Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport



Like dokumenter
Endelig kontrollrapport

Oversendelse endelse av klage til Personvernnemnda - klage på vedtak

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Rettslig regulering av helseregistre

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Deres ref Vår ref (bes oppgitt ved svar) Dato

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Kontroll av reseptformidleren endelig kontrollrapport

Endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Databehandleravtaler

Det juridiske rammeverket for helseregistre

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Lydopptak og personopplysningsloven

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Endelig kontrollrapport

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Vår referanse (bes oppgitt ved svar)

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Hvilken betydning har personvernforordningen på helseområdet

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Endelig kontrollrapport

Foreløpig kontrollrapport

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

HVEM ER JEG OG HVOR «BOR» JEG?

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Endelig kontrollrapport

Helseforskningsrett med fokus på personvern

Vår referanse (bes oppgitt ved svar)

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vår referanse (bes oppgitt ved svar)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Endelig kontrollrapport Kreftregisteret / Janusbanken

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Kort innføring i personopplysningsloven

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

FYLKESMANNEN I OSLO OG AKERSHUS Helseavdelingen

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Personvernerklæring Stendi

Deres referanse Vår referanse Dato / /EOL

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Endelig kontrollrapport

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Endelig kontrollrapport

Adressemekling. Innhold INNLEDNING AKTØRENE

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

[start kap] Innholdsoversikt

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vår referanse (bes oppgitt ved svar)

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Informasjon om bruk av personnummer i Cristin-systemet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Endelig kontrollrapport

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

Transkript:

Advokatfirma Ræder DA v/adv. Vebjørn Søndersrød Postboks 2994 Solli 0230 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-11/HTE 18. januar 2012 Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport Det vises til Datatilsynets varsel om vedtak samt foreløpig kontrollrapport av 22. desember 2010. Det vises videre til Deres kommentarer i brev av 17. januar 2011, og nå senest Helse- og omsorgsdepartementet (heretter HOD) samt Helsedirektoratet sin avklaring i henholdsvis brev av 29. september 2011 og 21. oktober 2011. Etter avklaringen fra HOD og Helsedirektoratet legger Datatilsynet til grunn at deler av SUSS sin virksomhet blir å anse som helsehjelp, som utføres av helsepersonell og som virksomheten blir journalpliktig for, se nærmere kontrollrapportens pkt. 5.1.2. Tilsynet legger videre til grunn at SUSS i tillegg til å yte helsehjelp også yter råd og veiledning som faller utenfor definisjonen helsehjelp etter helselovgivningen. Og for denne delen av virksomheten, må SUSS ha et rettsgrunnlag etter helseregisterloven 5, dette vil være hjemmel i personopplysningsloven 9 og 33 eller annen hjemmel i lov, for de helsepersonopplysningene som behandles, se kontrollrapportens pkt. 5.1.2.. Datatilsynet har i den endelige kontrollrapporten laget et eget punkt om informasjonsplikt, se pkt. 5.1.3. Grunnen er for å presisere de plikter virksomheten har, samt imøtegå SUSS sine synspunkter. I brev av 17. januar 2011 sies det følgende: Så vidt SUSS-telefonen kan se foreligger det etter de hjemmelsgrunnlag SUSS-telefonen har til å behandle sensitive personopplysninger, ingen plikt til eksplisitt å opplyse SUSStelefonenes brukere om at personopplysninger ved middelbare handlinger i prinsippet kan knyttes til enkeltperson. Når virksomheten yter helsehjelp, vil virksomheten ha lovhjemmel til å føre journal etter helsepersonelloven 39 og 40. Når virksomheten samler opplysninger fra den registrerte, vil virksomheten, etter tilsynets vurdering, ha en plikt til å informere de registrerte etter helseregisterloven 23. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Vedtak Med hjemmel i helseregisterloven 32 samt personopplysningslovens 46 fjerde ledd gir Datatilsynet følgende pålegg: 1. Virksomheten må slette personopplysningene som innhentes i forbindelse med SUSS sin råd og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Det vises til kontrollrapportens pkt. 5.1.2. 2. Virksomheten pålegges å oppfylle sin informasjonsplikt overfor sine brukere, jf. helseregisterloven 23. Det vises til kontrollrapportens pkt. 5.1.3. 3. Virksomheten må avklare hvilken plikt de har til å informere den registrerte om utleveringsplikten til de sentrale helseregistre. Det vises til tilsynsrapportens pkt. 5.1.3. 4. Virksomheten må i sin internkontroll avklare hvilke lover som regulerer deres virke, samt hvordan personopplysningene skal behandles i virksomheten. Det vises til kontrollrapportens pkt 5.1.4. Datatilsynet gir frist for gjennomføring av pålegget til 15. februar 2012. SUSS må innen den nevnte dato dokumentere overfor Datatilsynet at påleggene er gjennomført. Klageadgang Dette vedtaket kan påklages til Personvernnemnda etter reglene i forvaltningslovens kap. IV. Eventuell klage skal sendes til Datatilsynet og klagefristen er tre uker fra vedtaket er mottatt. Med hilsen Leif T. Aanensen avdelingsdirektør Henok Tesfazghi rådgiver Vedlegg: Endelig kontrollrapport Kopi: Helsetilsynet 2

Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte kontroll hos Stiftelsen SUSS-telefonen (heretter SUSS) 5. oktober 2010. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med informasjonssikkerhet og internkontroll. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Bjørn Christian Østberg, daglig leder - Mette Hvalstad, faglig leder - Øyvind Roth, IKT-ansvarlig/systemutvikler 2.2 Fra Datatilsynet: - Henok Tesfazghi, juridisk rådgiver - Stein Erik Vetland, overingeniør 3 Generelt SUSS arbeider for å sikre ungdom hjelp til å oppnå bedre helse, spesielt forebygge uønskede graviditeter, abort og overføring av seksuelt overførbare sykdommer. SUSS er en landsdekkende stiftelse som drives av og med helsepersonell som har spesiell kompetanse i helseforebyggende og rådgivende arbeid blant unge. SUSS ble dannet i 1987 i forbindelse med gjennomføringen av to store nasjonale kampanjer i regi av Statens Helsetilsyn. 1 av 10

3.1 Lovvalgsspørsmål personopplysningsloven eller helseregisterloven Rettslig utgangspunkt: Det rettslige utgangspunkt er at personopplysningsloven gjelder for all behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten, jf. personopplysningsloven 5. Dersom helseregisterloven får anvendelse vil den særskilt regulere behandling av helseopplysninger. Helseregisterlovens sakelige virkeområde er nedfelt i lovens 3. Loven er begrenset til å gjelde for behandling av helseopplysninger i helsetjenesten og helseforvaltningen. Det følger også av 3 at loven er begrenset til å gjelde for behandling av helseopplysninger for å fremme formål som er beskrevet i 1. Faktiske forhold: Et tema på kontrollen var om SUSS var en virksomhet som oppfylte kriteriene i helsepersonelloven 2, jf. 3, og som således ble omfattet av helselovgivningen. Virksomheten mente selv at de drev helsehjelp og at helselovgivningen kom til anvendelse. Datatilsynet ba Helsedirektoratet om en tolkningsuttalelse vedrørende om SUSS sin virksomhet oppfylte kriteriene i helsepersonelloven 3 tredje ledd. I brev av 21. oktober 2011 avklarte Helsedirektoratet (samt Helse- og omsorgsdepartementet) med at SUSS må anses som en helsetjeneste som blant annet driver helsehjelp. Datatilsynets vurdering: Datatilsynet gjennomførte kontrollen av SUSS med hjemmel i personopplysningsloven. Etter direktoratets avklaring, er det tilsynets vurdering at SUSS sin virksomhet omfattes av helseregisterloven. Dette fordi SUSS sin virksomhet må etter Helsedirektoratets avklaring anses som en helsetjeneste etter helseregisterloven 3. Det er videre ikke tvilsomt om at SUSS behandler helseopplysninger for å fremme formål som er beskrevet i lovens 1. Kontrollen av SUSS skulle etter dette vært gjennomført med hjemmel i helseregisterloven. Det at kontrollen ble gjennomført med tilsynets hjemler i personopplysningsloven, medfører imidlertid ikke til noen vesentlig endring i tilsynets kompetanse. Konklusjon: SUSS sin behandling av personopplysninger omfattes av helseregisterloven. 4 Kort om bruk av personopplysninger samt formålet med behandlingene SUSS gir råd og veiledning over telefon, SMS og sikker e-post til enkeltpersoner ut i fra deres spørsmål eller problemstilling. SUSS har egenutviklet programvare som skal sørge for at identiteten til brukerne ikke blir avslørt for de ansatte og omvendt. SUSS lagrer opplysninger om hvem som kontakter dem, enten telefonnummer eller brukerid på Internett. I tillegg registreres det i et journalsystem hva problemstillingen eller spørsmålet var, samt hvilke råd eller veiledning som ble gitt. Den ansatte registrerer også hvilken kategori 2 av 10

spørsmålet eller problemstillingen omhandlet. For egenkontroll og utvikling registrerer den ansatte hvor fornøyd han eller hun med rådene og veiledning som ble gitt brukeren. SUSS mener selv at journalen faller innenfor journalbestemmelsene i helsepersonelloven. 4.1 Generelt om behandling av personopplysninger begreper og forutsetninger Datatilsynet har som en av sine oppgaver å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Dette innebærer blant annet at tilsynet skal påse at manglende overholdelse av personopplysningsloven med tilhørende forskrift opphører. 1 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. Bestemmelsen i lovens 2 nr. 1 definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsbegrepet favner med andre ord svært vidt, og omfatter blant annet opplysninger om en persons navn, personbilde eller bopel, men også vedkommendes ytringer eller handlinger. Loven gjelder også opplysninger om indirekte identifiserbare individer. Behandling av opplysninger om personer som er anonyme, er derimot ikke omfattet av regelverket. Når det gjelder uttrykket behandling, siktes det i loven til enhver formålsbestemt bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter. Personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. Dette pliktsubjektet er i loven og forskriften omtalt som den behandlingsansvarlige. Pliktene i regelverket gjenspeiles gjerne i tilsvarende rettigheter. Rettighetshaver er i lov og forskrift kalt den registrerte. 4.2 Behandling av personopplysninger SUSS tilbyr ulike kommunikasjonsformer for sine brukere. Dette er henholdsvis sikker e- post, SMS og telefon. 4.2.1 Sikker e-post På hjemmesiden til SUSS står det at som informasjon om Sikker e-post : Klikk på Logg inn over og registrer deg med ditt egenvalgte unike brukernavn og passord. Du kan spørre helt anonymt og helt sikkert. Svaret ditt kan du lese etter at du har mottatt et passord på mobilen 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger, og forskrift av 15. desember 2000 nr. 1265 om behandling av personopplysninger. 3 av 10

din (gratis). Det er KUN du som kan lese dine spørsmål og svar. Når du er logget inn på din side kan du også lese dine tidligere stilte spørsmål og svar på SUSS. Under registreringen må brukeren registrer følgende opplysninger: Alias, passord, fødselsår, fødselsmåned, kommune, kjønn og mobilnummer. Mobilnummeret blir brukt for å sende brukeren passord til svaret på spørsmålene brukeren stiller. For å kunne tilfredsstille krav til anonymitet kan ikke opplysningene kunne knyttes direkte eller indirekte til en person eller en gruppe av mennesker på fem eller mindre individer. Ved å benytte mobilnummer som kommunikasjonsform for passordet har virksomheten knyttet spørsmålet til en person direkte eller indirekte gjennom at alle mobiltelefoner er lovpålagt skal være registrert på en unik person. Denne personen trenger ikke være spørsmålsstilleren, men den vil vanligvis ha en tilknytning til den registrerte av mobiltelefonen. Tilsynet konkluderer med at SUSS behandler personopplysninger. Det avgjørende er at det knyttes indirekte identifiserbare (for eksempel et telefonnummer) til opplysningene. 4.2.2 SMS På hjemmesiden til SUSS står det at som informasjon om SMS: Du kan sende oss spørsmålet helt anonymt og helt sikkert på sms til 2026. Du kan bruke så mange tegn du vil. Svaret kommer sikkert og direkte til din mobil og koster en krone! Viser til punkt 4.2.1 angående mobilnummer sin tilknytning til en person. 4.2.3 Telefon På hjemmesiden til SUSS står det at som informasjon om telefon: Du kan ringe SUSStelefonen helt anonymt på 800 33 866 alle dager i året i tidsrommet 14 20. Er det noe som virkelig haster, ring oss. Viser til punkt 4.2.1 angående mobilnummer sin tilknytning til en person. 4.3 Sensitive personopplysninger Personopplysningsloven 2 nr.8 litra c) og d) definerer sensitive personopplysninger til opplysninger om henholdsvis helseforhold og seksuelle forhold. På hjemmesidene til SUSS står det at du kan stille spørsmål anonymt om alt du lurer på om helse, samliv og seksualitet. Alle får svar, de fleste nesten med en gang, i løpet av dagen eller innen 24 timer. Etter helseregisterloven 2 nr. definerer helseopplysninger som taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,. Tilsynet stadfester at virksomheten behandler sensitive personopplysninger. 4 av 10

5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelle krav til behandling av personopplysninger 5.1.1 Generelt om krav for behandling av helseopplysninger Helseregisterloven 5 første ledd angir i hvilke tilfeller man lovlig kan behandle helseopplysninger: Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister. Både personopplysningsloven 9 og 33 og helseforskningsloven hjemler altså behandling av helseopplysninger. Videre er det en forutsetning for lovlig behandling av helseopplysninger at behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag. Begrepet helseopplysning er definert i helseregisterloven 2 på følgende måte: helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson Helseregisterloven er begrenset til å gjelde behandling av helseopplysninger i helseforvaltningen og helsetjenesten, jf lovens 3. 2 Eksempler på behandlinger som faller utenfor vil typisk være i trygdeforvaltningen, sosialforvaltningen, barneverntjenesten og behandling av helseopplysninger etter arbeidsmiljøloven. For behandlere av helseopplysninger utenfor helseforvaltningen eller helsetjenesten vil personopplysningsloven gjelde. 5.1.1.1 Nærmere om avidentifiserte helseopplysninger etter helseregisterloven Avidentifiserte helseopplysninger er definert i helseregisterloven 2 nr 2 som helseopplysninger der navn, fødselsnummer, og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling av de samme opplysningene som tidligere ble fjernet. I Ot.prp.nr. 5 (1999-2000) side 179 står følgende om avidentifiserte helseopplysninger: Avidentifiserte helseopplysninger er i loven definert som helseopplysninger der navn, fødselsnummer, og andre personentydige kjennetegn er fjerne, slik at opplysninger ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysningene som tidligere ble fjernet. Det karakteristiske for avidentifiserte helseopplysninger etter loven, er at all personidentifikasjonen er fjernet (både den direkte og den indirekte), og at personidentifikasjon er erstattet med en nøkkel eller et pseudonym. Når en utleverer avidentifiserte helseopplysninger, vil opplysningene fremstå som anonyme for mottaker, fordi mottaker ikke har tilgang til denne nøkkelen eller pseudonymet. 2 I helseregisterloven 3 tredje ledd er det imidlertid gitt hjemmel til å gi forskrift om at loven helt eller delvis skal gjelde også for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten. 5 av 10

Helseopplysninger der navn og fødselsnummer eller den direkte personidentifikasjon er fjernet, men hvor det er mulig å finne frem til personene ad indirekte vei (pga. andre opplysninger enn de direkte personidentifiserbare) er ikke avidentifiserte opplysninger etter loven. Slike opplysninger kommer inn under lovens betegnelse helseopplysninger Avidentifiserte opplysninger er på mottakers hånd anonyme, forutsatt at mottaker ikke har tilgang til den nøkkel som kan knytte opplysningene til den direkte personidentifikasjonen, som i sin tid ble fjernet. Avidentifiserte helseopplysninger om et enkeltindivid, kan ved sammenstilling av andre avidentifiserte helseopplysninger om samme enkeltindivid forutsatt at opplysningene er avidentifisert etter samme nøkkel/pseudonym generere personidentifiserbare opplysninger. Dette fordi en gjennom sammenstilling av flere enkeltopplysninger kan få så mange opplysninger om en person at det bare er en person opplysningene kan knyttes til. 5.1.1.2 Nærmere om anonyme opplysninger etter helseregisterloven Anonyme opplysninger er i helseregisterloven 2 nr 3 definert som: "opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson" Videre står følgende i Ot.prp.nr.5 (1999-2000) side 179: "Anonyme opplysninger defineres som opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson. Dersom opplysningene kan knyttes til ett av to individer, er dette i prinsippet en anonym opplysning. For å være på den sikre siden, bruker en ofte likevel i praksis å sette en grense på fire eller fem, dvs. dersom opplysningene kan knyttes til en av fire eller fem individer, føler en seg trygg på at opplysningene er anonymisert." 5.1.2 Behandlingsgrunnlag Rettslig grunnlag Etter helseregisterloven 5 kan helseopplysninger bare behandles elektronisk når dette er tillatt etter personopplysningsloven 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister. Etter personopplysningsloven må man ha et behandlingsgrunnlag for å behandle personopplysninger, jf personopplysningsloven 11, jf. 8 evt. 9. Som hovedregel bør dette være samtykke fra den det gjelder. Andre behandlingsgrunnlag kan være at adgangen til behandling er fastsatt i norsk lov eller at en slik behandling er nødvendig for nærmere angitte formål. 6 av 10

Datatilsynet har ovenfor (pkt. 4.2 og pkt. 4.3) konstatert at virksomheten behandler sensitive personopplysninger, jf. personopplysningslovens 2 nr. 8. Virksomhetens behandling vil videre anses som en behandling av helseopplysninger, jf. helseregisterloven 2 nr. 1. Faktisk forhold Virksomheten journalfører samtlige skriftlige besvarelser (inkl. telefonnummer) som sendes in og ut. Videre blir det laget referater fra samtlige telefonsamtaler (inkl. telefonnummer). Referatet blir journalført med øvrige skriftlig besvarelser. Journalene blir systematisert etter arkivnummer/løpenummer. Virksomheten mener at journalen faller innenfor journalbestemmelsene i helsepersonelloven. Virksomheten har derfor ikke slettet noen journaler siden praksisen ble etablert i 2002. Konklusjon Etter Helsedirektoratet samt Helse- og omsorgsdepartementet sine avklaringer i henholdsvis brev av 21. oktober 2011 og 29. september 2011, vil deler av SUSS sin tjeneste måtte anses som helsehjelp. Dette gjelder særlig når det foreskrives resepter og når det henvises til spesialisthelsetjenesten. Videre må det regnes som helsehjelp når SUSS gir konkret og handlingsrettet råd og veiledning individuelt tilpasset innringeren og basert på informasjon fra innringer. Tilsynet legger til grunn at når SUSS utfører tjenester som her nevnt, vil virksomheten drive helsehjelp. I de tilfeller SUSS driver helsehjelp, vil tjenesten (jf. avklaringen) være utført av helsepersonell, jf. helsepersonellovens 3 nr. 3, jf 3 tredje ledd, samt være journalpliktig, jf. helsepersonelloven 39 og 40. I tråd med avklaringen vil de råd SUSS gir, som er av en mer generell og uforpliktende karakter, råd som ikke er tilpasset den enkelte bruker, ikke anses som helsehjelp. Dette vil være opplysninger som brukeren selv kunne ha tilegnet seg selv (for eksempel via Internett), eller råd som vil kunne gjelde for en større gruppe mennesker. I de tilfeller SUSS sine tjenester ikke er å anse som ytere av helsehjelp, jf. helseregisterloven 2, jf. 4 tredje ledd, må tjenesten anses som råd og veiledning, og vil følgelig ikke være journalpliktig, jf. helsepersonelloven 39 og 40. Dette fordi behandlingen faller utenfor helsepersonellovens virkeområde. Problemstillingen blir således om virksomheten kan vise til et behandlingsgrunnlag for den elektroniske behandlingen av helseopplysninger, når virksomheten ikke yter helsehjelp, jf. helseregisterloven 5. Det vil si om virksomheten kan vise til hjemmel i lov eller konsesjon, jf. 5 første ledd. 7 av 10

5.1.3 Informasjonsplikt Rettslig grunnlag Helseregisterloven 23 pålegger den databehandlingsansvarlige en plikt til å informere den registrerte om forhold rundt behandlingen når det samles inn opplysninger fra den registrerte selv. Informasjonsplikten skal ivareta kjernen i personvernet, som er den enkeltes rett til å utøve kontroll med opplysninger om en selv. Den enkelte må vite at det behandles personopplysninger for å kunne ta i bruk de andre personvernrettighetene som retten til innsyn, retting, sletting m.v. Det følger av helseregisterlovens 23 at databehandlingsansvarlig skal av eget tiltak informere den registrerte om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Unntak fra informasjonsplikten følger av helseregisterloven 23 annet ledd, og helseregisterloven 25. Etter Helsedirektoratet og HOD sin avklaring vil SUSS kunne anses som en spesialisthelsetjeneste. SUSS vil da ha en plikt til å utlevere helseopplysninger til de sentrale helseregistre, dette følger av helseregisterloven 9, jf. 8. Dette vil for eksempel være plikt til å utlevere helseopplysninger til Norsk pasientregister, jf. helseregisterloven 8 nr 8. Faktiske grunnlag På hjemmesidene til SUSS står det at du kan stille spørsmål anonymt om alt du lurer på om helse, samliv og seksualitet. Alle får svar, de fleste nesten med en gang, i løpet av dagen eller innen 24 timer. 3 Den registrerte vil etter dette ha grunn til å tro at de opplysningene som avgis, ikke kan identifisere vedkommende. Konklusjon Tilsynet har ovenfor konkludert med at SUSS behandler helseopplysninger. Brukeren, vil etter Datatilsynets vurdering, ikke være anonym, siden det vil være mulig å knytte telefonnummeret til en enkeltperson, se pkt 4.2.1. SUSS sin opplysning om at brukeren av tjenesten er anonym blir således utidig og misvisende. Datatilsynet kan ikke se at noen av unntakene til informasjonsplikten kommer til anvendelse. SUSS vil følgelig ha en informasjonsplikt etter helseregisterloven 23. 5.1.4 Internkontroll planlagte og systematiske tiltak Rettslig grunnlag Helseregisterloven 17 stiller krav om internkontroll gjennom planlagte og systematiske tiltak etablert av den behandlingsansvarlige. Det er krav om dokumentasjon av tiltakene. 3 SUSS har endret informasjon på sine nettsider, men rapporten gjenspeiler forholdet ved tidspunktet for kontrollen. Følgende setning var fortsatt å finne pr. 3. november 2011 Du er selvsagt fortsatt helt anonym. 8 av 10

Personopplysningsforskriftens 3-1 stiller utfyllende krav. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse. Det er krav om at den databehandlingsansvarlige kjenner reglene for behandling av helseopplysninger og at det utarbeides de nødvendige rutiner i denne sammenheng. Det stilles eksplisitte krav om enkelte rutiner i personopplysningsforskriftens 3-1, videre stiller forskriftene for de sentrale helseregistrene etter helseregisterloven, og forskriften til helseforskningsloven utfyllende krav om internkontroll. I denne sammenheng er lovens og forskriftens generelle krav mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. Helseregisterloven 16 om informasjonssikkerhet stiller også krav om planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet. Personopplysningsforskriften kapittel 2 stiller krav om flere systemkomponenter. Systemkomponentene for informasjonssikkerhet er en del av virksomhetens internkontroll. Faktiske grunnlag SUSS har etter samtale med tilsynet i 2001 valgt å definere sine tjenester til å være kun meldepliktig i forhold til personopplysningsloven, siden virksomheten er av den oppfatning at de driver helsehjelp. Det har etter 2001 vært diskusjoner med Helsedirektoratet og andre tilsvarende tjenester om tjenesten kan anses som helsehjelp. Etter Helsedirektoratet samt Helse- og omsorgsdepartementet sine avklaringer i henholdsvis brev av 21. oktober 2011 og 29. september 2011, vil deler av SUSS sin tjeneste måtte anses som helsehjelp. SUSS har valgt å lage et journalsystem der de registrerer blant annet telefonnummeret som ble benyttet og når spørsmålet ble stilt. I tillegg lagres spørsmålet og det svaret som ble gitt. Ved å registrere fortløpende henvendelsene lagrer man en systematisk oversikt som det er mulig å gjenfinne opplysninger i. Konklusjon SUSS må i sin internkontroll avklare hvilke lover som regulerer deres virke, samt hvordan personopplysningene skal behandles i virksomheten. Avklaringsbehovet vil særlig gjelde for 9 av 10

behandlingsgrunnlag, jf. helseregisterloven 5, samt om behandlingen vil være konsesjonspliktig. 5.2 Forholdsmessig sikring av personopplysninger På sine sider står det at når du er logget inn på din side kan du også lese dine tidligere stilte spørsmål og svar på SUSS. Ved å ha tilgang til mobiltelefonen, brukernavn og passord kan du få tilgang til tidligere stilte spørsmål og svar. Under forutsetning av at virksomheten har gyldig behandlingsgrunnlag for de lagrede opplysningene, jf. pkt. 5.1.2 ovenfor, må de sensitive personopplysningene sikres i henhold helseregisterloven 16. Det vises i den forbindelse til Norm for informasjonssikkerhet 4. Datatilsynet ber virksomheten vurdere sikkerhetsløsningen i henhold til hvordan løsningen kun skal behandle anonyme personopplysninger. Virksomheten kan i en slik løsning blant annet ikke sammenstille spørsmål fra brukeren, siden virksomheten må sørge for at opplysningene ikke kan kobles tilbake til spørsmålsstilleren. 4 Normen for informasjonssikkerhet vil her være veiledende. 10 av 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding