Personvernnemndas vedtak 7. desember 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin)
Saken gjelder klage fra Sykehuset Østfold HF på Datatilsynets vedtak 22. oktober 2020 der sykehuset ble ilagt et overtredelsesgebyr på 750 000 kroner for brudd på personopplysningssikkerheten. I klageomgangen nedjusterte Datatilsynet gebyret til 500 000 kroner.
Sakens bakgrunn
Sykehuset Østfold HF sendte melding om avvik til Datatilsynet 14. januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Datatilsynet ba sykehuset om å redegjøre for avviket 16. juli 2019. Sykehuset redegjorde nærmere for det avdekkede avviket 13. august 2019.
Datatilsynet varslet sykehuset 22. juni 2020 om at tilsynet ville treffe slikt vedtak:
«I medhold av personvernforordningen artikkel 58 nr. 2 bokstav i, jf. personopplysningsloven § 26 andre ledd og pasientjournalloven § 29, jf. personvernforordningen artikkel 83, pålegges Sykehuset Østfold HF å betale et overtredelsesgebyr på 1 200 000 NOK – en million norske kroner – til statskassen, for overtredelse av kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32, jf. personopplysningsloven § 26 første ledd, jf. personvernforordningen artikkel 24, og pasientjournalloven §§ 22 og 23.
Vi varsler også følgende pålegg:
I medhold av personvernforordningen artikkel 58 nr. 2 bokstav d, pålegges Sykehuset Østfold HF å tilse at styringssystemet for behandling av personopplysninger er egnet til å ivareta kravene i personvernregelverket og pasientjournalloven. Vi viser særlig til rutinene for tilgangskontroll og lagring av personopplysninger. Styringssystemet må innebære oppfølging av at rutinene følges, herunder oppfølging av at kun sikre systemer brukes ved behandling av sensitive personopplysninger. Vi viser til personvernforordningen artikkel 32, jf. artikkel 24, og pasientjournalloven § 23.»
Sykehusets ga sine merknader til varselet i brev 29. juni 2020.
Datatilsynet traff 22. oktober 2020 vedtak om overtredelsesgebyr og pålegg i tråd med utsendt varsel, men med den endring at gebyret ble satt til 750 000 kroner. Reduksjonen av gebyret skyldtes i hovedsak en endret vurdering av faktum knyttet til hvor mange ansatte opplysningene hadde ligget tilgjengelig for (118 ansatte i stedet for ca. 5 000).
Sykehuset klaget 12. november 2020 på Datatilsynets vedtak om overtredelsesgebyr.
Datatilsynet vurderte klagen og opprettholdt sin vurdering 4. oktober 2021, med den endring at overtredelsesgebyret ble redusert til 500 000 kroner som følge av lang saksbehandlingstid. Datatilsynet oversendte saken til Personvernnemnda 4. oktober 2021. I brev fra nemnda 6. oktober 2021 fikk sykehuset anledning til å komme med kommentarer. Sykehuset ga sine kommentarer i brev 18. oktober 2021, og opprettholdt klagen selv om gebyret var redusert.
Saken ble behandlet i nemndas møte 4. november og 7. desember 2021. Personvernnemnda hadde i møtet 7. desember 2021 følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Beskrivelse av sakens faktiske forhold
Nemnda legger til grunn at sykehuset i det vesentlige er enig i Datatilsynets fremstilling av saken, med noen unntak, som er hensyntatt av Datatilsynet under behandlingen av klagen (herunder at de historiske USK-listene ikke har ligget tilgjengelig fra 2013, men fra 2015). I det følgende gjengis faktum med de justeringer som er framkommet under klagebehandlingen hos Datatilsynet.
Sykehuset gjennomførte i 2018 et prosjekt for å avdekke eventuelle mangler ved sykehusets behandling av personopplysninger etter ny personopplysningslov. Gjennomgangen avdekket avvik knyttet til uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ). Uttrekkene fra EPJ var lister over utskrivningsklare pasienter (USK-lister) og omfattet særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Listene er hjemlet i pasientjournalloven § 6 annet ledd og har som formål å understøtte administrasjon av helsehjelp. USK-listene inneholdt personopplysninger og ble lagret i mapper som var tilgangsstyrt, men tilgangsgruppene var for vide, slik at også medarbeidere uten tjenstlig behov hadde tilgang til opplysningene.
Avviket omfattet tre ulike lister:
a) En oppdatert USK-liste som omfatter ca. 25-30 pasienter. Denne listen oppdateres hvert 15. minutt.
b) En historisk USK-liste fra 2015 frem til 2019, med 13 800 pasienter og 26 596 utskrivninger.
c) To lister med fødselsnummer og innleggelsesårsak, med ca. 30 pasienter.
Personopplysningene i listene omfattet demografiske opplysninger og navn, fødselsdato, kommune, avdelingstilhørighet og eventuelt informasjon om tilretteleggelse ved overføring av pasient til kommune. To av listene inneholdt som nevnt fødselsnummer og innleggelsesårsak i et fritekstfelt.
Det foreligger ikke indikasjoner på at personopplysninger er kommet på avveie eller at taushetsplikten er brutt. Opplysningene var kun tilgjengelig for ansatte som hadde signert taushetserklæring, men de var tilgjengelig for ansatte som ikke hadde tjenstlig behov for opplysningene.
Det er ingen funksjonalitet for logging i mappestrukturen som er benyttet. Sykehuset hadde etablert rutiner for lagringssted og lagringstid for helseopplysninger. De avdekkede hendelsene representerer brudd på disse rutinene.
Sykehuset hadde etablert en oppdatert protokoll over behandlingsaktivitetene ved sykehuset, og de aktuelle USK-listene ble ført inn i sykehusets protokoller i juni 2018. Bruddene ble likevel ikke oppdaget.
Datatilsynets vedtak i hovedtrekk
Datatilsynet anser seg som rett tilsynsmyndighet da denne saken handler om manglende overholdelse av den behandlingsansvarliges plikt etter personvernforordningen artikkel 32, jf. artikkel 24 til å ivareta personopplysningssikkerheten. Datatilsynet er også tilsynsmyndighet etter pasientjournalloven § 26.
Lovvalg
Datatilsynet redegjør for at spørsmålet om lovvalg må vurderes ut fra hva som regnes som handlingstidspunktet, jf. personopplysningsloven § 33.
Den ulovlige behandlingen har skjedd både før og etter at ny personopplysningslov 2018 trådte i kraft. Det følger da av personopplysningsloven § 33 at saken skal vurderes etter den nye loven.
Datatilsynet viser også til Personvernnemndas praksis i PVN-2018-05 og PVN-2018-06, og til Prop. 56 LS (2017-2018) side 196, hvor departementet blant annet uttaler at vedtak hos Datatilsynet og Personvernnemnda i utgangspunktet vil måtte fattes på grunnlag av de til enhver tid gjeldende materielle regler.
Datatilsynets vurdering
Datatilsynet gir en beskrivelse av de rettslige utgangspunktene i personvernforordningen, før de redegjør for sin vurdering. Tilsynet konkluderer med at det har vært:
- manglende tilgangskontroll, slik at ansatte uten tjenstlig behov har hatt tilgang til personopplysninger, jf. artikkel 32, jf. artikkel 24 og 5 nr. 1 bokstav f og pasientjournalloven § 22
- manglende logging, slik at man ikke har kunnet avdekke uautorisert tilgang og eventuell kompromittering av personopplysninger, jf. artikkel 32, jf. artikkel 24 og 5 nr. 2 og pasientjournalloven § 23
- mangelfullt internt styringssystem slik at de ansattes tilgang til rapportuttrekk med sensitive personopplysninger ikke har blitt regulert og korrigert, jf. artikkel 32, jf. artikkel 24 og 5 nr. 1 bokstav f og 5 nr. 2 og pasientjournalloven § 22 og § 23
- mangelfulle lagringsrutiner, slik at rapportuttrekkene har blitt lagret lengre enn formålet tilsa, jf. artikkel 25, jf. artikkel 32 og 24
- mangelfulle løsninger for rapportuttrekk fra EPJ, ved at de ikke var i samsvar med kravene til innebygd personvern, jf. artikkel 32, artikkel 24 og 5 nr. 1 bokstav f og pasientjournalloven § 22
- tilfredsstillende strakstiltak iverksatt, men fortsatt manglende styring når det gjelder behandling av personopplysninger, herunder tilgangskontroll og lagringsrutiner, jf. artikkel 32, artikkel 24 og pasientjournalloven § 23
- ikke konstatert brudd på informasjonsplikten til de berørte, jf. artikkel 34, idet sykehuset ikke hadde noen plikt til å underrette
Oppsummeringsvis peker tilsynet på at pasientopplysninger ikke skal lagres slik at ansatte uten tjenstlig behov har tilgang til dem. Ved Sykehuset Østfold har pasientopplysninger i form av rapportuttrekk fra EPJ vært lagret på en server og i en mappestruktur uten tilstrekkelig tilgangskontroll.
Ettersom helsepersonells primærformål er helsehjelp, må sykehuset ha etablert et teknisk støttesystem som ivaretar kravene til personvern og informasjonssikkerhet. Sykehuset må også legge til rette for at kun sikre systemer brukes i håndteringen av sensitive opplysninger. Slik kan helsepersonells taushetsplikt og informasjonssikkerheten rundt pasientopplysninger ivaretas i hele behandlingskjeden. Det er et ledelsesansvar at slike tekniske løsninger er etablert og fungerer som forutsatt.
Tilsynet mener det har vært grunnleggende mangler ved det interne styringssystemet og informasjonssikkerheten ved behandlingen av rapportuttrekkene ved Sykehuset Østfold.
Overtredelsesgebyr
Datatilsynet vurderer at sykehuset skal ilegges et overtredelsesgebyr for overtredelsen av personvernforordningen artikkel 32, jf. 24 og pasientjournalloven §§ 22 og 23. Datatilsynet legger til grunn at gebyret skal utmåles etter nytt regelverk, som i utgangspunktet medfører et høyere gebyr enn etter gammel lov. Tilsynet mener likevel det ved fastsettelsen av gebyret skal ses hen til at lovbruddene også skjedde i en periode da personopplysningsloven 2000 gjaldt.
Ved vurderingen av om det skal ilegges gebyr og ved utmålingen tar Datatilsynet utgangspunkt i momentene i personvernforordningen artikkel 83 nr. 2 bokstav a til k og gjennomgår de momentene som tilsynet anser relevante.
Tilsynet anser overtredelsen som uaktsom, men påpeker at manglende mulighet for etterkontroll av om det har skjedd urettmessige innsyn i seg selv bidrar til å øke alvorligheten av avviket. Det samme gjør mangelen på styringssystemer som har bidratt til at lovbruddet ikke er avdekket tidligere, samt det faktum at det dreier seg om helseopplysninger som tilhører gruppen «særlig kategori av opplysninger».
Etter en gjennomgang av de ulike momentene konkluderer Datatilsynet med at et overtredelsesgebyr på 750 000 kroner er rimelig i denne saken. I vurderingen av gebyrets størrelse, er det tatt hensyn til at lovbruddet dels har funnet sted før personopplysningsloven 2018 og personvernforordningen trådte i kraft, at sykehuset raskt sørget for sletting eller skjerming av rapportuttrekkene etter at avviket ble oppdaget, og at sykehuset selv meldte avviket til tilsynet.
I klageomgangen har Datatilsynet redusert overtredelsesgebyret til 500 000 kroner på grunn av lang saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k, «enhver annen skjerpende eller formildende faktor ved saken» og viser til nemndas praksis, blant annet PVN-2021-09 og PVN-2021-03.
Sykehuset Østfold HFs syn på saken i hovedtrekk
Datatilsynet har avvist alle sykehusets argumenter i klagen, og nedjusteringen av gebyret er kun begrunnet i den lange saksbehandlingstiden. Sykehuset opprettholder derfor klagen selv om overtredelsesgebyret er nedjustert til 500 000 kroner.
Rett tilsynsmyndighet
Personvernforordningen var relativt nylig trådt i kraft da avviket ble meldt i januar 2019. I ettertid, bl.a. basert på erfaringer fra andre avvikssaker og etter dialog med Datatilsynets medarbeidere i ulike sammenhenger, stiller sykehuset spørsmål ved hvordan Datatilsynet forstår sin tilsynsrolle opp mot pasientjournalloven § 26, hvor det skilles mellom henholdsvis Datatilsynets og Statsforvalteren/Statens helsetilsyns tilsynsansvar. Hvilke tilsynsmyndigheter som har ansvar for hva fremstår ikke som umiddelbart klart for sykehuset, men det må kunne legges til grunn at det er Statsforvalteren/Statens helsetilsyn som fører tilsyn med at taushetsplikten overholdes, jf. helsepersonelloven kap. 5 og spesialisthelsetjenesteloven §§ 3-2 og 6-1, og ikke Datatilsynet.
Basert på ovennevnte kan det selvsagt stilles spørsmål ved hvorfor sykehuset meldte saken til Datatilsynet. I den forbindelse ber vi om forståelse for at det fortsatt er uklart hva som skal meldes til Datatilsynet, noe også Datatilsynet har et ansvar for. Som et eksempel kan det nevnes at det flere ganger er meldt som avvik til Datatilsynet at medarbeidere ved Sykehuset Østfold, ved rene arbeidsuhell, har kommet i skade for å putte dokumenter om en pasient i en konvolutt som er sendt til en annen pasient. Alle slike saker er behandlet av Datatilsynet, selv om slike saker åpenbart handler om brudd på taushetsplikt, og det er ikke gitt tilbakemelding om at slike avvikshendelser ikke skal meldes til Datatilsynet. Videre kan det som ytterligere et eksempel på uklarhet nevnes at både Datatilsynet og Statsforvalteren i Oslo og Viken har opprettet tilsynssak etter at Sykehuset Østfold meldte som avvik til Datatilsynet at en løpende postjournal, inneholdende personopplysninger, ved en feiltakelse ble publisert på internett som offentlig journal. Også denne saken handler, slik vi ser det, om brudd på taushetsplikten, og er ikke en sak Datatilsynet skal behandle.
For det tilfelle at Datatilsynet ikke mener det er grunnlag for å stille spørsmål ved hvem som er rett tilsynsmyndighet, ber sykehuset Datatilsynet klargjøre oppgavefordelingen mellom Datatilsynet og Statsforvalteren/Statens helsetilsyn, og herunder gir veiledning om hva slags avvik som er meldepliktige til Datatilsynet.
Overtredelsesgebyrets størrelse
For det tilfellet at det ligger innenfor Datatilsynets myndighetsområde å føre tilsyn med avvik som i denne saken, mener sykehuset at den valgte reaksjon er for streng.
Det ilagte overtredelsesgebyret på 500 000 kroner står ikke i et rimelig forhold til alvoret i det meldte avviket eller er virkningsfull på noen som helst måte. At Datatilsynet kan tillate seg en så streng straffereaksjon nesten to år etter at avviket ble meldt, og etter at sykehuset for lengst har iverksatt tiltak for at denne type avvik ikke skal gjenta seg, har ingen fornuftig grunn.
Datatilsynet drøfter lite konkret hvorfor det er landet på akkurat denne summen, men kommenterer hovedsakelig hvilke momenter som er relevante for vurderingen av om overtredelsesgebyr skal ilegges eller ikke. Det er ikke vist til forvaltningspraksis eller andre kilder som kunne være relevant for utmålingen, utover å påpeke at det etter personvernforordningen er 10 millioner euro som er taket.
Sykehuset mener gebyret er uforholdsmessig høyt. Det strider mot god forvaltningsskikk å utmåle et så stort gebyr etter å ha tillatt seg å bruke nesten to år (på klagetidspunket) på å behandle et internt avvik som sykehuset selv meldte fra om. Sykehuset påpeker at det umiddelbart ble iverksatt både kortsiktige og langsiktige tiltak. Det at sykehuset selv har meldt fra om avvik burde etter deres oppfatning få større betydning ved valg av administrativ reaksjon, jf. personvernforordningen artikkel 83 nr. 2 bokstav f og h.
Listen for å melde avvik til Datatilsynet er i sykehuset lagt lavt for ikke å risikere administrative reaksjoner. Det oppleves derfor som noe paradoksalt at dette nå fører til at Datatilsynet fatter vedtak om gebyr. Sykehuset vil også hevde at overtredelsesgebyr i slik størrelsesorden som personvernforordningen åpner for inneholder et element av straff. Sykehuset mener det må kunne stilles spørsmåltegn ved om og i hvilken utstrekning selvinkriminering skal være et tema når Datatilsynet gir gebyrer.
Avviket representerte ikke en «høy risiko for fysiske personers rettigheter og friheter», jf. personvernforordningen artikkel 34, noe også Datatilsynet la til grunn.
Hadde dette vært en straffesak ville en eventuell foretaksstraff blitt satt kraftig ned fra det strafferettslige utgangspunktet, både som følge av tilståelsesrabatt, men ikke minst som følge av uforholdsmessig lang saksbehandlingstid. Det understrekes igjen at det ikke foreligger noen indikasjon på at informasjonen rent faktisk er kommet på avveie eller spredt på andre måter. I den forbindelse pekes det på mappenes forholdsvis skjulte plassering, i tillegg til at de som ikke hadde tjenstlig behov, men allikevel hadde tilgang, uansett har lovpålagt taushetsplikt, slik beskrevet i sykehusets brev til Datatilsynet 13. august 2019. Dette er argumenter som sykehuset mener skal ha betydning ved utmåling av gebyr, men som Datatilsynet tilsynelatende bare avfeier. For det tilfellet at vedtaket om å gi gebyr ikke oppheves, mener sykehuset altså at gebyrets størrelse må reduseres vesentlig.
Sykehuset har i mange år jobbet med å bygge en meldekultur der feil meldes slik at de kan rettes opp i, og ikke minst, unngå at det skjer på nytt. Skal offentlige virksomheter kunne etterleve personvernregelverket ved å ha fokus på personvern og informasjonssikkerhet i praksis, må det være en lav terskel for å melde feil og/eller avvik slik at virksomheten blir i stand til å forbedre og lære av sine feil - uten at det medfører store økonomiske byrder for virksomhetene. Datatilsynet har i ulike sammenhenger påpekt betydningen av god meldekultur, noe Datatilsynet nå underminerer ved å gi overtredelsesgebyr på 750 000 kroner til en virksomhet som melder intern svikt.
Konsekvensen av vedtaket er at sykehusene i fremtiden må spørre seg om man våger eller egentlig har råd til å melde fra neste gang det avdekkes svikt eller en uønsket hendelse.
Utenforliggende hensyn
Sykehuset har merket seg Datatilsynets uttalelse til Dagens Medisin 2. november 2020 om at tilsynet vil slå hardt ned på personopplysningssikkerheten for å bevisstgjøre sykehusene og at gebyrer i slik størrelsesorden som i denne saken skal være en vekker for sykehusene. Ved dette tilkjennegir tilsynet at det tas utenforliggende hensyn ved fastsettelse av gebyrer i enkeltsaker. Dette er en saksbehandlingsfeil, og må få som konsekvens at gebyret bortfaller eller reduseres.
Tilgangsstyring
Sykehuset stiller seg spørrende til uttalelsen i Datatilsynets vedtak hvor det vises til et krav om at «ansatte ikke skal ha tilgang til personopplysninger de ikke har tjenstlig behov for, uavhengig av om den ansatte har taushetsplikt eller ikke», og videre litt lenger ned at sykehuset ikke har «hindret urettmessig tilgang til personopplysninger».
Av pasientjournalloven § 19 følger det at dataansvarlig skal sørge for at «relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte». Dette organiseres i helsevesenet i dag slik at flere enn de som til enhver tid har tjenstlig behov for informasjonen, har teknisk tilgang til informasjonen for det tilfellet at når de får tjenstlig behov så skal informasjonen være umiddelbart tilgjengelig. Dette er av hensyn til pasientsikkerheten og for å sikre flyt i systemene. At tilgangene ikke misbrukes sikres av den gjennomgående begrensningen i helseretten med «tjenstlig behov». Videre er logging og snokebestemmelsen i helsepersonelloven § 21a tiltak for å forhindre at tilgangen blir misbrukt og som samlet sett gjør at risikoen for at pasientopplysninger kommer på avveie dempes.
Sykehuset etterstreber at all behandling av personopplysninger skal utføres i egnede fagsystemer, men til tider hindrer manglende funksjonalitet oss i dette på enkelte områder. I slike tilfeller benyttes tilgangsstyrte mapper etter samme prinsipp med tilgang etter tjenstlig behov. I mangel av egnede tekniske løsninger som må lyses ut på anbud, og som både tar tid å anskaffe og innlemme lokalt, kan ikke sykehuset unnlate å drifte sykehuset og yte helsehjelp, som innebærer mer enn bare å yte klinisk helsehjelp, herunder eksempelvis administrere pasientflyt, som jo er formålet med USK-listene.
Det kan for øvrig informeres om at Sykehuset Østfold har vært delaktig i å utvikle det regionale ledelsessystemet innen Helse Sør-Øst (HSØ) og er pålagt å følge dette. Sykehuset har inkorporert det regionale systemet med mindre lokale tilpasninger av praktisk årsaker. Dette informasjonssikkerhetssystemet er basert på ISO 27001, og det vises til hjemmesiden til HSØ for mer informasjon om dette.
Basert på ovennevnte ber sykehuset om at gebyret frafalles eller reduseres vesentlig. Pålegget i Datatilsynets vedtak anses oppfylt gjennom det som er skissert.
Personvernnemndas vurdering
Rett tilsynsmyndighet
Personopplysningsloven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, jf. personopplysningsloven § 2. Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51, jf. personopplysningsloven § 20.
Datatilsynet skal også føre tilsyn med overholdelsen av pasientjournalloven og forskrifter gitt i medhold av denne loven, med unntak for de tilsynsoppgaver som påligger Statens helsetilsyn, Statsforvalteren, etter helsetilsynsloven, jf. pasientjournalloven § 26. Denne bestemmelsen begrenser ikke Datatilsynets ansvar som tilsynsmyndighet når det gjelder behandling av personopplysninger og det er etter nemndas syn ingen tvil om at Datatilsynet er rett tilsynsmyndighet.
Datatilsynet kan ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27 dersom behandlingen av helseopplysninger er i strid med loven eller forskrifter gitt i medhold av loven, jf. pasientjournalloven § 29. Nemnda legger til grunn at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24.
Gammel og ny lov
Det er fra Datatilsynet konkludert med at sykehusets behandling av pasientopplysninger i perioden fra 2015 til januar 2019 representerer et brudd på kravene til sikkerhet og internkontroll, jf. personvernforordningen artikkel 32 og artikkel 24, jf. artikkel 5 nr. 1 bokstav f (integritet og konfidensialitet) og pasientjournalloven §§ 22 (informasjonssikkerhet) og 23 (internkontroll).
Overtredelsen av personopplysningsloven varte fra 2015 til januar 2019. Personopplysningsloven 2018 og personvernforordningen trådte i kraft 20. juli 2018. For perioden fram til personopplysningsloven 2018 trådte i kraft, representerte handlingene brudd på tilsvarende bestemmelser i personopplysningsloven 2000.
Kravene i personvernforordningen artikkel 24 om den behandlingsansvarliges ansvar og artikkel 32 om sikkerhet ved behandlingen, samt pasientjournalloven §§ 22 og 23 er en videreføring av reglene i personopplysningsloven 2000 § 14 om internkontroll, jf. kapittel III og § 13 om informasjonssikkerhet, jf. kapittel II, se forarbeidene til personopplysningsloven, Prop. 56 LS (2017-2018) side 232-233. Overtredelse av bestemmelsene var gebyrbelagt også etter 2000-loven, men gebyret var begrenset til maksimalt 1 000 000 kroner. Nemnda kommer tilbake til dette nedenfor.
Brudd på personopplysningssikkerheten
Datatilsynet har lagt til grunn at Sykehuset Østfold har brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger de ikke hadde tjenstlig behov for. Opplysningene omhandlet flere tusen pasienter. Det er ikke konstatert at det er foretatt ulovlig innsyn eller utlevering av opplysninger, men det var heller ikke etablert tekniske løsninger som kunne avdekket dette.
Nemnda oppfatter sykehusets anførsler slik at det stilles spørsmål ved Datatilsynets krav om at «ansatte ikke skal ha tilgang til personopplysninger de ikke har tjenstlig behov for, uavhengig av om den ansatte har taushetsplikt eller ikke», og videre til Datatilsynets uttalelse i vedtaket om at sykehuset ikke har «hindret urettmessig tilgang til personopplysninger».
Personvernnemnda er enig med Datatilsynet i at dette representerer brudd på personopplysningssikkerheten.
Det følger av pasientjournalloven § 22 at den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Det følger videre av bestemmelsen at dette blant annet innebærer et krav om tilgangsstyring, logging og etterfølgende kontroll. Kravene om tilgangsstyring og loggføring er mer utfyllende regulert i pasientjournalforskriften (FOR-2019-03-01-168) §§ 13 og 14.
I forarbeidene til pasientjournalloven, Prop.71 L (2013-2014), side 184 sier departementet:
«I første ledd andre punktum er det presisert at kravet til informasjonssikkerhet også omfatter tilgangsstyring, logging og etterfølgende kontroll. Dette for å sikre at helseopplysningene i systemene til enhver tid er oppdaterte, korrekte og bare tilgjengelige for dem som har behov for opplysningene. Bestemmelsen er en presisering av krav som må sikres for å gjennomføre tilfredsstillende informasjonssikkerhet.»
Det er etter dette ingen tvil om at sykehuset er pålagt å sørge for at ansatte ikke har tilgang til sensitive pasientopplysninger de ikke har tjenstlig behov for, samt at det skal etableres systemer for logging og etterfølgende kontroll som gjør det mulig å avdekke avvik.
Overtredelsesgebyr
Ved brudd på bestemmelser i personvernforordningen kan tilsynsmyndigheten ilegge overtredelsesgebyr, jf. artikkel 58 nr. 2 bokstav i, jf. artikkel 83. Overtredelse av artikkel 32 kan sanksjoneres med gebyr, jf. artikkel 83 nr. 4 bokstav a. Det samme gjelder brudd på artikkel 24, jf. personopplysningsloven § 26 som gir artikkel 83 nr. 4 tilsvarende anvendelse for overtredelser av blant annet denne bestemmelsen. For brudd på pasientjournalloven § 22 (informasjonssikkerhet) og § 23 (internkontroll) følger det samme av pasientjournalloven § 29.
Spørsmålet er om det skal ilegges et overtredelsesgebyr for brudd på de nevnte bestemmelsene, og dersom det skal ilegges gebyr, hvor stort gebyret skal være.
Det følger av artikkel 83 nr. 1 at ileggelse av overtredelsesgebyr i hvert enkelt tilfelle skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Det er for denne vurderingen sentralt å se på overtredelsens karakter, alvorlighetsgrad og varighet, jf. artikkel 83 nr. 2 bokstav a. Det følger av bestemmelsen at det skal tas hensyn til den berørte handlingens art, omfang eller formål, samt antall registrerte som er berørt og omfanget av den skade de har lidd.
Helseopplysninger utgjør en særlig kategori av personopplysninger, jf. personvernforordningen artikkel 9 nr. 1 og fortjener et særskilt vern, jf. forordningen artikkel 5 og forordningens fortalepunkt 51. At sykehuset har behandlet helseopplysninger i strid med personvernreglene og over flere år, er i seg selv alvorlig, jf. forordningen artikkel 83 nr. 2 bokstav g.
Datatilsynet har lagt til grunn at sykehuset ikke plikter å informere berørte pasienter fordi sikkerhetsbruddet ikke medfører «høy risiko» for fysiske personers rettigheter og friheter, jf. personvernforordningen artikkel 34. Nemnda slutter seg til tilsynets vurdering, og viser til at det er tale om et avgrenset antall ansatte som hadde tilgang til opplysningene uten tjenstlig behov hvor alle har taushetsplikt. Mappestrukturen der opplysningene har ligget tilgjengelig for disse ansatte, har vært vanskelig tilgjengelig.
Etter artikkel 83 nr. 2 bokstav b skal det videre legges vekt på hvorvidt overtredelsen ble begått forsettlig eller uaktsomt. Nemnda slutter seg til Datatilsynets vurdering av at det dreier seg om en uaktsom overtredelse. Det er imidlertid skjerpende at bruddet varte over en periode på ca. fire år og at sykehuset ikke avdekket dette gjennom etablerte internkontrollrutiner i løpet av denne perioden. Sykehuset har hatt et styringssystem som omfatter tilgangsstyring til taushetsbelagte opplysninger, men systemet har ikke vært egnet til å fange opp lagringen av de opplysningene denne saken gjelder. Nemnda er enig med tilsynet i at dette viser mangler ved det interne styringssystemet.
Etter personvernforordningen artikkel 83 nr. 2 bokstav h skal det i hvert enkelt tilfelle tas behørig hensyn til:
«på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen.»
Bestemmelsen er i tråd med det alminnelige strafferettslige prinsippet i norsk rett om at varsling og egenrapportering skal tillegges vekt ved reaksjonsfastsettelsen. Den konkrete vektleggingen vil imidlertid blant annet avhenge av hvor alvorlig overtredelsen er, og også sannsynligheten for at overtredelsen ville blitt oppdaget av tilsynsmyndigheten likevel. I dette tilfellet mener nemnda at det må vektlegges i formildende retning at behandlingsansvarlige selv avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden, samt meldte hendelsen til Datatilsynet. Både allmennpreventive og individualpreventive hensyn tilsier at disse forholdene tillegges vekt i formildende retning ved vurderingen etter artikkel 83. Det kan imidlertid ikke medføre at hele gebyret faller bort.
Nemnda er etter dette enig med Datatilsynet i at Sykehuset Østfold skal ilegges gebyr for brudd på personopplysningssikkerheten.
Når det gjelder fastsettelsen av gebyrets størrelse, foreligger det foreløpig begrenset forvaltningspraksis om gebyrets nivå. Personvernnemnda er kjent med at Datatilsynet i september 2021 ila et annet sykehus et overtredelsesgebyr på 750 000 kroner for brudd på informasjonssikkerheten. Slik faktum er beskrevet i det vedtaket dreier det seg om et langt mer alvorlig brudd hvor sensitive pasientopplysninger har vært potensielt tilgjengelig for alle autoriserte brukere i Helse Midt-Norge RHF over en periode på ni år. I den grad dette gebyret står i et rimelig forhold til overtredelsen, jf. artikkel 83 nr. 1, tilsier det at gebyret i vår sak skal settes lavere, slik at gebyret i utgangspunktet ligger rundt 500 000 kroner. Det er da hensyntatt at overtredelsen delvis har skjedd under gammel lov.
Nemnda er enig med Datatilsynet i at den lange saksbehandlingstiden må hensyntas ved fastsettelsen av gebyrets størrelse, men vil samtidig påpeke at saken reiser vanskelige og prinsipielle spørsmål. Tilsynet må derfor innrømmes tilstrekkelig tid til å gjøre forsvarlige vurderinger. Nemnda har ikke funnet grunn til å stille spørsmål ved framdriften i saksbehandlingen i perioden fra sykehuset i august 2019 redegjorde for avviket til Datatilsynet i juni 2020 varslet om vedtak om overtredelsesgebyr. Nemnda er derimot kritisk til at sykehusets avviksmelding ble fulgt opp av tilsynet med krav om redegjørelse først seks måneder senere, og at det gikk nesten 11 måneder etter at sykehuset i november 2020 påklaget tilsynets vedtak, før saken ble oversendt nemnda. Etter forvaltningsloven § 33 skal tilsynet forberede klagesaken og foreta de undersøkelser klagen gir grunn til. Så snart klagesaken er tilrettelagt skal saken og dens dokumenter sendes nemnda. Overtredelsesgebyret ble – med henvisning til to avgjørelser fra nemnda fra 22. juni og 31. august 2021 – nedsatt med 250 000 kroner. Basert på sakens dokumenter er det derfor nærliggende å anta at den avsluttende saksbehandlingen hos tilsynet skjedde i september 2021. Nemnda antar på denne bakgrunn at den samlede perioden med inaktivitet er på nærmere 15 måneder. Det er svært uheldig.
Personvernnemnda har etter en samlet vurdering kommet til at gebyret passende kan settes til 400 000 kroner.
Nemnda kan ikke se at Datatilsynets uttalelse i media om at tilsynet vil slå hardt ned på personopplysningssikkerheten for å bevisstgjøre sykehusene, representerer noen saksbehandlingsfeil. Den nevnte uttalelsen får ingen betydning for nemndas vurdering i denne saken.
Sykehuset har fått delvis medhold i sin klage.
Konklusjon
Datatilsynets vedtak om å ilegge Sykehusets Østfold HF et overtredelsesgebyr for brudd på personopplysningssikkerheten opprettholdes, med den endring at gebyret settes til 400 000 kroner.
Vedtaket er enstemmig.
Oslo, 7. desember 2021
Mari Bø Haugstad
Leder