Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Den 10. januar 2013 gjennomførte Datatilsynet en kontroll av Vestre Viken Helseforetak på Drammen sykehus, jf vedlagte kontrollrapport. Kontrollen skjedde med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Temaet for kontrollen var virksomhetens bruk av databehandlere i utlandet og overføring av helse- og personopplysninger til utlandet. Foreløpig kontrollrapport De funn som ble gjort under tilsynet er nærmere beskrevet i vedlagte kontrollrapport. Eventuelle feil eller mangler i de faktiske forhold som fremkommer i rapporten bes tatt opp med Datatilsynet i forbindelse med virksomhetens eventuelle tilsvar til varselet, jf siste avsnitt i dette brev. Det gjøres i den forbindelse oppmerksom på at rapporten rten skal gjenspeile de faktiske forhold på kontrolltidspunktet. Med mindre virksomheten har kommentarer til foreløpig kontrollrapporten blir denne å anse som endelig. Avslutning av sak Datatilsynet har ikke funnet at virksomheten overføring helse- og personopplysninger til utlandet. Vi har derfor ikke påvist avvik fra gjeldende regelverk. Med den bakgrunn avslutter Datatilsynet saken. Eventuelle merknader til saken eller foreløpig kontrollrapport bes sendt Datatilsynet innen tre uker etter at varslet er mottatt. Med vennlig hilsen Helge Veum avdelingsdirektør Vedlegg: Foreløpig kontrollrapport Marius Engh Pellerud rådgiver Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
Saksnummer: 12/01080 Dato for kontroll: 10.01.2013 Rapportdato: 18.04.2013 Foreløpig kontrollrapport Kontrollobjekt: Vestre Viken Helseforetak Sted: Drammen Sykehus Utarbeidet av: Ragnhild Castberg Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte kontroll hos Vestre Viken Helseforetak 10. januar 2013. Kontrollen ble gjennomført med hjemmel i helseregisterlovens 31 og personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med bruk av databehandlere i utlandet. Kontrollen fant sted ved Drammen sykehus, Wergelandsgate 10, Drammen. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Narve Furnes, klinikkdirektør - Henriette Henriksen, sikkerhetsansvarlig og personvernombud - Robert Nystuen, avdelingssjef og IKT-ansvarlig - Hilde S. Moen, kvalitetssjef - Halfdan Moss, fagdirektør 2.2 Fra Datatilsynet: - Ragnhild Castberg, seniorrådgiver - Marius Engh Pellerud, rådgiver 3 Generelt Vestre Viken Helseforetak ble etablert 1. juli 2009. Helseforetaket består av fire somatiske og to psykiatriske sykehus. Foretaket har ansvar for 460 000 mennesker i 26 kommuner og har 9 400 ansatte. Virksomheten er organisert geografisk etter de fire sykehusene (Bærum, Drammen, Kongsberg og Ringerike) og funksjonelt i fire overgripende klinikkfunksjoner (prehospitale tjenester, psykisk helse og rus, medisinsk diagnostikk og intern service). Virksomhetens IKT-funksjoner styres og koordineres fra Senter for ehelse som er underlagt Klinikk for intern service. I Senter for ehelse ligger også rollen som informasjonssikkerhetsansvarlig. 1 av 4
4 Virksomhetens bruk av databehandlere i utlandet Datatilsynet behandlet i 2012 to saker som omhandler norske helseforetaks bruk av databehandlere som behandler personopplysninger i utlandet. I etterkant av disse sakene har Datatilsynet ønsket å følge opp helseforetakenes praksis knyttet til behandling av helse- og personopplysninger i utlandet. Tilsynet var derfor spesielt rettet mot overføring av personopplysninger til databehandlere i og utenfor EU. Datatilsynet fikk i forkant av kontrollen oversendt en oversikt over virksomhetens bruk av utenlandske databehandlere og behandling av person- og helseopplysninger i utlandet. Oversikten inneholder imidlertid alle utenlandske leverandører av systemer som benyttes av virksomheten til å behandle helse- og personopplysninger, men er ikke en selvstendig oversikt over databehandlere. Spesielt interessant i denne sammenheng er de systemer og tjenester der leverandøren har tilgang til personopplysninger der leverandøren er basert i eller har filialer utenfor EU. En gjennomgang av oversikten i forkant av kontrollen viser at dette er tilfelle for tre systemer innen røntgen: Siemens RIS/PACS, Carestream RIS og Carestream PACS. Det framgår av oversikten at disse systemene har funksjoner for systemoppfølging i flere land i EU, samt Australia og USA. Under kontrollen ble derfor disse systemene viet spesiell oppmerksomhet. Ut over røntgensystemer fokuserte Datatilsynet på virksomhetens bruk av pacemakere og distribusjon av data fra pacemakere som er operert inn i pasienter. Dette fordi en av de nevnte sakene i 2012 handlet om omføring av helseopplysninger fra pasienters pacemakere til leverandøren av pacemakeren. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Rettslig grunnlag Grunnvilkår for overføring av personopplysninger til utlandet er regulert av personopplysningsloven 29. Personopplysninger kan kun utleveres til stater som sikrer forsvarlig behandling av personopplysningene, jf. 1. ledd. Alle land som har tiltrådt personopplysningsdirektivet (Direktiv 95/46/EF) oppfyller kravene i denne bestemmelsen. Dette omfatter alle EU-land. I tillegg kan personopplysninger overføres til stater som ikke oppfyller kravet i 29, 1. ledd dersom ett av unntakene i personopplysningsloven 30, 1. ledd er oppfylt eller om Datatilsynet har gitt dispensasjon fra disse kravene, jf. 2. ledd. I tillegg er bestemmelsen om forbud mot etablering av virksomhetsovergripende registre relevant, jf. helseregisterloven 6 og 13. 5.2 Røntgen På røntgenområdet benytter Vestre Viken Helseforetak Siemens RIS/ PACS og Carestream RIS/ PACS (fra Kodak). Røntgensystem er typisk todelt. Den ene delen står for behandlingen av bildene som røntgenmaskinen produserer. Dette kalles PACS. PACS sender bildet videre til det som kalles Radiology Information System (RIS). Det er kun i RIS bildet knyttes til 2 av 4
konkrete personer. Her ligger også koblingen til pasientens ytterligere journalinformasjon. Helsepersonell vil hente ut informasjon fra RIS via pasientens journal. Selve røntgenmaskinen har kun et begrenset kortidsminne for lagring av røntgenbilder. Her lagres imidlertid kun ett bilde av gangen, kun over kort tid og bildene er ikke identifisert. Identifisering skjer først ved overføring til RIS. Vestre Viken drifter selv både RIS og PACS for både Carestream- og Siemensløsningen. For RIS og PACS fins det ikke muligheter for leverandører til å fjernstyre systemene. Det fins dermed ingen mulighet for at leverandørene kan få innsyn i virksomhetens person- og helseopplysninger. Derimot er det mulighet for at leverandørene kan gis fjerntilgang til selve røntgenmaskinene ved behov for feiltilgang. Her er det imidlertid ikke lagret personopplysninger. 5.3 Pacemaker Vestre Viken Helseforetak benytter fire leverandører av pacemakere: Medtronic, Orchestra Sorin, St. Judes og Guidence. Før en pacemaker settes i drift blir den programmert og testet. Ved innleggelse av ny pacemaker journalføres serienummer og type pacemaker i pasientens journal. En gang i året oversender Vestre Viken en rapport over innlagte pacemakere til et nasjonalt register. Ullevål sykehus har ansvaret for dette registeret i dag. Pasienter med pacemaker er til kontroll ved sitt sykehus jevnlig. Pacemaker leses av og programmeres ved hjelp av en pacemakerprogrammerer. Ved kontroll skriver dette programmet ut en rapport som legges i pasientens journal. Vestre Viken benytter ikke pacemakere som kommuniserer online med verken sykehus eller leverandør. Implanterbare hjertestartere legges inn og kontrolleres på samme måte. Her fins det imidlertid løsninger som gjør det mulig for pasienten å lese av implantatet hjemme og overføre informasjon via GPRS til server i utlandet. Pasientens lege kan da logge seg inn og kontrollere resultatet. En slik løsning har vært vurdert av Vestre Viken HF, men er ikke tatt i bruk. 5.4 Databehandleravtaler Den databehandlingsansvarliges skal etablere databehandleravtaler som redegjør for hvordan databehandler kan behandle helseopplysninger, jf. helseregisterloven 18. Datatilsynet etterspurte i etterkant av kontrollen avtaler mellom Vestre Viken HF og Medtronic og St. Judes. Dette for å bekrefte at Medtronic og St. Judes kun er å regne som leverandører av produkter og ikke behandler personopplysninger som Vestre Viken HF er databehandlingansvarlig for. Datatilsynet fikk oversendt innkjøpsavtalene med leverandørene, men konkrete produktbeskrivelser mangler. Etterfølgende dialog med Vestre Viken HF viser at slike beskrivelser av produkt og leveranser mangler. Ut fra informasjonen gitt ved stedlig kontroll framstår det som om Vestre Viken HF ikke foretar behandlinger av helse- og personopplysninger i utlandet. Dette er likevel vanskelig å verifisere, da Medtronics og St. Judes leveranser ikke tydelig er avtalefestet. Datatilsynet vil ikke fatte avvik knyttet til fraværet av slike avtaler, men vil påpeke at den Vestre Viken har 3 av 4
plikt til å ha kontroll med hva sine leverandører leverer av produkter og tjenester. Dette er en del av de planlagte og systematiske tiltak en databehandlingsansvarlig må gjennomføre for å oppfylle kravene i helseregister- og personopplysningsloven, jf. helseregisterloven 17, 1. og 2. ledd. 4 av 4