Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om vedtak Det vises til Deres redegjørelse av 26. mars 2012, vedrørende personopplysninger som er behandlet i NORKAR uten gyldig konsesjon og rettslig grunnlag. Dette er et varsel om at Datatilsynet vil fatte følgende vedtak: 1. St. Olavs hospital skal snarest, og senest innen 1. juli 2012 slette opplysninger om alle levende personer som er inkludert i NORKAR i perioden 1. januar 2002 31. desember 2007. 2. St. Olavs hospital pålegges å betale et overtredelsesgebyr til statskassen, pålydende kr 250.000 to hundre og femti tusen kroner. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens 47a. Kort om sakens bakgrunn Datatilsynet gjennomførte en kontroll ved St Olavs hospital i 2007 1, blant annet for å vurdere hvorvidt virksomhetens behandling av personopplysninger i et nasjonalt kvalitetsregister for hjerte- og karkirurgi (NORKAR Sentralregister) var i samsvar med personvernlovgivningen. Registeret inneholder identifiserbare helseopplysninger om alle personer som har fått gjennomført en blodåre-operasjon. Opplysningene er hentet inn fra pasientjournalene ved de ulike helseforetakene. Kontrollen avdekket at St Olavs hospital manglet rettslig grunnlag for å behandle opplysninger om personer som ble inkludert før 1. januar 2008, jf helseregisterlovens 5 jf personopplysningslovens 9. Det ble videre klart at St Olavs hospital ikke hadde ikke søkt Datatilsynet om konsesjon for behandlingen, i henhold til kravene i helseregisterlovens 5 jf personopplysningslovens 33. 1 Datatilsynets saksnummer 06/05855 Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
Registeret hadde hatt konsesjon fra Datatilsynet etter tidligere personregisterlov, men denne falt bort ved personopplysningslovens og helseregisterlovens ikrafttredelse. I etterkant av kontrollen påla Datatilsynet St Olavs hospital å søke om konsesjon for NORKAR. Søknaden ble innvilget av Datatilsynet 15. juni 2007 2. Det var en eksplisitt forutsetning for konsesjonen at det ble innhentet et frivillig, uttrykkelig og informert samtykke til behandlingen fra de registrerte. Vedtaket ble ikke påklagd. Den 19. desember 2011 mottok Datatilsynet en e-post fra St Olavs hospital, hvor det ble stilt spørsmål om hvorvidt virksomheten må hente inn samtykke dersom de skal bruke data som er registrert i de årene hvor registeret manglet gyldig konsesjon. Den 5. januar 2012 oversendte virksomheten et utkast til informasjonsskriv, til bruk ved innhenting av slikt samtykke. I perioden januar til mars 2012 korresponderte Datatilsynet på e-post med NORKAR. Den 8. mars 2012 fant tilsynet at det var nødvendig å be om en skriftlig redegjørelse fra St Olavs hospital, vedrørende virksomhetens etterlevelse av konsesjonsvilkår og regelverket forøvrig. Ifølge virksomhetens egen redegjørelse har det ikke blitt hentet inn samtykke i henhold til personopplysningslovens 9 jf 2 nr 7 fra personer som var inkludert før 1. januar 2008. Datatilsynets vurderinger Vedrørende krav om rettslig grunnlag for behandlingen - personopplysningslovens 9 Datatilsynet legger til grunn at St Olavs hospital i perioden 2002 til dags dato har manglet rettslig grunnlag i henhold til personopplysningslovens 9 for å behandle personopplysninger i NORKAR som er innsamlet i perioden 1. januar 2001 til 31. desember 2007. Av henvendelsen fra NORKAR fremgår det at man ønsker å reparere denne mangelen, gjennom å hente inn samtykke fra de som er registrert i nevnte periode. Til dette vil Datatilsynet bemerke at virksomheten fikk en slik mulighet i forbindelse med kontrollen i 2007. Det foreligger etter tilsynets vurdering ingen gode grunner for at virksomheten ikke benyttet denne muligheten. Konsekvensen må derved bli at opplysningene skal slettes. Vedrørende konsesjonsplikt personopplysningslovens 33 Vilkåret om at virksomheten skulle hente inn samtykke fra de registrerte var en grunnleggende og åpenbar forutsetning for Datatilsynet konsesjon av 15. juni 2007. Da virksomheten unnlot å hente inn samtykke legger tilsynet til grunn at tillatelsen ble gitt på bristende forutsetninger, og at konsesjonen derved har vært ugyldig for virksomhetens behandling av opplysninger som ble hentet inn før 1. januar 2008. 2 07/00382-2 2
Overtredelsesgebyr I tråd med personopplysningslovens 46 har Datatilsynet vurdert hvorvidt overtredelse av personopplysningslovens 9 og 33 bør medføre et overtredelsesgebyr. Ved vurderingen har tilsynet lagt vekt på følgende: Lovbruddets alvorlighetsgrad Datatilsynet finner at den aktuelle behandlingen i stor grad krenker personvernet til de enkeltpersoner som opplyningene knytter seg til. Det vises i den forbindelse til at angjeldende personopplysninger er sensitive, idet det er opplysninger om helseforhold, jf personopplysningslovens 2 nr 8. Det vises videre til at opplysningene opprinnelig er gitt helsepersonellet ved det enkelte sykehuset, i pasientens tillit til at opplysningene blir behandlet fortrolig. Da det ikke er gitt samtykke fra den registrerte, eller hentet inn dispensasjon fra helsemyndighetene, har innhentingen medført brudd på helsepersonellovens bestemmelser om taushetsplikt i det enkelte helseforetak 3. Det vises videre til at virksomheten har brutt flere grunnleggende plikter i personopplysningsregelverket, nemlig plikten til å etablere et rettslig grunnlag for sin behandling og plikten til å ha konsesjon fra tilsynet. I tillegg har virksomheten brutt plikten å informere de registrerte, i henhold til helseregisterlovens 24. Det vises også til at opplysningene vedrører en relativ stor gruppe mennesker. En konsesjon er en forhåndstillatelse som bygger på et tillitsforhold mellom Datatilsynet og den behandlingsansvarlige. Manglende etterlevelse av konsesjoner kan derved undergrave selve konsesjonsinstituttet. Datatilsynet ser særlig derfor alvorlig på at uttrykkelige forutsetninger som ligger til grunn for en konsesjon fra Datatilsynet ikke respekteres. Skyldspørsmålet Datatilsynet finner at virksomheten opptrådte grovt uaktsomt eller forsettelig da personopplysningsregelverket ble brutt. Det vises til at virksomheten har unnlatt å oppfylle en konkret og uttrykkelig del av et enkeltvedtak fra Datatilsynet. Det vises videre til at påleggets innhold var en grunnleggende forutsetning for at tilsynet ga sin tillatelse. Det må forventes at en virksomhet gjør seg kjent med innholdet i en offentlig tillatelse, herunder de forutsetninger eller vilkår som stilles. Dersom virksomheten har innsigelser mot vedtaket kan det fremmes en klage i medhold av forvaltningsloven. Dersom innholdet i vedtaket er uklart må det forventes at virksomheten henvender seg til den som har gitt tillatelsen for å be om nødvendige avklaringer. Datatilsynet har ikke mottatt noen klage fra St Olavs hospital, eller mottatt henvendelser for å avklare innholdet i vedtaket. I sin redegjørelse av 26. mars 2012 viser virksomheten til at de i 3 Brudd på taushetsplikt hos det enkelte helseforetak ligger utenfor Datatilsynets forvaltningskompetanse. Tilsynet oversender imidlertid en kopi av dette brevet til helsetilsynet, som rette vedkommende. 3
2008 ble gjort oppmerksom på at vi kunne søke dispensasjon via Sosial- og helsedirektoratet. Virksomheten synes å ha lagt til grunn at en dispensasjon fra taushetsplikten ville kunne tre i stedet for et samtykke, slik at tilsynets konsesjonsvilkår mistet relevans. Datatilsynet vil bemerke at en slik forståelse er uriktig, og uansett burde ha vært avklart med tilsynet allerede før man søkte om dispensasjon i 2008. Senest på det tidspunktet da dispensasjonssøknaden ble avslått i 2009 måtte virksomheten forstå at samtykkevilkåret ikke lot seg oppfylle gjennom en dispensasjon. At virksomheten deretter forholdt seg passiv i mer enn to år representerer et markant avvik fra en adferd som objektivt sett kan anses som forsvarlig. Tidsmomentet Datatilsynet har også lagt vekt på at lovbruddet har pågått i lang tid. I prinsippet oppstod pliktene etter personopplysningsregelverket allerede ved helseregisterlovens ikrafttredelse 1. januar 2002. De eldste opplysningene er pr i dag behandlet ulovlig i mer enn ti år. De nyeste opplysningene er behandlet ulovlig i mer enn fire år. Økonomisk bæreevne Som det fremgår over anser tilsynet at lovbruddet er svært alvorlig, og at virksomheten har utvist grov skyld. I tillegg må det legges til grunn at St Olavs hospital har solid økonomisk bæreevne. Datatilsynet vil ikke ilegge andre reaksjoner for overtredelsen. I henhold til ovennevnte, og i samsvar med Datatilsynets praksis, settes overtredelsesgebyret til kroner 250.000. Spørsmål om videre behandling av opplysninger i NORKAR Datatilsynet forstår at virksomheten fortsatt ønsker å behandle opplysninger om personer som er inkludert etter 1. januar 2008. Virksomheten opplyser at inklusjon etter denne dato har skjedd i henhold til samtykke fra den registrerte, i tråd med helseregisterlovens og personopplysningslovens bestemmelser. Den konsesjonen som ble gitt i 2007 var i tidsbegrenset til det tidspunktet da forskrift om nasjonale kvalitetsregistre trådte i kraft. Forskrift om nasjonalt hjerte- og karregister ble vedtatt 16. desember 2011, og det er ventet at registeret vil starte opp i løpet av første halvdel av 2012 4. Forskriften gir ikke St Olavs hospital adgang til videre behandling av opplysninger i NORKAR. Eventuell videre behandling må derved skje med hjemmel i helseregisterlovens 5 jf personopplysningslovens 9 og 33. I praksis vil det si at St Olavs hospital må ha en ny konsesjon fra Datatilsynet, for videre behandling av allerede innsamlede opplysninger. Datatilsynet har ikke mottatt en fullstendig søknad om ny konsesjon for fremtidig behandling av allerede innsamlede opplysninger i NORKAR, og har derved ikke tatt endelig stilling til konsesjonsspørsmålet. 4 jf www.fhi.no 4
Tilsynet imøteser en snarlig konsesjonssøknad, og gjør oppmerksom på at manglende konsesjon medfører at opplysningene må slettes eller anonymiseres. I forbindelse med en eventuell konsesjonssøknad vil Datatilsynet ønske å se nærmere på det/de informasjonsskriv/samtykkeerklæring som er benyttet etter 1. januar 2008. Avsluttende merknader Etter forvaltningslovens 16 skal parten varsles og gis anledning til å uttale seg før endelig vedtak fattes. Dersom De har kommentarer til dette varselet eller andre merknader i saken, ber vi om at dere sender dette til Datatilsynet senest innen fire 4 uker fra dags dato. Med vennlig hilsen Bjørn Erik Thon direktør Cecilie L B Rønnevik seniorrådgiver Kopi: St Olavs Hospital HF - Personvernombudet, Aud Toril Lillerønning, Olav Kyrresgt 17, 7006 TRONDHEIM St Olavs Hospital, Postboks 3250 Sluppen, 7006 TRONDHEIM 5