Personvernnemndas vedtak 3. mai 2022 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.
Nemnda bemerker at uttrykket «behandlingsansvarlig», jf. personvernforordningen artikkel 4 nr. 7, er erstattet med «dataansvarlig» i helselovene. Tidligere ble «databehandlingsansvarlig» brukt om «behandlingsansvarlig» i helselovgivningen, men dette ble ved siste lovendring endret til «dataansvarlig», jf. Prop 56 LS (2017-2018) pkt. 32.2 side 184 der departementet begrunner dette slik:
«Forslaget er en språklig forenkling som ikke innebærer innholdsmessige endringer. Uttrykket er synonymt med «behandlingsansvarlig», som er uttrykket som brukes i gjeldende personopplysningslov, den norske oversettelsen av forordningen og forslaget til ny personopplysningslov. Behandlingsansvarlig er definert i forordningen artikkel 4 nr. 7. Det er nødvendig med en annen terminologi i helselovgivningen for å unngå forveksling med behandlingsansvarlig for helsehjelp. Uttrykket «databehandlingsansvarlig» er imidlertid tungt og er ikke intuitivt forståelig.»
I det følgende benyttes uttrykket «dataansvarlig».
Sakens bakgrunn
Datatilsynet innledet kontroll med OUS i januar 2018. Kontrollen ble igangsatt i medhold av personopplysningsloven 2000 § 44, jf. § 42, og helseregisterloven § 26, jf. pasientjournalloven § 26. Formålet var å undersøke om OUS behandler pasientenes personopplysninger i tråd med personopplysningsloven ved bruk av eksterne laboratorier i inn- og utland.
Sykehuset redegjorde 28. februar 2018 for organiseringen og gjennomføringen av samarbeidet med eksterne laboratorier. Etter ytterligere forespørsler fra Datatilsynet utdypet sykehuset sin redegjørelse 15. april 2019.
Datatilsynet utarbeidet en foreløpig kontrollrapport med varsel om vedtak 30. juni 2020.Tilsynet mente dokumentasjonen tydet på at OUS manglet kontroll over pasientopplysningene og at OUS ikke hadde kunnskap om eventuell videre bruk av opplysningene for utenlandske laboratoriers egne formål. Videre mente Datatilsynet at sykehusets protokoll over behandling av personopplysninger var ufullstendig, at det i de fleste tilfeller manglet avtaler med laboratoriene om den videre behandlingen av personopplysningene, og at det manglet redegjørelse for gyldig rettslig grunnlag for behandling av opplysningene ved bruk av utenlandske laboratorier. Tilsynets funn medførte at kontrollen ble avgrenset til å omfatte forvaltningen av pasientopplysninger og biologisk materiale ved bruk av utenlandske laboratorier for helsehjelpsformål.
Varselet om vedtak omfattet et pålegg til sykehuset om å føre en fullstendig protokoll over bruk av utenlandske laboratorier, et pålegg om å inngå databehandleravtaler eller avtaler om felles behandlingsansvar samt revidere inngåtte avtaler for å sikre kontroll med pasientopplysningene. Datatilsynet veiledet OUS om krav til protokoll, rettslig grunnlag, databehandleravtaler og overføringer innenfor EØS og til tredjestater.
OUS ga sine kommentarer til det varslede vedtaket 16. november 2020. OUS mener at Datatilsynet ikke har rettslig adgang til å fatte vedtak med pålegg overfor OUS, og var uenig i grunnlaget for det varslede vedtaket. OUS var også uenig i at Datatilsynet kunne kreve protokoll da helsepersonells dokumentasjonsplikt i pasientjournal oppfyller kravene til protokoll i personvernforordningen. Sammen med kommentarene oversendte OUS en betenkning 6. november 2020 fra førsteamanuensis ved juridisk fakultet ved UiO, Anne Kjersti Befring og advokat Eva Jarbekk. Betenkningen støtter sykehusets syn om at det rettslige grunnlaget for utlevering til og bruk av utenlandske laboratorier er gjeldende nasjonale helselover. OUS bestred også pålegget om å inngå databehandleravtaler når det er nasjonale lovhjemler for delingen av opplysninger.
Det ble arrangert et digitalt møte mellom Datatilsynet og OUS 2. februar 2021, der OUS fikk anledning til å klargjøre sine synspunkter. Det ble etter møtet gitt forlenget frist for OUS til å inngi ytterligere kommentarer. Ytterligere kommentarer fra OUS ble gitt 1. mars 2021.
Datatilsynet ferdigstilte sin kontrollrapport 9. april 2021 og fattet 26. april 2021 slikt vedtak:
«Med hjemmel i personvernforordningen artikkel 58 nr. 2. bokstav d) pålegger Datatilsynet OUS innen 01.07.2021 å sørge for at behandlingsaktivitetene skjer i samsvar med sitt ansvar etter personvernforordningen artikkel 5 nr. 2 og de øvrige bestemmelsene i forordningen og personopplysningsloven:
- Det skal utarbeides en oversikt over bruk av utenlandske laboratorier som er i samsvar med artikkel 30 nr. 1 og artikkel 30 nr. 2, jf. kontrollrapport punkt 2.2.3.
- Ettersom OUS i sine svar ikke har påvist rettslig grunnlag i nasjonal rett, unionsretten eller internasjonal rett for å tjenesteutsette/utlevere helseopplysninger og biologisk materiale til andre land, må det inngås databehandleravtaler med laboratoriene i samsvar med artikkel 28 og 29, jf. kontrollrapport punkt 2.3.4 b).
- OUS må sørge for at opplysninger blir overført til tredjestater i samsvar med minst ett av kravene i artikkel 45 eller artikkel 46 i personvernforordningen kapittel V, jf. kontrollrapport punkt 2.3.6. Vær oppmerksom på skrankene for overføring av personopplysninger til tredjestater som følge av EU-domstolens avgjørelse i Sak C- 311/18 av 16. juli 2020 (Schrems II), samt etterfølgende anbefalinger fra EDPB, Recommendations 01/2020.
- OUS pålegges å revidere samtlige avtaler med utenlandske laboratorier slik at det sikres at OUS har kontroll med at pasientenes særlige kategorier av opplysninger behandles forsvarlig og i samsvar med forordningens krav, jf. kontrollrapport punkt 2.4.1.
- OUS må sikre kontroll, herunder ha dokumenterbar kunnskap om hvorvidt de utenlandske laboratoriene benytter norske pasienters opplysninger til egne formål. Videre må OUS, i den grad det er mulig, sikre at data ikke brukes til andre formål enn avtalte oppdrag som omfatter analyse for OUS’ pasientbehandlingsformål, jf. kontrollrapport punkt 2.5.3.»
Etter å ha fått innvilget forlenget klagefrist, klaget OUS på Datatilsynets vedtak 7. juni 2021.
Datatilsynet vurderte klagen og ga i en fornyet vurdering 14. desember 2021 OUS medhold i at pasientjournalloven § 19 og helsepersonelloven §§ 25, 45 og 16 kan være supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, for den del av behandlingen av opplysninger som gjelder OUS’ tilgjengeliggjøring av pasientopplysninger til utenlandske laboratorier. For øvrig opprettholdt Datatilsynet sin vurdering og utformet nytt vedtak hvor OUS ble pålagt å:
- utarbeide databehandleravtaler eller andre samarbeidsavtaler med de aktuelle laboratoriene der partenes ansvar for behandling av personopplysninger er nærmere regulert, jf. personvernforordningen artikkel 58 nr. 2 bokstav d, jf. personvernforordningen artikkel 5, 24 og 32.
- sikre kontroll med, herunder ha dokumenterbar kunnskap om, hvorvidt de utenlandske laboratoriene benytter norske pasienters opplysninger til egne formål. Videre må OUS, i den grad det er mulig, sikre at data ikke brukes til andre formål enn avtalte oppdrag, som omfatter analyse for OUS’ pasientbehandlingsformål, jf. kontrollrapporten punkt 2.5.3.
- utarbeide en oversikt over bruk av utenlandske laboratorier som er i samsvar med artikkel 30 nr. 1 og artikkel 30 nr. 2, jf. kontrollrapporten punkt 2.2.3.
- sørge for at opplysninger blir overført til tredjestater i samsvar med minst ett av kravene i artikkel 45 eller artikkel 46 i personvernforordningen kapittel V, jf. kontrollrapporten punkt 2.3.6.
OUS opprettholdt sin klage over Datatilsynets vedtak, slik det lød etter Datatilsynets omgjøring. Datatilsynet oversendte saken til Personvernnemnda 20. desember 2021. I brev fra nemnda 21. desember 2021 fikk sykehuset anledning til å komme med kommentarer. Sykehuset ga sine kommentarer i brev 31. januar 2022, og vedla en tolkingsuttalelse fra Helsedirektoratet av samme dato om dataansvar og behandling av opplysninger etter pasientjournalloven § 19.
Nemnda ba Datatilsynet 24. mars 2022 om å klargjøre enkelte av tilsynets vurderinger. Datatilsynet besvarte henvendelsen 6. april 2022. OUS fikk anledning til å kommentere tilleggsredegjørelsen.
Saken ble behandlet i nemndas møter 22. mars og 3. mai 2022. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Beskrivelse av sakens faktiske forhold
Beskrivelsen under dette punktet er basert på OUS’ redegjørelse til tilsynet og nemnda. Beskrivelsen av sakens faktiske forhold legges til grunn som uomtvistet.
OUS benytter eksterne laboratorier til å utføre analyser av biologisk materiale som ledd i pasientbehandlingen ved helseforetaket. Når OUS ikke har kompetanse eller kapasitet, sendes personopplysninger og biologisk materiale til laboratorier i Norge eller utlandet for analyser.
Behovet for bruk av andre lands laboratorier gjelder spesielt innenfor medisinsk genetikk hvor det utredes sjeldne og ultrasjeldne sykdommer. For slike tilfeller er det ikke mulig å ha tilstrekkelig kompetanse og kapasitet til å etablere kvalifiserte laboratorieanalyser i hvert enkelt land. Det er da nødvendig å benytte laboratorier med spesialkompetanse på den aktuelle lidelsen for å få utført korrekt diagnostikk. Det foregår derfor et bredt internasjonalt samarbeid hvor ulike laboratorier spesialiserer seg på ulike sykdommer og sykdomsgrupper.
Bruk av eksterne laboratorier foregår ved rekvirering. Når andre deler av helsetjenestene rekvirerer analyser fra OUS, som OUS selv ikke har kompetanse eller kapasitet til å kunne gjennomføre, videreformidler OUS disse rekvisisjonene til utenlandske laboratorier. Videreforsendelse av biologisk materiale til utlandet skjer etter avtale med rekvirenten, for eksempel fastlegen eller et annet sykehus som OUS betjener i det enkelte tilfellet. Arbeidsfordelingen mellom rekvirent og laboratorium varierer innenfor og mellom ulike fagområder. Laboratorienes bidrag til pasientbehandlingen kan omfatte alt fra avgrensede bestillinger av presist definerte delanalyser, til at laboratoriet foretar en samlet diagnostisk fortolkning av en biologisk prøve.
Rekvirering av utenlandsprøver skjer som hovedregel gjennom brev, ikke ved faste rekvisisjonsskjema. Det inngås ikke databehandleravtaler med de ulike laboratoriene, verken i Norge eller i utlandet.
Det skilles mellom «henvisningslaboratorier» og «videresendingslaboratorier», jf. standarden NS-EN ISO15189. Henvisningslaboratorier gjør en delundersøkelse, og helseforetaket gjør de resterende undersøkelsene. Videresendingslaboratorier får oversendt det biologiske materialet og foretar hele analysen.
Valg av henvisningslaboratorier og videresendingslaboratorier er basert på om laboratoriene har nasjonale referansefunksjoner i Norge, om laboratoriene har nasjonale
funksjoner i andre land og om laboratoriene er akkreditert etter internasjonale standarder som stiller krav til medisinske laboratorier, NS-EN ISO15189 og NS-EN ISO17025. De internasjonale standardene stiller blant annet krav til prosedyrer for opprettelse og gjennomgang av avtaler for å yte medisinske laboratorietjenester og krav til konfidensialitet.
OUS har oversendt et eget skjema med oversikt over hvilke utenlandske laboratorier sykehuset benytter for analyse av biologisk materiale. Det framgår her landtilhørighet for hvert enkelt laboratorium med formål, analysetype og anslag over antall analyser som rekvireres per år. Den skjematiske oversikten gir ifølge OUS ikke en totaloversikt over helseforetakets bruk av utenlandske laboratorier. Utover det som presenteres i oversikten, opplyser OUS at andre klinikker ved foretaket innenfor andre medisinske spesialiteter videresender biologisk materiale for analyse i utlandet i et ukjent omfang (videresendingslaboratorier).
Innenfor EU/EØS overfører OUS biologisk materiale til 87 laboratorier i Sverige, Danmark, Finland, Tyskland, Storbritannia, Nederland, Estland, Spania, Italia, Belgia og Skottland. Når det gjelder tredjestater overfører OUS biologisk materiale til seks ulike analyser for pasientbehandlingsformål, der to er til Sveits og de øvrige til USA. Sammenlagt overføres ca. 8 000 prøver per år til utenlandske laboratorier innenfor EØS og til tredjestater.
OUS har avtale med alle henvisningslaboratorier de benytter, også de utenlandske laboratoriene. Avtalene framlagt i saken inneholder ingen regulering av hvordan personopplysninger skal eller kan behandles, utover hvem som skal motta analyseresultatene fra de utenlandske laboratoriene.
Datatilsynets vurdering i hovedtrekk
Avgrensning av sakens tema
Datatilsynet har i denne saken kontrollert OUS’ bruk av utenlandske laboratorier til pasientbehandlingsformål. Opprinnelig gjaldt klagen to forhold; for det første om OUS hadde rettslig grunnlag for å utlevere pasientopplysninger, herunder biologisk materiale, til utenlandske laboratorier for analyse. For det andre om slik utlevering forutsetter at det inngås databehandleravtale eller annen avtale mellom felles behandlingsansvarlige der partenes ansvar for personopplysningene reguleres.
Under forberedelsen av klagesaken for nemnda, endret Datatilsynet sitt standpunkt og kom til at OUS har rettslig grunnlag for å utlevere pasientopplysninger til utenlandske laboratorier i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. nr. 2 jf. pasientjournalloven § 19 og helsepersonelloven §§ 25, 45 og 16 og personvernforordningen artikkel 9 nr. 2 bokstav h, jf. nr. 3.
Saken gjelder etter dette om OUS fortsatt er dataansvarlig for pasientopplysningene som utleveres utenlandske laboratorier og om de dermed har en plikt til å sørge for databehandleravtaler eller annen avtale med laboratoriene som felles behandlingsansvarlige.
Datatilsynet understreket ved oversendelse av saken til nemnda at tilsynets vedtak og kontrollrapport ikke omfatter nasjonalt lovhjemlet samarbeid mellom helsepersonell og helsevirksomheter i Norge. Kontrollsaken gjelder heller ikke analyse av biologisk materiale ved utenlandske laboratorier ved akutt helsehjelp. Forskning, publisering av forskning, klinisk utprøvning og helsepersonells plikt til å rådføre seg med andre fagmiljøer ved faglig usikkerhet, er heller ikke omfattet av kontrollen.
Nemnda ba Datatilsynet redegjøre nærmere for betydningen av disse avgrensingene.
I brev til nemnda 6. april 2022 presiserer Datatilsynet at det ikke gjelder andre regler for samarbeid innad i Norge enn innenfor EU/EØS området. Tilsynet mener det må inngås databehandleravtaler også ved rutinemessig/regelmessig samarbeid innad i Norge, men at situasjonen ved samarbeid nasjonalt er mer forutsigbar enn der biologisk materiale sendes til utenlandske laboratorier. Tilsynets formulering «nasjonalt lovhjemlet samarbeid» er ment å henvise til dette. Datatilsynet mener det er en særlig utfordring ved samarbeid med andre land innenfor EU/EØS at man ikke har full oversikt over regelverket som gjelder innad i det andre landet. Et utenlandsk laboratorium kan for eksempel ha en lovpålagt plikt til viderebehandling av det biologiske materialet, eller nasjonal rett kan åpne for viderebehandling uten godkjenning fra den dataansvarlige. Datatilsynet mener det er viktig at slike forhold klarlegges før et samarbeid igangsettes, og at samarbeidet er uttømmende regulert i databehandleravtalen mellom partene.
Datatilsynet presiserer videre at det ikke gjelder andre regler for samarbeid i situasjoner det det ytes akutt helsehjelp enn i andre helsehjelpssituasjoner, men at det i praksis kan være en forskjell for Datatilsynet som tilsynsmyndighet fordi helsehjelp i akutte situasjoner åpner for nødrettsbetraktninger. Tilsynet har derfor ikke sett det som hensiktsmessig å inkludere denne type forhold i kontrollsaken.
Datatilsynet anser begrepet «akutt helsehjelp» generelt som godt innarbeidet i helserettslig forstand. Datatilsynet mener dette omfatter situasjoner der en analyse ved et utenlandsk laboratorium er helt nødvendig for å kunne yte livreddende helsehjelp eller avverge stor personskade, uten at det er tid til å inngå databehandleravtale og forpliktende samarbeid med det utenlandske laboratoriet.
I brevet til nemnda 6. april 2022 uttaler Datatilsynet at de, etter en ny gjennomgang, ser at det ikke er grunnlag for å se annerledes på second opinion-situasjonene (der sykehuset rådfører seg med andre fagmiljøer på grunn av faglig usikkerhet) enn annet samarbeid med utenlandske laboratorier. Datatilsynet viser til at også innhenting av en second opinion bærer preg av rutinemessig/regelmessig samarbeid utenfor akuttsituasjoner, og at det derfor må inngås databehandleravtaler eller avtaler om felles behandlingsansvar i disse situasjonene.
Datatilsynets tilsyns- og vedtakskompetanse
Datatilsynet er rett tilsynsmyndighet og har kompetanse til å gi OUS pålegg etter personopplysningsloven.
Adgangen til å føre en avgrenset kontroll med behandling av personopplysninger i et sykehus, ligger klart innenfor Datatilsynets kompetanse etter personvernforordningen artikkel 55, 57 og 58, jf. personopplysningsloven § 20, og pasientjournalloven §§ 26 og 29.
Det framgår av pasientjournalloven § 26 at Datatilsynet fører tilsyn med loven i den utstrekning tilsynsoppgavene ikke påligger Statens helsetilsyn eller fylkesmannen (nå statsforvalteren) etter helsetilsynsloven.
Statens helsetilsyn har etter helsetilsynsloven § 4 det overordnede faglige tilsynet med helsetjenesten. Statsforvalteren fører også tilsyn med helsetjenesten og alt helsepersonell i det enkelte fylke. Dette utelukker ikke at Datatilsynet har myndighet til å føre tilsyn med behandlingen av personopplysninger i helsetjenesten.
Datatilsynets kontroll i denne saken er begrenset til om OUS foretar en lovlig behandling av helseopplysninger for helsehjelpsformål når de rutinemessig benytter laboratorier i andre land til å analysere biologisk materiale fra sykehusets pasienter.
Datatilsynet er ikke rett myndighet når det gjelder å vurdere om vilkårene for å overføre biologisk materiale til utlandet er oppfylt, jf. behandlingsbiobankloven § 10 med tilhørende forskrift. Helse- og personopplysninger som følger med materialet eller som utledes av materialet skal imidlertid behandles etter reglene i personvernforordningen, personopplysningsloven, helsepersonelloven og eventuell annen lovgivning som særlig regulerer vern av personopplysninger, jf. behandlingsbiobankloven § 3, hvor Datatilsynet er tilsynsmyndighet.
Dataansvarlig, databehandler og delt dataansvar
OUS er dataansvarlig for behandling av pasientopplysningene og det er derfor behov for databehandleravtaler med de utenlandske laboratoriene eller avtale om delt behandlingsansvar.
Dataansvar etter personvernforordningen er som hovedregel et virksomhetsansvar, slik også pasientjournalloven legger til grunn. Dette innebærer at arbeidstakere ved virksomheten behandler opplysninger under virksomhetens ansvar for behandling av personopplysninger.
Det er OUS som har behov for bistand til å analysere biologisk materiale med det formål å yte lovpålagte helsetjenester til sine pasienter. Dette er årsaken til at utenlandske laboratorier mottar biologisk materiale og pasientopplysninger fra OUS.
Samarbeidet innebærer at de utenlandske laboratoriene bidrar med diagnostikk. Spørsmålet er om hver bidragsyter i et pasientforløp skal oppfattes som selvstendig dataansvarlig for hvert enkelt bidrag som i sum utgjør den helsehjelpen som OUS beslutter å gi sine pasienter. Tilsynet mener at OUS i alle tilfeller har et ansvar for selv å ha kunnskap om hvordan pasientopplysninger de leverer fra seg behandles hos mottakeren. OUS må også kunne orientere sine pasienter om hvordan opplysningene om dem behandles og om mottakeren kan behandle opplysningene for egne formål.
Dersom det inngås databehandleravtaler, beholder OUS kontrollen med personopplysningene og det biologiske materialet og sikrer at dette behandles i samsvar med de rettigheter pasientene har etter personvernforordningen, de norske helselovene og pasient- og brukerrettighetsloven. Hvis det ikke kan inngås databehandleravtaler, kan en avtale om delt dataansvar etter artikkel 26 sikre OUS’ kontroll med opplysningene, noe som igjen er en forutsetning for pasientenes kontroll med egne helseopplysninger.
Datatilsynet mener at det er disse forholdene som må avklares og reguleres i en avtale, slik at OUS kan ivareta sitt ansvar for pasientens opplysninger og dermed også gi pasientene mulighet til å ha kontroll med sine egne helseopplysninger.
Dersom det ikke inngås avtaler, må OUS kunne redegjøre for hvilke særreguleringer for taushetsplikt og øvrige regler for behandling av helseopplysninger og biologisk materiale som gjelder ved de mottakende laboratoriene. Dette er en forutsetning for å kunne orientere pasientene om videre behandling av deres opplysninger.
Datatilsynet mener OUS ikke har godtgjort at de har hatt tilstrekkelig oversikt og kontroll med OUS` behandlingsaktiviteter når de benytter eksterne laboratorier i utlandet og at behandlingen av personopplysninger ikke er i samsvar med kravene i artikkel 30.
Datatilsynet pålegger OUS å utarbeide databehandleravtaler eller andre samarbeidsavtaler med de aktuelle laboratoriene der partenes ansvar for behandling av personopplysninger er nærmere regulert, jf. personvernforordningen artikkel 58 nr. 2 bokstav d, jf. artikkel 5 (oppstiller prinsipper for behandling av personopplysninger), artikkel 24 (angir den behandlingsansvarliges ansvar for å ivareta personopplysningssikkerheten) og artikkel 32 (oppstiller krav til sikkerhet ved behandling av personopplysninger). Til grunn for slike avtaler må det ligge en risikovurdering og en vurdering av personvernkonsekvenser, jf. artikkel 24, 32 og 35.
OUS’ utlevering er et ledd i behandlingen av opplysningene i samarbeidsrelasjonen mellom OUS og de utenlandske laboratoriene. Selv om OUS har en rettslig adgang til å overføre pasientopplysninger, mener tilsynet at OUS’ ansvar ikke opphører for den videre behandlingen av pasientenes opplysninger, biologiske materiale og eventuelt ytterligere opplysninger som kan utledes av materialet.
Selv om artikkel 1 nr. 3 skal sikre fri utveksling av personopplysninger mellom EØS-landene, oppheves ikke forordningens øvrige krav til den dataansvarlige og til å sikre en lovlig behandling av pasientopplysninger og biologisk materiale ved overføring innenfor EØS. Artikkelen må ses i sammenheng med artikkel 3 nr. 1 og nr. 2, de registrertes rettigheter i kapittel III og kravene til den dataansvarlige i artikkel 5, 24 og 32.
Selv om forordningen gjelder likt for alle land innenfor EØS, påpeker Datatilsynet at gjennomføringen av forordningen og landenes særregulering innenfor helseområdet er forskjellig. Forordningen gir et større spillerom for særreguleringer i nasjonal rett for særlige kategorier personopplysninger enn for andre personopplysninger, se fortalepunkt 10 fjerde og femte punktum. Dette har ført til ulik helselovgivning og ulik anvendelse av forordningen i landene.
Når OUS overlater personopplysninger til laboratorier underlagt annen nasjonal særregulering uten nærmere kunnskap om hva denne innebærer, medfører det en høy risiko for at norske pasientdata befinner seg utenfor OUS’ kontroll. OUS’ praksis for overføring av særlige kategorier av opplysninger til utenlandske laboratorier er i strid med forordningens ansvarsprinsipp i artikkel 5 nr. 2, jf. artikkel 5 nr. 1, og innebærer også et avvik fra forordningens artikkel 28 og 29 samt kapittel V om overføring til tredjestater.
Pasientjournalloven og pasientjournalforskriften pålegger den dataansvarlige en rekke plikter når pasientenes helseopplysninger kan eller skal deles med andre som yter helsehjelp.
Den dataansvarliges plikter er nedfelt i pasientjournalloven kapittel 4, herunder §§ 19, 22 og 23.
I alle tilfeller mener Datatilsynet at forholdet mellom OUS og utenlandske laboratorier må reguleres gjennom avtale, enten som en databehandleravtale eller som en avtale om delt dataansvar. Til grunn for slike avtaler må det ligge en risikovurdering og en vurdering av personvernkonsekvenser, jf. artikkel 24, 32 og 35, slik at OUS ivaretar sine plikter som dataansvarlig etter personvernregelverket.
Overføring til tredjeland
De samme kravene til rettslig grunnlag vil gjelde ved overføring til tredjeland, altså land utenfor EU/EØS. I tillegg må det da sikres et overføringsgrunnlag i tråd med personvernforordningen kapittel V.
Artikkel 45 gjelder overføring på grunnlag av EU-kommisjonens beslutning om at det foreligger tilstrekkelig beskyttelsesnivå. Artikkel 46 angir at hvis det ikke foreligger en beslutning fra kommisjonen om tilstrekkelig beskyttelsesnivå, kan personopplysninger overføres hvis de omfattes av «nødvendige garantier» i forordningen. Dette krever at den dataansvarlige eller databehandleren har gitt «nødvendige garantier» for at personvernforordningen overholdes og under forutsetning av at de registrerte kan håndheve sine rettigheter og har effektive rettsmidler jf. personvernforordningen artikkel 46 nr.1.
Basert på OUS’ redegjørelser legger Datatilsynet til grunn at OUS ikke har tilstrekkelig kunnskap om reglene for overføring av pasientopplysninger til tredjeland og pålegget omfatter derfor et krav om å sørge for at opplysninger som blir overført til tredjeland i samsvar med minst ett av kravene i artikkel 45 eller artikkel 46 i personvernforordningen kapittel V.
I brev til nemnda 6. april 2022 presiserer Datatilsynet at dette pålegget ikke er ment å favne videre enn det som følger av personvernforordningen. Årsaken til at pålegget er formulert slik det er, er unntakene i artikkel 49 som OUS har anført i forbindelse med kontrollsaken. Etter Datatilsynets vurdering kommer ikke unntakene til anvendelse der OUS skal samarbeide med laboratorier i tredjeland. Dersom OUS likevel finner gyldig unntak fra pliktene etter kapittel V i artikkel 49, vil tilsynet legge det til grunn.
Oslo universitetssykehus HFs syn på saken i hovedtrekk
Gjenstand for klagesaksbehandling
Datatilsynet legger nå til grunn at pasientjournalloven § 19 og helsepersonelloven §§ 25 og 45 gir rettslig grunnlag for å utlevere pasientopplysninger til laboratorier i andre land i samsvar med personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 6 nr. 3, jf. artikkel 9 nr. 2 bokstav h og nr. 3. Pasientjournalloven og helsepersonelloven er dermed supplerende rettsgrunnlag for den del av behandlingen av opplysningene som gjelder tilgjengeliggjøring av helseopplysninger til utenlandske laboratorier for helsehjelpsformål.
Etter dette gjenstår å få avklart problemstillingene knyttet til ansvarsforhold i samhandlingsmodellen i helsetjenesten, og hvordan dette skal bedømmes faktisk og rettslig. Saken er prinsipiell og har en viktig praktisk side for alle helsevirksomheter.
Tilsyns- og vedtakskompetanse
OUS ber Personvernnemnda vurdere Datatilsynets tilsynsansvar og kompetanse. Dersom sykehuset innretter seg etter Datatilsynets vedtak, vil ikke OUS kunne oppfylle pasientrettigheter og plikter i helselovene når helseopplysninger deles mellom behandlere og helsevirksomheter i Norge og med fagmiljøer i andre land.
OUS har mottatt to vedtak som gjelder deling av helseopplysninger og setter OUS i et krysspress mellom to tilsynsorganer. Helsetilsynet (ved Statsforvalteren i Oslo og Viken) påpeker i sitt vedtak 15. mars 2021 at sykehuset har stilt for rigide krav til datadeling. Dette skyldes blant annet krav om databehandleravtaler i situasjoner der det haster å få prøvesvar eller overfor laboratorier og registre (som lagrer donorsøkere) og som nekter å inngå slike avtaler. Helsetilsynet mener dette har ført til høy risiko i pasientbehandlingen. Datatilsynet har i sitt vedtak 26. april 2021 tatt en beslutning med motsatt innhold. To tilsynsorgan griper inn i hverandre på helsesektorens område. Personvernregelverket må tilpasses disse situasjonene. Det å behandle opplysninger på en lovlig måte og drive forsvarlig helsehjelp er to sider av en og samme sak. OUS viser også til en avgjørelse fra Statsforvalteren fra 2018 der OUS får kritikk for ikke å ha innhentet en second opinion, noe som forutsetter deling av data. Det kan også nevnes at krav om databehandleravtale for å publisere resultater fra covid-19 forskningsprosjekt har vært en barriere for å dele ny kunnskap.
OUS ber Personvernnemnda om en avklaring med hensyn til tilsynsmyndighetens kompetanse når det gjelder sammenhengen mellom personvernforordningen og nasjonale helselover.
Helselovene settes til side
Datatilsynet anvender personvernforordningen direkte overfor OUS uten samtidig å anvende helselovene. I prinsippet betyr dette at helselovene ikke har betydning for spørsmål om deling av helseopplysninger og biologisk materiale, og at sykehuset er regulert på samme måte som Facebook og andre private aktører. Dette får betydning for alt samarbeid om pasientbehandlingen nasjonalt og internasjonalt.
Vedtaket innebærer i realiteten at det etableres en ny rettstilstand for sykehus ved at helselovene med de særregler som er utviklet over flere ti-år i Norge og internasjonalt, der det samarbeides om pasientbehandlingen mellom helsepersonell i ulike helsevirksomheter, sees bort fra.
Stortinget har i flere omganger implementert slike forpliktelser som omfatter rettigheter til medisinsk behandling (som forutsetter behandling av pasientopplysninger) og som forplikter både sykehuset og leger til samarbeid og å innhente bistand fra ekspertmiljøer.
Dette gjelder implementeringen av Pasientrettighetsdirektivet (EU 2011/24), Biomedisinkonvensjonen, konvensjon om økonomiske, sosiale og kulturelle rettigheter (ØSK) artikkel 12 og Den europeiske menneskerettskonvensjon (EMK) artikkel 2, 3 og 8. Med vedtaket tilsidesettes de grunnlagene som benyttes for avveininger når OUS involverer eksterne aktører i et pasientforløp basert på risiko ved å dele biologisk materiale og pasientopplysninger, eller av å ikke dele dette materialet. Det vises til Grunnloven § 92 og menneskerettsloven §§ 2 og 3, om disse menneskerettighetens betydning ved lovanvendelsen.
De absolutte kravene om at all deling skal baseres på et uttrykkelig samtykke eller en databehandleravtale er noe helt nytt som vil påvirke både innretning og gjennomføring av pasientbehandlingen.
Ansvarlighetsprinsippet og behandlingsgrunnlag
Sykehuset er dataansvarlig for personopplysninger og systemansvarlig for pasientbehandlingen og skal ivareta sikkerheten for pasienter som mottar helsehjelp. Grunnlaget for behandlingen av både pasienten og pasientopplysninger finnes i Grunnloven § 113, personvernforordningen artikkel 6 første ledd bokstavene c-e, og artikkel 9 andre ledd bokstavene h-j, jf. 9 tredje ledd og 9 fjerde ledd, og nasjonale helselover som har implementert internasjonale og EU-rettslige forpliktelser. Dersom det ikke er klar lovhjemmel kan vitale interesser i artikkel 6 første ledd bokstav d og forholdsmessighetsvurderinger etter artikkel 6 første ledd bokstav f begrunne at biologisk materiale og data må deles. Dette kan for eksempel være aktuelt ved klinisk utprøvning og deling av kunnskap.
Helsepersonell er pålagt å innhente råd fra aktuelle fagmiljøer i eller utenfor landet når dette er nødvendig og mulig, jf. helsepersonelloven § 4 andre ledd, der det står: «Helsepersonell skal innrette seg etter sine faglige kvalifikasjoner, og skal innhente bistand eller henvise pasienter videre der dette er nødvendig og mulig. Dersom pasientens behov tilsier det, skal yrkesutøvelsen skje ved samarbeid og samhandling med annet kvalifisert personell.»
Pasienter kan forvente at helsepersonellet og helsevirksomheten inkluderer andre helsevirksomheter når det er nødvendig av hensyn til å oppnå forsvarlig og nødvendig helsehjelp, jf. helsepersonelloven §§ 25, 45 og 4 og pasient- og brukerrettighetsloven § 2-1 b. Unntakene fra taushetsplikten i helsepersonelloven §§ 25 og 45, eventuelt også § 23 fjerde ledd, skal tilrettelegge for slikt samarbeid uavhengig av om pasienten er i stand til å samtykke. Unntakene fra taushetsplikten i helsepersonelloven §§ 25 og 45, innebærer at deling av pasientopplysninger mellom helsepersonell som er involvert i pasientbehandlingen bygger på en presumsjon om at pasienten ville ønsket dette og en begrensning til det som er nødvendig å dele.
Formuleringen «samarbeidende helsepersonell» er presisert i forarbeidene til å gjelde alle som involveres i et pasientforløp, også utenfor helsevirksomheten som har ansvaret for pasienten.
Det kan være brudd på forsvarlighetsplikten (også straffbart, jf. helsepersonelloven § 67) dersom ikke nødvendige opplysninger deles, jf. Rt. 1997 s. 1800.
Med utviklingen av medisinen i retning av økt spesialisering og samarbeidet innad i EØS/EU, og med andre land, er det økte behov for samarbeid over landegrensene. Flere lovbestemmelser viser til dette, samt pasientrettighetsdirektivet (EU 2011/24) og EUs trygdeforordning (EU 883/04).
Et absolutt krav om inngåtte databehandleravtaler for å kunne dele data i pasientbehandlingen – eller innhente et samtykke som oppfyller formkravene i personvernforordningen - vil innebære brudd med ansvarsprinsippet og de mange lovbestemte plikter dette bygger på.
Deling av biologisk materiale fra andre land
Vedtaket fra Datatilsynet innebærer at helselovene ikke har betydning for samarbeid med andre land. Bestemmelser i flere lover, også i behandlingsbiobankloven, legger til grunn at det i et pasientforløp kan innhentes bistand fra andre fagmiljøer, også utenfor landet, jf. behandlingsbiobankloven § 10 andre ledd, helsepersonelloven § 4 andre ledd, pasient- og brukerrettighetsloven § 2-4 a og prioriteringsforskriften § 3 m.fl.
I avgjørelsen fra Helsetilsynet (v/Statsforvalteren i Oslo og Akershus (Oslo og Viken)), 22. mai 2018, konkluderes det med at OUS brøt forsvarlighetsplikten da det ikke ble hentet inn en second opinion-vurdering fra et utenlandsk laboratorium. Dette kunne hindret feildiagnostisering av 21 kvinner.
Nasjonale lover omfatter plikter og rettigheter til helsetjenester fra andre land. Det gjelder både ved at leger kontakter fagmiljøer og laboratorier i andre land for bistand til å stille en diagnose eller til å gi helsehjelp, og rettigheter for pasienter til selv å søke hjelp i andre land. Rettigheter og plikter omfatter deling av pasientopplysninger og biologisk materiale med andre land når det er nødvendig og forsvarlig.
Andre land er underlagt mange av de samme reglene ved EU/EØS-reguleringer og biomedisinkonvensjonen. Plikten til konfidensialitet, og unntak fra denne plikten for å oppnå forsvarlig helsehjelp, og kravene til databehandling, følger av nasjonale, internasjonale og EU-rettslige reguleringer. Det innebærer at de samme kravene som gjelder i Norge gjelder for de helsevirksomhetene det samarbeides med.
Tjenesteutsetting og databehandleravtaler
Innhenting av råd og prøvesvar kan ikke karakteriseres som «tjenesteutsetting» da den som mottar rekvireringen ikke er underlagt instruksjonsmyndighet og skal avgi sine faglige vurderinger med tilstrekkelig autonomi og i samsvar med internasjonale menneskerettigheter, da særlig biomedisinkonvensjonen. Den som mottar en oppgave har taushetsplikt og er underlagt plikter til å opptre forsvarlig. Den som henviser eller rekvirerer kan ikke instruere den som mottar rekvireringen og har heller ikke ansvaret for hvordan oppgavene utføres. En henvisning eller rekvirering er heller ikke å anse som en delegasjon i rettslig forstand da den som mottar henvisningen har selvstendige rettslige plikter. Mottakeren av en henvisning og rekvirering opptrer ikke på vegne av den legen som har rekvirert prøvesvar.
De lovbestemte rettslige ansvarsforholdene som nevnt kan ikke avtales bort gjennom tjenesteavtaler/databehandleravtaler. Det er strukturer for system og ansvar, godkjenninger etc. i denne sammenheng. Internasjonalt og i EU/EØS er det systemer for akkreditering, autorisasjoner og referansenettverk. I EU er det flere direktiv og forordninger som regulerer gjensidig godkjenning av kvalifikasjoner og tjenester. Kvalifikasjonsdirektivet og andre direktiv for helsepersonell skal bidra til at helsepersonell har samme kompetanse. Direktivet om klinisk utprøvning skal ivareta behovet for samme prosedyrer. Legemiddeldirektivet og medisinsk utstyr-direktivet innebærer likelydende systemer for godkjenning av legemidler og utstyr. Lovgivningen er langt på vei tilpasset et pasientforløp som inkluderer flere helsevirksomheter gjennom bistand, rekvisisjoner, henvisninger og second opinion.
OUS legger til grunn at rekvisisjonen regnes som en god nok avtale for utførelse av analyser.
En databehandleravtale vil gjøre helt om på rolle og ansvar i det som har vært opptrukne rammer i et samarbeid og lovregulert om ansvarsforhold. Partene som deltar vil få en annen posisjon, rolle og ansvar idet dette skal følge betingelsene etter personvernforordningen artikkel 28 og 29. Modellen fordrer at alle er enige om denne konstruksjonen. I mange tilfeller, for eksempel i flere av sakene som ligger til grunn for avgjørelsen av Helsetilsynet 15. mars 2021, var det ikke mulig å inngå databehandleravtale. Det ville fått fatale konsekvenser for pasientene om de ikke kunne fått diagnose, blant annet ved hjelp fra et fagmiljø i Tyskland. Det er usikkert om det er mulig å inngå databehandleravtaler med fagmiljøer utenfor sykehuset da det oppfattes å bryte med den ansvarsstrukturen som er etablert i internasjonale og nasjonale reguleringer.
Det er viktig å få avklart innenfor helsefeltet hva som skal være den rettslige rammen for bruk av databehandleravtaler. Hvis det er slik at databehandleravtaler skal bli et førende prinsipp for all utveksling av data må en få avklart hvor langt det strekker seg.
Alle kontakter i pasientforløpet er dokumentert i pasientens journal og med innsynsrett for pasienten og pasientens nærmeste pårørende, jf. pasient- og brukerrettighetsloven §§ 5-1 flg. Sykehuset har lagt til grunn at den omfattende dokumentasjonsplikten vil dekke behovene som ligger i personvernforordningen artikkel 30, og samtidig ivareta pasientens rett til konfidensialitet da det er den eller de med behandlingsansvaret for pasienten som har tilgang til denne informasjonen.
Når det gjelder krav om å ha oversikt over samtlige aktører som involveres i pasientbehandlingen er dette oppfylt ved at leger og annet helsepersonell skal dokumentere dette i pasientens journal, jf. helsepersonelloven §§ 39 og 40. Sykehuset skal tilrettelegge for at helsepersonell kan overholde taushetsplikten også når det dokumenteres, slik at det loggføres hvem som eventuelt tilegner seg disse opplysningene, jf. også snokeforbudet i helsepersonelloven § 21 a.
Krav til databehandleravtaler harmonerer ikke med den struktur som bygges innad i EU/EØS der pasientene skal kunne få behandling på tvers av land i et sømløst samarbeid, jf. uttalelse fra Det europeiske helsenettverket som er under etablering i EU/EØS, og som skal være et felles nettverk for dokumentasjon og kommunikasjon av pasientopplysninger (EU- kommisjonen, «Assessment of the EU Member States rules on health data» (2021) s. 30.)
OUS mener Datatilsynet anvender loven feil og viser til innhentet uttalelse fra Helsedirektoratet 31. januar 2022. I uttalelsen begrunner direktoratet blant annet hvorfor pasientjournalloven § 19 ikke regulerer problemstillingen i foreliggende sak og ikke kan anføres til støtte for Datatilsynets konklusjon.
Overføring til tredjeland
Personvernforordningen artikkel 49 gjør unntak fra artikkel 45 og 46, og kan være et grunnlag for overføring av opplysninger dersom dette er avgjørende for å ivareta pasientens liv og helse.
De mest aktuelle vil være artikkel 49 nr. 1 bokstav f og bokstav d og artikkel 49 nr. 2.
Det vil være vanskelig å bruke samtykke som grunnlag i OUS’ virksomhet. Dette er i tråd med retningslinjer fra Personvernrådet, Guidelines 02/2018 on derogations of Article 49 under Regulation 2016/679, 25. mai 2018.
Datatilsynet viser til EU-domstolen i Schrems II som gjelder Facebook (C 311/18 av 16. juli 2020). Det tas i denne sammenhengen ikke hensyn til at sykehus er regulert på en annen måte enn Facebook i internasjonale reguleringer, EU-retten og nasjonalt, hvilket har stor betydning når det gjelder sykehus. Overføringsgrunnlag i artikkel 49 er ikke påvirket av Schrems II.
OUS har innrettet seg etter Schrems II-dommen og foretar risikovurderinger av å dele og av ikke å dele opplysningene og biologisk materiale som benyttes i diagnostikk av pasienter. Slik deling med helsevirksomheter i USA kan være avgjørende for å kunne ivareta pasientens vitale interesser. OUS er for øvrig enig med Datatilsynet i behovet for avtaler ved deling med tredjestater, og ser fram til det arbeidet som pågår i EU med å lage egne regler for helsefeltet.
Personvernnemndas vurdering
Datatilsynet og Personvernnemndas kompetanse
Personopplysningsloven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, jf. personopplysningsloven § 2. Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51, jf. personopplysningsloven § 20.
Datatilsynets oppgaver etter personvernforordningen artikkel 57 nr. 1 bokstav a og h er å føre tilsyn med og håndheve anvendelsen av personvernforordningen og gjennomføre undersøkelser om anvendelsen av forordningen. Datatilsynet kan etter artikkel 58 nr. 2 pålegge den dataansvarlige å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i denne forordning.
Datatilsynet skal også føre tilsyn med overholdelsen av pasientjournalloven med unntak for de tilsynsoppgaver som påligger Statens helsetilsyn og statsforvalteren etter helsetilsynsloven, jf. pasientjournalloven § 26. Datatilsynet skal føre tilsyn med at behandlingen av helseopplysningene skjer i samsvar med loven, mens det er Statens helsetilsyn som blant annet fører tilsyn med at kvaliteten på helsehjelpen er god og at det ytes forsvarlig helsehjelp til pasientene.
OUS har vist til et par eksempler på at grensedragningen mellom de ulike tilsynsmyndighetenes kompetanseområde ikke alltid er like klar. Det ene eksempelet er et vedtak fra Helsetilsynet hvor sykehuset har fått kritikk for å ha stilt for strenge krav til en databehandleravtale i situasjoner der det haster å få prøvesvar eller overfor laboratorier som nekter å inngå slike avtaler. Dette vedtaket er vanskelig forenlig med Datatilsynets vedtak om at datadeling ikke kan skje uten at det inngås databehandleravtaler med mottakerne av helseopplysningene. Det andre eksemplet var et vedtak fra Statsforvalteren fra 2018 hvor OUS fikk kritikk for ikke å ha innhentet en second opinion, noe som etter Datatilsynets vedtak ikke kunne gjøres uten at det først inngås en databehandleravtale. Hvorvidt det ville vært mulig å bli enig om en databehandleravtale i dette tilfellet er ikke opplyst. Eksemplene viser uansett at grensedragningen noen ganger kan være vanskelig, noe som kan være et moment som tillegges vekt ved tolkningen av de ulike lovene. Nemnda kommer tilbake til dette.
Sakens problemstilling
Datatilsynet har i klageomgangen gitt OUS medhold i at pasientjournalloven § 19 og helsepersonelloven §§ 25 og 45 kan være supplerende rettslig grunnlag for utleveringen av pasientopplysninger til samarbeidende helsepersonell på utenlandske laboratorier, jf. personvernforordningen artikkel 6 nr. 1 bokstav c, jf. artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Spørsmålet for nemnda er etter dette om det i tillegg skal stilles krav om at det inngås databehandleravtaler med de aktuelle laboratoriene (artikkel 28), eventuelt avtaler om felles dataansvar (artikkel 26). Videre er det et spørsmål om OUS skal pålegges å utarbeide protokoll i samsvar med personvernforordningen artikkel 30. Til slutt skal nemnda vurdere Datatilsynets pålegg som gjelder utlevering av opplysninger til tredjeland.
Datatilsynet har som påpekt innledningsvis avgrenset sin kontroll av OUS til ikke å omfatte nasjonalt lovhjemlet samarbeid mellom helsepersonell og helsevirksomheter i Norge og analyse av biologisk materiale ved utenlandske laboratorier ved akutt helsehjelp. Forskning, publisering av forskning, klinisk utprøvning og second opinion-tilfellene, er heller ikke omfattet av kontrollen, og dermed heller ikke omfattet av pålegget om å inngå databehandleravtaler.
Personvernnemndas kompetanse er begrenset til å prøve Datatilsynets vedtak. Det er likevel ved vurderingen av plikten til å inngå databehandleravtaler nødvendig å se reglene i en større sammenheng, nettopp fordi reglene er like og konsekvensen for de ulike samarbeidspartnerne vil være sammenfallende. De reglene som anses å gjelde for å dele helseopplysninger med utenlandske laboratorier, innenfor EU/EØS, vil være de samme som når en norsk lege sender helseopplysninger til norske laboratorier, ved deling av opplysninger fra et sykehus til et mer spesialisert sykehus som Rikshospitalet eller ved deling av opplysninger til virksomheter i utlandet som skal yte helsehjelp til pasienter i Norge. De reglene som oppstilles for samarbeidende helsepersonell i utlandet, herunder utenlandske laboratorier, kan ikke være strengere enn de regler som gjelder for de nasjonale samarbeidspartnerne, jf. personvernforordningen artikkel 1 nr. 3. Av den grunn har nemnda, selv om det faller utenfor prøvingen av dette konkrete vedtaket, også sett hen til konsekvensene av vedtaket for second opinion-tilfellene (som Datatilsynet er enig i skal vurderes likt). Det samme gjelder det rettslige grunnlaget for utveksling av helseopplysninger i akutt-tilfellene.
Nemnda viser i denne sammenheng til Prop. 56 LS (2017-2018) punkt 32.5 side 188 der Justis- og beredskapsdepartementet uttaler:
«Forordningen gjelder likt for behandling i alle land innenfor EØS. Det følger av artikkel 1 nr. 3 at fri utveksling av personopplysninger mellom statene verken skal begrenses eller forbys av hensyn til personvernet. Artikkel 44 til 50 regulerer overføring av opplysninger til tredjestater (utenfor EU/EØS) eller til internasjonale organisasjoner, jf. kapittel 19 i proposisjonen her. Det er derfor ikke behov for egne bestemmelser om behandling av helseopplysninger på tvers av landegrensene. Departementet foreslår på denne bakgrunn å oppheve helseforskningsloven § 37 som regulerer overføring av helseopplysninger til og fra utlandet. Det vil dermed ikke være bestemmelser i helselovene som regulerer eller hindrer behandling av helseopplysninger på tvers av landegrensene.»
Det rettslige grunnlaget for å utlevere helseopplysninger
Personvernnemnda har kommet til at den dataansvarliges adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda vil begrunne sitt standpunkt nærmere i det følgende.
All behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner reguleres av pasientjournalloven, jf. pasientjournalloven § 3. Personvernforordningen og personopplysningsloven gjelder så langt ikke annet følger av pasientjournalloven, jf. § 5. Det betyr at pasientjournalloven er en særlov som går foran de generelle reglene i personopplysningsloven og personvernforordningen (lex spesialis). Lovens formål er fastsatt i § 1 og bestemmelsen lyder slik:
«Formålet med loven er at behandling av helseopplysninger skal skje på en måte som
a. gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas, og
b. sikrer pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning»
Det følger av pasientjournalloven § 6 at behandlingsrettede helseregistre skal ha hjemmel i lov, og at helseopplysninger i behandlingsrettede helseregistre bare kan behandles når det er nødvendig for å kunne gi helsehjelp, eller for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.
Behandlingsrettede helseregistre skal videre oppfylle kravene i pasientjournalloven § 7, blant annet regler om taushetsplikt, pasientens rett til å motsette seg behandling av helseopplysninger, rett til informasjon og innsyn, helsepersonells dokumentasjonsplikt, tilgjengeliggjøring av helseopplysninger, informasjonssikkerhet og internkontroll. Loven stiller særskilte krav til behandling av helseopplysninger i behandlingsrettede helseregistre, og dataansvarlige er pålagt plikter for behandlingen i pasientjournalloven kapittel 4. Dataansvarlig skal blant annet sørge for at opplysninger tilgjengeliggjøres for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.
Dataansvarliges plikt etter loven til i noen tilfeller å utlevere (tilgjengeliggjøre) helseopplysninger til annet helsepersonell for å oppfylle kravet til forsvarlig helsehjelp, er et forhold som taler mot at loven i tillegg oppstiller et krav om en databehandleravtale for disse tilfellene. Dette blir særlig tydelig i situasjoner hvor det er behov for akutt helsehjelp. Selv om helsepersonell yter en stor mengde helsehjelp som ikke er akutt, utgjør akutt helsehjelp en ikke ubetydelig del av helsepersonells oppgaver. Det må legges til grunn at lovgiver også har tatt høyde for disse tilfellene i helselovgivingen slik at man ikke er henvist til nødrettsbetraktninger for å oppfylle lovens krav til hvordan helseopplysningene behandles i akutt-tilfellene. Lovens formål gir uttrykk for at lovgiver har foretatt en avveining av de ulike hensynene som gjelder for behandling av helseopplysninger om pasientene.
Plikten til å tilgjengeliggjøre opplysninger etter pasientjournalloven § 19 skiller ikke mellom tilgang til interne behandlingsrettede helseregistre og tilgang for helsepersonell i andre virksomheter. I forarbeidene til pasientjournalloven (Prop.72 L (2013-2014)) uttaler departementet i pkt. 11.3.6:
«Virksomhetsgrenser bør ikke være et rettslig hinder for at helsepersonell kan gis tilgang til helseopplysninger når de skal gi helsehjelp. Lovens rammer for tilgang bør være de samme enten det er tale om tilgang for helsepersonell tilknyttet virksomheten eller helsepersonell tilknyttet en annen virksomhet.»
Denne uttalelsen støtter også vurderingen om at adgangen (og plikten) til å utlevere helseopplysninger til samarbeidende helsepersonell er uttømmende regulert i loven, og at det ikke kan oppstilles tilleggskrav om databehandleravtale når utlevering av opplysninger skjer til helsepersonell utenfor virksomheten i tråd med pasientjournalloven § 19 og helsepersonelloven §§ 25 og 45. Utlevering av helseopplysninger til samarbeidende helsepersonell forutsetter at det skjer innenfor reglene om taushetsplikt, og helsepersonelloven §§ 25 og 45 gir de nødvendige unntakene fra taushetsplikten slik at opplysninger kan utleveres.
Uttrykket «tilgjengelige» i bestemmelsen omfatter både tilgang til helseopplysninger ved at personell gis adgang til å søke opp de aktuelle helseopplysningene i systemet, og at opplysningene tilgjengeliggjøres ved at de utleveres, enten på papir eller ved elektronisk oversendelse. Den dataansvarlige bestemmer hvordan opplysningene tilgjengeliggjøres for annet helsepersonell, jf. pasientjournalloven § 19 annet ledd. Dersom den dataansvarlige velger å gi samarbeidende helsepersonell adgang til selv å søke opp relevante opplysninger, gjelder det særskilte krav til informasjonssikkerheten, jf. Prop.72 L (2013-2014), pkt. 11.3.6 om risikovurdering og tilgangsstyring. Nemnda legger til grunn at når OUS utleverer opplysninger til utenlandske laboratorier, gis det ikke tilgang til pasientjournalsystemet, men det oversendes helseopplysninger/biologisk materiale per brev eller ved elektronisk oversendelse.
Avslutningsvis viser nemnda til en uttalelse i Skullerud m.fl; Kommentarutgave til personopplysningsloven og personvernforordningen (GDPR), Universitetsforlaget 2019, side 159, hvor behandlingsansvarlige (dataansvarlige) tjenesteleverandører omtales:
«Enhver tjenesteleverandør er ikke å anse som databehandler, selv om behandlingen skjer i henhold til en tjenesteavtale og derfor kan sies å skje på vegne av kunden. Dette gjelder særlig for tjenester som er lovregulert slik at den som kjøper tjenesten, har svært begrenset eller ingen adgang til å instruere leverandøren med hensyn til hvordan denne behandler personopplysninger. I slike tilfeller er det naturlig å anse leverandøren som behandlingsansvarlig. Dette gjelder typisk i forbindelse med levering av helsetjenester, eiendomsmeglertjenester, elektroniske kommunikasjonstjenester, forsikringstjenester og bank- og finanstjenester.»
Personvernnemnda har på denne bakgrunn kommet til at Datatilsynets vedtak om å pålegge OUS å utarbeide databehandleravtale eller avtaler om felles behandlingsansvar med utenlandske laboratorier omgjøres. OUS er ikke dataansvarlig for helseopplysningene etter at de er utlevert til samarbeidende helsepersonell i utenlandske laboratorier.
Protokoll over behandlingsaktiviteter, jf. personvernforordningen artikkel 30
OUS er i Datatilsynets vedtak pålagt å «utarbeide en oversikt over bruk av utenlandske laboratorier som er i samsvar med artikkel 30 nr. 1 og artikkel 30 nr. 2». OUS har anført at den omfattende dokumentasjonsplikten i pasient- og brukerrettighetsloven §§ 5-1 flg. vil dekke behovene som ligger i personvernforordningen artikkel 30, og samtidig ivareta pasientens rett til konfidensialitet da det er den eller de med behandlingsansvaret for pasienten som har tilgang til denne informasjonen.
Videre skriver OUS at de, for å sikre en overordnet oversikt, vil lage et system for å kunne ha oversikt over samarbeidspartnere som jevnlig benyttes og for kommunikasjon internt om rekvirering. OUS skriver at dette ikke utelukker at helsepersonell i enkelte situasjoner kan ta kontakt med høyspesialiserte fagmiljøer som ikke er med i den overordnede oversikten, for akutt bistand.
Nemnda legger for det første til grunn at den dataansvarliges plikt etter personvernforordningen artikkel 30 til å ha en protokoll over behandlingsaktiviteter, også gjelder for OUS. Personvernforordningen og personopplysningsloven gjelder så langt ikke annet følger av pasientjournalloven, jf. § 5. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll i personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.
Hvilke krav som stilles til behandlingsprotokollen framkommer av artikkel 30. Protokollen skal i henhold til bestemmelsen inneholde:
«a) navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,
b) formålene med behandlingen,
c) en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,
d) kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,
e) dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
f) dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,
g) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.»
Det innebærer at det ikke er noe krav om en fullstendig oppregning av alle utenlandske laboratorier. Det er tilstrekkelig å ha med en oversikt over «kategoriene av mottakere av personopplysningene», jf. bokstav d. Med denne justeringen, opprettholdes Datatilsynets vedtak på dette punkt.
Overføring til tredjeland
OUS er i det delvis omgjorte vedtaket fra Datatilsynet 14. desember 2021 pålagt å «sørge for at opplysninger blir overført til tredjestater i samsvar med minst ett av kravene i artikkel 45 eller artikkel 46 i personvernforordningen kapittel V». I brev til nemnda 6. april 2022 er det presisert at tilsynet med dette ikke har ment å begrense overføringsadgangen som følger av personvernforordningen og at i den grad OUS finner gyldig unntak fra pliktene etter kapittel V i artikkel 49, vil det bli lagt til grunn.
Etter nemndas vurdering medfører ikke dette pålegget noen annen plikt for OUS enn det som eksplisitt er fastsatt i personopplysningsloven og personvernforordningen. Det er ikke i vedtaket foretatt noen vurdering av konkrete utleveringer til tredjeland hvor det er konkludert med at utlevering er skjedd i strid med lovens regler.
Pålegget er, slik nemnda ser det, ikke et enkeltvedtak som kan påklages, men en gjengivelse av den plikten som følger av loven.
Konklusjon
1. Oslo universitetssykehus HF er ikke dataansvarlig for helseopplysninger som utleveres til utenlandske laboratorier med hjemmel i artikkel 6 nr. 1 bokstav c, jf. artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3, jf. pasientjournalloven § 19 og helsepersonelloven §§ 25 og 45, etter at opplysningene er utlevert. Utleveringen er hjemlet i lov og forutsetter ikke egen databehandleravtale.
2. Oslo universitetssykehus HF pålegges å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier.
Vedtaket er enstemmig.
Oslo, 3. mai 2022
Mari Bø Haugstad
Leder