Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilsugæslu höfuðborgarsvæðisins í máli nr. 2025010124 (áður 2024091428):

Málsmeðferð

Tildrög máls

1. Með bréfi 26. september 2024 tilkynnti Persónuvernd Heilsugæslu höfuðborgarsvæðisins um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga í sameiginlegum sjúkraskrárkerfum sem haldin eru á grundvelli VI. kafla laga nr. 55/2009 um sjúkraskrár.

2. Ákvörðun um að hefja frumkvæðisathugun var reist á 1. og 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar. Við þá ákvörðun var einkum litið til þess að vinnsla persónuupplýsinga í sameiginlegum sjúkraskrárkerfum varðar breiðan hóp fólks, eðlis þeirra upplýsinga sem eru undir og hversu mikla áhættu vinnslan hefur í för með sér fyrir persónuvernd hinna skráðu.

3. Við ákvörðun um að hefja frumkvæðisathugun var einnig litið til úrskurðar Persónuverndar í máli nr. 2023071182 frá 23. september 2024. Í úrskurðinum komst stofnunin meðal annars að þeirri niðurstöðu að samningur Heilsugæslunnar á höfuðborgarsvæðinu og Samgöngustofu, um sameiginlegt sjúkraskrárkerfi, hefði ekki uppfyllt skilyrði 1. mgr. og 2. tölul. 2. mgr. 20. gr. laga nr. 55/2009 um sjúkraskrár, þ.e. varðandi leyfi ráðherra og staðfestingu Persónuverndar á öryggi persónuupplýsinga í kerfinu. Þar sem Heilsugæsla höfuðborgarsvæðisins var hins vegar ekki aðili að því máli kom ábyrgð hennar ekki til skoðunar þar.

Rannsókn máls

4. Í fyrrgreindu bréfi Persónuverndar frá 26. september 2024 var óskað eftir að upplýst yrði hvort Heilsugæsla höfuðborgarsvæðisins reki sameiginleg sjúkraskrárkerfi á grundvelli VI. kafla laga nr. 55/2009 um sjúkraskrár. Óskað var upplýsinga um þann lagagrundvöll sem heimili aðgang að sjúkraskrám, sbr. 12. gr. laga nr. 55/2009, og hvort aflað hefði verið leyfis ráðherra fyrir sameiningu sjúkraskrárkerfa, að fenginni staðfestingu Persónuverndar, í samræmi við 20. gr. laganna. Að auki var óskað eftir afriti af samningum Heilsugæslu höfuðborgarsvæðisins um sameiginleg sjúkraskrárkerfi. Svar Heilsugæslunnar barst 11. október s.á. Þá óskaði Persónuvernd eftir frekari upplýsingum með bréfi 22. s.m., meðal annars um umfang vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilsugæslu höfuðborgarsvæðisins. Heilsugæslan svaraði með tölvupósti 5. nóvember s.á. Með tölvupósti til heilsugæslunnar 18. s.m. óskaði Persónuvernd eftir afriti af bréfi embættis landlæknis til heilsugæslunnar frá 27. september s.á. og barst það stofnuninni með tölvupósti 20. nóvember s.á.

5. Með bréfi 18. desember s.á. var Heilsugæslu höfuðborgarsvæðisins tilkynnt um niðurstöður yfirferðar Persónuverndar á gögnum málsins, þ.m.t. um möguleg brot gegn persónuverndarlöggjöfinni og að til álita kæmi að leggja stjórnvaldssekt á heilsugæsluna vegna þeirra. Var heilsugæslunni veitt færi á að koma á framfæri athugasemdum af þessu tilefni og bárust þær Persónuvernd 16. janúar 2025.

6. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

7. Markmið frumkvæðisathugunarinnar er að staðreyna lögmæti vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilsugæslu höfuðborgarsvæðisins. Nánar tiltekið er til athugunar hvort Heilsugæslu höfuðborgarsvæðisins hafi verið heimilt að sameina sjúkraskrárkerfi stofnunarinnar við sjúkraskrárkerfi annarra aðila, þ.m.t. að veita viðkomandi aðilum aðgang að sjúkraskrá sjúklinga stofnunarinnar, sbr. 1. tölul. 1. mgr. 8. gr., 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr., 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679.

Atvik máls og fyrirliggjandi gögn

8. Fyrir liggur að Heilsugæsla höfuðborgarsvæðisins hefur gert samkomulag við tólf aðila um sameiginlegt sjúkraskrárkerfi og/eða heimildir til aðgangs að sjúkraskrárkerfi stofnunarinnar. Heilsugæslan lagði fram samninga um rekstur og sameiningu sjúkraskráa við Heilsugæsluna Lágmúla (15. apríl 2016), Heimaþjónustu Reykjavíkur (apríl 2016), Heilsugæsluna Höfða (18. maí 2017), Heilsugæsluna Salahverfi (10. janúar 2018), Heilsugæsluna Urðarhvarfi (29. ágúst 2018), Knattspyrnusamband Íslands (17. desember 2018), Fluglæknasetrið (1. ágúst 2020), Samgöngustofu (1. september 2020), Janus endurhæfingu ehf. (13. apríl 2023), Heilsugæsluna Höfða Suðurnesjum (6. október 2023) og Velferðarsvið Reykjavíkurborgar (17. október 2023). Að auki var opnað fyrir aðganga þriggja hjúkrunarfræðinga Vinnumálastofnunar að sjúkraskrárkerfi heilsugæslunnar (30 janúar 2023) án þess að gerður hafi verið skriflegur samningur þess efnis.

9. Heilsugæsla höfuðborgarsvæðisins hefur upplýst um að fjöldi skráðra einstaklinga, sem flett hefur verið upp af einhverjum ofangreindra aðila, sé um 195.000. Í sjúkraskrárkerfi heilsugæslunnar sé að finna 517.429 einstaklinga, lífs og liðna, innlenda sem erlenda. Ekki séu hins vegar heilsufarsupplýsingar um alla umrædda einstaklinga til staðar í grunninum, þar sem stofnun sjúklings í sjúklingagrunn geti byggt á öðrum aðstæðum en beinni heimsókn skjólstæðings í leit að heilbrigðisþjónustu. Heilsugæslan áætlar að u.þ.b. 450.000 sjúkraskrár séu til staðar í kerfinu.

10. Fyrir liggur að samningur Heilsugæslu höfuðborgarsvæðisins við Janus endurhæfingu ehf. var í gildi til 11. desember 2023, sbr. 9.1. gr. samningsins. Jafnframt er ljóst að samningur heilsugæslunnar við Heimaþjónustu Reykjavíkurborgar var felldur úr gildi með gildistöku samnings við Velferðarsvið Reykjavíkurborgar 17. október 2023, sbr. 11.2. gr. hins síðarnefnda samnings.

11. Með hluta þeirra samninga sem getið er um í efnisgrein 8 hér að framan fylgir viðaukinnÖryggiskröfur ábyrgðaraðila sameiginlegs sjúkraskrárkerfis. Í 1.1. gr. viðaukans kemur fram að Heilsugæsla höfuðborgarsvæðisins og aðrar tilteknar heilbrigðisstofnanir og starfsstöðvar heilbrigðisstarfsmanna, sem tilgreindar eru í 2.1. gr. viðaukans, færi og varðveiti sjúkraskrár sjúklinga sem koma til meðferðar hjá þeim í sameiginlegt rafrænt sjúkraskrárkerfi á grundvelli leyfis heilbrigðisráðherra og staðfestingar Persónuverndar á öryggi kerfisins og er í því sambandi vísað til 20. gr. laga nr. 55/2009 um sjúkraskrá. Samkvæmt 2.1. gr. viðaukans eru aðilar hins sameiginlega sjúkraskrárkerfis Heilsugæsla höfuðborgarsvæðisins, Heilsugæslan Kirkjusandi, Heilsugæslan í Salastöð, Heilsugæslan í Urðarhvarfi, Heilsugæslan í Höfða, Heimaþjónustan í Reykjavík hjá velferðarsviði Reykjavíkurborgar, Hjúkrunarheimilið Seljahlíð, Hjúkrunarheimilið Droplaugarstaðir og starfsstöðvar einstaka lækna starfandi utan heilbrigðisstofnana samkvæmt sérstökum samningi þar um. Í 1.1. gr. viðaukans segir að aðilar að hinu sameiginlega sjúkraskrárkerfi hafi komið sér saman um að Heilsugæsla höfuðborgarsvæðisins teljist ábyrgðaraðili sjúkraskráa í kerfinu, sbr. 12. tölul. 3. gr. laga nr. 55/2009. Þá segir í 1.5. gr. að aðilar að hinu sameiginlega sjúkraskrárkerfi séu hver um sig ábyrgðaraðilar að vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sem leiðir af lögmætri vinnslu starfsfólks viðkomandi aðila á sjúkraskrárupplýsingum sjúklinga sem vistaðar eru í sameiginlega sjúkraskrárkerfinu, þ.e. skráningu sjúkraskrárupplýsinga, uppflettingum og annarri vinnslu.

12. Fyrir liggur að samningur Heilsugæslu höfuðborgarsvæðisins og Heilsugæslunnar í Lágmúla um sameinaða sjúkraskrá var gerður að undangengnu ferli leyfisveitingar til velferðarráðuneytisins (10. febrúar 2016) og að fenginni umsögn Persónuverndar (26. janúar 2016). Í umsögn Persónuverndar voru ekki gerðar athugasemdir við þær öryggisráðstafanir sem lýst er í umræddum samningi og tekið fram að þær samrýmist 1. og 2. mgr. 11. gr. þágildandi laga nr. 77/2000. Hins vegar var þess óskað að Heilsugæsla höfuðborgarsvæðisins legði fram skriflegt áhættumat og skrásetningu á öryggisráðstöfunum vegna vinnslu persónuupplýsinga í hinu sameiginlega sjúkraskrárkerfi, með vísan til 11 gr. þágildandi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem og lýsingu á ráðstöfunum til að tryggja rétt sjúklings til að banna eða takmarka aðgang að upplýsingum um sig, sbr. 2. mgr. 13. gr. og 21. gr. laga nr. 55/2009.

13. Velferðarráðuneytið veitti leyfi fyrir samnýtingu rafrænna sjúkraskrárkerfa Heilsugæslu höfuðborgarsvæðisins og Heilsugæslunnar í Lágmúla, þrátt fyrir að þau gögn sem Persónuvernd óskaði eftir hefðu ekki borist stofnuninni. Í leyfi ráðuneytisins er vísað til þess að sýnt þyki að umrædd samnýting tryggi betur öryggi sjúklinga og stuðli að aukinni samfellu í meðferð þeirra. Þar er jafnframt áréttað mikilvægi þess að tryggt verði að sá öryggisbragur sem sé við lýði við notkun sjúkraskrárkerfis Heilsugæslu höfuðborgarsvæðisins nái einnig til hins nýja notkunaraðila.

14. Aðrir samningar Heilsugæslu höfuðborgarsvæðisins um sameinuð sjúkraskrákerfi kveða á um að leyfi ráðherra skuli aflað, að undangenginni staðfestingu Persónuverndar, í samræmi við 2. mgr. 20. gr. laga nr. 55/2009. Umræddir samningar fóru hins vegar ekki í formlegt ferli leyfisveitingar þegar til þeirra var stofnað í samræmi við tilvísað lagaákvæði. Því liggur hvorki fyrir leyfi ráðherra né staðfesting Persónuverndar um að öryggi persónuupplýsinga hafi verið tryggt samkvæmt þeim samningum.

15. Við meðferð málsins upplýsti Heilsugæsla höfuðborgarsvæðisins um að stofnunin hefði óskað leyfis heilbrigðisráðuneytisins, hinn 3. október 2024, fyrir sameiningu sjúkraskrárkerfa við Heilsugæsluna Höfða, Heilsugæsluna Salahverfi, Heilsugæsluna Urðarhvarfi, Heilsugæsluna Höfða Suðurnesjum og Velferðarsvið Reykjavíkurborgar. Þá hefði heilsugæslan lokað öllum aðgangi sem veittur hafði verið á grundvelli samninga við Samgöngustofu, Knattspyrnusamband Íslands og Fluglæknasetrið, 24. september 2024. Aðgangi hjúkrunarfræðinga Vinnumálastofnunar hefði jafnframt verið lokað 4. október s.á.

Sjónarmið Heilsugæslu höfuðborgarsvæðisins

16. Í skýringum Heilsugæslu höfuðborgarsvæðisins eru veittar nánari upplýsingar um framkvæmd ofangreinda samninga. Fram kemur að sérhverjum samningsaðila hafi verið veittur aðgangur að því sjúkraskrárkerfi sem Heilsugæsla höfuðborgarsvæðisins hefur byggt upp í gegnum starfsemi heilsugæslustöðva stofnunarinnar. Ekki sé því um tólf sjálfstæð sjúkraskrárkerfi að ræða þó tólf mismunandi samningar hafi áhrif á stjórnun sjúkraskrárkerfisins.

17. Heilsugæsla höfuðborgarsvæðisins vísar til þess að átta af þeim aðilum, sem samið hafi verið við um sameiginlegt sjúkraskrárkerfi, byggi heimildir fyrir starfsemi sinni á ákvæðum laga nr. 40/2007 um heilbrigðisþjónustu. Fimm af þessum aðilum séu einkareknar heilsugæslustöðvar (Heilsugæslan Lágmúla (nú Kirkjusandi), Heilsugæslan Höfða, Heilsugæslan Salahverfi, Heilsugæslan Urðarhvarfi og Heilsugæslan Höfða Suðurnesjum). Að auki hafi verið gert samkomulag við Velferðasvið Reykjavíkurborgar (áður Heimaþjónustu Reykjavíkur) og Janus endurhæfingu ehf. Við undirritun samninganna hafi umræddir aðilar haft leyfi til reksturs heilbrigðisþjónustu samkvæmt rekstrarskrá á vegum embættis landlæknis. Í samræmi við ákvæði 20. gr. laga nr. 55/2009 um sjúkraskrá sé heilbrigðisstofnunum og starfsstofum heilbrigðisstarfsmanna, tveimur eða fleirum, heimilt með leyfi ráðherra að færa og varðveita sjúkraskrá sjúklinga, sem koma til meðferðar hjá þeim, í sameiginlegu rafrænu sjúkraskrárkerfi.

18. Þá vísar Heilsugæsla höfuðborgarsvæðisins til þess að af úrskurði Persónuverndar í máli nr. 2023071182 verði ályktað að aðrir samningsaðilar, þ.e. Fluglæknasetrið, Knattspyrnusamband Íslands, Samgöngustofa og Vinnumálastofnun, uppfylli ekki skilyrði 20. gr. laga nr. 55/2009. Í kjölfar úrskurðar Persónuverndar hafi Heilsugæslu höfuðborgarsvæðisins borist erindi frá embætti landlæknis, þar sem fram komi sú afstaða embættisins að samningur heilsugæslunnar við Samgöngustofu feli í sér brot gegn ákvæðum laga um sjúkraskrár og af þeirri ástæðu hafi heilsugæslunni borið að segja samningnum upp. Það sé afstaða heilsugæslunnar að sömu sjónarmið og komi fram í bréfi embættisins eigi jafnframt við um Fluglæknasetur, Knattspyrnusambands Íslands og Vinnumálastofnun. Af þeirri ástæðu hafi verið lokað fyrir þá aðganga sem veittir höfðu verið á grundvelli samninga við umrædda aðila, sbr. umfjöllun í efnisgrein 15.

19. Heilsugæsla höfuðborgarsvæðisins áréttar að eingöngu sex af fyrrgreindum samningum eru enn í gildi, en það eru samningar við einkareknar heilsugæslustöðvar og Velferðasvið Reykjavíkurborgar. Samningur við Heilsugæsluna Lágmúla hafi verið gerður að undangengnu ferli leyfisveitingar til velferðarráðuneytisins og að fenginni staðfestingu Persónuverndar. Aðrir samningar hafi ekki farið í formlegt ferli leyfisveitingar á þeim tíma sem til þeirra var stofnað, en heilsugælan hafi óskað slíks leyfis hinn 3. október 2024. Þeir samningar sem nú séu í ferli leyfisveitingar byggi að efni til á samningi Heilsugæslu höfuðborgarsvæðisins og Heilsugæslunnar í Lágmúla. Persónuvernd hafi þegar lagt mat á hið sameinaða sjúkraskrárkerfi, þ.e. hvað öryggi gagna og persónuverndarsjónarmið varðar.

20. Þá áréttar Heilsugæsla höfuðborgarsvæðisins að einungis heilbrigðisstarfsmenn sem störfuðu hjá eða í þágu samningsaðila hafi fengið aðgang að hinu sameinaða sjúkraskrárkerfi. Deild rafrænnar þjónustu hjá heilsugæslunni, sem hefur umsjón með sjúkraskrárkerfi stofnunarinnar, hafi yfirfarið alla virka aðganga og borið saman við samninga um sameiginleg sjúkraskrárkerfi. Sú skoðun hafi leitt í ljós að virkir aðgangar séu að öllu leyti bundnir við aðila sem hafi samkvæmt samningi aðgang að sameiginlegri sjúkraskrá. Eftirlit með uppflettingum í sjúkraskrám sé mjög virkt og öllu heilbrigðisstarfsfólki sem aðgang hafi að kerfinu sé ljóst að misnotkun á aðgengi sé álitið sem alvarlegt trúnaðarbrot.

21. Í skýringum Heilsugæslu höfuðborgarsvæðisins er tekið fram að stofnunin hafi lagt mat á hvort 18. gr. laga nr. 55/2009, sem fjallar um miðlun upplýsinga með samtengingu rafrænna sjúkraskrárkerfa, væri betur til þess fallin að tryggja öryggi sjúklinga við meðferð fremur en sameiginlegt sjúkraskrárkerfi á grundvelli 20. gr. sömu laga. Munurinn á tæknilegri framkvæmd ákvæðanna liggi í því hvort sjúkrasagan birtist öll við fyrstu uppflettingu (sameiginleg sjúkraskrá) eða hvort staðbundni hluti sjúkrasögunnar birtist við uppflettingu með viðbótarhnappi þar sem unnt sé að falast eftir því að nálgast samtengdar sjúkraskrár. Það sé bæði tímafrekara og aukin villuhætta fólgin í því að beita aðgerð samtengingar fremur en sameiningu sjúkraskráanna.Þá sé samtenging sjúkraskráa ekki tæknilega framkvæmanleg í þeim tilvikum sem samningsaðilar hafi ekki sértæka sjúkraskrá í sínum rekstri. Vísað er til þess að meirihluti þeirra aðila sem Heilsugæslan hafi gert samninga við um sameiginlega sjúkraskrá hafi sjúklinga sem sína þjónustuþega. Sjúklingar geti færst á milli samningsaðila að nokkru leyti eftir eigin ósk eða notið þjónustu frá fleiri en einum samningsaðila á sama tíma. Sameinuð sjúkraskrá sé nauðsynleg til að koma í veg fyrir vöntun á upplýsingum, t.d. hvað varðar lyfjaávísanir á ávanabindandi lyf.Í þeim tilvikum sé sameiginleg sjúkraskrá til þess fallin að auka gæði, skilvirkni og öryggi heilbrigðisþjónustu.

Andmæli vegna mögulegrar álagningar sektar

22. Með bréfi 18. desember 2024 var Heilsugæslu höfuðborgarsvæðisins veittur andmælaréttur vegna mögulegra brota gegn ákvæðum persónuverndarlöggjafarinnar um lögmæti vinnslu og álagningu stjórnvaldssektar. Í bréfi Persónuverndar er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að heilsugæslan hefði brotið gegn ákvæðum 5., 6., og 9. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðarinnar. Í bréfinu eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft árif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laganna, sbr. 2. mgr. 83. gr. reglugerðarinnar.

23. Heilsugæsla höfuðborgarsvæðisins leggur áherslu á að stofnunin hafi gert samning við Heilsugæsluna Lágmúla (16. apríl 2016) að undangengnu ferli leyfisveitingar samkvæmt 2. mgr. 20. gr. laga nr. 55/2009. Aðrir samningar um sameiningu sjúkraskrárkerfa hafi byggt að efni til á þeim samningi, þrátt fyrir að þeir hafi ekki farið í formlegt leyfisveitingarferli. Heilsugæslan gengst við því að annmarkar hafi verið á meðferð þeirra samninga, enda hafi ekki verið gætt að skilyrðum 2. mgr. 20. gr. laga nr. 55/2009. Vísað er til þess að heilsugæslan telji það þjóna hagsmunum og starfsemi stofnunarinnar að ljúka málinu á þann hátt sem Persónuvernd lagði upp með í bréfi 18. desember 2024.

Forsendur og niðurstaða

Lagaumhverfi

24. Mál þetta lýtur að vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilsugæslu höfuðborgarsvæðisins. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

25. Sá sem ber ábyrgð á vinnslu persónuupplýsinga telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

26. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Í samræmi við b-lið 3. mgr. 6. gr. reglugerðarinnar skal mæla fyrir um grundvöll vinnslu sem styðst við umrædda vinnsluheimild í lögum aðildarríkis sem ábyrgðaraðili heyrir undir.

27. Vinnsla viðkvæmra persónuupplýsinga, þ.m.t. heilsufarsupplýsinga, sbr. b-lið 3. tölul. 3. gr. laganna og 1. mgr. 9. gr. reglugerðarinnar, þarf jafnframt að samrýmast einhverju viðbótarskilyrða 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Má þar nefna að vinnslan sé nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. 9. tölul. lagaákvæðisins og i-lið reglugerðarákvæðisins.

28. Ábyrgðaraðili vinnslu skal tryggja að persónuupplýsingar séu unnar með lögmætum hætti, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina.

29. Við mat á því hvort farið sé að þeim lagaákvæðum sem rakin eru hér að framan þarf að líta til ákvæða annarra laga sem við eiga hverju sinni. Í fyrirliggjandi máli koma einkum til skoðunar lög nr. 55/2009 um sjúkraskrár í þessu sambandi.

30. Hugtakið sameiginlegt sjúkraskrárkerfi er skilgreint í 8. tölul. 3. gr. laga nr. 55/2009 sem rafrænt sjúkraskrárkerfi tveggja eða fleiri heilbrigðisstofnana eða starfsstofa heilbrigðisstarfsmanna. Í VI. kafla laganna er fjallað nánar um sameiginleg sjúkraskrárkerfi. Í 1. mgr. 20. gr. laganna segir að heilbrigðisstofnunum og starfsstofum heilbrigðisstarfsmanna, tveimur eða fleirum, sé heimilt með leyfi ráðherra að færa og varðveita sjúkraskrá sjúklinga, sem koma til meðferðar hjá þeim, í sameiginlegu rafrænu sjúkraskrárkerfi. Í 2. mgr. sömu greinar er mælt fyrir um skilyrði fyrir starfrækslu þessara kerfa. Samkvæmt ákvæðinu skal leyfi ráðherra til reksturs sameiginlegs sjúkraskrárkerfis aðeins veitt ef sýnt er fram á að sameiginlegt sjúkraskrárkerfi sé til þess fallið að tryggja betur öryggi sjúklinga við meðferð. Þá segir að ráðherra geti bundið leyfi skv. 1. mgr. þeim skilyrðum sem hann telur nauðsynleg til að tryggja vandaða færslu sjúkraskráa, örugga varðveislu þeirra og vernd sjúkraskrárupplýsinga. Leyfisveiting ráðherra skuli jafnframt bundin þeim skilyrðum að rekstur kerfisins uppfylli skilyrði gildandi reglugerðar um sjúkraskrár, nú reglugerð nr. 550/2015, sbr. 1. tölul. ákvæðisins, og að fyrir liggi staðfesting Persónuverndar um að öryggi persónuupplýsinga í hinu sameiginlega rafræna sjúkraskrárkerfi sé tryggt í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga og reglur Persónuverndar um öryggi persónuupplýsinga, sbr. 2. tölul. ákvæðisins.

31. Í athugasemdum við 20. gr. frumvarps til sjúkraskrárlaga er vikið nánar að því skilyrði að sameiginlegt sjúkraskrárkerfi skuli vera til þess fallið að tryggja betur öryggi sjúklinga við meðferð. Fram kemur að sýna þurfi fram á það með faglegum rökum að sameiginlegt sjúkraskrárkerfi tryggi betur hagsmuni sjúklinga en unnt er með miðlun upplýsinga með samtengingu rafrænna sjúkraskrárkerfa, sbr. heimildir í 18. gr. frumvarpsins. Vísað er til þess að almennt sé unnt að tryggja persónuverndarhagsmuni sjúklinga betur í aðskildum sjúkraskrárkerfum og því þurfi gild fagleg rök til að réttlæta frávik frá því.

Lögmæti vinnslu

32. Fyrir liggur að Heilsugæsla höfuðborgarsvæðisins tók ákvörðun um að semja við tiltekna aðila um rekstur sameiginlegs sjúkraskrárkerfis og á þeim grundvelli veitti heilsugæslan viðkomandi aðilum aðgang að sjúkraskrá sjúklinga stofnunarinnar. Heilsugæslan telst ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem í því fólst, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af því að fyrirliggjandi mál beinist eingöngu að Heilsugæslu höfuðborgarsvæðisins kemur ábyrgð annarra aðila ekki til skoðunar hér.

33. Eins og áður er rakið er heilbrigðisstofnunum og starfsstofum heilbrigðisstarfsmanna heimilt, með leyfi ráðherra, að færa og varðveita sjúkraskrár sjúklinga sem koma til meðferðar hjá þeim í sameiginlegu rafrænu sjúkraskrárkerfi, ef sýnt er fram á að það sé til þess fallið að tryggja betur öryggi sjúklinga, sbr. 20. gr. laga nr. 55/2009. Með hliðsjón af umræddu ákvæði telur Persónuvernd að vinnsla persónuupplýsinga sem felst í sameiningu rafrænna sjúkraskrárkerfa geti stuðst við heimild 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þar sem vinnslan kann að vera nauðsynleg í þágu almannahagsmuna sem felast í því aðtryggja betur öryggi sjúklinga við veitingu heilbrigðisþjónustu. Þá telur Persónuvernd að viðbótarskilyrði 9. tölul. 1. mgr. 11. gr. laganna, sbr. h-lið 2. mgr. 9. gr. reglugerðarinnar, geti átt við um sameiningu sjúkraskrárkerfa, sbr. umfjöllun um ákvæðin í efnisgrein 27.

34. Velferðarráðuneytið veitti leyfi fyrir sameiningu sjúkraskrárkerfa Heilsugæslu höfuðborgarsvæðisins og Heilsugæslunnar í Lágmúla hinn 10. febrúar 2016, þrátt fyrir fyrirvara í umsögn Persónuverndar, sbr. umfjöllun í efnisgrein 13. Með hliðsjón af því að leyfið var veitt hefur Persónuvernd ekki forsendur til að gera athugasemd við lögmæti sameiningar sjúkraskrárkerfa umræddra stofnanna, í ljósi þess sem rakið er í efnisgrein 30.

35. Hins vegar liggur fyrir að leyfis ráðherra var ekki aflað í öðrum tilvikum sem til umfjöllunar eru í þessu máli, né var leitað staðfestingar Persónuverndar á að öryggi persónuupplýsinga væri tryggt í hinu sameiginlega sjúkraskrárkerfi, þrátt fyrir áskilnað 20. gr. laga nr. 55/2009 þess efnis. Ákvæðið mælir fyrir um að leyfi ráðherra til reksturs sameiginlegs sjúkraskrárkerfis skuliaðeinsveitt sé sýnt fram á að það sé til þess fallið að tryggja betur öryggi sjúklinga við meðferð. Í ákvæðinu felst að sýna þarf fram á það með faglegum rökum að sameiginlegt sjúkraskrárkerfi tryggi betur hagsmuni sjúklinga en unnt er með miðlun upplýsinga með samtengingu rafrænna sjúkraskrárkerfa, sbr. umfjöllun í efnisgrein 31. Að mati Persónuverndar er samkvæmt því ljóst að slíkt mat þarf að fara fram íhvert skiptisem nýr aðili gengur inn í hið sameiginlega sjúkraskrárkerfi Heilsugæslu höfuðborgarsvæðisins. Þá telur Persónuvernd jafnframt ljóst að ákvæðið krefst þess að leitað sé staðfestingar stofnunarinnar á öryggi hins sameiginlega sjúkraskrárkerfisins við sérhverja leyfisveitingu ráðherra.

36. Að framangreindu virtu telur Persónuvernd að Heilsugæsla höfuðborgarsvæðisins hafi ekki sýnt fram á að sú vinnsla persónuupplýsinga, sem fólst í því að veita öðrum aðilum en Heilsugæslunni í Lágmúla aðgang að hinu sameiginlega sjúkraskrárkerfi stofnunarinnar, hafi verið heimil, sbr. 1. tölul. 1. mgr. og 2. mgr. 8. gr., 1. mgr. 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-liður 1. mgr. og 2. mgr. 5. gr., 1. mgr. 6. gr. og 1. mgr. 9. gr. reglugerðar (ESB) 679/2016, enda var ekki gætt að skilyrðum 1. og 2. mgr. 20. gr. laga nr. 55/2009 við umræddar sameiningar.

37. Fyrir liggur að Heilsugæsla höfuðborgarsvæðisinshefur nú óskað leyfis ráðherrafyrir færslu og varðveislu sjúkraskráa í sameiginlegu sjúkraskrárkerfi með Heilsugæslunni Höfða, Heilsugæslunni Salahverfi, Heilsugæslunni Urðarhvarfi, Heilsugæslunni Höfða Suðurnesjum og Velferðarsviði Reykjavíkurborgar. Jafnframt hefur verið upplýst um að Heilsugæsla höfuðborgarsvæðisins hefur lokað öllum aðgöngum sem veittir voru Fluglæknasetrinu, Knattspyrnusambandi Íslands, Samgöngustofu og Vinnumálastofnun. Þá telur Persónuvernd verða að ætla að ríkir hagsmunir sjúklinga standi til þess að fyrirkomulag sjúkraskrárinnar standi óbreytt í þágu meðferðar uns ákvörðun ráðherra um leyfisveitinguna liggur fyrir. Í ljósi þessa þykir ekki tilefni til að beina fyrirmælum um úrbætur til Heilsugæslu höfuðborgarsvæðisins, sbr. 42. gr. laga nr. 90/2018 og 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, að sinni, þrátt fyrir framangreinda niðurstöðu.

Ákvörðun um álagningu stjórnvaldssekta

38. Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.

39. Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 6. og 9. gr. reglugerðarinnar. Líkt og rakið er í efnisgrein 36 að framan braut Heilsugæslan á höfuðborgarsvæðinu gegn umræddum ákvæðum.

40. Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Heilsugæslu höfuðborgarsvæðisins til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:

1. Ekkert tjón virðist hafa orðið vegna brota Heilsugæslu höfuðborgarsvæðisins, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.

2. Heilsugæsla höfuðborgarsvæðisins hefur greiðlega svarað erindum Persónuverndar, gengist við brotum gegn persónuverndarlöggjöfinni og hefur nú sótt um leyfi ráðherra fyrir sameiningu sjúkraskrárkerfanna og lokað á aðgang þeirra aðila sem ekki eru yfirhöfuð álitnir bærir til aðgangsins,sbr. 3. og 6. tölul. 1. mgr. 47. gr. laganna og c- og f-liði 2. mgr. 83. gr. reglugerðarinnar.

41. Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Heilsugæslu höfuðborgarsvæðisins og hafi áhrif til hækkunar:

1. Brotið var gegn ákvæðum reglugerðar (ESB) 2016/679 sem falla undir 3. mgr. 46. gr. laga nr. 90/2018 og teljast alvarleg að teknu tilliti til samanburðar við hámarksfjárhæð sekta samkvæmt 2. mgr. sama ákvæðis, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

2. Brot Heilsugæslu höfuðborgarsvæðisins taka til mörg þúsund skráðra einstaklinga og er vinnslan umfangsmikil að því leyti, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

3. Brot Heilsugæslu höfuðborgarsvæðisins voru langvarandi enda ljóst að vinnsla persónuupplýsinga í sameiginlegu sjúkraskrárkerfi stofnunarinnar hefur staðið yfir í fjölda ára, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.

4. Samningar Heilsugæslu höfuðborgarsvæðisins um sameiginleg sjúkraskrárkerfi kveða skýrt á um að leyfis ráðherra skuli aflað, að undangenginni staðfestingu Persónuverndar, í samræmi við 20. gr. laga nr. 55/2009. Að auki er skýrlega mælt fyrir um þá skyldu í tilvísuðu lagaákvæði. Þrátt fyrir þetta var leyfis ráðherra ekki aflað í tengslum við aðra samninga en við Heilsugæsluna í Lágmúla. Að því virtu telur Persónuvernd að leggja verði til grundvallar að brot heilsugæslunnar hafi verið framin af lægsta stigi ásetnings, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. gr. reglugerðarinnar.

5. Brot Heilsugæslu höfuðborgarsvæðisins varða heilsufarsupplýsingar, sem teljast til viðkvæmra persónuupplýsinga, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, sbr. 7. tölul. 1. mgr. 47. gr. laganna og g-lið 2. mgr. 83. gr. reglugerðarinnar.

42. Að öllu framangreindu virtu er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á Heilsugæslu höfuðborgarsvæðisins vegna þeirra brota gegn persónuverndarlöggjöfinni sem rakin eru hér að framan. Þykir hún hæfilega ákveðin 5.000.000 krónur.

Á k v ö r ð u n a r o r ð:

43. Heilsugæsla höfuðborgarsvæðisins hefur ekki sýnt fram á að sú vinnsla persónuupplýsinga, sem fólst í því að veita Heimaþjónustu Reykjavíkur, Heilsugæslunni Höfða, Heilsugæslunni Salahverfi, Heilsugæslunni Urðarhvarfi, Knattspyrnusambandi Íslands, Fluglæknasetrinu, Samgöngustofu, Janusi endurhæfingu ehf., Heilsugæslunni Höfða Suðurnesjum, Velferðarsviði Reykjavíkurborgar og Vinnumálastofnun aðgang að hinu sameiginlega sjúkraskrárkerfi stofnunarinnar, hafi verið heimil, sbr. 1. tölul. 1. mgr. og 2. mgr. 8. gr., 1. mgr. 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-liður 1. mgr. og 2. mgr. 5. gr., 1. mgr. 6. gr. og 1. mgr. 9. gr. reglugerðar (ESB) 679/2016, enda var ekki gætt að skilyrðum 1. og 2. mgr. 20. gr. laga nr. 55/2009 við umræddar sameiningar.

44. Lögð er 5.000.000 króna stjórnvaldssekt á Heilsugæslu höfuðborgarsvæðisins. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018.

Persónuvernd, 17. febrúar 2025

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir
Björn Geirsson
Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson