informasjon om hvilke personopplysninger som behandles om en og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger kreve innsyn og eventuelt retting og sletting Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold bestemmelsens nr 1 til 5 når det samles inn opplysninger fra den registrerte jf helseregisterloven 23 Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte At begrepet samler inn fra den registrerte selv skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen jf Ot prp nr 5 1999 2000 helseregisterloven side 199 Der står blant annet følgende Uttrykket samler inn opplysninger fra den registrerte omfatter både muntlige og skriftlige henvendelser Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer pasienter henvender seg til helsetjenesten for undersøkelse behandling etc Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser helseundersøkelser spørreundersøkelser etc Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte pasienter Informasjonsplikten etter helseregisterloven 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte Unntak fra denne informasjonsplikten følger av helseregisterloven 23 annet ledd og helseregisterloven 25 Datatilsynet peker på at unntaket i helseregisterloven 23 siste ledd ikke kommer til anvendelse Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven 23 første ledd Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven 25 kommer til anvendelse Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven 23 annet ledd og 25 ut fra praktiske hensyn Datatilsynet kan ikke se at unntaket i helseregisterloven 25 nr 3 kommer til anvendelse Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær Det følger av ordlyden utilrådelig at det er et strengt krav Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte pasientene i denne saken Unntak fra informasjonsplikten etter helseregisterloven 24 annet ledd nr 2 gjelder ikke for helseregisterloven 23 Helseregisterloven 24 annet ledd nr 2 gjør unntak fra informasjonsplikten dersom varsling er umulig eller uforholdsmessig vanskelig Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte av å bli varslet vurdert opp mot de ressurser det vil kreve Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt Om sakene Helse Bergen har vist til Helse Bergen har vist til at to saker hvor Datatilsynet ikke har gitt pålegg om å informere de registrerte Datatilsynet påpeker at pålegg om informasjonsplikt til de registrerte vurderes konkret i hver enkelt sak ut fra sitt konkrete saksforhold Dette gjelder både saker etter personopplysningsloven og helseregisterloven Etter Datatilsynet vurdering skiller saksforholdene i de nevnte sakene seg vesentlig fra denne saken Denne saken dreier seg om pålegg om informasjon etter helseregisterloven 32 i en sak om uautorisert utlevering av helseopplysninger til en teknisk leverandør i USA Datatilsynet viser også spesielt til de konkrete vurderingene nedenfor om adgang til å gi pålegg og pålegg om informasjonsplikt Datatilsynet kan derfor ikke se at de nevnte sakene kan ha nevneverdig vekt i retning mot pålegg i denne saken Om helseregistre og behandling av helseopplysninger Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring Det vil si avhengig av om de er forankret i en sentral enhet en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag Behandlingsrettede helseregistre er en type helseregister Etter helseregisterloven 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller behandlingen følger av annen lov Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven 5 første ledd jf helsepersonelloven 39 og 40 jf journalforskriften Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven 5 Et spørsmål som ikke er vurdert nærmere i denne saken er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA jf helseregisterloven 5 første ledd Dette må også vurderes opp mot helsepersonelloven 2 om virkeområde Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven 5 er alternativet konsesjon fra Datatilsynet Om overføring av helseopplysninger Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet Derfor gjelder personopplysningsloven kapittel V utfyllende jf helseregisterloven 36 Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven 30 første ledd og faller også utenfor personopplysningsloven 29 Et annet spørsmål som ikke er vurdert nærmere i denne saken er forholdet til regler om overføring av helseopplysninger til USA For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven 30 annet ledd GE Healthcare Medical Diagnostic er oppført på Safe Harbor listen Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA Det vises til vedlagt dokument 12 00526 2 og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt Det følger av helseregisterloven 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme Datatilsynet har knyttet pålegget etter helseregisterloven 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven 23 Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler ville informasjonsplikten etter helseregisterloven 23 gjort seg gjeldende jf bestemmelsens første ledd nr 3 Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse men også en pasientinteresse Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen se for eksempel pasient og brukerrettighetsloven 3 6 tredje ledd Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke med mindre annet er bestemt i eller i medhold av lov jf helseregisterloven 5 tredje ledd Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke Etter Datatilsynet vurdering er dette et moment i en fra det mer til det mindre betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven 32 Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting anonymisering av ulovlige utleverte helseopplysninger Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning Dette fordi det kan forekomme erstatningskrav Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt Det påpekes også at dersom pasientene de registrerte ikke blir informert om den uautoriserte utleveringen av helseopplysninger kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven 35 De sentrale hensynene som står imot hverandre i denne saken er personvern og pasientinteresser på den ene siden og praktiske hensyn på den andre siden Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven 32 gir adgang til når det gjelder individuell informasjonsplikt 6 Personvernnemndas merknader Personvernnemnda har vurdert tilsvarende problemstilling i PVN 2013 05 Diakonhjemmet sykehus Faktum i denne saken er sammenlignbart med PVN 2013 05 Personvernnemnda finner at dette angår personopplysninger Personvernnemnda er derfor kommet til samme konklusjon i herværende sak Nemndas resonnement fra PVN 2013 05 hitsettes Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen jf Datatilsynets påleggspunkt nr 3 i vedtaket Datatilsynet har anvendt helseregisterloven 23 som lyder 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte Når det samles inn helseopplysninger fra den registrerte selv skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om 1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant 2 formålet med behandlingen av helseopplysningene 3 opplysningene vil bli utlevert og eventuelt hvem som er mottaker 4 det er frivillig å gi fra seg helseopplysningene og 5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte som for eksempel informasjon om retten til å kreve innsyn jf 22 og retten til å kreve retting og sletting jf 26 og 28 Personopplysningsloven 19 har tilsvarende regulering Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å bruke rettighetene sine Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger jf første ledd nr 5 I denne saken var det ikke ment å skje noen utlevering Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens 23 om at det skulle skje en utlevering til GE GE samlet likevel inn data om pasientene Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene Når opplysningene så er sendt til og lagret hos GE i USA er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem Det er videre opplyst at GE ikke vil slette dem Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen Datatilsynet har lagt til grunn at det følger en slik plikt av helseregisterloven 23 nr 5 jf personopplysningsloven 19 bokstav e Tilsynet mener at dette er informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd jf helseregisterloven 23 nr 3 og 5 jf personopplysningsloven 19 bokstav c og e Varslingsplikten gjelder i forkant av innsamlingen jf 19 bokstav c Ordlyden sier samles inn først og vil bli Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted uten at varsling ble foretatt Situasjonen er altså den at om sykehuset selv hadde blitt klar over at dataene ville bli lastet ned og overført

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_09.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    til å gjelde for behandling av helseopplysninger i helse og omsorgsforvaltningen og helse og omsorgstjenesten Det følger også av 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i 1 Etter Datatilsynets vurdering omfattes virksomheten og den uautoriserte utleveringen av opplysninger av helseregisterloven Dette fordi virksomheten er en del av helsetjenesten etter helseregisterloven 3 Datatilsynet mener også virksomheten i denne saken har behandlet helseopplysninger for å fremme formål som er beskrevet i lovens 1 Datatilsynet mener også det er utlevert helseopplysninger om pasientene Begrepet helseopplysning og konkret vurdering Generell vurdering av begrepet helseopplysning Definisjonen av helseopplysninger i helseregisterloven 2 nr 1 lyder taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold som kan knyttes til en enkeltperson Slik Datatilsynet tolker ordlyden i helseregisterloven 2 nr 1 er begrepet helseopplysning nokså vidtrekkende Begrepet er omtalt på følgende måte i Ot prp nr 5 1999 2000 helseregisterloven side 178 til 179 Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell Alle pasientopplysninger dvs taushetsbelagte opplysninger i henhold til helsepersonelloven omfattes av gruppen helseopplysninger Langt de fleste helseopplysninger vil også være pasientopplysninger men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger 2 nr 8 bokstav c Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket helseforhold omfatter opplysninger om en persons tidligere nåværende og fremtidige fysiske eller psykiske tilstand inkludert opplysninger om medisin og narkotikamisbruk Videre uttales at også opplysninger om sosiale forhold kan falle inn under helseforhold dersom de sosiale forholdende påvirker helsen Det vises også til Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand Det vises til følgende uttalelse Etter lov om helsepersonell 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger anført i samme lov 40 Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand I Innst O nr 55 2007 2008 punkt 1 3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven Når det gjelder helseopplysninger så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven I NOU 2005 1 punkt 4 4 3 er følgende uttalt om begrepet helseopplysninger Helseopplysning omfatter objektive data som for eksempel høyde vekt medikamentbruk tidligere sykdommer inkludert sykdommer hos slektninger og familiesituasjon og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn for eksempel ved helsekontroller Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning Det vises i den forbindelse til Helse og omsorgsdepartementets brev av 27 august 2010 på side 1 til 2 Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon Departementet skriver deretter følgende Det er viktig å merke seg at en og samme opplysning kan være personopplysning dvs opplysning og vurdering som kan knyttes til en enkeltperson uten at det knyttes til helseforhold i en sammenheng og helseopplysning i en annen sammenheng Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet helseopplysning er hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng uten at den kan knyttes til helseforhold men helseopplysning i en annen sammenheng Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning Datatilsynet mener at opplysninger som er innsamlet i et helseregister og derfor er innenfor helseregisterlovens saklige virkeområde normalt må anses som helseopplysninger Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgsforvaltningen eller helse og omsorgstjenesten i denne retning Det vises til helseregisterloven 3 og 1 Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf også ovenfor nevnte uttalelse i Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Datatilsynet mener også at konsekvens og harmoniseringshensyn trekker i samme retning Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister herunder behandlingsrettede helseregistre blir regulert av de alminnelige bestemmelsene i personopplysningsloven Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Konkret vurdering av begrepet helseopplysning for denne saken Etter Datatilsynets vurdering er opplysninger om fødselsnummer vekt og at det er gjennomført MR undersøkelse å anse som helseopplysninger Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende og mener disse opplysningene er omfattet av begrepet Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider Det vises også spesielt til NOU 2005 1 punkt 4 4 3 Tilsynet mener i tillegg at konsekvens og harmoniseringshensyn trekker i samme retning Slik Datatilsynet leser brevet fra HDS klages det ikke på pålegg om informasjon til den gruppen pasienter det er utlevert kliniske opplysninger om Om informasjonsplikt Informasjon om hvilke personopplysninger som behandles om en og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger kreve innsyn og eventuelt retting og sletting Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold bestemmelsens nr 1 til 5 når det samles inn opplysninger fra den registrerte jf helseregisterloven 23 Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte At begrepet samler inn fra den registrerte selv skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen jf Ot prp nr 5 1999 2000 helseregisterloven side 199 Der står blant annet følgende Uttrykket samler inn opplysninger fra den registrerte omfatter både muntlige og skriftlige henvendelser Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer pasienter henvender seg til helsetjenesten for undersøkelse behandling etc Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser helseundersøkelser spørreundersøkelser etc Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte pasienter Informasjonsplikten etter helseregisterloven 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte Unntak fra denne informasjonsplikten følger av helseregisterloven 23 annet ledd og helseregisterloven 25 Datatilsynet peker på at unntaket i helseregisterloven 23 siste ledd ikke kommer til anvendelse Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven 23 første ledd Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven 25 kommer til anvendelse Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven 23 annet ledd og 25 ut fra praktiske hensyn Datatilsynet kan ikke se at unntaket i helseregisterloven 25 nr 3 kommer til anvendelse Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær Det følger av ordlyden utilrådelig at det er et strengt krav Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte pasientene i denne saken Unntak fra informasjonsplikten etter helseregisterloven 24 annet ledd nr 2 gjelder ikke for helseregisterloven 23 Helseregisterloven 24 annet ledd nr 2 gjør unntak fra informasjonsplikten dersom varsling er umulig eller uforholdsmessig vanskelig Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte av å bli varslet vurdert opp mot de ressurser det vil kreve Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt Om helseregistre og behandling av helseopplysninger Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring Det vil si avhengig av om de er forankret i en sentral enhet en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag Behandlingsrettede helseregistre er en type helseregister Etter helseregisterloven 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller behandlingen følger av annen lov Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven 5 første ledd jf helsepersonelloven 39 og 40 jf journalforskriften Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven 5 Et spørsmål som ikke er vurdert nærmere i denne saken er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA jf helseregisterloven 5 første ledd Dette må også vurderes opp mot helsepersonelloven 2 om virkeområde Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven 5 er alternativet konsesjon fra Datatilsynet Om overføring av helseopplysninger Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet Derfor gjelder personopplysningsloven kapittel V utfyllende jf helseregisterloven 36 Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven 30 første ledd og faller også utenfor personopplysningsloven 29 Et annet spørsmål som ikke er vurdert nærmere i denne saken er forholdet til regler om overføring av helseopplysninger til USA For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven 30 annet ledd GE Healthcare Medical Diagnostic er oppført på Safe Harbor listen Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA Det vises til vedlagt dokument 12 00526 2 og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt Det følger av helseregisterloven 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme Datatilsynet har knyttet pålegget etter helseregisterloven 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven 23 Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler ville informasjonsplikten etter helseregisterloven 23 gjort seg gjeldende jf bestemmelsens første ledd nr 3 Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse men også en pasientinteresse Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen se for eksempel pasient og brukerrettighetsloven 3 6 tredje ledd Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke med mindre annet er bestemt i eller i medhold av lov jf helseregisterloven 5 tredje ledd Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke Etter Datatilsynet vurdering er dette et moment i en fra det mer til det mindre betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven 32 Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting anonymisering av ulovlige utleverte helseopplysninger Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning Dette fordi det kan forekomme erstatningskrav Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt Det påpekes også at dersom pasientene de registrerte ikke blir informert om den uautoriserte utleveringen av helseopplysninger kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven 35 De sentrale hensynene som står imot hverandre i denne saken er personvern og pasientinteresser på den ene siden og praktiske hensyn på den andre siden Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven 32 gir adgang til når det gjelder individuell informasjonsplikt 6 Personvernnemndas merknader Personvernnemnda har vurdert tilsvarende problemstilling i PVN 2013 05 Diakonhjemmet sykehus Faktum i denne saken er sammenlignbart med PVN 2013 05 Personvernnemnda finner at dette angår personopplysninger Personvernnemnda er derfor kommet til samme konklusjon i herværende sak Nemndas resonnement fra PVN 2013 05 hitsettes Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen jf Datatilsynets påleggspunkt nr 3 i vedtaket Datatilsynet har anvendt helseregisterloven 23 som lyder 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte Når det samles inn helseopplysninger fra den registrerte selv skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om 1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant 2 formålet med behandlingen av helseopplysningene 3 opplysningene vil bli utlevert og eventuelt hvem som er mottaker 4 det er frivillig å gi fra seg helseopplysningene og 5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte som for eksempel informasjon om retten til å kreve innsyn jf 22 og retten til å kreve retting og sletting jf 26 og 28 Personopplysningsloven 19 har tilsvarende regulering Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å bruke rettighetene sine Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger jf første ledd nr 5 I denne saken var det ikke ment å skje noen utlevering Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens 23 om at det skulle skje en utlevering til GE GE samlet likevel inn data om pasientene Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene Når opplysningene så er sendt til og lagret hos GE i USA er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem Det er videre opplyst at GE ikke vil slette dem Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen Datatilsynet har lagt til grunn at det følger en slik plikt av helseregisterloven 23 nr 5 jf personopplysningsloven 19 bokstav e Tilsynet mener at dette er informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven Nemnda ser det slik at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd jf helseregisterloven 23 nr 3 og 5 jf personopplysningsloven 19 bokstav c og e Varslingsplikten gjelder i forkant av innsamlingen jf 19 bokstav c Ordlyden sier samles inn først og vil bli Spørsmålet er dermed om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt også i en situasjon der utlevering allerede har funnet sted uten at varsling ble foretatt Situasjonen er altså den at om sykehuset selv hadde blitt klar over at dataene ville bli lastet ned og overført til USA av GE ville det ha foreligget en informasjonsplikt på et tidligere tidspunkt Nemnda ser det slik at mislighold av en slik plikt neppe i seg selv ville kunnet suspendere plikten I denne saken var imidlertid sykehuset ikke klar over at personopplysninger ville bli kopiert av GE og overført til selskapets database i USA Det rettslige spørsmålet er dermed slik flertallet i nemnda ser det om denne manglende kunnskap hos den behandlingsansvarlige fratar de registrerte retten til å være informert om overførselen og derved behandlingsansvarlige plikten til å gi informasjon om hendelsen i ettertid Det rettslige utgangspunktet er at forvaltningen trenger en lovhjemmel for å gi pålegg Det har vært diskutert så vel i rettspraksis som i juridisk teori hvor klar en slik hjemmel må være Med andre ord i hvilken grad andre rettskildefaktorer enn lovens ordlyd

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_08.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    er hovedregelen at det skal innhentes samtykke før forskningen starter Forskningen starter ofte mange år etter at opplysningene har blitt innhentet bl a fordi forskeren er avhengig av en viss mengde opplysninger for å ha et tilstrekkelig materiale å forske på Å innhente samtykke i lang tid etter at data er samlet inn kan by på problemer av forskjellig art Helseforskningsloven åpner derfor for at REK kan gi dispensasjon fra taushetsplikten til forskningsprosjekt Det er ikke uvanlig at det gis slik dispensasjon Å be om samtykke når opplysningene innhentes slik det gjøres ved bruk av bredt samtykke i kombinerte kvalitets og forskningsregistre må kunne karakteriseres som et langt bedre personvern enn at det gis dispensasjon i ettertid Resultatet av en for streng tolkning av kravet til fornying av samtykke vil trolig føre til at det ikke lenger blir aktuelt å benytte bredt samtykke for å inkludere barn under 16 år Dette kan man gjøre ved at registre der også barn registreres opprettes som lokale kvalitetsregistre Så søker man REK om dispensasjon fra taushetsplikten når det blir aktuelt å forske på opplysningene Innhenting av nytt aktivt samtykke for spesielt de store nasjonale registrene er en svært omfattende jobb men også for lokale registre kan det være omfattende Dette sammen med faren for frafall og dermed en vesentlig reduksjon av registrenes kvalitet og dermed mulighet for feilaktige forskningsresultat og pasientbehandling vil etter stor sannsynlighet føre til at helsesektoren vil arbeide aktivt for å få fjernet kravet om samtykke for slike registre med den begrunnelse at dette går på helsetjenesten og pasientsikkerheten løs Å fjerne samtykkekravet kan personvernombudet ikke se er godt personvern Det er tross alt gitt et aktivt samtykke til registreringen av pasientopplysningene og pasienten vil ved fylte 16 år få ny informasjon og mulighet for a trekke seg eller gjøre bruk av andre rettigheter innsyn osv Datatilsynet har i det siste i flere saker hevdet at de ikke har kompetanse til å opprette registre uten samtykke når disse ikke er tidsavgrenset Det må da vedtas forskrift for oppretting av slike registre slik det er gjort for de virkelig store registrene Hjerte kar NPR osv Her blir det forskriftsfestet at data skal samles inn og utleveres til de nasjonale registrene uten samtykke Forskriften hjemler da innsamling og utlevering Bruk av passivt samtykke bør kunne benyttes i registre der pasienten ikke lenger har en aktiv tilknytning til sykehuset slik tilfellet er for mange pasienter som er registrert i nyrebiopsiregisteret For pasienter som har et aktivt forhold til sykehuset vil kravet om nytt aktivt samtykke fortsatt kunne håndheves Det vises til det nasjonale Leppe kjeve ganespalteregisteret der behandlingsteamene bestemte seg for å flytte et behandlingstidspunkt fra 15 til 16 år nettopp for å sikre innhenting av nytt samtykke Videre viser Helse Bergen til Datatilsynets anledning til å kunne innvilge konsesjon i samsvar med personopplysningsloven 9 tredje ledd 5 Datatilsynets vurdering Datatilsynet finner at sakens uenighet er knyttet til spørsmålet om kravene til samtykker fra de registrerte er oppfylt og eventuelt om det finnes alternativt behandlingsgrunnlag for å kunne registrere data i Nyrebiopsiregisteret uten å innhente nye samtykker fra de registrerte når de fyller 16 år Datatilsynet har ikke bestridt samfunnsnytten registreringen av opplysninger i Norsk Nyrebiopsiregister har Datatilsynet fastholder konklusjonen om at kravene til gyldige samtykker som følger av helseregisterloven 2 nr 11 ikke er oppfylt gjennom den løsningen Helse Bergen HF foreslår ved at det ikke skal innhentes nye samtykker fra de registrerte i Nyrebiopsiregisteret når de fyller 16 år Om samtykke som behandlingsgrunnlag Helseregisterloven 2 nr 11 definerer samtykke som en frivillig uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv Det er utvilsomt at foresatte kan samtykke på vegne av sine barn i den grad de selv ikke har samtykkekompetanse I henhold til personopplysningslovens 2 nr 7 jf lov om vergemål 2 er hovedregelen at bare myndige personer kan avgi et gyldig samtykke Det vil si personer som har fylt 18 år Utgangspunktet etter personopplysningsloven 2 nr 7 er at foreldre har samtykkekompetanse på vegne av sine barn i kraft av foreldreansvaret Dette følger av Ot prp nr 92 side 103 hvor følgende er uttalt om definisjonen av samtykke i personopplysningsloven 2 nr 7 Samtykke må i utgangspunktet gis av den registrerte selv For mindreårige og umyndiggjorte som ikke kan samtykke selv må spørsmålet om samtykke skal gis vurderes av vergen Datatilsynet legger til grunn at de samme vurderingene gjelder ved tolkningen av helseregisterloven 2 nr 11 Helseregisterloven inneholder ingen særskilte regler om behandling av mindreåriges personopplysninger og må derfor suppleres av barnelova og annen spesiallovgivning Det følger av barnelova 30 første ledd annet punktum at de som har forelderansvaret har rett og plikt til å ta avgjørelser for barnet i personlige forhold Dette omfatter i utgangspunktet også samtykke til behandling av personopplysninger Foreldrenes bestemmelsesrett overfor barna er imidlertid ikke absolutt For det første nevnes den generelle begrensning i at foreldreansvaret må utøves ut fra barnets interesser og behov For det andre nevnes at foreldreansvaret må begrenses ut fra barnets medbestemmelsesrett og barnets selvbestemmelsesrett jf barnelova 31 og 33 For det tredje nevnes at foreldreansvaret kan være begrenset med hjemmel i lov Datatilsynet har i praksis lagt til grunn at personer under 18 år kan avgi et gyldig samtykke for behandling av personopplysninger Det er særlig barnelova 33 som vil kunne føre til at foreldrenes bestemmelsesrett bortfaller før barnet har fylt 18 år Det vil si at barnet kan få selvbestemmelsesrett før det fyller 18 år også på andre områder enn de som er direkte lovregulerte I praksis vil spørsmålet om samtykkekompetanse bero på en konkret vurdering av behandlingens art og omfang og sakens kompleksitet for øvrig Det må kunne forutsettes av barnet er i stand til å vurdere konsekvensene av å avgi et samtykke herunder tilegne seg nødvendig informasjon Barnets alder og modenhet må vurderes i forhold til behandlingens formål art og omfang samt opplysningenes innhold Barnelova 33 gir ikke noen klar anvisning på når barn kan oppnå selvbestemmelsesrett

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_07.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    når det gjelder retting og sletting Personopplysningsloven 27 og 28 åpner for unntak fra sletteforbudet i enkelte tilfeller Lovens 27 gir hjemmel for pålegg om retting eller sletting av mangelfulle opplysninger Etter personopplysningsloven 27 er den primære løsningen at mangelfulle eller uriktige opplysninger skal rettes eller suppleres med korrekte opplysninger jf bestemmelsens annet ledd Dersom tungtveiende personvernhensyn tilsier det kan Datatilsynet bestemme at opplysningene skal slettes eller sperres jf tredje ledd Kommunen anfører at de ikke er kjent med at det forekommer uriktige eller ufullstendige opplysninger om klager i saksdokumentene Kommunen mener dessuten at kravet om sletting er av så generell karakter at det er vanskelig å ta stilling til konkret hvilke opplysninger klager mener er uriktige Datatilsynets viser til at personopplysningsloven 27 regulerer retting av mangelfulle opplysninger Vilkåret for at personopplysninger skal anses som mangelfulle er at de er uriktige eller ufullstendige Datatilsynet har påpekt overfor klager at hennes henvendelse er av en for generell karakter og at det derfor er vanskelig å ta stilling til konkret hvilke opplysninger som hun mener er uriktige eller ufullstendige Ettersom klager ikke har kommet med presiseringer av hvilke opplysninger det gjelder har ikke Datatilsynet hatt grunnlag for å ta stilling til dette spørsmålet Klager refererer til dokumenter hvor hun mener det fremgår utsagn fra henne som hun aldri har uttalt Dette er ikke mulig å etterprøve og det foreligger ingen holdepunkter for Datatilsynet å kunne fastslå at opplysningene i barnevernjournalen er uriktige Det er heller ikke holdepunkter for å si at barnevernjournalen har en ensidig negativ fremstilling av klager Datatilsynet mener at det i denne saken er umulig å ta stilling til om det finnes uriktige eller ufullstendige opplysninger om klager og vilkåret i personopplysningsloven 27 første ledd om at personopplysninger må være mangelfulle er ikke oppfylt Kommunen har supplert saken med klagers innsigelser Dette innebærer at vedkommende som ser barnevernjournalen vil kunne gjøre seg kjent med klagers fremstilling av saken Dette er noe Personvernnemnda tidligere har vektlagt som et moment i retning av at retting i form av sletting ikke er nødvendig jf PVN 2003 04 I den saken stadfestes det at det er retting i form av supplering som er hovedregelen når det gjelder retting etter personopplysningsloven 27 Nemnda sier seg også enig i Datatilsynets praksis med å ha en relativt høy terskel for å fatte vedtak om sletting i barnevernjournal I samme sak er det vektlagt at gjennomføring av sletting vanskelig lar seg gjennomføre fordi opplysninger om klager finnes i en rekke dokumenter og er vanskelig å skille fra andre relevante opplysninger Dette er tilfelle også i herværende sak Kommunen opplyser at bakgrunnen for at klager er omtalt i saksdokumentene i den aktuelle saken er at hun som barnas mormor deltok i møter mv over en lengre periode mens barneverntjenesten utredet omsorgssituasjonen for barna Kommunen opplyser at det er en omfattende mengde dokumenter i saken og at klager er omtalt i en rekke av disse som følge av sin valgte rolle som mors støttespiller Det er flere likheter mellom

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_06.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    vil med andre ord ikke anses nødvendig hvis opplysningene kan anonymiseres Det er opplyst i brev fra flere virksomheter at GE kun trenger anonyme opplysninger og at slike opplysninger faller utenfor personvernregelverket Datatilsynet bemerker at behandling av anonyme opplysninger ikke er omfattet av verken personopplysningsloven eller helseregisterloven Dette forutsetter imidlertid at det er tale om behandling av reelt anonyme opplysninger jf helseregisterloven 2 nr 3 Datatilsynet har i forbindelse med oppfølging av dette avviket ikke gått nærmere inn på en eventuell databehandlerrelasjon den enkelte virksomhet kan ha med GE Datatilsynet påpeker imidlertid at en eventuell inngåelse av en databehandlerrelasjon med GE må skje i henhold til regelverkets krav herunder de ovenfor nevnte bestemmelsene Det vises også til punktet nedenfor om helseregistre og behandling av helseopplysninger samt punktet nedenfor om overføring av helseopplysninger Lovvalgsspørsmål personopplysningsloven eller helseregisterloven Det rettslige utgangspunkt er at personopplysningsloven gjelder for all behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten jf personopplysningsloven 5 Dersom helseregisterloven får anvendelse vil den særskilt regulere behandling av helseopplysninger Helseregisterlovens saklige virkeområde er nedfelt i lovens 3 Loven er blant annet begrenset til å gjelde for behandling av helseopplysninger i helse og omsorgsforvaltningen og helse og omsorgstjenesten Det følger også av 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i 1 Etter Datatilsynets vurdering omfattes virksomheten og den uautoriserte utleveringen av opplysninger av helseregisterloven Dette fordi virksomheten er en del av helsetjenesten etter helseregisterloven 3 Datatilsynet mener også virksomheten i denne saken har behandlet helseopplysninger for å fremme formål som er beskrevet i lovens 1 Datatilsynet mener også det er utlevert helseopplysninger om pasientene Begrepet helseopplysning og konkret vurdering Generell vurdering av begrepet helseopplysning Definisjonen av helseopplysninger i helseregisterloven 2 nr 1 lyder taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold som kan knyttes til en enkeltperson Slik Datatilsynet tolker ordlyden i helseregisterloven 2 nr 1 er begrepet helseopplysning nokså vidtrekkende Begrepet er omtalt på følgende måte i Ot prp nr 5 1999 2000 helseregisterloven side 178 til 179 Taushetsbelagte helseopplysninger etter helsepersonelloven er opplysninger om folks legems eller sykdomsforhold eller andre personlige forhold som helsepersonell for vite om i egenskap av å være helsepersonell Alle pasientopplysninger dvs taushetsbelagte opplysninger i henhold til helsepersonelloven omfattes av gruppen helseopplysninger Langt de fleste helseopplysninger vil også være pasientopplysninger men det kan likevel tenkes helseopplysninger som ikke kan sies å være pasientopplysninger for eksempel fordi opplysningene ikke kan sies å være mottatt av helsepersonell i egenskap av å være helsepersonell Opplysning om helseforhold skal forstås på samme måte som i forslag til lov om behandling av personopplysninger 2 nr 8 bokstav c Det fremgår av merknadene til definisjonen i nevnte bestemmelse at uttrykket helseforhold omfatter opplysninger om en persons tidligere nåværende og fremtidige fysiske eller psykiske tilstand inkludert opplysninger om medisin og narkotikamisbruk Videre uttales at også opplysninger om sosiale forhold kan falle inn under helseforhold dersom de sosiale forholdende påvirker helsen Det vises også til Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Der legges det til grunn at alle opplysninger som nedtegnes i en pasientjournalen er helseopplysninger i helseregisterlovens forstand Det vises til følgende uttalelse Etter lov om helsepersonell 39 plikter helsepersonell å nedtegne eller registrere nærmere bestemte opplysninger anført i samme lov 40 Alle opplysningene som på denne bakgrunn nedtegnes i pasientjournalen er helseopplysninger i denne lovens forstand I Innst O nr 55 2007 2008 punkt 1 3 uttales følgende om forholdet mellom begrepet helseopplysning i helseforskningsloven og helseregisterloven Når det gjelder helseopplysninger så er det foreslått at disse gis tilsvarende virkeområde som helseregisterloven I NOU 2005 1 punkt 4 4 3 er følgende uttalt om begrepet helseopplysninger Helseopplysning omfatter objektive data som for eksempel høyde vekt medikamentbruk tidligere sykdommer inkludert sykdommer hos slektninger og familiesituasjon og mer subjektive utsagn som for eksempel opplevd helsetilstand og dens påvirkning på dagliglivets aktiviteter Kvinner vil ofte etterlate seg flere og mer sensitive helseopplysninger enn menn for eksempel ved helsekontroller Datatilsynet peker også på at etterarbeider har en viss vekt i vurderingen av begrepet helseopplysning Det vises i den forbindelse til Helse og omsorgsdepartementets brev av 27 august 2010 på side 1 til 2 Der beskriver departementet først at det flere steder i helseforskningslovens lovforarbeider er forutsatt at definisjonen helseopplysninger skal gjelde tilsvarende helseregisterlovens definisjon Departementet skriver deretter følgende Det er viktig å merke seg at en og samme opplysning kan være personopplysning dvs opplysning og vurdering som kan knyttes til en enkeltperson uten at det knyttes til helseforhold i en sammenheng og helseopplysning i en annen sammenheng Dette gjelder for eksempel opplysninger som er innsamlet for andre samfunnsformål enn helse men som på et senere tidspunkt er inntatt i et helseforskningsprosjekt Etter departementets oppfatning er det derfor også av betydning for om en opplysning omfattes av begrepet helseopplysning er hvilket formål opplysningene er samlet inn for og hvem som er databehandlingsansvarlig for opplysningene Slik Datatilsynet forstår uttalelsene fra departementet vurderes de at en og samme opplysning kan være en personopplysning i en sammenheng uten at den kan knyttes til helseforhold men helseopplysning i en annen sammenheng Videre at formålet opplysningene er innsamlet for og hvem som er databehandlingsansvarlig er av betydning for om en opplysning omfattes av begrepet helseopplysning Datatilsynet deler departementets vurdering av at formålet og hvem som er databehandlingsansvarlig er relevant i vurderingen av begrepet helseopplysning Datatilsynet mener at opplysninger som er innsamlet i et helseregister og derfor er innenfor helseregisterlovens saklige virkeområde normalt må anses som helseopplysninger Etter Datatilsynets vurdering trekker formålet med innsamlingen av opplysningene samt at behandlingen foretas av en databehandlingsansvarlig i helse og omsorgsforvaltningen eller helse og omsorgstjenesten i denne retning Det vises til helseregisterloven 3 og 1 Spesielt når opplysningene er innsamlet til et behandlingsrettet helseregister i forbindelse med at det ytes helsehjelp for eksempel gjennom helsekontroller og screeningsundersøkelser jf også ovenfor nevnte uttalelse i Ot prp nr 5 1999 2000 helseregisterloven punkt 7 2 1 3 Datatilsynet mener også at konsekvens og harmoniseringshensyn trekker i samme retning Datatilsynet peker for eksempel på at en for snever tolking av begrepet helseopplysning innebærer at deler av opplysningene i et helseregister herunder behandlingsrettede helseregistre blir regulert av de alminnelige bestemmelsene i personopplysningsloven Dersom personopplysningsloven regulerer deler av opplysningene i et behandlingsrettet helseregister vil dette få både rettslige og praktiske konsekvenser For eksempel for mulighetene til samhandling av opplysninger med hjemmel i helseregisterloven med forskrifter Det vises blant annet til forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Det vises også til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Konkret vurdering av begrepet helseopplysning for denne saken Etter Datatilsynets vurdering er opplysninger om fødselsnummer vekt og at det er gjennomført MR undersøkelse å anse som helseopplysninger Datatilsynet peker at ordlydsforståelsen av begrepet helseopplysninger er vidtrekkende og mener disse opplysningene er omfattet av begrepet Datatilsynet mener en slik ordlydsforståelse også har støtte i lovens forarbeider og etterarbeider Det vises også spesielt til NOU 2005 1 punkt 4 4 3 Tilsynet mener i tillegg at konsekvens og harmoniseringshensyn trekker i samme retning Slik Datatilsynet leser brevet fra Diakonhjemmet klages det ikke på pålegg om informasjon til den gruppen pasienter det er utlevert kliniske opplysninger om Om informasjonsplikt Informasjon om hvilke personopplysninger som behandles om en og andre forhold rundt behandlingen er viktige forutsetninger for at den registrerte skal kunne utøve kontroll over egne personopplysninger kreve innsyn og eventuelt retting og sletting Den databehandlingsansvarlige skal derfor av eget tiltak informere den registrerte om visse forhold bestemmelsens nr 1 til 5 når det samles inn opplysninger fra den registrerte jf helseregisterloven 23 Det følger av ordlydsforståelsen av begrepet at omfatter både direkte og mer indirekte innsamling av opplysninger fra den registrerte At begrepet samler inn fra den registrerte selv skal forstås på en slik måte følger også av lovforarbeidene til bestemmelsen jf Ot prp nr 5 1999 2000 helseregisterloven side 199 Der står blant annet følgende Uttrykket samler inn opplysninger fra den registrerte omfatter både muntlige og skriftlige henvendelser Langt de fleste helseopplysninger blir samlet inn av helsepersonell i tilknytning til at personer pasienter henvender seg til helsetjenesten for undersøkelse behandling etc Det sentrale i denne sammenheng er det som står senere på samme side i lovforarbeidene Helseopplysninger kan også samles inn ved at helseforvaltningen eller helsetjenesten gjennomfører ulike screeningsundersøkelser helseundersøkelser spørreundersøkelser etc Etter Datatilsynets vurdering er det innsamlet helseopplysninger fra den registrerte selv gjennom screeningundersøkelse og helseundersøkelser av de registrerte pasienter Informasjonsplikten etter helseregisterloven 23 gjelder derfor ved innsamlingen av disse opplysningene fra de registrerte Unntak fra denne informasjonsplikten følger av helseregisterloven 23 annet ledd og helseregisterloven 25 Datatilsynet peker på at unntaket i helseregisterloven 23 siste ledd ikke kommer til anvendelse Det følger av sakens opplysninger at det ikke er på det rene at de registrerte allerede kjenner til opplysningene i helseregisterloven 23 første ledd Datatilsynet kan heller ikke se at unntak fra informasjonsplikten i helseregisterloven 25 kommer til anvendelse Datatilsynet ser at praktiske hensyn taler mot å informere de registrerte individuelt om den uautoriserte utleveringen Datatilsynet peker imidlertid på at det ikke foreligger unntak fra informasjonsplikten i helseregisterloven 23 annet ledd og 25 ut fra praktiske hensyn Datatilsynet kan ikke se at unntaket i helseregisterloven 25 nr 3 kommer til anvendelse Der fremgår det at informasjonsplikten ikke omfatter opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær Det følger av ordlyden utilrådelig at det er et strengt krav Datatilsynet kan ikke se at det er utilrådelig i informere de registrerte pasientene i denne saken Unntak fra informasjonsplikten etter helseregisterloven 24 annet ledd nr 2 gjelder ikke for helseregisterloven 23 Helseregisterloven 24 annet ledd nr 2 gjør unntak fra informasjonsplikten dersom varsling er umulig eller uforholdsmessig vanskelig Om varsling anses uforholdsmessig må avgjøres etter en konkret vurdering av om den registrerte har nytte av å bli varslet vurdert opp mot de ressurser det vil kreve Datatilsynet går nedenfor nærmere inn på vurdering av adgangen til å gi pålegg om informasjonsplikt Om sakene Diakonhjemmet har vist til Diakonhjemmet har vist til to saker hvor Datatilsynet ikke har gitt pålegg om å informere de registrerte Datatilsynet påpeker at pålegg om informasjonsplikt til de registrerte vurderes konkret i hver enkelt sak ut fra sitt konkrete saksforhold Dette gjelder både saker etter personopplysningsloven og helseregisterloven Etter Datatilsynet vurdering skiller saksforholdene i de nevnte sakene seg vesentlig fra denne saken Denne saken dreier seg om pålegg om informasjon etter helseregisterloven 32 i en sak om uautorisert utlevering av helseopplysninger til en teknisk leverandør i USA Datatilsynet viser også spesielt til de konkrete vurderingene nedenfor om adgang til å gi pålegg og pålegg om informasjonsplikt Datatilsynet kan derfor ikke se at de nevnte sakene kan ha nevneverdig vekt i retning mot pålegg i denne saken Om helseregistre og behandling av helseopplysninger Helseregisterloven hjemler forskjellige typer helseregistre etter deres administrative og juridiske forankring Det vil si avhengig av om de er forankret i en sentral enhet en regional eller lokal enhet og om de er basert på samtykke eller et annet rettslig grunnlag Behandlingsrettede helseregistre er en type helseregister Etter helseregisterloven 5 første ledd første punktum kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33 helseforskningsloven eller behandlingen følger av annen lov Behandling av helseopplysninger i behandlingsrettede helseregistre vil normalt ha hjemmel i helseregisterloven 5 første ledd jf helsepersonelloven 39 og 40 jf journalforskriften Den uautoriserte uthentingen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i helseregisterloven 5 Et spørsmål som ikke er vurdert nærmere i denne saken er i hvilken grad helsepersonelloven kan utgjøre hjemmelsgrunnlag for overføring av helseopplysninger til USA jf helseregisterloven 5 første ledd Dette må også vurderes opp mot helsepersonelloven 2 om virkeområde Dersom overføringen og behandlingen av helseopplysninger i USA ikke har hjemmel i lov etter helseregisterloven 5 er alternativet konsesjon fra Datatilsynet Om overføring av helseopplysninger Helseregisterloven har ikke bestemmelser om overføring av helseopplysninger til utlandet Derfor gjelder personopplysningsloven kapittel V utfyllende jf helseregisterloven 36 Den uautoriserte overføringen av helseopplysninger til en teknisk leverandør i USA har ikke hjemmel i personopplysningsloven 30 første ledd og faller også utenfor personopplysningsloven 29 Et annet spørsmål som ikke er vurdert nærmere i denne saken er forholdet til regler om overføring av helseopplysninger til USA For eksempel om en planlagt overføring av helseopplysningene til GE som databehandler kunne vært omfattet av Safe Harbor avtalen eller om den måtte vært forhåndsgodkjent av Datatilsynet etter personopplysningsloven 30 annet ledd GE Healthcare Medical Diagnostic er oppført på Safe Harbor listen Et spørsmål er om denne sertifiseringen også omfatter GE Healthcare Systems Datatilsynet legger ved et varsel om vedtak i en søknad om overføring av helseopplysninger til USA Det vises til vedlagt dokument 12 00526 2 og spesielt til vurderingen av krav til informasjon til de registrerte ved slike overføringer Om Datatilsynets adgang til å gi pålegg og pålegg om informasjonsplikt Det følger av helseregisterloven 32 at Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne lov skal opphøre eller stille vilkår som må oppfylles for at behandlingen av helseopplysninger skal være i samsvar med loven Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det loven eller forskriften gir adgang til Datatilsynet kan bare sette vilkår som bringer behandlingen av helseopplysninger innenfor lovens ramme Datatilsynet har knyttet pålegget etter helseregisterloven 32 opp mot å bringe utleveringen av helseopplysninger i samsvar med informasjonsplikten etter helseregisterloven 23 Datatilsynet fremhever at dersom helseopplysningene lovlig skulle vært utlevert til en teknisk leverandør som ikke er databehandler ville informasjonsplikten etter helseregisterloven 23 gjort seg gjeldende jf bestemmelsens første ledd nr 3 Datatilsynet påpeker dessuten at informasjon om utlevering av helseopplysninger ikke bare er en personverninteresse men også en pasientinteresse Informasjonsplikt om utlevering av helseopplysninger er nedfelt i den alminnelige helselovgivningen se for eksempel pasient og brukerrettighetsloven 3 6 tredje ledd Bestemmelsen pålegger en individuell informasjonsplikt i tilfeller hvor det foreligger en lovbestemt opplysningsplikt om utlevering av taushetsbelagte opplysninger Datatilsynet mener det også er en viktig pasientinteresse å få individuell informasjon om uautoriserte utleveringer av helseopplysninger Datatilsynet påpeker også at hovedregelen om behandling av helseopplysninger er samtykke med mindre annet er bestemt i eller i medhold av lov jf helseregisterloven 5 tredje ledd Den uautoriserte utleveringen av helseopplysninger har ikke hjemmel i lov til å gjøre unntak fra hovedregelen om samtykke Etter Datatilsynet vurdering er dette et moment i en fra det mer til det mindre betraktning som tilsier at pålegg om informasjon er innenfor rammene av helseregisterloven 32 Datatilsynets kompetanse er begrenset ovenfor en teknisk leverandør i USA Tilsynet kompetanse er derfor også begrenset når det gjelder pålegg om sletting anonymisering av ulovlige utleverte helseopplysninger Datatilsynet mener dette forsterker personverninteressen pasientene har i å få individuell informasjon om de uautoriserte utleveringene Tilsynet fremhever også at det er opplyst at opplysningene ikke kan slettes etter amerikansk lovgivning Dette fordi det kan forekomme erstatningskrav Etter Datatilsynets vurdering er dette også et hensyn i retning av at individuell informasjonsplikt Det påpekes også at dersom pasientene de registrerte ikke blir informert om den uautoriserte utleveringen av helseopplysninger kan de heller ikke foreta en vurdering av om det er grunn til å kreve erstatning etter helseregisterloven 35 De sentrale hensynene som står imot hverandre i denne saken er personvern og pasientinteresser på den ene siden og praktiske hensyn på den andre siden Datatilsynet har i denne saken kommet til at det ligger klart innenfor tilsynets påleggskompetanse å vektlegge personvern og pasientinteresser tyngre enn de praktiske hensynene som taler imot informasjonsplikt Datatilsynet mener det ikke er stilt strengere vilkår enn det helseregisterloven 32 gir adgang til når det gjelder individuell informasjonsplikt 6 Personvernnemndas merknader Personvernnemnda har vurdert hjemmelsgrunnlaget for å pålegge sykehusene å informere de berørte identifiserte pasientene om hendelsen jf Datatilsynets påleggspunkt nr 3 i vedtaket Datatilsynet har anvendt helseregisterloven 23 som lyder 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte Når det samles inn helseopplysninger fra den registrerte selv skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om 1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant 2 formålet med behandlingen av helseopplysningene 3 opplysningene vil bli utlevert og eventuelt hvem som er mottaker 4 det er frivillig å gi fra seg helseopplysningene og 5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte som for eksempel informasjon om retten til å kreve innsyn jf 22 og retten til å kreve retting og sletting jf 26 og 28 Personopplysningsloven 19 har tilsvarende regulering Dette er en bestemmelse som pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn opplysninger fra den registrerte Orienteringen fra behandlingsansvarlig skal gis av eget tiltak og før registreringen finner sted Den registrerte skal få beskjed om hvorvidt opplysningene vil bli utlevert jf første ledd nr 3 og om eventuelt annet som gjør den registrerte i stand til å bruke rettighetene sine Aktuelle rettigheter er for eksempel den registrertes innsynsrett og adgangen til å få rettet eller slettet opplysninger jf første ledd nr 5 I denne saken var det ikke ment å skje noen utlevering Sykehusene skulle ikke utlevere slike opplysninger og GE skulle ikke behandle personopplysninger Sykehusene hadde således ingen foranledning til å informere den registrerte i samsvar med helseregisterlovens 23 om at det skulle skje en utlevering til GE GE samlet likevel inn data om pasientene Det er opplyst at GE ikke bevisst har kopiert personopplysninger om de registrerte men tilegnet seg slike automatisk under vedlikeholdsarbeid på apparatene Når opplysningene så er sendt til og lagret hos GE i USA er de utenfor norske myndigheters jurisdiksjon og GE kan ikke pålegges å slette dem Det er videre opplyst at GE ikke vil slette dem Spørsmålet er da om slik utilsiktet utlevering av helseopplysninger personopplysninger utløser en plikt for sykehusene til å varsle de registrerte om utleveringen Datatilsynet har lagt til grunn at det følger

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_05.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    ikke lenger kan hjemles i personopplysningsloven 8d og 9h slik det søkes om i søknad om forlengelse av konsesjonen Ombudet ber om at dette vurderes på nytt basert på de utfyllende opplysninger om rutiner for kobling og pseudonymisering som nå er gitt Selv om koblingen mot Reseptregisteret skal foretas etter 2015 synes det lite hensiktsmessig for forsker å skulle sende ny søknad om denne koblingen senere både fordi prosjektet allerede har fått konsesjon og REK har godkjent forlengelsen I tillegg må det vektlegges at etter at REK og Datatilsynet ga sine godkjenninger er det gjort ytterligere tiltak for å ivareta personvernet ved at deltakerne i HUNT2 har fått informasjon om at HUNT2 data også kan kobles mot Reseptregisteret Deltakerne har også fått opplysning om reservasjonsretten Informasjonen som er en del av en større informasjonspakke knyttet til HUNT2 og HUNT3 bidrar til å styrke personvernet og redusere eventuelle personvernulemper knyttet til behandlingen Personvernulempene ved den planlagte behandlingen er minimal 5 Datatilsynets vurdering 5 1 Nærmere om det rettslige utgangspunktet for vedtaket Etter reseptregisterforskriften 5 3 er adgangen til å sammenstille opplysninger fra Reseptregisteret med andre helseopplysninger begrenset I bestemmelsens første ledd angis uttømmende de helseregistre som det er gitt adgang til å koble mot Reseptregisteret I bestemmelsens første ledd siste punktum fastslås at sammenstillingen må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene Reseptregisterforskriftens 5 3 andre ledd åpner for at en sammenstilling av opplysninger som ikke oppfyller vilkårene i første ledd kan tillates etter personopplysningsloven 9 og 33 jf helseregisterloven 12 altså ved konsesjon fra Datatilsynet Reseptregisteret er etablert som et pseudonymt helseregister jf helseregisterloven 8 annet ledd I informasjonen som er gitt til befolkningen om Reseptregisteret heter det at lagrede reseptopplysninger ikke skal kunne tilbakeføres til legemiddelbruker Kjernen i dette er at ingen andre enn pasienten skal ha tilgang til både pseudonym identitet og helseopplysning samtidig Reseptregisterforskriften 4 1 oppstiller rettslig et reverseringsforbud Dette innebærer at det er ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register Reverseringsforbudet er imidlertid ikke til hinder for at pseudonyme registre kan sammenstilles forutsatt at dette skjer i tråd med reglene for pseudonyme registre Det vises til HODs rundskriv I 8 2005 Pseudonyme helseregistre Datatilsynet har gjennom sin praksis tillatt koblinger av data fra Reseptregisteret som reelt sett oppfyller forskriftens krav til pseudonymitet Alle sammenstillinger med reseptregisterdata må utføres ved Reseptregisteret Pseudonymiseringen skjer i en lukket prosess som driftes av SSB som er pålagt å være tiltrodd pseudonymforvalter TPF for Reseptregisteret Koblinger som ikke anses pseudonyme tillates kun dersom det foreligger samtykke fra de registrerte Tilsynet har tillatt samtykkebaserte koblinger fordi den enkelte registrerte i disse tilfellene gis anledning til å vurdere deltakelse selv Datatilsynet har ved samtykkebaserte koblinger med data fra Reseptregisteret stilt krav om at det eksplisitt er samtykket til koblingene Det anses ikke tilstrekkelig at det er avgitt et generelt samtykke for eksempel til andre helseregistre Begrunnelsen for dette strenge kravet er blant annet den informasjonen som er gitt til norske borgere om registeret Datatilsynet vurderer også at opplysningene i registeret er av en slik karakter at det er behov for høy grad av beskyttelse Datatilsynet har følgelig i praksis to muligheter til å godkjenne koblinger til data i Reseptregisteret a samtykke fra de registrerte b kravene til pseudonymitet er ivaretatt Datatilsynet sendte den 16 august 2007 et brev til Helse og omsorgsdepartementet hvor tilsynets praksis ble presentert og det ble bedt om departementets syn på denne praksisen Tilsynet har sendt flere purringer til departementet men har foreløpig ikke mottatt svar 5 2 Datatilsynets vurdering Som nevnt mener Datatilsynet å ha to muligheter til å godkjenne koblinger til data i Reseptregisteret samtykke fra de registrerte eller kravene til pseudonymitet er ivaretatt Det er enighet om at det samtykket som er gitt av deltakerne i HUNT 2 ikke tilfredsstiller kravene til et gyldig samtykke etter helseregisterloven 2 nr 11 Dette fordi Reseptregisteret ikke er positivt nevnt som et register det kan være aktuelt å koble helseopplysningene til Datatilsynet er oppmerksomme på at Reseptregisteret ikke var opprettet på den tiden HUNT 2 ble gjennomført Datatilsynet vurderer imidlertid at dette ikke kan tillegges avgjørende vekt da det har vært mulig å innhente spesifikke samtykker i ettertid fra disse deltakerne Tilsynet ser for eksempel at dette kunne vært gjort ved gjennomføringen av HUNT 3 som inkluderer mange av de samme deltakerne som HUNT 2 Tilsynet presiserer også at koblingen vil kunne godkjennes dersom den gjennomføres på en slik mate at den samsvarer med kravene til pseudonymitet Koblingsrutinene er ikke utfyllende beskrevet i søknaden Slik saken fremstår for Datatilsynet ser det imidlertid ikke ut til at koblingene i prosjektet tilfredsstiller kravene til pseudonymitet Det opplyses at koblingsnøkkel mellom prosjektspesifikke ID og personopplysninger oppbevares hos HUNT forskningssenter Dette er ikke i tråd med kravene som stilles Datatilsynet har fast praksis for at konsesjoner gitt til sammenstilling av Reseptregisteret med andre helseopplysninger enten må være basert på samtykke eller oppfylle kravene til pseudonymitet Noen unntak har forekommet men da etter konkrete helhetsvurderinger Når Datatilsynet valgte å fravike sin praksis i saken som denne klagen springer ut av var det på bakgrunn av en helhetsvurdering hvor det ble lagt avgjørende vekt på prosjektets korte varighet mai 2009 mars 2012 Det ble presisert at forlengelse av konsesjonen ikke kunne påregnes Når prosjektet til tross for dette blir søkt forlenget flere måneder etter at konsesjonen er gått ut er hovedforutsetningen for å fravike praksis ikke lengre tilstede Klager viser til at vilkåret satt i sak 12 00536 om informasjon og reservasjonsmulighet for HUNT 2 deltakerne er oppfylt og således bør få vekt i denne saken Datatilsynet har mottatt informasjonsskrivet som er sendt ut og kan ikke se at dette oppfyller vilkåret om informasjon og reservasjonsrett som er stilt i saken 12 00536 En reservasjonsrett omtales i informasjonsskrivet men er knyttet opp mot reservasjon mot at biologisk materiale blir sendt til USA og EU og gjenbrukt av forskere der Mottakerne av skrivet informeres riktignok om muligheten for at deres helseopplysninger kan bli koblet

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_04.htm (2014-09-28)
    Open archived version from archive