Personvernnemndas avgjørelse av 23. mai 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på forutsetning om oppfyllelse av informasjonsplikt i konsesjonsvedtak.
2 Saksgang
Datatilsynet mottok 31. oktober 2014 en søknad fra Sykehuset i Østfold om konsesjon for behandling av helseopplysninger i forbindelse med en kvalitetssikringsstudie.
Vedtak om konsesjon ble fattet 4. februar 2015. I konsesjonsvedtaket er unntak fra informasjonsplikten vurdert, men konklusjonen ble at vilkårene for unntak fra informasjonsplikt ikke var oppfylt. Konsesjonen gjelder følgelig under forutsetning av at informasjonsplikten oppfylles overfor de registrerte i studien.
I epost av 13. februar 2015 anmodet NSD, på vegne av Sykehuset i Østfold, om utsettelse av klagefristen. Datatilsynet ga utsatt klagefrist til 1. april 2015. Datatilsynet mottok den 8. april 2015 klage fra Sykehuset Østfold på konsesjonens forutsetning om at informasjonsplikten overfor de registrerte i kvalitetsstudien skal oppfylles. Klagen er datert 24. mars 2015.
Saken ble oversendt Personvernnemnda 2. juli 2015, som mottok saken 3. august 2015. Både Sykehuset i Østfold og Norsk samfunnsvitenskapelig datatjeneste AS ble orientert om dette i brev fra nemnda datert 3. august 2015, med frist til uttalelse innen 1. september 2015. Ingen har kommentert saken innen fristen.
3 Faktum
Søknaden fra Sykehuset i Østfold gjelder konsesjon for behandling av helseopplysninger i forbindelse med gjennomføring av en kvalitetsstudie på tvers av virksomheter. Formålet med studien er å kartlegge forekomsten av venøs trombose (blodpropp i samleårene) hos pasienter som har fått innsatt primær hofte- eller kneprotese ved Sykehuset Østfold de siste årene, og identifisere hva slags tromboseprofylaksestrategi som er brukt.
I studien skal helseopplysninger fra Nasjonalt register for leddproteser (NRL) og Norsk pasientregister (NPR) kobles med helseopplysninger i elektronisk pasientjournal.
Utvalget består av alle pasienter registrert ved innsettelse av primær hofte- eller kneprotese ved Sykehuset Østfold i perioden 2008-2014. Dette utgjør ca. 3000 personer.
Søknaden beskriver innhentingen av helseopplysninger i tre trinn:
- Identifisering av studiepopulasjonen, og utlevering av helseopplysninger om disse fra NRL til Sykehuset i Østfold.
- Utlevering av helseopplysninger til NPR, søk i NPR for å finne pasientene i studiepopulasjonen med tilfeller av dyp venetrombose eller lungeemboli innen 12 uker postoperativt, samt utlevering av helseopplysninger fra NPR til Sykehuset i Østfold.
- Sykehuset i Østfolds gjennomgang av pasientjournalene til utvalget for å verifisere diagnoser.
Med hensyn til informasjonsplikt er det trinn l som er problematisert. Spørsmålet er om Sykehuset i Østfold har plikt til å informere utvalget i studien om at helseforetaket innhenter helseopplysninger fra NRL for gjennomføring av dette prosjektet.
Sykehuset i Østfold har søkt om konsesjon for behandling av helseopplysninger dels på basis av samtykke og dels på basis av personopplysningsloven §§ 8 d og 9 h. Det er opplyst om at samtykkene gitt for deltakelse i NRL etter 2011 er dekkende for behandlingen av helseopplysninger i prosjektet, mens samtykkene avgitt før 2011 ikke er dekkende.
Søknaden inneholdt kun samtykkeskjemaet som har vært i bruk etter 2011. Datatilsynet har innhentet de to samtykkeskjemaene som var i bruk før 2011. Disse er fra henholdsvis 2003 og 2004.
Det er ikke planlagt oppfyllelse av informasjonsplikten i henhold til helseregisterloven § 24, jf personopplysningsloven §§ 18 flg. Det er anført at personopplysningsloven § 20 andre ledd bokstav b hjemler unntak fra informasjonsplikten.
Datatilsynet har kommet til at behandling av helseopplysninger i prosjektet har rettslig grunnlag i personopplysningsloven §§ 8 d og 9 h. Det er følgelig kun informasjonsplikten som er gjenstand for klage. Datatilsynet fattet følgende vedtak vedrørende informasjonsplikten:
Det forutsettes videre at Sykehuset i Østfold informerer alle pasientene som inngår i studien i henhold til etter (sic) helseregisterloven § 24, jf personopplysningsloven §§ 18 flg. Informasjonen skal være individuell (sendes hver enkelt) og blant annet inneholde informasjon om hvilke opplysninger som er innhentet, hvor de er innhentet fra, hvem som har tilgang til opplysningene og hvor lenge de skal lagres.
4 Klagers anførsler
Sykehuset i Østfold anfører prinsipalt at varsling er umulig eller uforholdsmessig vanskelig, jf personopplysningsloven § 20 b.
Sykehuset i Østfold anfører at personvernulempen for de registrerte, ved ikke å få informasjon om den aktuelle behandlingen av helseopplysninger, er liten. Personvernulempen anses liten fordi prosjektet har kort varighet og resultatene kan dessuten være til direkte nytte for pasientgruppen.
Det anføres at kravet om individuell informasjon er uforholdsmessig byrdefylt for Sykehuset i Østfold sammenlignet med at personvernulempen er liten. Selv om det er praktisk mulig å gi individuell informasjon til de registrerte mener Sykehuset i Østfold at ressursbruken knyttet til dette ikke står i forhold til personvernulempen. På denne bakgrunn mener Sykehuset i Østfold at det etter en konkret helhetsvurdering av prosjektet er uforholdsmessig vanskelig å informere de registrerte.
Sykehuset i Østfold anfører subsidiært at kvalitetssikringsstudier med hjemmel i helsepersonelloven § 26 kan unntas varslingsplikten i medhold av personopplysningsloven § 20 bokstav a. Dette prosjektet er å anse som kvalitetssikring på tvers av institusjoner.
Endelig anfører Sykehuset i Østfold at oppfyllelse av informasjonsplikten vil bety en større personvernulempe for de registrerte enn gjennomføring av prosjektet slik det var planlagt. Grunnen til dette er at prosjektledelsen for å kunne sende ut informasjon til de registrerte må innhente navn og adresser. Dette er informasjon som prosjektet i utgangspunktet ikke skulle behandle.
5 Datatilsynets vurdering
Spørsmålet i saken er om vilkår for unntak fra informasjonsplikten i personopplysningsloven § 20 andre ledd bokstav b, bokstav a eller bokstav c er oppfylt.
Helseregisterloven § 24 fastslår at den enkeltes rett til informasjon om og hvor helseopplysninger behandles følger av personopplysningsloven §§ 18 flg.
Unntak fra retten til informasjon følger av personopplysningsloven § 23, samt § 20 andre ledd. Klager anført personopplysningsloven § 20 andre ledd bokstav b og bokstav a som unntak som får anvendelse i saken. På bakgrunn av argumentasjon tidligere i sakens behandling har tilsynet dessuten gjort en vurdering av om unntaket i personopplysningsloven § 20 andre ledd bokstav c kan komme til anvendelse.
Prinsipalt har klager anført personopplysningsloven § 20 andre ledd bokstav b som unntak fra informasjonsplikten. Varsel til den registrerte er etter denne bestemmelsen ikke påkrevd dersom varsling er umulig eller «uforholdsmessig vanskelig». Avgjørelsen av om varsling er «uforholdsmessig vanskelig» må gjøres på bakgrunn av en avveining mellom den registrertes nytte av å bli varslet og hvilke ressurser den behandlingsansvarlige må bruke for å gjennomføre varslingen.
Personopplysningsloven § 20 andre ledd bokstav b er et snevert unntak. Personvernnemnda har i saken PVN-2009-07 fastslått at det ikke kan anses «umulig eller uforholdsmessig vanskelig» å sende brev til 3200 personer. I denne saken er utvalget estimert til 3000 personer.
Tilsynet kan ikke se at det er kommet frem momenter som tyder på at det er mer byrdefullt for databehandlingsansvarlig i denne saken å informere enn i saken som ble avgjort av Personvernnemnda i 2009. Tretusen pasienter må følgelig være et overkommelig antall registrerte å informere.
Subsidiært har Sykehuset i Østfold anført personopplysningsloven § 20 andre ledd bokstav a som unntak for informasjonsplikten. Sykehuset i Østfold anfører at kvalitetssikringsstudier med hjemmel i helsepersonelloven § 26 kan unntas varslingsplikten i medhold av personopplysningsloven § 20 andre ledd bokstav a, og at den aktuelle studien er å anse som kvalitetssikring på tvers av institusjoner.
Varsel til den registrerte er etter personopplysningsloven § 20 andre ledd bokstav a ikke påkrevd dersom innsamlingen av opplysningene er uttrykkelig hjemlet i lov. Unntaket er snevert og ifølge forarbeidene til loven gir den anvisning på lovhjemler som i seg selv er tilstrekkelig varsel. Lovbestemmelser som pålegger oppgaver som forutsetter innsamling av opplysninger, men hvor selve innsamlingen ikke er regulert, omfattes ikke av unntaket.
Avgjørelsen av om innsamlingen er lovhjemlet må gjøres på bakgrunn av en ordlydsfortolking av den bestemmelsen som anføres som hjemmel.
Helsepersonelloven § 26 åpner for at den som yter helsehjelp kan gi helseopplysninger til virksomhetens ledelse uten hinder av taushetsplikt når dette er nødvendig for internkontroll og kvalitetssikring av helsetjenesten. Datatilsynet er enig i at denne bestemmelsen er uttrykkelig nok til å oppfylle kravet om at bestemmelsen i seg selv kan være tilstrekkelig varsel. Dette gjelder imidlertid bare innenfor bestemmelsens formål og rekkevidde. En naturlig språklig forståelse av ordlyden virksomhetens ledelse tilsier at rammene for bruken av helseopplysningene er at de skal brukes for kvalitetssikring internt i virksomheten. Kvalitetssikring på tvers av virksomheter, som Sykehuset i Østfold anfører som formål, er derfor utenfor det denne bestemmelsen hjemler.
I medhold av ny pasientjournallov § 9 er det åpnet for en mulighet for utveksling av helseopplysninger mellom virksomheter som har inngått et samarbeid om behandlingsrettede helseregistre. Slik dette prosjektet er beskrevet kan tilsynet imidlertid ikke se at dette er en mulighet. Muligheten for utveksling av helseopplysninger er her begrenset til opplysninger i pasientjournal som virksomhetene samarbeider om. Kobling av opplysninger fra pasientjournal med opplysninger fra kvalitetsregistre vil falle utenfor.
Tilsynet har for øvrig vurdert hvorvidt unntaket fra informasjonsplikt i personopplysningsloven § 20 andre ledd bokstav c kan anvendes i denne saken. Denne bestemmelsen gjør unntak for varslingsplikten for de tilfeller hvor den registrerte allerede kjenner til den informasjonen som ellers skulle gis.
Pasientene har samtykket til deltakelse i NRL, og skal være informert om registerets formål og videre behandling av helseopplysninger. Dette kan isolert sett tale for at pasientene er informert.
Etter ordlyden er imidlertid terskelen for at dette unntaket skal komme til anvendelse høy. Det kreves at det skal være på det rene at den registrerte allerede kjenner til det et informasjonsskriv eventuelt ville inneholde. I forarbeidene er det trukket frem at dette unntaket er beregnet for behandlingsansvarlige som jevnlig innhenter opplysninger, og at det da vil være tilstrekkelig å gi den registrerte informasjon en gang.
Etter tilsynets vurdering er dette et unntak som må stå i samsvar med vurderingen av om informert samtykke på et tidspunkt er gitt eller ikke. Da tilsynet har konkludert med at kravene til informert samtykke ikke er oppfylt for utleveringen av helseopplysninger til Sykehuset i Østfold, kan heller ikke unntaket fra informasjonsplikt i personopplysningsloven § 20 andre ledd bokstav c komme til anvendelse.
Etter Datatilsynets vurdering er ikke vilkårene for at unntak fra informasjonsplikt oppfylt, og man faller dermed tilbake til hovedregelen om informasjonsplikt etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg.
Datatilsynet har vurdert klagers anførsler, men finner ikke grunnlag for å oppheve eller endre forutsetningene konsesjonen er basert på. Datatilsynet fastholder at Sykehuset i Østfold må oppfylle informasjonsplikten overfor de registrerte i kvalitetsstudien, jf helseregisterloven § 24, jf personopplysningsloven §§ 18 flg.
6 Personvernnemndas syn
I sitt konsesjonsvedtak har Datatilsynet forutsatt at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda skal her vurdere om det foreligger hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd:
Den registrerte har ikke krav på varsel etter første ledd dersom
- innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
- varsling er umulig eller uforholdsmessig vanskelig, eller
- det er på det rene at den registrerte allerede kjenner til informasjonen varslet skal inneholde.
Bokstavene a og c er ikke relevante i denne saken.
Når det gjelder bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig, vil nemnda vise til PVN-2009-07, hvor nemnda uttalte følgende:
I denne saken er det tale om 3200 personer. Klager har anført at dette er så mange at det blir svært ressurskrevende å tilskrive samtlige. Til dette skal nemnda bemerke at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, men bare når det gjelder de fås personvern. Dette er et prinsipielt poeng som nemnda vil fremheve fordi det anføres stadig oftere at det er «uforholdsmessig vanskelig» når det dreier seg om et større antall personer.
Nemnda er fortsatt av denne oppfatning. Det er ikke umulig eller uforholdsmessig vanskelig å informere disse ca 3000 pasientene.
Til klagers anførsel om at det vil være en større personvernulempe for de registrerte at man må innhente navn og adresser, vil nemnda vise til at utsendelsen av informasjon skal gjennomføres i tråd med minimumsprinsippet, jf helseregisterloven § 6 fjerde ledd første setning.
Til slutt vil nemnda vise til at de krav som personopplysningsloven § 23 f) oppstiller for å suspendere de registrertes rett til informasjon er meget strenge, og nemnda kan ikke se at det er påvist noen «åpenbare og grunnleggende» interesser som tilsier at pasientene i denne saken ikke skal motta slik informasjon som hovedregelen i § 20 forutsetter.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 23. mai 2016
Eva I E Jarbekk
Leder