Home

PVN-2014-25 Tilgang på tvers av virksomhetsgrenser

Datatilsynets referanse: 
13/01090-20/MEP

Personvernnemndas avgjørelse av 26. mai 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynetsvedtak om at direktetilgang til helseopplysninger må avsluttes, jf helseregisterloven § 13.

2 Saksgang

Datatilsynet gjennomførte en kontroll av Drammen helsehus 4. desember 2013. Denne kontrollen førte til to vedtaksbrev. Vestre Viken HF (VVHF) og Drammen kommune fikk begge vedtak om pålegg datert 22. mai 2014. Drammen kommune har rettet seg etter vedtaket. Denne saken er dermed avsluttet. Vestre Viken HF påklaget vedtaket i brev datert 25. juni 2014 og i presisering i brev datert 18. august.

Datatilsynet gjennomførte høsten og vinteren 2013 en rekke stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeid fellesskap. I den forbindelse gjennomførte Datatilsynet en kontroll hos Drammen Helsehus 4. november 2013. Datatilsynet sendte ut varsel om vedtak og foreløpig kontrollrapport 18. februar 2014. Ettersom objektet for kontrollen var både Drammen kommune og Vestre Viken HF fikk begge aktørene varsler om vedtak. Disse var ulike. Rapporten var imidlertid den samme.

VVHF oversendte sine kommentarer til Datatilsynet 10. april. Dette var innenfor avtalt frist. Datatilsynet oversendte endelig vedtak og foreløpig kontrollrapport til VVHF 22. mai 2014. Datatilsynets vedtak, som var uendret fra varslet vedtak, lød:

Drammen Helsehus’ direkte tilgang til helseopplysninger i Vestre Viken HF ved hjelp av
hjemmekontorløsning avsluttes, jf helseregisterloven § 13. Vi viser til kontrollrapportens avsnitt 5.3.2.

I brev datert 25. juni 2014 sendte VVHF Datatilsynet et tilsvar. Her skisserer VVHF bruk av samtykkeerklæring som tiltak for å gjennomføre vedtaket. Datatilsynet var ikke sikker på om dette brevet skulle forstås som en klage. VVHF presiserte i et brev 18. august at brevet skulle forstås som en klage dersom Datatilsynet ikke var enig i VVHFs vurdering av at samtykkeskjema var et tilstrekkelig tiltak for å gjennomføre Datatilsynets vedtak.

Datatilsynets vedtak til Drammen kommune i samme sak er datert 22. mai 2014. Datatilsynets vedtak lød:

Drammen Helsehus’ deling av helseopplysninger med ansatte i Vestre Viken HF må avsluttes eller skje etter en avtale mellom kommunen og hvert enkelt helsepersonell, jf helseregisterloven § 13. Vi viser til kontrollrapportens avsnitt 5.2.4.

Drammen kommune redegjorde for sitt arbeid med oppfyllelse av pålegget i sitt brev av 28. august 2014. Her fremkom det at Drammen kommune har avsluttet sitt samarbeid med Vestre Viken HF om kjøp av legetjenester og tilgjengeliggjøring av helseopplysninger. Forholdene som førte til vedtak om pålegg er dermed endret slik at vedtaket bortfalt.
     Selv om vedtaket mot Drammen kommune handlet om andre opplysninger enn det vedtaket mot VVHF gjør, oppfyller tiltaket Drammen kommune i praksis også vedtaket mot VVHF. Datatilsynet har tatt muntlig kontakt med VVHF om de ønsker å opprettholde sin klage. VVHF har muntlig bekreftet at de opprettholder sin klage.
     Saken ble oversendt Personvernnemnda 3.12.2014, som mottok saken 15.12.2014. Klager ble orientert om dette i brev fra nemnda datert 18.12.2014, med frist til uttalelse innen 19.1.2015. Klager har ikke kommentert saken.

3 Faktum

Drammen Helsehus er en del av den kommunale primærhelsetjenesten i Drammen kommune. Tjenestene i Drammen Helsehus leveres primært av kommunen. To leger som er ansatt i Vestre Viken HF jobber i helsehuset tre dager i uken. I sitt arbeid i Helsehuset logger disse to legene på VVHFs journal med sin hjemmekontorløsning. Informasjon fra VVHFs journal benyttes i behandlingen som gis pasienter i helsehuset. Helseopplysningene som hentes inn med hjemmekontorløsningen benyttes av helsehuset for å gi en sammenhengende helsetjeneste.
     Helsevirksomheter som sykehus, legekontor, fysioterapeuter med mer, har som utgangspunkt ikke anledning til å gi andre virksomheter tilgang til egne helseopplysninger. Hovedregelen er at kun den databehandlingsansvarlige, databehandlere og ansatte som arbeider under disses instruksjonsmyndighet kan gis tilgang til helseopplysninger, jf helseregisterloven § 13, første ledd, første punktum. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger til helseopplysninger på tvers av virksomhetsgrenser. Det fins unntak fra denne hovedregelen, blant annet i forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap.
     Datatilsynet mener tilgangen Drammen Helsehus har til opplysninger i VVHF innebærer en tilgang på tvers av virksomhetsgrenser i strid med helseregisterloven § 13.

4 Klagers anførsler

Klager presiserer at ingen ansatte i kommunen vil kunne komme inn i sykehusets journal. Det lukkede nettverket Vestre Viken gir kun tilgang til helseopplysninger til helsepersonell som er under Vestre Vikens instruksjonsmyndighet. Det er ingen unntak fra dette. Dette er i samsvar med kravene for tilgang etter helseregisterloven § 13.
     Videre anfører klager følgende:
1.   Maskinene ved Drammen Helsehus er både fysisk og it-teknisk sikret. Vestre Vikens leger arbeider ved egne arbeidsstasjoner i egne rom, der ingen andre har arbeidsoppgaver eller fysisk tilgang.  Det benyttes av og til lokal skriver som kun er koblet til sykehusets PC. Det dreier seg om tre stk bærbare maskiner (alder fire år) som "dockes" fysisk på sykehuset for bli sikkerhetsoppdaterte. I praksis må legene (alle Vestre Viken-ansatte):
a) Logge på arbeidsstasjonen på Helsehuset med BIT locker (kryptering av harddisk)
b) Logge på med personlig brukernavn og passord.
c) Koble til gjestenett i kommunen (tilsvarende HSØ løsning)
d) Logge på VPN med personlig brukernavn og passord
e) Logge på BLÅdips med personlig brukernavn og passord
Det er på vanlig måte legens ansvar å logge av når arbeidsstasjonen forlates.
2.   Det er ingen elektronisk forbindelse mellom Vestre Vikens og Helsehusets PCer
3.   I praksis brukes de aktuelle PCer kun til å informasjon på skjermen. Dette er et
alternativ til å lese samme informasjon på papir skrevet ut fra dette datasystemet ved Vestre
Viken. Vestre Vikens helsepersonell dokumenterer altså ikke i Vestre Vikens pasientjournal
så lenge pasienten er ved Drammen Helsehus.
4.   Den mest forsvarlige løsningen er valgt. Arbeidsstasjonene gjør at behandlende lege raskt får nødvendig informasjon om epikriser, prøvesvar mv. Helsepersonellet mener ordningen fungerer meget godt. Den er mer pasientsikker og fremmer raskere helsehjelp enn runder med utleveringsanmodninger ville gjøre. Sistnevnte løsning ville derimot ha involvert flere personer og følgelig spredd pasientopplysninger unødig, samt tatt lenger tid.
5.   Tilgangen til pasientopplysningene bygger på et alminnelig presumert samtykke fra den enkelte pasient. Er det i en konkret situasjon grunn til å tro at pasienten ikke vil ønske dette, bes det om samtykke på vanlig måte.

Vestre Viken mener på dette grunnlag at de tre maskinene det her gjelder, og bruken av disse er innenfor lovens krav.
     For å fortsatt kunne levere en god, sømløs og adekvat helsehjelp til pasientene ved Drammen Helsehus, har Vestre Viken utformet en samtykkeerklæring, der pasienten  uttrykkelig gir behandlende lege som er ansatt i Vestre Viken HF, tilgang til informasjon fra Vestre Viken HF sitt informasjonssystem, også under sitt arbeid i Drammen Helsehus.
Pasienten definerer selv hvilket område samtykket gjelder for, tidsperiode, samt mulighet for reservasjon for spesifikke opplysninger. Samtykkeerklæringen vil bli scannet inn i aktuell pasientjournal ved Vestre Viken HF.

5 Datatilsynets vurdering

Helseregisterloven § 13 tredje ledd slår fast at tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter bare kan gis etter uttrykkelig samtykke fra den registrerte. VVHF viser ikke til denne bestemmelsen eksplisitt, men Datatilsynet antar helseforetaket har sett hen til denne bestemmelsen under utformingen av samtykkeskjemaet.
     Datatilsynet mener helseregisterloven § 13 tredje ledd må ses i sammenheng med hele bestemmelsen. Utgangspunktet i helseregisterloven er at kun ansatte hos den databehandlingsansvarlige og databehandlere kan gis tilgang til helseopplysninger, jf § 13 første ledd. Det er mulig å gjøre unntak fra denne bestemmelsen gjennom forskrift, jf § 13 andre ledd. Den ene unntaksforskriften er nevnte forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. Datatilsynet har i sin kontrollrapport konkludert med at samarbeidet i Drammen helsehus ikke faller inn under denne forskriften. Dette påstår heller ikke VVHF.
     Den andre unntaksforskriften er den såkalte helseinformasjonssikkerhetsforskriften. Datatilsynet anser det slik at tilgangen til helseopplysninger fra Drammen helsehus til VVHFs journal kunne vært regulert av denne forskriften. Helseinformasjonssikkerhetsforskriften har imidlertid ikke trådt i kraft og kan dermed ikke hjemle praksisen.
     I helseregisterloven § 13 tredje ledd fins bestemmelsen som hjemler tilgang på tvers av virksomhetsgrenser ved samtykke fra pasienten. Muligheten for samtykke forutsetter imidlertid forskrift som beskrevet i bestemmelsens andre ledd. Forutsetningene for å kunne samtykke seg til unntak fra hovedregelen i helseregisterloven § 13 er derfor ikke til stede.
     Datatilsynet mener derfor at et samtykke til tilgang på tvers mellom virksomhetsgrenser- ikke er tilstrekkelig rettslig grunnlag, det kreves i tillegg regulering gjennom forskrift. Datatilsynet opprettholder derfor vedtaket av 22. mai 2014.

6 Personvernnemndas syn

Nemnda skal vurdere tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen må vurderes etter det lovverk som gjaldt da klagen kom inn, det vil si gammel helseregisterlov (LOV-2001-05-18-24) med forskrifter.
     Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Datatilsynet nevnte også helseinformasjonssikkerhetsforskriften (Forskrift om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre) fra 24. juni 2011 som mulig hjemmel i sin vurdering, men konkluderte med at forskriften ikke hadde trådt i kraft og således ikke kunne hjemle praksisen. Personvernnemnda er enig i denne vurderingen.
     Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende.
     Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Forskriften som har hjemmel i pasientjournalloven § 19 (og § 22 og § 30) gjelder for tilgang på tvers av virksomhetsgrenser uavhengig av tjenestenivå. Den gjelder altså også mellom virksomheter i spesialisthelsetjenesten og i kommunehelsetjenesten.
     Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Klagen ble avgjort bare uker før ny lov og forskrift trådte i kraft. Datatilsynet har et veiledningsansvar som omfatter tilpasning av praksis til kommende lover og forskrifter – og i denne saken ønsket klager å få prøvd lovligheten for fremtiden.
     Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

7 Vedtak

Klagen tas ikke til følge.

Oslo, 26. mai 2015

Eva I E Jarbekk
Leder