Home
ANONYMISERT VERSJON

PVN-2019-11 Påstand om urettmessig oppslag i pasientjournal - klage på Datatilsynets avslutning av sak

Datatilsynets referanse: 
Datatilsynets referanse: 19/00220-7/GRA

Personvernnemndas vedtak 17. desember 2019 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)

Saken gjelder klage fra A på Datatilsynets avgjørelse 27. mars 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

Sakens bakgrunn

A kontaktet Datatilsynet i januar 2019 fordi hun mistenkte at noen urettmessig hadde gjort oppslag i hennes pasientjournal ved sykehuset X. Hun ba Datatilsynet om å undersøke hvem som hadde gjort oppslag i hennes pasientjournal og ba om at tilsynet sperret hennes pasientopplysninger for videre bruk.

Datatilsynet informerte A i brev 15. februar 2019 om at hun i henhold til pasient- og brukerrettighetsloven og pasientjournalloven hadde rett til å be X om innsyn i hvem som hadde gjort oppslag i hennes pasientjournal, og at hun kunne kreve sine pasientopplysninger sperret for utlevering. Tilsynet ba henne kontakte personvernombudet ved X om dette. Hun ble videre orientert om at dersom hun ikke fikk slik informasjon, kunne hun klage til Datatilsynet.

A innhentet innsynslogg fra sykehuset og oversendte denne til Datatilsynet 11. mars 2019. Hun opprettholdt synspunktet om at det var foretatt urettmessig oppslag i hennes journal. Hun ba om at hennes e-post skulle registreres som en klage og ba om tilbakemelding på hva Datatilsynet kunne gjøre i saken.

I brev fra Datatilsynet 27. mars 2019 fikk A informasjon om tilsynets rolle som tilsynsmyndighet ved å føre kontroll med at personvernregelverket blir fulgt og blant annet kontrollere hvilke rutiner som finnes ved sykehusene når det gjelder tilgangskontroll til pasientjournaler. Tilsynet opplyste videre at de i svært liten grad kan overprøve virksomhetens vurdering av om et konkret oppslag som er gjort i journal har vært urettmessig eller ikke. A ble orientert om at fylkesmannen er tilsynsmyndighet for urettmessig oppslag i journal foretatt av helsepersonell, samt at forholdet eventuelt kan politianmeldes.

Datatilsynet avsluttet deretter saken.

A sendte ytterligere opplysninger i saken, og Datatilsynet ga ny veiledning om samme forhold i e-post 12. april 2019. Etter ytterligere henvendelser fra A i e-poster 9. april, 6. og 7. mai 2019 opprettholdt Datatilsynet sin vurdering av saken i e-post 7. mai 2019.

A klaget på Datatilsynets avslutning av saken 8. mai 2019.

Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse og oversendte saken til Personvernnemnda 2. september 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. A har gitt sine merknader i brev 29. september 2019. X har ikke inngitt merknader.

Saken ble behandlet i nemndas møte 17. desember 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.

As syn på saken i korte trekk

Flere ansatte har snoket i hennes pasientjournal uten å ha tjenstlige behov. Hun viser til fremlagt journal over innsynslogg datert 25. februar 2019. Loggutskriften viser journalaktivitet i perioden 2015 til 2018.

Sykehuset har brutt sin taushetsplikt, noe hun i utgangspunktet ønsker å politianmelde.

Datatilsynet har ikke behandlet hennes sak mot X på en adekvat måte. Datatilsynet må ta tak i de lovbruddene som har skjedd og gjøre noe med dette.

Datatilsynets vurdering

Retten til å klage til tilsynsmyndigheten etter personvernforordningen artikkel 77 tar sikte på å gi den registrerte en reell mulighet til å få prøvd sin sak. Tilsynsmyndigheten skal:

«behandle klager som er inngitt av en registrert [...], og undersøke, i den grad det er hensiktsmessig, klagens gjenstand [...])», jf. personvernforordningen artikkel 57 nr. 1 bokstav f).

I Personvernnemndas avgjørelse PVN-2017-09 legges det til grunn at Datatilsynet har et visst spillerom med hensyn til om, og i hvilket omfang, undersøkelser skal gjøres i den enkelte klagesak. I avgjørelsen uttaler nemnda:

«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger fremstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt, jf. lovens formål i § 1.»

Datatilsynet har foretatt en tilstrekkelig og forsvarlig behandling av klagen, jf. forvaltningsloven § 17. I flere brev og e-poster har tilsynet også gitt A veiledning om hva som er hensiktsmessig fremgangsmåte i saken, og har således oppfylt sin veiledningsplikt, jf. forvaltningsloven § 11.

Helsepersonelloven § 21 a regulerer helsepersonells rett til innsyn i journal, og det fremgår av pasient- og brukerrettighetsloven § 7-4 at fylkesmannen er rette instans for enkeltpersoners klage på om helsepersonelloven er brutt overfor dem. Datatilsynet har gitt A veiledning blant annet i form av henvisning til fylkesmannen som rette instans hva angår klage på journalinnsyn fra helsepersonell.

Datatilsynet har svært begrenset mulighet til å overprøve virksomhetens faglige vurdering av at journaloppslagene har vært rettmessige. Datatilsynet har ikke konkrete holdepunkter for at det aktuelle helsepersonellet ikke har hatt tjenstlig behov for å gjøre oppslagene i klagers journal. Tilsynet har heller ikke holdepunkter for at det er generelle mangler ved tilgangsstyringen ved X. På denne bakgrunn har Datatilsynet avsluttet saken.

Personvernnemndas vurdering

Datatilsynets oppgaver følger av personvernforordningen (GDPR) artikkel 57. Ifølge bestemmelsen nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning».

Datatilsynet har veiledet A om hvordan hun går frem for å få innsyn i hvilket helsepersonell som har foretatt oppslag i hennes pasientjournal. Datatilsynet har videre korrekt lagt til grunn at A er gitt innsyn i hvem som har gjort oppslag i hennes pasientjournal ved X. Datatilsynet har videre påpekt at det ikke foreligger konkrete holdepunkter for at det er foretatt oppslag som ikke er begrunnet i tjenstlig behov og har gitt veiledning om fremgangsmåte og klageinstans dersom A mener det er foretatt urettmessige oppslag. Det er fylkesmannen som er rett klageinstans når det gjelder spørsmål om urettmessige oppslag i pasientjournal.

Det ligger også innenfor Datatilsynets plikter etter loven å føre tilsyn med hvorvidt den behandlingsansvarliges behandling av personopplysninger tilfredsstiller kravene til informasjonssikkerhet som oppstilles i GDPR artikkel 32. Datatilsynet har ikke funnet holdepunkter for at det er generelle mangler ved tilgangsstyringen ved X, og har dermed avsluttet saken uten å foreta nærmere undersøkelser og uten å gi pålegg.

Etter nemndas vurdering har Datatilsynet etterkommet As anmodning og oppfylt sine forpliktelser etter GDPR artikkel 57. Det var ingen grunn for tilsynet til å gjøre nærmere undersøkelser om det forelå avvik som var meldepliktig til tilsynet. Datatilsynet har informert og veiledet A om hennes rett til å ta opp spørsmålet om tjenstlig tilgang i pasientjournal med sykehusets personvernombud, fylkesmannen og Helsetilsynet som rette instanser.

Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17. Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg er etter nemndas vurdering forsvarlig og innenfor lovens rammer.

A får etter dette ikke medhold i sin klage.

Vedtaket er enstemmig.

Vedtak

Datatilsynets vedtak om å avslutte saken uten å gi pålegg opprettholdes.

 

Oslo, 17. desember 2019

Mari Bø Haugstad
Leder