Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Like dokumenter
Endelig kontrollrapport Kreftregisteret / Janusbanken

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vedtak om overtredelsesgebyr - Publisering av personopplysninger i personalsak - Askvoll kommune

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak om overtredelsesgebyr - Harstad kommune - Publisering av sensitive personopplysninger på Internett

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak om pålegg og overtredelsesgebyr - Publisering av sensitive personopplysninger på offentlig postjournal - Årdal kommune

Vedtak om overtredelsesgebyr - Utlevering av sensitive personopplysninger på Internett - Os kommune

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Kontroll av reseptformidleren endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Deres referanse Vår referanse Dato / /EOL

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Konkurransetilsynet. Nærings- og Handelsdepartementet Postboks 8014 Dep 0030 OSLO. 1 Bakgrunn

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Lovvedtak 76. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

25 APR 50,3. Datatilsynet ~+~ 0ffl0/L? 70~~?5. Vedtak om pålegg - overtredelsesgebyr til Sykehuset Innlandet HF

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Det juridiske rammeverket for helseregistre

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Rettslig regulering av helseregistre

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Register og biobank for urologiske sykdommer (Prostatabiobanken)

Høyesterettsdom i Avfallsservice-saken

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Ot.prp. nr. 51 ( )

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Klage på delvis avslag på begjæring om innsyn - Konkurransetilsynets sak 2003/255

UNIVERSITETET I BERGEN

OM PERSONVERN TRONDHEIM. Mai 2018

Vår ref. 2013/197 Deres ref. Dato:

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Saksnr. Arkivkode Avd/Sek/Saksb Deres ref. Dato. 12/923-4 GNR 36/7 PUE/ADM/JAPE

Vår referanse (bes oppgitt ved svar)

V E D T A K ETTER MARKEDSFØRINGSLOVENS 14 MOT

Er det mulig å kombinere personvern og god pasientservice? Jan Erik Myrvold, advokat og direktør i Kreditorforeningen Øst SA

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Rutine for varsling av kritikkverdige forhold

Endelig kontrollrapport

Utkast til lov om endring i lov 17. juni 2005 nr. 79 om akvakultur (akvakulturloven):

Vedtak om pålegg - endelig kontrollrapport

Innst. O. nr. 16. ( ) Innstilling til Odelstinget fra justiskomiteen. Ot.prp. nr. 71 ( )

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Endelig kontrollrapport

Varsel om vedtak om overtredelsesgebyr - mfl 11 og mfl. 6 jf. forskrift om urimelig handelspraksis pkt. 20 og 21 jf. mfl 39 og 43

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Det vises til søknad av xx.xx.xxxx om konsesjon til å behandle personopplysninger.

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Endelig kontrollrapport

Høring forslag om ny forskrift om tvangsmulkt med hjemmel i lov om offentlige anskaffelser 17

Klagenemnda for offentlige anskaffelser. Klagenemndas medlemmer: Georg Fredrik Rieber-Mohn, Bjørg Ven og Tone Kleven

Hvilken betydning har personvernforordningen på helseområdet

Helseforskningsloven - lovgivers intensjoner

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Personvern i helsesektoren - sett fra Personvernnemnda

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Klage over Konkurransetilsynets delvis avslag på innsynsbegjæring i vedtak V2005-9

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Transkript:

OSLO UNIVERSITETSSYKEHUS HF Postboks 4956 Nydalen 0424 OSLO Deres referanse Vår referanse Dato 2016/10950 15/01357-15/CGN 11.12.2017 Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken Vi viser til vårt brev av 13. juli 2017, hvor vi på bakgrunn av vedtak om pålegg etter gjennomført kontroll med OUS HF ved Kreftregisteret varslet vedtak om overtredelsesgebyr. Vi viser også til øvrig korrespondanse i denne saken. Med hjemmel i helseregisterloven 29 fatter vi følgende vedtak: Oslo Universitetssykehus HF pålegges å betale kroner 400 000,- fire hundre tusen - for å ha samlet inn og behandlet personopplysninger og biologisk materiale i strid med helseregisterloven 6, jf. personopplysningsloven 11, jf. 8 og 9, og Datatilsynets konsesjon av 13. januar 2009. I det følgende gir vi nærmere begrunnelse for vedtaket og utmåling av gebyret. Om Janusbanken Janusbanken ble etablert i 1973 og eies av Kreftregisteret. Janusbanken består av en biobank og et helseregister. Hovedformålet med behandling av opplysninger og biologisk materiale i Janusbanken er kreftforskning. Blodprøver som er innhentet før kreftsykdom er påvist blir undersøkt med henblikk på å finne tidlige markører for kreft. Målet er å øke kunnskapen om årsaker til kreft og hvordan sykdommen utvikles. Banken består av serumprøver fra ca 318 000 friske personer fra hele landet. Blodprøvene er avgitt i forbindelse med blodgivning eller gjennom landsomfattende helseundersøkelser. Av disse personene har ca 70 000 senere utviklet kreft. For en liten andel av dem som har utviklet kreft har det i forbindelse med behandling ved Radiumshospitalet blitt samlet inn en ny blodprøve som er lagt inn i Janus biobank, totalt ca 1,1 % av de totalt registrerte i Janusbanken. Av disse er det innsamlet opplysninger om 1024 personer etter 2009. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Kort oppsummering av saken Janusbanken har opprinnelig konsesjon fra Datatilsynet gjennom vedtak fra 1993. Den gjeldende konsesjonen fra Datatilsynets er gitt i vedtak av 13. januar 2009. Konsesjonen er gitt til Kreftregisteret som behandlingsansvarlig. Konsesjonen ble gitt med behandlingsgrunnlag hjemlet i personopplysningsloven 8 d og 9 h, som tillater behandling av data ut fra en avveining ut fra samfunnets interesse opp mot ulempene behandlingen utgjør for de registrerte. Data i registeret som er samlet inn fra oppstart og fram til 2009, er avgitt på bakgrunn av samtykker som ikke tilfredsstiller dagens krav til rettslig gyldige samtykker. I konsesjonen ble det stilt en klar forutsetning om at all fremtidig innsamling av materiale skulle baseres på gyldige samtykker fra de registrerte ut fra dagens regelverk. Fram til 2015 har Datatilsynet vært i korrespondanse med Kreftregisteret som har redegjort for hvordan det har vært arbeidet med å sikre kravene tilsynet har stilt i vår konsesjon. Korrespondansen er detaljert redegjort for i vårt varsel om kontroll. I brev av 20. april 2015 informerte Kreftregisteret om at det er besluttet å stanse innsamlingen av tilleggsmaterialet til Janusbanken, da det var klart at rutinene for innsamling av materialet med gyldig samtykke ikke var på plass. Kreftregisteret søkte i samme brev om endring av konsesjonen, og om å gjøre unntak for vilkåret om samtykke som ble stilt i 2009. Etter denne korrespondansen fremstod saken som uklar for Datatilsynet. Vi så behov for å nærmere kontrollere hvorvidt premissene i vår konsesjon var etterlevet. Videre vurderte vi det som nødvendig å avklare ansvarsforholdene rundt behandlingen av opplysninger i Janus serumbank. Vi gjennomførte derfor den 9. februar 2016 en stedlig kontroll med OUS HF ved Kreftregisteret, og foreløpig kontrollrapport og varsel om vedtak ble sendt ut i brev av 21. juni 2016. Kontrollen avdekket at det var uklar forståelse av hvor databehandlingsansvaret var plassert i OUS og Kreftregisteret. Kreftregisteret er etter vår forståelse både et helseregister og en avdeling under OUS som databehandlingsansvarlig. Janusbanken anses ikke som en del av det sentrale helseregisteret og oppgavene som Kreftregisteret har etter Kreftregisterforskriften, og det er derfor OUS som anses som databehandlingsansvarlig for Janusbanken. Videre avdekket kontrollen at det var samlet inn opplysninger i strid med den grunnleggende forutsetningen for konsesjonen om at databehandlingen skulle skje på bakgrunn av samtykke fra de registrerte. Dette innebærer at det er samlet inn og behandlet opplysninger uten gyldig behandlingsgrunnlag. Siden 2009 har OUS ved Janusbanken samlet inn blodprøver fra totalt ca. 1000 pasienter uten at det har vært innhentet samtykke til dette. Innsamlingen har skjedd i forbindelse med at pasienter har vært inne og tatt blodprøver for kreftdiagnostiske formål. Dataene har imidlertid kun vært bruk i brukt i begrenset omfang. 2

Det ble også avdekket at det var blitt utvekslet opplysninger innen OUS som trolig er i strid med taushetsplikten etter helsepersonelloven, ved at Radiumhospitalet har utlevert lister over pasienter til Kreftregisteret ved Janusbanken for å kunne gjøre oppslag mot registrerte i Janus. Etter tilbakemelding fra OUS ble endelig kontrollrapport, vedtak om pålegg og varsel om overtredelsesgebyr sendt fra oss i brev av 13. juli 2017. Vi fattet følgende vedtak om pålegg: 1. Med hjemmel i helseregisterloven 27, jf. 22 og 21, jf. personopplysningsforskriften 2-7 pålegges Oslo Universitetssykehus HF å etablere internkontroll ved at det avklares og dokumenteres i hvilken grad virksomheten er ansvarlig for de behandlinger som finner sted ved Kreftregisteret. 2. Med hjemmel i helseregisterloven 27, jf. 22 og pasientjournalloven 27, jf. 23 pålegges Oslo Universitetssykehus HF å etablere internkontroll ved at det rettslige grunnlaget for utlevering av helseopplysninger fra pasientbehandling til andre formål vurderes og at det etableres nødvendige rutiner for å sikre etterlevelse av lovene. 3. Med hjemmel i helseregisterloven 27 pålegges Oslo Universitetssykehus HF å bringe til opphør behandling av helseopplysninger som behandles i strid med konsesjon av 13. januar 2009 ved at opplysningene slettes eller at det innhentes samtykke i samsvar med konsesjonen. 4. Med hjemmel i helseregisterloven 27, jf. 24 pålegges Oslo Universitetssykehus HF å informere registrerte som har fått sine personopplysninger behandlet i strid med konsesjon av 13. januar 2009 om behandlingen som har funnet sted. Informasjon kan knyttes til innhenting av samtykke til videre behandling, men det må eksplisitt informeres om at helseopplysninger har vært behandlet i strid med konsesjonen og regelverket. Våre vedtak om pålegg etter kontrollen er ikke påklaget, og det er oversendt oss en tidsplan for lukking av de avvikene kontrollen avdekket. Rettslig grunnlag for overtredelsesgebyr Etter helseregisterloven 29 kan Datatilsynet ilegge overtredelsesgebyr. Vi siterer fra bestemmelsen: Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll. Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på a) hvor alvorlig overtredelsen har krenket de interesser loven verner, 3

b) graden av skyld, om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, c) om overtredelsen er begått for å fremme overtrederens interesser, d) om overtrederen har hatt eller kunne ha oppnådd fordel ved overtredelsen, e) om det foreligger gjentakelse, f) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen andre som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og g) overtrederens økonomiske evne. Bestemmelsen sier at ileggelse av overtredelsesgebyr skal bero på en skjønnsmessig helhetsvurdering, men legger føringer på skjønnsutøvelsen ved å trekke frem momenter som skal tillegges særlig vekt. Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Overtredelsesgebyr er ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556, legger Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Datatilsynets vurdering Datatilsynet finner det klart at OUS har brutt vilkår og forutsetninger gitt i vedtak om konsesjon av 13. januar 2009, og vi finner overtredelsene er så alvorlige at det er nødvendig å reagere med overtredelsesgebyr. Konsekvensen av å ikke følge konsesjonens forutsetninger, er at det har skjedd innsamling av biologisk materiale og helseopplysninger uten at det foreligger gyldig behandlingsgrunnlag. Dette utgjør et brudd på grunnleggende krav for behandling av personopplysninger, jf. personopplysningsloven 11, jf. 8 og 9 og helseregisterloven 6, annet ledd. I vurderingen av om overtredelsesgebyr skal ilegges, legger Datatilsynet særlig vekt på at overtredelsene har krenket grunnleggende interesser som loven verner, jf. helseregisterloven 29 annet ledd bokstav a. Loven skal sikre at behandlingen [av opplysninger] foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste, jf. lovens 1. Datatilsynet har stilt som betingelse for vår konsesjon at behandlingen av opplysninger skal baseres på samtykke fra de registrerte. Behandlinger som er basert på samtykke ivaretar den enkeltes rett til selvbestemmelse og kontroll over egne opplysninger. I dette tilfellet har det blitt samlet inn biologisk materiale og opplysninger uten at pasientene har blitt forespurt, selv om dette var en grunnleggende forutsetning for Datatilsynets konsesjonsvedtak. 4

Innsamlingen av det biologiske materialet har foregått fra pasientene selv, og det har etter Datatilsynets oppfatning vært enkelt å kunne spørre pasientene om de ønsket å delta. Vi anser det som svært alvorlig at man i forbindelse med kreftdiagnostisering- eller behandling har tappet ekstra blod fra pasientene uten å spørre disse om tillatelse. OUS anfører i sine merknader at de aktuelle pasientene tidligere hadde avgitt blod til Janusbanken, og at det derfor er grunn til å anta at integritetskrenkelsen er mindre sammenlignet med gjennomsnittet av befolkningen. Datatilsynet tillegger ikke dette argumentet vekt i vurderingen av overtredelsens alvorlighet. OUS viser også til at sykehusets pasienter blir forelagt spørsmålet om å avgi et bredt samtykke til at eventuelt overskuddsmateriale fra prøver tatt i forbindelse med diagnostikk og behandling kan bli brukt til forskning. Datatilsynet antar at dette gjelder det såkalte «Bredt forskningsregister for kreft». Dette registeret er også tillatt gjennom konsesjon fra Datatilsynet, og det er lagt strenge forutsetninger om informasjon til de registrerte til grunn. Dette registerets tillatelser og samtykker kan ikke benyttes for behandling av data i Janusbanken, ettersom det er helt atskilte behandlingsformål for disse registrene. Vi er uenige i OUS sin vurdering når det biologiske materialet som er samlet inn defineres som «overskuddsmateriale». Det er for oss utvilsomt at det er tatt ekstra blodprøver med hensikt å sende disse til Janusbankens biobank. Vi tillegger følgelig ikke dette argumentet vekt i vurderingen av overtredelsenes alvorlighet. Når det gjelder vurderingen av grad av skyld, jf. helseregisterloven 29 annet ledd bokstav b, jf. personopplysningsloven 46 annet ledd bokstav b, forklarer personopplysningslovens forarbeider 1 at det med graden av skyld siktes til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg. I forbindelse med endringen av konsesjon i 2009, ble det gjort en grundig vurdering knyttet til kravet om innhenting av samtykker fra de registrerte. Datatilsynets vedtak om konsesjon er betinget av at behandlingen av data skal baseres på samtykke fra de registrerte. Denne forutsetningen går klart frem av saksbehandlingen og av vedtaket om konsesjon, og det kan vanskelig sies at de databehandlingsansvarlige ikke var klar over samtykkekravet. Dette forholdet er heller ikke omtvistet i saken, og Datatilsynet legger til grunn at OUS er enige i konklusjonen om at det foreligger avvik knyttet til behandlingsgrunnlag og etterlevelse av Datatilsynets konsesjonsvilkår. Datatilsynet mener dermed at OUS ved Kreftregisteret har høy grad av skyld knyttet til den ulovlige innsamlingen av opplysninger og biologisk materiale i Janusbanken, ettersom det Hr vært klart hvilket behandlingsgrunnlag innsamlingen av data og biologisk materiale skulle baseres på. 1 Ot.prp. nr. 71 (2007 2008) 5

Det fremstår for Datatilsynet som at overtredelsen har skjedd for å fremme overtrederens interesser og OUS ved Kreftregisteret har oppnådd en klar fordel ved overtredelsen, jf. helseregisterloven 29 annet ledd bokstav c og d. OUS påpeker i sine merknader at det kun dreier seg om ca 1200 mennesker, noe som utgjør 0,4 % av Janusdeltakerne eller 1,5 % av kreftpasientene i Janusbanken. Det presiseres at innsamlingen i svært begrenset grad har bidratt til at Janusbanken er mer komplett. Datatilsynet er ikke enig i denne argumentasjonen. I perioden fra 2009-2015 er det samlet inn blodprøver fra pasienter systematisk uten å be om samtykke til dette. Det er ingen grunn til å tro at noen av de 1200 pasientene det er snakk om har blitt spurt om deltakelse. Selv om mange av disse ville ha sagt ja dersom de hadde fått muligheten til å velge, kan vi ikke legge en slik antagelse til grunn i vurderingen vår. Kreftregisteret har fått utlevert taushetsbelagte pasientopplysninger fra øvrige deler av OUS sitt tjenesteområde uten å ha tilstrekkelig hjemmel for dette. Disse utleveringene har gjort det mulig å identifisere pasienter som det videre har blitt innhentet blodprøver fra i forbindelse med pasientbehandlingen. Følgen av at man «rekvirerer» disse prøvene uten å spørre pasientene, er at registeret trolig har full dekning av de pasientene som har vært innom OUS i perioden 2009-2015. Datatilsynet finner ikke at de andre momentene i helseregisterloven 29 annet ledd gjør seg gjeldene i særlig grad, og det er ikke relevant å drøfte disse i dette vedtaket. Datatilsynet har etter dette kommet til at overtredelsesgebyr skal ilegges. Vurdering av gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges vekt. De forholdene som Datatilsynet har pekt på over, taler for et gebyr av en viss størrelse. Vi trekker særlig frem at overtredelsen har foregått i strid med omfattende korrespondanse forut for konsesjonsvedtaket i 2009 og i strid med klare forutsetninger i tillatelsen fra Datatilsynet. Vi mener at det bevisst er innhentet data og biologisk materiale uten at forutsetningene i konsesjonen har vært etterlevd. Overtredelsen har rammet mange pasienter som er i en sårbar situasjon. Kreftregisteret har etter Datatilsynets oppfatning i tillegg utnyttet det faktum at Radiumhospitalets opplysninger er underlagt samme databehandlingsansvarlig, slik at det har vært enkelt å få utlevert data om og biologisk materiale om de registrerte i Janusbanken. Gebyret bør settes så høyt at det får den nødvendig virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen. 6

Etter en helhetsvurdering av saken og graden av alvorlighet i overtredelsen, har vi kommet frem til at et overtredelsesgebyr på 400 000 kroner anses riktig. Dette er i tråd med vårt varsel om vedtak av 13. juli 2017. Om overtredelsesgebyret Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er ansett som endelig ved utløpet av klagefristen. Klagefristen er tre uker fra mottak av vedtaket. Vedtaket er tvangsgrunnlag for utlegg, jf. personopplysningsloven 47 a. Inndrivelse av kravet vil bli overlatt Statens innkrevingssentral. Kort om REKs godkjenning av Janus forskningsbiobank Datatilsynet har mottatt kopi av REKs vedtak av 21. april 2017 2, hvor de gir tillatelse til å oppbevare biologisk materiale i Janus forskningsbiobank. Datatilsynet vurderer at vedtaket bygger på en forutsetning om at samtykkene som er avgitt til biobanken ikke tilfredsstiller dagens lovkrav til gyldige samtykker. Vi er ikke kjent med dokumentasjonen og opplysningene som ligger til grunn for vedtaket. Det er etter vår mening en vesensforskjell på samtykker som er innhentet lovlig vurdert ut fra den rettslige situasjonen på innsamlingstidspunktet, og det som er situasjonen for innsamling av biologisk materiale i strid med forutsetninger i gjeldende tillatelser. Det er derfor etter vår oppfatning gode grunner for å vurdere rekkevidden av REKs tillatelse sett opp mot de avvikene og overtredelsene Datatilsynet har avdekket i denne saken. Saken sendes derfor i kopi til REK sør-øst. Klagemulighet Dere kan klage på vedtaket. En eventuell klage må sendes til oss innen tre uker etter at dere mottar dette vedtaket (jf. forvaltningsloven 28 og 29). Dersom vi opprettholder vårt vedtak vil vi sende saken videre til Personvernnemnda for klagebehandling. Innsyn og offentlighet Dere har rett til innsyn i sakens dokumenter (jf. forvaltningsloven 18). Vi vil også informere dere om at alle sakens dokumenter i utgangspunktet er offentlige (jf. offentleglova 3), men vi understreker samtidig at sikkerhetsdokumentasjon som hovedregel er unntatt offentlighet. 2 Saksnr 2017/366 REK sør-øst B 7

Med vennlig hilsen Bjørn Erik Thon direktør Camilla Nervik seniorrådgiver Kopi til: Kreftregisteret, Postboks 5313 Majorstuen, 0304 OSLO Statens helsetilsyn, Postboks 8128 Dep, 0032 Oslo REK sør-øst, Kongens gate 14, 0153 Oslo 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding