Endelig kontrollrapport

Transkript

1 Saksnummer: 10/ Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte kontroll hos Stiftelsen SUSS-telefonen (heretter SUSS) 5. oktober Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med informasjonssikkerhet og internkontroll. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Bjørn Christian Østberg, daglig leder - Mette Hvalstad, faglig leder - Øyvind Roth, IKT-ansvarlig/systemutvikler 2.2 Fra Datatilsynet: - Henok Tesfazghi, juridisk rådgiver - Stein Erik Vetland, overingeniør 3 Generelt SUSS arbeider for å sikre ungdom hjelp til å oppnå bedre helse, spesielt forebygge uønskede graviditeter, abort og overføring av seksuelt overførbare sykdommer. SUSS er en landsdekkende stiftelse som drives av og med helsepersonell som har spesiell kompetanse i helseforebyggende og rådgivende arbeid blant unge. SUSS ble dannet i 1987 i forbindelse med gjennomføringen av to store nasjonale kampanjer i regi av Statens Helsetilsyn. 1 av 10

2 3.1 Lovvalgsspørsmål personopplysningsloven eller helseregisterloven Rettslig utgangspunkt: Det rettslige utgangspunkt er at personopplysningsloven gjelder for all behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten, jf. personopplysningsloven 5. Dersom helseregisterloven får anvendelse vil den særskilt regulere behandling av helseopplysninger. Helseregisterlovens sakelige virkeområde er nedfelt i lovens 3. Loven er begrenset til å gjelde for behandling av helseopplysninger i helsetjenesten og helseforvaltningen. Det følger også av 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i 1. Faktiske forhold: Et tema på kontrollen var om SUSS var en virksomhet som oppfylte kriteriene i helsepersonelloven 2, jf. 3, og som således ble omfattet av helselovgivningen. Virksomheten mente selv at de drev helsehjelp og at helselovgivningen kom til anvendelse. Datatilsynet ba Helsedirektoratet om en tolkningsuttalelse vedrørende om SUSS sin virksomhet oppfylte kriteriene i helsepersonelloven 3 tredje ledd. I brev av 21. oktober 2011 avklarte Helsedirektoratet (samt Helse- og omsorgsdepartementet) med at SUSS må anses som en helsetjeneste som blant annet driver helsehjelp. Datatilsynets vurdering: Datatilsynet gjennomførte kontrollen av SUSS med hjemmel i personopplysningsloven. Etter direktoratets avklaring, er det tilsynets vurdering at SUSS sin virksomhet omfattes av helseregisterloven. Dette fordi SUSS sin virksomhet må etter Helsedirektoratets avklaring anses som en helsetjeneste etter helseregisterloven 3. Det er videre ikke tvilsomt om at SUSS behandler helseopplysninger for å fremme formål som er beskrevet i lovens 1. Kontrollen av SUSS skulle etter dette vært gjennomført med hjemmel i helseregisterloven. Det at kontrollen ble gjennomført med tilsynets hjemler i personopplysningsloven, medfører imidlertid ikke til noen vesentlig endring i tilsynets kompetanse. Konklusjon: SUSS sin behandling av personopplysninger omfattes av helseregisterloven. 4 Kort om bruk av personopplysninger samt formålet med behandlingene SUSS gir råd og veiledning over telefon, SMS og sikker e-post til enkeltpersoner ut i fra deres spørsmål eller problemstilling. SUSS har egenutviklet programvare som skal sørge for at identiteten til brukerne ikke blir avslørt for de ansatte og omvendt. SUSS lagrer opplysninger om hvem som kontakter dem, enten telefonnummer eller brukerid på Internett. I tillegg registreres det i et journalsystem hva problemstillingen eller spørsmålet var, samt hvilke råd eller veiledning som ble gitt. Den ansatte registrerer også hvilken kategori 2 av 10

3 spørsmålet eller problemstillingen omhandlet. For egenkontroll og utvikling registrerer den ansatte hvor fornøyd han eller hun med rådene og veiledning som ble gitt brukeren. SUSS mener selv at journalen faller innenfor journalbestemmelsene i helsepersonelloven. 4.1 Generelt om behandling av personopplysninger begreper og forutsetninger Datatilsynet har som en av sine oppgaver å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Dette innebærer blant annet at tilsynet skal påse at manglende overholdelse av personopplysningsloven med tilhørende forskrift opphører. 1 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. Bestemmelsen i lovens 2 nr. 1 definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsbegrepet favner med andre ord svært vidt, og omfatter blant annet opplysninger om en persons navn, personbilde eller bopel, men også vedkommendes ytringer eller handlinger. Loven gjelder også opplysninger om indirekte identifiserbare individer. Behandling av opplysninger om personer som er anonyme, er derimot ikke omfattet av regelverket. Når det gjelder uttrykket behandling, siktes det i loven til enhver formålsbestemt bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter. Personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. Dette pliktsubjektet er i loven og forskriften omtalt som den behandlingsansvarlige. Pliktene i regelverket gjenspeiles gjerne i tilsvarende rettigheter. Rettighetshaver er i lov og forskrift kalt den registrerte. 4.2 Behandling av personopplysninger SUSS tilbyr ulike kommunikasjonsformer for sine brukere. Dette er henholdsvis sikker e- post, SMS og telefon Sikker e-post På hjemmesiden til SUSS står det at som informasjon om Sikker e-post : Klikk på Logg inn over og registrer deg med ditt egenvalgte unike brukernavn og passord. Du kan spørre helt anonymt og helt sikkert. Svaret ditt kan du lese etter at du har mottatt et passord på mobilen 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger, og forskrift av 15. desember 2000 nr om behandling av personopplysninger. 3 av 10

4 din (gratis). Det er KUN du som kan lese dine spørsmål og svar. Når du er logget inn på din side kan du også lese dine tidligere stilte spørsmål og svar på SUSS. Under registreringen må brukeren registrer følgende opplysninger: Alias, passord, fødselsår, fødselsmåned, kommune, kjønn og mobilnummer. Mobilnummeret blir brukt for å sende brukeren passord til svaret på spørsmålene brukeren stiller. For å kunne tilfredsstille krav til anonymitet kan ikke opplysningene kunne knyttes direkte eller indirekte til en person eller en gruppe av mennesker på fem eller mindre individer. Ved å benytte mobilnummer som kommunikasjonsform for passordet har virksomheten knyttet spørsmålet til en person direkte eller indirekte gjennom at alle mobiltelefoner er lovpålagt skal være registrert på en unik person. Denne personen trenger ikke være spørsmålsstilleren, men den vil vanligvis ha en tilknytning til den registrerte av mobiltelefonen. Tilsynet konkluderer med at SUSS behandler personopplysninger. Det avgjørende er at det knyttes indirekte identifiserbare (for eksempel et telefonnummer) til opplysningene SMS På hjemmesiden til SUSS står det at som informasjon om SMS: Du kan sende oss spørsmålet helt anonymt og helt sikkert på sms til Du kan bruke så mange tegn du vil. Svaret kommer sikkert og direkte til din mobil og koster en krone! Viser til punkt angående mobilnummer sin tilknytning til en person Telefon På hjemmesiden til SUSS står det at som informasjon om telefon: Du kan ringe SUSStelefonen helt anonymt på alle dager i året i tidsrommet Er det noe som virkelig haster, ring oss. Viser til punkt angående mobilnummer sin tilknytning til en person. 4.3 Sensitive personopplysninger Personopplysningsloven 2 nr.8 litra c) og d) definerer sensitive personopplysninger til opplysninger om henholdsvis helseforhold og seksuelle forhold. På hjemmesidene til SUSS står det at du kan stille spørsmål anonymt om alt du lurer på om helse, samliv og seksualitet. Alle får svar, de fleste nesten med en gang, i løpet av dagen eller innen 24 timer. Etter helseregisterloven 2 nr. definerer helseopplysninger som taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,. Tilsynet stadfester at virksomheten behandler sensitive personopplysninger. 4 av 10

5 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelle krav til behandling av personopplysninger Generelt om krav for behandling av helseopplysninger Helseregisterloven 5 første ledd angir i hvilke tilfeller man lovlig kan behandle helseopplysninger: Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister. Både personopplysningsloven 9 og 33 og helseforskningsloven hjemler altså behandling av helseopplysninger. Videre er det en forutsetning for lovlig behandling av helseopplysninger at behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag. Begrepet helseopplysning er definert i helseregisterloven 2 på følgende måte: helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson Helseregisterloven er begrenset til å gjelde behandling av helseopplysninger i helseforvaltningen og helsetjenesten, jf lovens 3. 2 Eksempler på behandlinger som faller utenfor vil typisk være i trygdeforvaltningen, sosialforvaltningen, barneverntjenesten og behandling av helseopplysninger etter arbeidsmiljøloven. For behandlere av helseopplysninger utenfor helseforvaltningen eller helsetjenesten vil personopplysningsloven gjelde Nærmere om avidentifiserte helseopplysninger etter helseregisterloven Avidentifiserte helseopplysninger er definert i helseregisterloven 2 nr 2 som helseopplysninger der navn, fødselsnummer, og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling av de samme opplysningene som tidligere ble fjernet. I Ot.prp.nr. 5 ( ) side 179 står følgende om avidentifiserte helseopplysninger: Avidentifiserte helseopplysninger er i loven definert som helseopplysninger der navn, fødselsnummer, og andre personentydige kjennetegn er fjerne, slik at opplysninger ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysningene som tidligere ble fjernet. Det karakteristiske for avidentifiserte helseopplysninger etter loven, er at all personidentifikasjonen er fjernet (både den direkte og den indirekte), og at personidentifikasjon er erstattet med en nøkkel eller et pseudonym. Når en utleverer avidentifiserte helseopplysninger, vil opplysningene fremstå som anonyme for mottaker, fordi mottaker ikke har tilgang til denne nøkkelen eller pseudonymet. 2 I helseregisterloven 3 tredje ledd er det imidlertid gitt hjemmel til å gi forskrift om at loven helt eller delvis skal gjelde også for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten. 5 av 10

6 Helseopplysninger der navn og fødselsnummer eller den direkte personidentifikasjon er fjernet, men hvor det er mulig å finne frem til personene ad indirekte vei (pga. andre opplysninger enn de direkte personidentifiserbare) er ikke avidentifiserte opplysninger etter loven. Slike opplysninger kommer inn under lovens betegnelse helseopplysninger Avidentifiserte opplysninger er på mottakers hånd anonyme, forutsatt at mottaker ikke har tilgang til den nøkkel som kan knytte opplysningene til den direkte personidentifikasjonen, som i sin tid ble fjernet. Avidentifiserte helseopplysninger om et enkeltindivid, kan ved sammenstilling av andre avidentifiserte helseopplysninger om samme enkeltindivid forutsatt at opplysningene er avidentifisert etter samme nøkkel/pseudonym generere personidentifiserbare opplysninger. Dette fordi en gjennom sammenstilling av flere enkeltopplysninger kan få så mange opplysninger om en person at det bare er en person opplysningene kan knyttes til Nærmere om anonyme opplysninger etter helseregisterloven Anonyme opplysninger er i helseregisterloven 2 nr 3 definert som: "opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson" Videre står følgende i Ot.prp.nr.5 ( ) side 179: "Anonyme opplysninger defineres som opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson. Dersom opplysningene kan knyttes til ett av to individer, er dette i prinsippet en anonym opplysning. For å være på den sikre siden, bruker en ofte likevel i praksis å sette en grense på fire eller fem, dvs. dersom opplysningene kan knyttes til en av fire eller fem individer, føler en seg trygg på at opplysningene er anonymisert." Behandlingsgrunnlag Rettslig grunnlag Etter helseregisterloven 5 kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister. Etter personopplysningsloven må man ha et behandlingsgrunnlag for å behandle personopplysninger, jf personopplysningsloven 11, jf. 8 evt. 9. Som hovedregel bør dette være samtykke fra den det gjelder. Andre behandlingsgrunnlag kan være at adgangen til behandling er fastsatt i norsk lov eller at en slik behandling er nødvendig for nærmere angitte formål. 6 av 10

7 Datatilsynet har ovenfor (pkt. 4.2 og pkt. 4.3) konstatert at virksomheten behandler sensitive personopplysninger, jf. personopplysningslovens 2 nr. 8. Virksomhetens behandling vil videre anses som en behandling av helseopplysninger, jf. helseregisterloven 2 nr. 1. Faktisk forhold Virksomheten journalfører samtlige skriftlige besvarelser (inkl. telefonnummer) som sendes in og ut. Videre blir det laget referater fra samtlige telefonsamtaler (inkl. telefonnummer). Referatet blir journalført med øvrige skriftlig besvarelser. Journalene blir systematisert etter arkivnummer/løpenummer. Virksomheten mener at journalen faller innenfor journalbestemmelsene i helsepersonelloven. Virksomheten har derfor ikke slettet noen journaler siden praksisen ble etablert i Konklusjon Etter Helsedirektoratet samt Helse- og omsorgsdepartementet sine avklaringer i henholdsvis brev av 21. oktober 2011 og 29. september 2011, vil deler av SUSS sin tjeneste måtte anses som helsehjelp. Dette gjelder særlig når det foreskrives resepter og når det henvises til spesialisthelsetjenesten. Videre må det regnes som helsehjelp når SUSS gir konkret og handlingsrettet råd og veiledning individuelt tilpasset innringeren og basert på informasjon fra innringer. Tilsynet legger til grunn at når SUSS utfører tjenester som her nevnt, vil virksomheten drive helsehjelp. I de tilfeller SUSS driver helsehjelp, vil tjenesten (jf. avklaringen) være utført av helsepersonell, jf. helsepersonellovens 3 nr. 3, jf 3 tredje ledd, samt være journalpliktig, jf. helsepersonelloven 39 og 40. I tråd med avklaringen vil de råd SUSS gir, som er av en mer generell og uforpliktende karakter, råd som ikke er tilpasset den enkelte bruker, ikke anses som helsehjelp. Dette vil være opplysninger som brukeren selv kunne ha tilegnet seg selv (for eksempel via Internett), eller råd som vil kunne gjelde for en større gruppe mennesker. I de tilfeller SUSS sine tjenester ikke er å anse som ytere av helsehjelp, jf. helseregisterloven 2, jf. 4 tredje ledd, må tjenesten anses som råd og veiledning, og vil følgelig ikke være journalpliktig, jf. helsepersonelloven 39 og 40. Dette fordi behandlingen faller utenfor helsepersonellovens virkeområde. Problemstillingen blir således om virksomheten kan vise til et behandlingsgrunnlag for den elektroniske behandlingen av helseopplysninger, når virksomheten ikke yter helsehjelp, jf. helseregisterloven 5. Det vil si om virksomheten kan vise til hjemmel i lov eller konsesjon, jf. 5 første ledd. 7 av 10

8 5.1.3 Informasjonsplikt Rettslig grunnlag Helseregisterloven 23 pålegger den databehandlingsansvarlige en plikt til å informere den registrerte om forhold rundt behandlingen når det samles inn opplysninger fra den registrerte selv. Informasjonsplikten skal ivareta kjernen i personvernet, som er den enkeltes rett til å utøve kontroll med opplysninger om en selv. Den enkelte må vite at det behandles personopplysninger for å kunne ta i bruk de andre personvernrettighetene som retten til innsyn, retting, sletting m.v. Det følger av helseregisterlovens 23 at databehandlingsansvarlig skal av eget tiltak informere den registrerte om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Unntak fra informasjonsplikten følger av helseregisterloven 23 annet ledd, og helseregisterloven 25. Etter Helsedirektoratet og HOD sin avklaring vil SUSS kunne anses som en spesialisthelsetjeneste. SUSS vil da ha en plikt til å utlevere helseopplysninger til de sentrale helseregistre, dette følger av helseregisterloven 9, jf. 8. Dette vil for eksempel være plikt til å utlevere helseopplysninger til Norsk pasientregister, jf. helseregisterloven 8 nr 8. Faktiske grunnlag På hjemmesidene til SUSS står det at du kan stille spørsmål anonymt om alt du lurer på om helse, samliv og seksualitet. Alle får svar, de fleste nesten med en gang, i løpet av dagen eller innen 24 timer. 3 Den registrerte vil etter dette ha grunn til å tro at de opplysningene som avgis, ikke kan identifisere vedkommende. Konklusjon Tilsynet har ovenfor konkludert med at SUSS behandler helseopplysninger. Brukeren, vil etter Datatilsynets vurdering, ikke være anonym, siden det vil være mulig å knytte telefonnummeret til en enkeltperson, se pkt SUSS sin opplysning om at brukeren av tjenesten er anonym blir således utidig og misvisende. Datatilsynet kan ikke se at noen av unntakene til informasjonsplikten kommer til anvendelse. SUSS vil følgelig ha en informasjonsplikt etter helseregisterloven Internkontroll planlagte og systematiske tiltak Rettslig grunnlag Helseregisterloven 17 stiller krav om internkontroll gjennom planlagte og systematiske tiltak etablert av den behandlingsansvarlige. Det er krav om dokumentasjon av tiltakene. 3 SUSS har endret informasjon på sine nettsider, men rapporten gjenspeiler forholdet ved tidspunktet for kontrollen. Følgende setning var fortsatt å finne pr. 3. november 2011 Du er selvsagt fortsatt helt anonym. 8 av 10

9 Personopplysningsforskriftens 3-1 stiller utfyllende krav. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse. Det er krav om at den databehandlingsansvarlige kjenner reglene for behandling av helseopplysninger og at det utarbeides de nødvendige rutiner i denne sammenheng. Det stilles eksplisitte krav om enkelte rutiner i personopplysningsforskriftens 3-1, videre stiller forskriftene for de sentrale helseregistrene etter helseregisterloven, og forskriften til helseforskningsloven utfyllende krav om internkontroll. I denne sammenheng er lovens og forskriftens generelle krav mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. Helseregisterloven 16 om informasjonssikkerhet stiller også krav om planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet. Personopplysningsforskriften kapittel 2 stiller krav om flere systemkomponenter. Systemkomponentene for informasjonssikkerhet er en del av virksomhetens internkontroll. Faktiske grunnlag SUSS har etter samtale med tilsynet i 2001 valgt å definere sine tjenester til å være kun meldepliktig i forhold til personopplysningsloven, siden virksomheten er av den oppfatning at de driver helsehjelp. Det har etter 2001 vært diskusjoner med Helsedirektoratet og andre tilsvarende tjenester om tjenesten kan anses som helsehjelp. Etter Helsedirektoratet samt Helse- og omsorgsdepartementet sine avklaringer i henholdsvis brev av 21. oktober 2011 og 29. september 2011, vil deler av SUSS sin tjeneste måtte anses som helsehjelp. SUSS har valgt å lage et journalsystem der de registrerer blant annet telefonnummeret som ble benyttet og når spørsmålet ble stilt. I tillegg lagres spørsmålet og det svaret som ble gitt. Ved å registrere fortløpende henvendelsene lagrer man en systematisk oversikt som det er mulig å gjenfinne opplysninger i. Konklusjon SUSS må i sin internkontroll avklare hvilke lover som regulerer deres virke, samt hvordan personopplysningene skal behandles i virksomheten. Avklaringsbehovet vil særlig gjelde for 9 av 10

10 behandlingsgrunnlag, jf. helseregisterloven 5, samt om behandlingen vil være konsesjonspliktig. 5.2 Forholdsmessig sikring av personopplysninger På sine sider står det at når du er logget inn på din side kan du også lese dine tidligere stilte spørsmål og svar på SUSS. Ved å ha tilgang til mobiltelefonen, brukernavn og passord kan du få tilgang til tidligere stilte spørsmål og svar. Under forutsetning av at virksomheten har gyldig behandlingsgrunnlag for de lagrede opplysningene, jf. pkt ovenfor, må de sensitive personopplysningene sikres i henhold helseregisterloven 16. Det vises i den forbindelse til Norm for informasjonssikkerhet 4. Datatilsynet ber virksomheten vurdere sikkerhetsløsningen i henhold til hvordan løsningen kun skal behandle anonyme personopplysninger. Virksomheten kan i en slik løsning blant annet ikke sammenstille spørsmål fra brukeren, siden virksomheten må sørge for at opplysningene ikke kan kobles tilbake til spørsmålsstilleren. 4 Normen for informasjonssikkerhet vil her være veiledende. 10 av 10