Datatilsynets referanse: 09/01032-8/CBR

PVN-2009-22 NAV

Klage på Datatilsynets vedtak om informasjonsplikt ved NAVs innhenting av pasientjournaler i forbindelse med etterkontroll

Personvernnemndas avgjørelse av 24. mars 2010 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Ørnulf Rasmussen)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 2.10.2009 hvor Datatilsynet slår fast at informasjonsplikten i personopplysningsloven § 20 første ledd gjelder ved innhenting av pasientjournaler i kontrolløyemed. Datatilsynet og NAV er uenige om rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a.

2 Saksgang

Datatilsynet oppdaget i et oppslag på ABC Nyheter 9.8.2009 NAVs adgang til å få utlevert hele eller utdrag av pasientjournaler i forbindelse med sin kontrollvirksomhet. NAV uttalte da at det ikke var aktuelt å gi pasientene informasjon om den innhenting av journaler som finner sted ved etterkontroller.

Den 10.8.2009 ba Datatilsynet om en redegjørelse fra Arbeids- og velferdsdirektoratet for hvordan personopplysningslovens bestemmelser om informasjonsplikt etterleves ved innhenting av pasientjournaler i kontrolløyemed.

Datatilsynet mottok direktoratets redegjørelse 31.8.2009. Tilsynet fant ikke redegjørelsen tilfredsstillende og varslet vedtak 2.9.2009. Direktoratet ga tilsvar til varselet 25.9.2009. Datatilsynet fattet vedtak i samsvar med varselet 2.10.2009. Vedtaket ble påklaget av direktoratet 23.10.2009.

Personvernnemnda mottok saken 18.11.2009, som ble oversendt fra Datatilsynet 12.11.2009. Klager ble orientert om dette i brev fra nemnda datert 23.11.2009, med frist til uttalelse innen 8.12.2009. Brev fra klager innkom 8.12.2009, hvor klager har kommentarer til Datatilsynets oversendelsesbrev.

3 Faktum

Datatilsynet fattet følgende vedtak 2.10.2009:

NAV skal snarest, og senest innen fire uker fra vedtaks dato, etablere rutiner i henhold til personopplysningslovens § 14, for å sikre at pasienter gis informasjon i medhold av personopplysningslovens § 20, når det hentes inn opplysninger fra pasientjournaler i forbindelse med etterkontroll, jf folketrygdlovens §§ 21-4 flg.

4 Klagers anførsler

Klager mener at de ikke har noen rettslig plikt til å gi varsel til den registrerte når de innhenter personopplysninger med hjemmel i lov. Klager mener at personopplysningsloven § 20 annet ledd bokstav a, sammenholdt med folketrygdloven § 21-4, jf § 21-4 bokstav c hjemler unntak fra informasjonsplikten som følger av personopplysningsloven § 20 første ledd.

Klager er uenig med Datatilsynets tolkning og forståelse av personopplysningsloven § 20 annet ledd bokstav a og folketrygdloven § 21-4, jf § 21-4 bokstav c. Klager mener at Datatilsynets tolkning er i strid med lovgivers uttrykte vilje, slik den fremkommer i lovtekst og forarbeider.

Når det gjelder personopplysningsloven § 20 annet ledd bokstav a, mener klager at tilsynets tolkning ikke har grunnlag i objektive rettskildefaktorer som ordlyd og forarbeider og fremstår som vilkårlig. Det vises til Ot prp nr 92 (1998-99) som i departementets merknader til § 20 klargjør følgende:

Det er ikke plikt til å varsle dersom innsamlingen av opplysningene er hjemlet i lov, jf annet ledd bokstav a. Det gjelder blant annet plikten til å levere selvangivelse (…) I slike tilfeller vil loven selv gi tilstrekkelig varsel

Klager mener at rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a må bero på en tolkning av det underliggende lovgrunnlaget for innsamlingen eller formidlingen. Klager har en uttrykkelig hjemmel for innhenting av pasientopplysninger i forbindelse med etterkontroll. Det fremgår direkte av lovteksten at etaten har hjemmel til å innhente opplysninger fra pasientjournal mv.

Klager viser til Ot prp nr 76 (2007-2008) pkt 4.3.1:

Det er vesentleg at reglane er omfattande nok med omsyn til kva for opplysningar ein kan få og kven som kan påleggjast opplysningsplikt. Det er og viktig at reglane klart går fram av lova, inkludert vilkåra for henting av opplysningar.

Når det gjelder folketrygdloven § 21-4, jf § 21-4 bokstav c, er det kjent at Datatilsynet er sterkt skeptisk til den lovhjemlede adgangen til innhenting av pasientjournaler i kontrolløyemed. På tross av Datatilsynets sterke innvendinger i høringsrunden, ble slik lovhjemmel vedtatt av Stortinget. Av forarbeidene fremgår det at målet med endringene var å presisere en rekke forhold som tidligere hadde vært uklare og at endringene skulle ”gi et klarare signal til etaten og publikum om rammane for arbeidet”. Presiseringene gjaldt blant annet at:

  1. hjemmelen skulle gjelde ved etterfølgende kontroll av ytelser (når),
  2. at retten til å innhente opplysninger omfatter pasientjournaler (hva),
  3. at opplysningene kan innhentes fra behandlere (hvem),
  4. i tillegg til presiseringer av fremgangsmåten ved innhenting (hvordan).

Klager opplever at Datatilsynets anførsel om at Arbeids- og velferdsetaten ikke har en ”uttrykkelig” hjemmel som en omkamp mot det lovverket som faktisk ble vedtatt. Datatilsynet fremmer i vedtaket en ny og hittil ukjent tolkning av personopplysningsloven § 20 annet ledd bokstav a. Tolkningen kan få utilsiktede administrative konsekvenser også for andre offentlige etater som i dag henter inn personopplysninger med hjemmel i lov. En rekke steder i forarbeidene til personopplysningsloven ble det presisert at det var nødvendig med unntak fra varslingsreglene der innsamlingen av personopplysninger fra tredjepart var hjemlet i lov, og at stortingskomiteens justering av ordlyden i § 20 annet ledd bokstav a neppe var ment å endre på det.

Arbeids- og velferdsetaten har foretatt en ytterligere innskjerping av retningslinjene på dette området etter Datatilsynets varsel om vedtak. Klager mener at de har uttrykkelig hjemmel til innhenting av pasientjournaler ved etterkontroll i folketrygdloven § 21-4, jf § 21-4 bokstav c, og at unntaket i personopplysningsloven § 20 annet ledd bokstav a derfor kommer til anvendelse.

5 Datatilsynets vurdering

Datatilsynet bestrider ikke at innhentingen av personopplysningene er hjemlet i lov. Innhentingen har rettslig grunnlag i personopplysningslovens § 9 første ledd bokstav b. Innhentingen er unntatt fra konsesjonsplikt etter personopplysningslovens § 33 fjerde ledd.

Datatilsynet erkjenner at ordlyden i personopplysningsloven § 20 annet ledd bokstav a kan forstås slik at unntaket kommer til anvendelse dersom selve innhentingen er uttrykkelig fastsatt i lov. Tilsynet mener imidlertid at bestemmelsen må forstås i lys av de hensyn som ligger til grunn for både hovedregelen om informasjonsplikt og for dette konkrete unntaket, jf personopplysningsloven § 1 og § 20. Datatilsynet viser også til at innhentingen skal være ”utrykkelig” fastsatt. Dette er et signal om at det skal kreves noe mer enn at innsamlingen er lovhjemlet.

Datatilsynet minner om at rett til informasjon er en grunnleggende personverngaranti. Informasjon er en nødvendig forutsetning for at den registrerte skal kunne ivareta sine interesser som registrert, herunder be om innsyn.

Datatilsynet mener at unntaksbestemmelsen er begrunnet i en behovsvurdering, og at lovgiver har ment å etablere et unntak fra informasjonsplikt for de tilfeller hvor informasjonsbehovet ivaretas tilfredsstillende i selve lovteksten. Individuell informasjon fremstår da å være unødvendig.

Datatilsynet forstår personopplysningsloven § 20 annet ledd bokstav a dit hen at det skal gjøres en konkret vurdering av den aktuelle lovhjemmelen, med tanke på om loven selv gir tilfredsstillende informasjon, slik at det derfor er unødvendig å gi individuell informasjon etter personopplysningsloven § 20 første ledd.

Datatilsynet har vurdert om folketrygdloven § 21-4, jf § 21-4c gir tilfredsstillende informasjon. Da må det sees hen til hvilke krav som stilles til individuell informasjon i § 20 første ledd, jf § 19. Vurderingen må videre skje i lys av hvor inngripende den aktuelle innhentingen er overfor den registrerte. Innhenting av pasientjournaler er et svært inngripende tiltak overfor pasienten.

Datatilsynet mener at folketrygdlovens kontrollbestemmelse er svært vid. Bestemmelsen gir etter sin ordlyd minst to behandlingsansvarlige fullmakt til når som helst, og fra en svært stor krets av personer og aktører, å innhente enhver personopplysning som er relevant og nødvendig for etterkontrollen. Lovhjemmelen har dermed begrenset informasjonsverdi; den angir et handlingsrom som blir så stort at det ikke er mulig å forutsi med en viss grad av sikkerhet hvilke handlinger som rent faktisk gjennomføres i henhold til hjemmelen.

Lovbestemmelsen gjør det vanskelig for en registrert å overskue hvorvidt det faktisk hentes inn journalopplysninger om ham til kontrollformål, og i så fall når det skjer, hvilke opplysninger som hentes inn og hvor opplysningene hentes fra.

Datatilsynet peker på at lovgiver selv har forutsatt at personopplysningslovens bestemmelser om informasjonsplikt får anvendelse, jf folketrygdloven § 21-4c fjerde ledd. Å unnta alle kontrollsakene som sådan fra informasjonsplikten vil derfor være i strid med lovgivers klare intensjon.

6 Personvernnemndas merknader

Personvernnemnda skal i denne saken vurdere hvorvidt informasjonsplikten i personopplysningsloven § 20 første ledd gjelder ved innhenting av pasientjournaler i kontrolløyemed.

Det følger av personopplysningsloven § 20 første ledd at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal informere den registrerte om hvilke opplysninger som samles inn, og gi informasjon som nevnt i § 19 første ledd så snart opplysningene er innhentet.

Det er et unntak fra informasjonsplikten i personopplysningsloven § 20 annet ledd bokstav a. Av denne bestemmelsen følger at den registrerte ikke har krav på varsel etter første ledd dersom innsamlingen av opplysningene er uttrykkelig fastsatt i lov.

NAV kan innhente pasientjournaler i kontrolløyemed, og denne innsamlingen er fastsatt i lov, jf folketrygdloven § 21-4 første ledd. I utgangspunktet skulle dette bety at den registrerte ikke har krav på varsel, jf personopplysningsloven § 20 annet ledd bokstav a. Imidlertid har folketrygdloven selv bestemmelser om informasjonsplikten. I folketrygdloven § 21-4c 4.ledd fastslås det at personopplysningslovens regler om informasjonsplikt skal gjelde for opplysninger innhentet etter reglene i folketrygdloven, med de unntak som følger av folketrygdlovens § 21-4b. Nemnda tolker dette slik at folketrygdloven § 21-4c 4.ledd bestemmer at reglene om informasjon/varsel til den registrerte skal gjelde selv om innsamlingen har hjemmel i lov.

Nemnda skal bemerke at lovgivningsteknikken er noe uklar, i og med at folketrygdloven § 21-4b uttrykkelig sier at informasjonsplikt ikke gjelder (selv om dette allerede følger av hovedregelen i personopplysningsloven § 20, 2. ledd bokstav a). På tross av dette tilsier en naturlig forståelse av ordlyden i folketrygdloven § 21-4c 4.ledd at hovedregelen om informasjonsplikt skal gjelde her. Det er uttrykkelig henvist til informasjonsplikten i personopplysningsloven i § 21-4c 4. ledd, og det er bare gjort unntak for folketrygdlovens § 21-4b. Folketrygdlovens § 21-4b sier at informasjonsplikten ikke skal gjelde for de forhold som er nevnt i folketrygdlovens § 21-4b (som kun gjelder utlevering til finansinstitusjoner). I forarbeidene til § 21-4c 4.ledd (Ot prp nr 76 (2007-2008)) uttaler departementet følgende i kommentaren til denne bestemmelsen:

”I fjerde leddet vert det vist til reglane i personopplysningslova om informasjonsplikt og behandling av opplysningar, herunder tilgang, oppbevaring, utlevering til andre og sletting. Det er teke inn ein reservasjon for unntak som kan reknast å følge av § 21-4 b. Dette gjeld føresegna i § 21-4 b fjerde leddet om at den som opplysningane gjeld, ikkje skal gjerast kjent med at det er gitt informasjon etter føresegna, sjå til samanlikning personopplysningslova §§ 19 og 20.”

Etter Personvernnemndas mening tilsier dette at meningen med folketrygdloven § 21-4c 4.ledd var å innføre hovedregelen om informasjonsplikt. Folketrygdloven er lex specialis i forhold til personopplysningsloven. Bestemmelsen i folketrygdloven § 21-4c 4.ledd må derfor gå foran unntaksbestemmelsen i personopplysningsloven § 20 annet ledd bokstav a.

Det at informasjonsplikt skal gjelde har både et nyttig formål og en praktisk konsekvens. Ved at den registrerte blir varslet, kan den registrerte også korrigere informasjonen og supplere med annen informasjon dersom det skulle være nødvendig. Slik Personvernnemnda ser det ville det være lite formålstjenlig å la være å informere den registrerte.

Nemnda er enig med Datatilsynet. Fristen på fire uker som Datatilsynet har satt, må regnes fra Personvernnemndas vedtaksdato.

7 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 24. mars 2010

Eva I. E. Jarbekk
Leder