Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Like dokumenter
Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Endelig kontrollrapport Kreftregisteret / Janusbanken

Deres ref Vår ref (bes oppgitt ved svar) Dato

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Vår referanse (bes oppgitt ved svar)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Vår referanse (bes oppgitt ved svar)

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Kontroll av reseptformidleren endelig kontrollrapport

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Vår referanse (bes oppgitt ved svar)

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Juridiske utfordringer ved innhenting av PROM-data

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vedtak om pålegg - endelig kontrollrapport

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Rettslig regulering av helseregistre

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Deres referanse Vår referanse Dato / /EOL

Varsel om vedtak om overtredelsesgebyr - mfl 11 og mfl. 6 jf. forskrift om urimelig handelspraksis pkt. 20 og 21 jf. mfl 39 og 43

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Deres referanse Vår referanse Dato 15/ /JSK

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Vedtak om avkorting i produksjonstilskudd grunnet brudd på annet regelverk

ENDELIG TILSYNSRAPPORT

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

Sigdal kommune - gnr 34/1 - Tukudalen pukkverk Sigdalpukk AS klage etter plan og bygningsloven og forvaltningsloven

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Karel Kristian Søberg er grunneier på eiendommen 77/118, eiendommen der Flyhaugen hyttefelt delvis ligger (flere tomter er fradelt eiendommen).

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Klagesaker. ass. fylkeslege Eli Løkken

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

ENDELIG TILSYNSRAPPORT

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Saksnr. Arkivkode Avd/Sek/Saksb Deres ref. Dato. 12/923-4 GNR 36/7 PUE/ADM/JAPE

25 APR 50,3. Datatilsynet ~+~ 0ffl0/L? 70~~?5. Vedtak om pålegg - overtredelsesgebyr til Sykehuset Innlandet HF

Postboks 4710 Sluppen, 7468 Trondheim Sentralbord: , Telefaks Besøksadresse: E. C. Dahls g. 10

DERES REF: / YOUR REF: VÅR REF:/ OUR REF: DATO:/ DATE:

Tilbakemelding på melding om behandling av personopplysninger

Varsel om pålegg og tvangsmulkt

Vedtak - Klage over vedtak om avslag på dekning av saksomkostninger

29. AUGUST Christer Kleppe Personvernombud Helse Bergen HF, Haukeland Universitetssykehus

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Vedtak V ISS Facility Services AS - konkurranseloven 29 jf overtredelsesgebyr

Personvernerklæring Stendi

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

De opplysningene vi henter inn skal være tilstrekkelige og relevante for å behandle saken din. Opplysningene skal være av så god kvalitet som mulig.

ENDELIG TILSYNSRAPPORT

Vår referanse (bes oppgitt ved svar) /EGA 11/ /CGN

Swarco Norge AS sitt erverv av Peek Trafikk AS vedtak om dekning av sakskostnader etter forvaltningsloven 36

Vår saksbehandler Vårref. Deresref. Dato Pål Bergum 12/496 Per OlavFoss oppgisved allehenv.

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Tilsyn - BERGEN KOMMUNE BYRÅDSAVDELING FOR HELSE OG OMSORG

Høring - NOU 2009:22 - Det du gjør gjør det helt - innstilling fra utvalg for bedre samordning av tjenester for utsatte barn og unge

Vår referanse (bes oppgitt ved svar)

Helse- og omsorgstjenesteloven 3-2 første ledd nr. 6 bokstav c m.fl.- Kommunenes plikt til å tilby plass i helseinstitusjon - Lovfortolkning

SYKEHUSET INNLANDET BRUMUNDDAL Postboks BRUMUNDDAL TILSYNSRAPPORT OG VARSEL OM PÅLEGG

Konkurransetilsynet. Nærings- og Handelsdepartementet Postboks 8014 Dep 0030 OSLO. 1 Bakgrunn

Introduksjonskurs i samfunnsmedisin

Klagenemnda for offentlige anskaffelser. Klagenemndas medlemmer: Georg Fredrik Rieber-Mohn, Bjørg Ven og Tone Kleven

Personvernnemndas praksis om forholdet mellom samtykke og andre rettslige grunnlag

Veileder for sakkyndig uttalelse i tilsynssaker til Statens helsetilsyn og Fylkesmannen

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

TILSYNSRAPPORT - VEDTAK

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Transkript:

Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om vedtak Det vises til Deres redegjørelse av 26. mars 2012, vedrørende personopplysninger som er behandlet i NORKAR uten gyldig konsesjon og rettslig grunnlag. Dette er et varsel om at Datatilsynet vil fatte følgende vedtak: 1. St. Olavs hospital skal snarest, og senest innen 1. juli 2012 slette opplysninger om alle levende personer som er inkludert i NORKAR i perioden 1. januar 2002 31. desember 2007. 2. St. Olavs hospital pålegges å betale et overtredelsesgebyr til statskassen, pålydende kr 250.000 to hundre og femti tusen kroner. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens 47a. Kort om sakens bakgrunn Datatilsynet gjennomførte en kontroll ved St Olavs hospital i 2007 1, blant annet for å vurdere hvorvidt virksomhetens behandling av personopplysninger i et nasjonalt kvalitetsregister for hjerte- og karkirurgi (NORKAR Sentralregister) var i samsvar med personvernlovgivningen. Registeret inneholder identifiserbare helseopplysninger om alle personer som har fått gjennomført en blodåre-operasjon. Opplysningene er hentet inn fra pasientjournalene ved de ulike helseforetakene. Kontrollen avdekket at St Olavs hospital manglet rettslig grunnlag for å behandle opplysninger om personer som ble inkludert før 1. januar 2008, jf helseregisterlovens 5 jf personopplysningslovens 9. Det ble videre klart at St Olavs hospital ikke hadde ikke søkt Datatilsynet om konsesjon for behandlingen, i henhold til kravene i helseregisterlovens 5 jf personopplysningslovens 33. 1 Datatilsynets saksnummer 06/05855 Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Registeret hadde hatt konsesjon fra Datatilsynet etter tidligere personregisterlov, men denne falt bort ved personopplysningslovens og helseregisterlovens ikrafttredelse. I etterkant av kontrollen påla Datatilsynet St Olavs hospital å søke om konsesjon for NORKAR. Søknaden ble innvilget av Datatilsynet 15. juni 2007 2. Det var en eksplisitt forutsetning for konsesjonen at det ble innhentet et frivillig, uttrykkelig og informert samtykke til behandlingen fra de registrerte. Vedtaket ble ikke påklagd. Den 19. desember 2011 mottok Datatilsynet en e-post fra St Olavs hospital, hvor det ble stilt spørsmål om hvorvidt virksomheten må hente inn samtykke dersom de skal bruke data som er registrert i de årene hvor registeret manglet gyldig konsesjon. Den 5. januar 2012 oversendte virksomheten et utkast til informasjonsskriv, til bruk ved innhenting av slikt samtykke. I perioden januar til mars 2012 korresponderte Datatilsynet på e-post med NORKAR. Den 8. mars 2012 fant tilsynet at det var nødvendig å be om en skriftlig redegjørelse fra St Olavs hospital, vedrørende virksomhetens etterlevelse av konsesjonsvilkår og regelverket forøvrig. Ifølge virksomhetens egen redegjørelse har det ikke blitt hentet inn samtykke i henhold til personopplysningslovens 9 jf 2 nr 7 fra personer som var inkludert før 1. januar 2008. Datatilsynets vurderinger Vedrørende krav om rettslig grunnlag for behandlingen - personopplysningslovens 9 Datatilsynet legger til grunn at St Olavs hospital i perioden 2002 til dags dato har manglet rettslig grunnlag i henhold til personopplysningslovens 9 for å behandle personopplysninger i NORKAR som er innsamlet i perioden 1. januar 2001 til 31. desember 2007. Av henvendelsen fra NORKAR fremgår det at man ønsker å reparere denne mangelen, gjennom å hente inn samtykke fra de som er registrert i nevnte periode. Til dette vil Datatilsynet bemerke at virksomheten fikk en slik mulighet i forbindelse med kontrollen i 2007. Det foreligger etter tilsynets vurdering ingen gode grunner for at virksomheten ikke benyttet denne muligheten. Konsekvensen må derved bli at opplysningene skal slettes. Vedrørende konsesjonsplikt personopplysningslovens 33 Vilkåret om at virksomheten skulle hente inn samtykke fra de registrerte var en grunnleggende og åpenbar forutsetning for Datatilsynet konsesjon av 15. juni 2007. Da virksomheten unnlot å hente inn samtykke legger tilsynet til grunn at tillatelsen ble gitt på bristende forutsetninger, og at konsesjonen derved har vært ugyldig for virksomhetens behandling av opplysninger som ble hentet inn før 1. januar 2008. 2 07/00382-2 2

Overtredelsesgebyr I tråd med personopplysningslovens 46 har Datatilsynet vurdert hvorvidt overtredelse av personopplysningslovens 9 og 33 bør medføre et overtredelsesgebyr. Ved vurderingen har tilsynet lagt vekt på følgende: Lovbruddets alvorlighetsgrad Datatilsynet finner at den aktuelle behandlingen i stor grad krenker personvernet til de enkeltpersoner som opplyningene knytter seg til. Det vises i den forbindelse til at angjeldende personopplysninger er sensitive, idet det er opplysninger om helseforhold, jf personopplysningslovens 2 nr 8. Det vises videre til at opplysningene opprinnelig er gitt helsepersonellet ved det enkelte sykehuset, i pasientens tillit til at opplysningene blir behandlet fortrolig. Da det ikke er gitt samtykke fra den registrerte, eller hentet inn dispensasjon fra helsemyndighetene, har innhentingen medført brudd på helsepersonellovens bestemmelser om taushetsplikt i det enkelte helseforetak 3. Det vises videre til at virksomheten har brutt flere grunnleggende plikter i personopplysningsregelverket, nemlig plikten til å etablere et rettslig grunnlag for sin behandling og plikten til å ha konsesjon fra tilsynet. I tillegg har virksomheten brutt plikten å informere de registrerte, i henhold til helseregisterlovens 24. Det vises også til at opplysningene vedrører en relativ stor gruppe mennesker. En konsesjon er en forhåndstillatelse som bygger på et tillitsforhold mellom Datatilsynet og den behandlingsansvarlige. Manglende etterlevelse av konsesjoner kan derved undergrave selve konsesjonsinstituttet. Datatilsynet ser særlig derfor alvorlig på at uttrykkelige forutsetninger som ligger til grunn for en konsesjon fra Datatilsynet ikke respekteres. Skyldspørsmålet Datatilsynet finner at virksomheten opptrådte grovt uaktsomt eller forsettelig da personopplysningsregelverket ble brutt. Det vises til at virksomheten har unnlatt å oppfylle en konkret og uttrykkelig del av et enkeltvedtak fra Datatilsynet. Det vises videre til at påleggets innhold var en grunnleggende forutsetning for at tilsynet ga sin tillatelse. Det må forventes at en virksomhet gjør seg kjent med innholdet i en offentlig tillatelse, herunder de forutsetninger eller vilkår som stilles. Dersom virksomheten har innsigelser mot vedtaket kan det fremmes en klage i medhold av forvaltningsloven. Dersom innholdet i vedtaket er uklart må det forventes at virksomheten henvender seg til den som har gitt tillatelsen for å be om nødvendige avklaringer. Datatilsynet har ikke mottatt noen klage fra St Olavs hospital, eller mottatt henvendelser for å avklare innholdet i vedtaket. I sin redegjørelse av 26. mars 2012 viser virksomheten til at de i 3 Brudd på taushetsplikt hos det enkelte helseforetak ligger utenfor Datatilsynets forvaltningskompetanse. Tilsynet oversender imidlertid en kopi av dette brevet til helsetilsynet, som rette vedkommende. 3

2008 ble gjort oppmerksom på at vi kunne søke dispensasjon via Sosial- og helsedirektoratet. Virksomheten synes å ha lagt til grunn at en dispensasjon fra taushetsplikten ville kunne tre i stedet for et samtykke, slik at tilsynets konsesjonsvilkår mistet relevans. Datatilsynet vil bemerke at en slik forståelse er uriktig, og uansett burde ha vært avklart med tilsynet allerede før man søkte om dispensasjon i 2008. Senest på det tidspunktet da dispensasjonssøknaden ble avslått i 2009 måtte virksomheten forstå at samtykkevilkåret ikke lot seg oppfylle gjennom en dispensasjon. At virksomheten deretter forholdt seg passiv i mer enn to år representerer et markant avvik fra en adferd som objektivt sett kan anses som forsvarlig. Tidsmomentet Datatilsynet har også lagt vekt på at lovbruddet har pågått i lang tid. I prinsippet oppstod pliktene etter personopplysningsregelverket allerede ved helseregisterlovens ikrafttredelse 1. januar 2002. De eldste opplysningene er pr i dag behandlet ulovlig i mer enn ti år. De nyeste opplysningene er behandlet ulovlig i mer enn fire år. Økonomisk bæreevne Som det fremgår over anser tilsynet at lovbruddet er svært alvorlig, og at virksomheten har utvist grov skyld. I tillegg må det legges til grunn at St Olavs hospital har solid økonomisk bæreevne. Datatilsynet vil ikke ilegge andre reaksjoner for overtredelsen. I henhold til ovennevnte, og i samsvar med Datatilsynets praksis, settes overtredelsesgebyret til kroner 250.000. Spørsmål om videre behandling av opplysninger i NORKAR Datatilsynet forstår at virksomheten fortsatt ønsker å behandle opplysninger om personer som er inkludert etter 1. januar 2008. Virksomheten opplyser at inklusjon etter denne dato har skjedd i henhold til samtykke fra den registrerte, i tråd med helseregisterlovens og personopplysningslovens bestemmelser. Den konsesjonen som ble gitt i 2007 var i tidsbegrenset til det tidspunktet da forskrift om nasjonale kvalitetsregistre trådte i kraft. Forskrift om nasjonalt hjerte- og karregister ble vedtatt 16. desember 2011, og det er ventet at registeret vil starte opp i løpet av første halvdel av 2012 4. Forskriften gir ikke St Olavs hospital adgang til videre behandling av opplysninger i NORKAR. Eventuell videre behandling må derved skje med hjemmel i helseregisterlovens 5 jf personopplysningslovens 9 og 33. I praksis vil det si at St Olavs hospital må ha en ny konsesjon fra Datatilsynet, for videre behandling av allerede innsamlede opplysninger. Datatilsynet har ikke mottatt en fullstendig søknad om ny konsesjon for fremtidig behandling av allerede innsamlede opplysninger i NORKAR, og har derved ikke tatt endelig stilling til konsesjonsspørsmålet. 4 jf www.fhi.no 4

Tilsynet imøteser en snarlig konsesjonssøknad, og gjør oppmerksom på at manglende konsesjon medfører at opplysningene må slettes eller anonymiseres. I forbindelse med en eventuell konsesjonssøknad vil Datatilsynet ønske å se nærmere på det/de informasjonsskriv/samtykkeerklæring som er benyttet etter 1. januar 2008. Avsluttende merknader Etter forvaltningslovens 16 skal parten varsles og gis anledning til å uttale seg før endelig vedtak fattes. Dersom De har kommentarer til dette varselet eller andre merknader i saken, ber vi om at dere sender dette til Datatilsynet senest innen fire 4 uker fra dags dato. Med vennlig hilsen Bjørn Erik Thon direktør Cecilie L B Rønnevik seniorrådgiver Kopi: St Olavs Hospital HF - Personvernombudet, Aud Toril Lillerønning, Olav Kyrresgt 17, 7006 TRONDHEIM St Olavs Hospital, Postboks 3250 Sluppen, 7006 TRONDHEIM 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding