Personvernnemndas vedtak 24. september 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Malin Tønseth)
Datatilsynets referanse: 23/00105-10
Saken gjelder klage fra A på Datatilsynets avgjørelse 9. oktober 2023 om å avslutte sak om innsyn i logg og brudd på personopplysningssikkerheten hos Nasjonalt klageorgan for helsetjenesten (Helseklage) uten å gi pålegg.
Sakens bakgrunn
A har hatt en sak til behandling hos Norsk Pasientskadeerstatning. Etter at saken var avsluttet der ba hun om innsyn i dokumentene i sin sak, samt innsyn i logg som viste oppslag i saken. Norsk Pasientskadeerstatning ga henne delvis innsyn. A var imidlertid kritisk til at loggen ikke viste om det var tatt utskrifter fra saksdokumentene, om dokumenter var kopiert og lagret andre steder eller om dokumenter var sendt på e-post. Hun var også kritisk til at loggen ikke viste hvor lenge det enkelte loggførte oppslaget varte. Bakgrunnen for at hun ønsket innsyn i hvor lenge oppslagene varte var at hun mistenkte at medlemmene i Pasientskadenemnda ikke hadde satt seg tilstrekkelig godt inn i hennes sak før de traff avgjørelse. Norsk Pasientskadeerstatning avslo ytterligere innsynskrav og opplyste at de ikke satt med slik informasjon.
A kontaktet Datatilsynet første gang 9. januar 2023 og varslet om uforsvarlig saksbehandling i Helseklage. Hun har etter dette sendt flere henvendelser. Hun mener manglende loggføring fratok henne muligheten for etterprøvbarhet av om nemndas medlemmer hadde lest dokumentene før de traff vedtak. Som vedlegg til klagen til Datatilsynet fulgte As varsel til Helse- og omsorgsdepartementet om saken.
Helse- og omsorgsdepartementet besvarte henvendelsen 26. juni 2023. Departementet fant ingen holdepunkter for at Helseklage ikke oppfyller kravene til informasjonssikkerhet, jf. personvernforordningen artikkel 32. Departementet viste til at Datatilsynet er tilsynsmyndighet på personvernområdet.
A kontaktet Helseklage 12. september 2023 og ba om innsyn i logg og korrespondanse i sin sak. Helseklage vurderte innsynskravet etter personvernforordningen artikkel 15 og innvilget 3. oktober 2023 A innsyn i logg. Innsynet omfattet dato for og formålet med oppslagene. Helseklage henviste til brev fra Helse- og omsorgsdepartementet 26. juni 2023 og avslo innsyn i identiteten til den eller de som hadde gjort oppslaget. Helseklage la til grunn at det forelå tjenstlig behov for samtlige oppslag i saken. Helseklage informerte A også om retten til å se dokumenter i saken sin etter forvaltningsloven.
I vedtak til A 14. november 2023 konkluderte Datatilsynet med at A hadde fått oppfylt sin rett til innsyn etter personvernforordningen artikkel 15 og at Helseklage ikke hadde brutt kravene til personopplysningssikkerhet i personvernforordningen artikkel 32. Datatilsynet fant ikke grunnlag for å gjøre ytterligere undersøkelser og avsluttet saken, jf. forordningen artikkel 57 nr. 1 bokstav f. Datatilsynet omtaler avgjørelsen som en beslutning, men opplyser at den kan påklages.
A klaget rettidig på Datatilsynets avslutning av saken i e-post 23. november 2023 og utdypet klagen ytterligere i e-post 11. januar 2024. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 2. april 2024. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i e-post og brev 28. april, 4. og 24. juli 2024.
Saken ble behandlet i nemndas møte 24. september 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Datatilsynets avgjørelse i korte trekk
Datatilsynet legger til grunn at Helseklage og nemndene Helseklage er sekretariat for organisatorisk sett er å anse som samme virksomhet. Det er Helseklage som er behandlingsansvarlig etter personvernforordningen.
Retten til innsyn i logg
Datatilsynet legger til grunn at en logg først og fremst er et verktøy for den behandlingsansvarlige og for tilsynsmyndigheten i vurderingen av om kravene til personopplysningssikkerhet er brutt. Logg over ansattes oppslag er som utgangspunkt ikke ment å være tilgjengelig for de registrerte.
Personvernforordningen artikkel 15 gir ikke rett til innsyn i logg. Dette understøttes av EU-domstolens dom i sak C-579/21 J.M vs. Pankki S.
Kravene til personopplysningssikkerhet
Når det gjelder ekstern lagring, lagring på minnepinne, eller bruk av e-post til å sende dokumenter, har den behandlingsansvarlige selv – ut fra ansvarlighetsprinsippet – plikt til å vurdere hvorvidt personopplysningssikkerheten er tilstrekkelig ivaretatt ved slike behandlinger.
Tilsynet kan ikke se at klagen gir indikasjon på at Helseklage har brutt kravene til personopplysningssikkerhet, jf. personvernforordningen artikkel 32.
Datatilsynets konklusjon
Datatilsynet kom til at As rett til innsyn hos Helseklage var oppfylt, jf. personvernforordningen artikkel 15. Videre konkluderte tilsynet med at Helseklage ikke har brutt kravene til personopplysningssikkerhet, jf. forordningen artikkel 32.
Datatilsynet opplyste at det ikke har funnet grunnlag for å gjøre ytterligere undersøkelser i saken, jf. artikkel 57 nr. 1 bokstav f, og avsluttet saken uten å gi noen pålegg.
I oversendelsesbrevet til nemnda 2. april 2024 omtaler Datatilsynet reglene om innsyn i logg over oppslag i pasientjournal, jf. pasientjournalloven § 18, jf. pasientjournalforskriften § 11 og § 14. Denne retten gjelder imidlertid kun for «behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner», jf. pasientjournalloven § 2. Pasientjournalloven gjelder altså ikke for saksbehandlingen hos Helseklage. Da er det de generelle reglene om innsyn etter personvernregelverket som gjelder.
As syn på saken i korte trekk
As klage gjelder to ulike saker som Datatilsynet har blandet sammen.
Sak 1 gjelder klage over at det ikke eksisterer en logg fra Pasientskadenemndas behandling av hennes sak. Det betyr at nemndsmedlemmene kan lese pasientjournaler uten at det blir registrert og kontrollert i forbindelse med innsyn. Manglende tilgangskontroll medfører at virksomheten ikke har iverksatt egnede tiltak for sikkerhetskontroll, slik normen krever. Datatilsynets svar på dette er ikke tilfredsstillende.
Sak 2 gjelder klage over at A ikke får tilgang til logg over hvem som har lest hennes pasientjournaler. Klagen ble innsendt på oppfordring ved kontakt med Datatilsynet. A fikk opplyst at EU-dom C-579/21 ikke ville være førende når det gjaldt innsyn i pasientjournaler, at opplysninger på Datatilsynets side fremdeles gjelder og at særlover vektes høyere. Dette er en rettighet A har ifølge Datatilsynets egen nettside. Datatilsynets svar er ikke tilfredsstillende. Hun ber om ytterligere presisering på om hun som privatperson har rett til å få innsyn i hvem som har lest hennes helseopplysninger og om særlover åpner for dette. Utskrift av hennes pasientjournaler skal følge regler om internkontroll og oppbevaring av særdeles sensitive opplysninger.
Hun hadde forventet at Datatilsynet ville se på Helseklages DPIA eller forsikre seg om at virksomheten har tilstrekkelig kontroll på sensitive dokumenter.
Det er en kunstig avklaring å si at logger er til for virksomheten, mens de skal holdes hemmelige for den som eier informasjonen. Om denne uttalelsen nå skal være førende regelverk, vil pasienter ikke lenger ha noen mulighet til å få vite om ansatte snoker i helseinformasjon.
Datatilsynet viser til EU-dom C-579/21 som begrunnelse for at hun ikke skal få innsyn i hvem som har lest hennes dokumenter. Hun mener dommen åpner for åpenhet, spesielt i enkeltsaker som gjelder søknader om pasientrettigheter, og siterer:
«information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra vedkommende, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.»
Hun viser særlig til setningen: «medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder».
Samme uken som hun fikk svar på sin klage ble NAV ilagt et gebyr på 20 millioner kroner. I NAV-saken er ikke EU-dommen nevnt med et ord og NAV får skryt for å gi tilgangslogger til alle som ønsker det.
De forholdene som er meldt inn har stor betydning for sikkerhet og personvern. Hun ber Personvernnemnda vurdere om Helseklage har tilstrekkelig vern av pasientjournaler med tanke på personvern, på tilgangskontroll, på potensiell spredning av taushetsbelagt informasjon og med tanke på etterprøvbarhet.
I e-post 28. april 2024 utdyper A sin klage og ber i tillegg Personvernnemnda vurdere om appen Onenote som plattform for nemndsbehandling innehar de tekniske løsninger som ivaretar ønsket personvern.
I e-post 4. juli 2024 viser A til at et nemndsvedtak juridisk er av høy verdi og at en logg vil kunne vise hvilke dokumenter som er lagt til grunn for vedtaket. I tillegg vil det fra statens side kunne vise at saken er grundig vurdert. Når det ikke føres logg, representerer det brudd på arkivloven og forvaltningsloven om etterprøvbare konklusjoner. Hun stiller spørsmål ved om de datatekniske ordningene i Norsk Pasientskadeerstatning/Helseklage er gode nok. Hun håper Personvernnemnda tar hennes varsler på alvor og ber om nemndas vurdering av dette.
Personvernnemndas vurdering
Innledning
As henvendelse til Datatilsynet gjelder tre ulike forhold. For det første klager hun på det hun oppfatter som et brudd på personopplysningssikkerheten ved Pasientskadenemndas behandling av saker; nemlig manglende logging av nemndsmedlemmenes oppslag i dokumentene.
For det andre gjelder henvendelsen en oppfordring til tilsynsmyndigheten om å foreta en grundigere vurdering av om Helseklage har et system som gir tilstrekkelig personvern når det gjelder deres behandling av pasientjournaler, herunder en anmodning om å vurdere hvorvidt appen Onenote innehar de tekniske løsningene som ivaretar ønsket personvern, når den brukes som plattform for nemndsbehandling.
For det tredje gjelder klagen at hun har fått avslag på sin rett til innsyn i hvem som har gjort oppslag i hennes pasientjournal.
Nemnda legger i likhet med Datatilsynet til grunn at Helseklage og Pasientskadenemnda organisatorisk er å anse som samme virksomhet, og at Helseklage er behandlingsansvarlig etter personvernforordningen.
Logging av nemndsmedlemmenes oppslag i saker i Pasientskadenemnda
Plikten for den behandlingsansvarlige til å iverksette tekniske og organisatoriske sikkerhetstiltak følger av personvernforordningen artikkel 32, jf. artikkel 24. I artikkel 32 nr. 1 bokstav a til d er det opplistet fire eksempler på sikkerhetstiltak som kan være relevante. Tiltakene som iverksettes skal være egnede i lys av den risikoen behandlingen av personopplysningene representerer. Virksomheten skal kunne dokumentere tiltakene, jf. ansvarlighetsprinsippet i personvernforordningen artikkel 5 nr. 2.
Logging er ikke eksplisitt nevnt som eksempel på et tiltak for å ivareta personopplysningssikkerheten. Det er imidlertid ingen tvil om at logging kan være et viktig instrument for å sikre og demonstrere etterlevelse av reglene. Loggdata bidrar også til å oppdage og forebygge urettmessige oppslag og til å kontrollere om sikkerhetstiltakene knyttet til tilgangsstyring har ønsket effekt.
Det er opplyst at det er etablert et system for logging av oppslag i sakene hos Helseklage. Det er ikke opplyst om denne loggingen bare skjer ved Helseklages forberedelse av sakene, før dokumentene i den enkelte sak oversendes Pasientskadenemndas medlemmer, eller om også Pasientskadenemndas medlemmer er gitt tilgang til sakene på en slik måte at også deres oppslag logges. Nemnda har ikke funnet det nødvendig å undersøke dette, da det uansett ikke er tvil om at Pasientskadenemndas medlemmer har lovlig tilgang til dokumentene i de sakene de behandler, uavhengig av om det logges eller ikke. Personvernforordningen oppstiller ikke et krav om at det skal logges hvor lenge det enkelte nemndsmedlem bruker på å lese hver sak, slik A argumenterer for.
Personopplysningssikkerheten ved Helseklages behandling av pasientjournalopplysninger
Datatilsynet har konkludert med at Helseklage ikke har handlet i strid med personopplysningssikkerheten i artikkel 32, og har ikke funnet det nødvendig å gjøre nærmere undersøkelser av sikkerheten til det dokumentbehandlingssystemet Pasientskadenemnda bruker.
Spørsmålet for nemnda er for det første om Datatilsynet, når det har avsluttet saken uten å gjøre nærmere undersøkelser av Helseklages behandling av pasientjournalopplysninger, har oppfylt sin plikt som tilsynsorgan etter personvernforordningen.
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Nemnda har i en rekke saker lagt til grunn at tilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever og at tilsynet kan foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig.
Spørsmålet i denne saken er hvilket handlingsrom tilsynet, når det mottar en henvendelse med oppfordring om å vurdere personopplysningssikkerheten hos et organ, har til å velge ikke å undersøke dette nærmere.
Det følger direkte av ordlyden i artikkel 77 nr. 1 at den registrerte må gjøre gjeldende at vedkommendes personopplysninger er behandlet på en måte som er i strid med forordningen. Det kan med andre ord utledes et krav om en viss konkretisering av det påstått ulovlige, og at det påstått ulovlige må ramme vedkommende som framsetter klagen. En slik tolkning finner også støtte i fortalepunkt 141, hvor det blant annet framgår at den registrerte har en rett til å klage til et nasjonalt tilsyn «dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket » (nemndas kursivering).
Datatilsynet har tatt stilling til at den loggingen som det er redegjort for er tilstrekkelig og har ikke funnet holdepunkter for at det er noen brudd på personopplysningssikkerheten. Datatilsynet har også behandlet klagen over manglende innsyn.
En generell oppfordring til Datatilsynet om i tillegg å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan etter nemndas syn ikke regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser, jf. artikkel 57 nr. 1 bokstav f og uttalelsen i fortalepunkt 141 om at «Undersøkelsen av en klage bør […] foretas i den utstrekning som er egnet i det enkelte tilfellet». Nemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages, se blant annet PVN-2023-15 og PVN-2023-22.
Datatilsynet har ikke ved de innsendte dokumentene funnet noen forhold som tilsier at personopplysningssikkerheten er brutt hos Helseklage og har ikke funnet grunn til å gjøre nærmere undersøkelse av dette. Det er da forsvarlig av Datatilsynet å konkludere med at Helseklage ikke har handlet i strid med kravene til personopplysningssikkerhet i artikkel 32 og avslutte saken uten nærmere undersøkelser. Nemnda er enig i tilsynets vurderinger av personopplysningssikkerheten og har ikke funnet det nødvendig med ytterligere undersøkelser.
Innsyn i oppslagslogg
A er gitt innsyn i loggdata knyttet til når oppslag ble foretatt og formålet med oppslaget. Hun har ikke fått innsyn i hvilke personer hos Helseklage som har foretatt oppslag. Spørsmålet for nemnda er om A har krav på ytterligere innsyn i loggen, særlig som følge av at det dreier seg om pasientjournalopplysninger som er underlagt reglene i pasientjournalloven.
Pasientjournalloven gjelder behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner, jf. lovens § 3. Behandlingen av personopplysninger i As pasientskadesak hos Helseklage gjelder ikke helsehjelp. Helseklages behandling av personopplysninger reguleres derfor av de generelle reglene i personvernforordningen.
Nemnda deler Datatilsynets vurdering om at en logg som viser hvilke ansatte i en virksomhet som har gjort oppslag i personopplysninger i utgangspunktet ikke er omfattet av innsynsretten etter artikkel 15. Nemnda viser til EU-domstolens uttalelser i C-579/21 (Pankki S) avsnitt 83:
«Det følger af ovenstående betragtninger, at databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.»
Nemnda legger til grunn at formålet med As forespørsel om innsyn i logg som viser hvilke personer som har gjort oppslag og eventuelt varigheten på oppslaget, er å avdekke hvor godt forberedt pasientskadenemndas medlemmer var da de avgjorde hennes sak. Kvaliteten på saksbehandlingen hos pasientskadenemnda sikres gjennom annen lovgivning enn innsynsretten etter personvernforordningen. Nemnda vurderer at det innsynet A har fått er tilstrekkelig til at hun kan ivareta sine rettigheter etter forordningen.
Nemnda slutter seg Datatilsynets vurdering om at As rett til innsyn i logg etter artikkel 15 er oppfylt og at bestemmelsen ikke gir henne rett til ytterligere innsyn.
A har ikke fått medhold i sin klage.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak opprettholdes.
Oslo, 24. september 2024
Mari Bø Haugstad
Leder