Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datainspektionens beslut Datainspektionen förelägger Styrelsen för Karolinska Universitetssjukhuset (Styrelsen) att, 1. upphöra att göra personuppgifter i Korsbandsregistret åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord, 2. vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Korsbandsregistret som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen, 3. ta fram och införa rutiner för åtkomstkontroll i Korsbandsregistret i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Vidare förutsätter Datainspektionen att Styrelsen, om det inte finns rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna, tar fram och inför rutiner i enlighet med kraven i 2 kap. 6 SOSFS 2008:14. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Den 9 februari 2009 meddelade Datainspektionen beslut mot Styrelsen i tillsynsärende rörande Styrelsens hantering av personuppgifter i det nationella kvalitetsregistret Korsbandsregistret (dnr 101-2008). I ärendet, där Styrelsen förklarat sig vara personuppgiftsansvarig för Korsbandsregistret, konstaterades ett antal brister varvid Datainspektionen förutsatte att Styrelsen skulle åtgärda de aktuella bristerna. I beslutet uppmanades Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Styrelsen att senast den 1 oktober 2009 redovisa för Datainspektionen vilka åtgärder som har vidtagits med anledning av beslutet. Den 1 oktober 2009 hade någon sådan redovisning inte inkommit till Datainspektionen, varför Datainspektionen på nytt inledde tillsyn mot Styrelsen. Styrelsen har i december 2009 inkommit med ovan nämnda redovisning samt under våren 2010 kompletterat med vissa uppgifter. Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Tillämpliga rättsregler m.m. Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). I kapitlet regleras frågor bl.a. rörande definitionen av kvalitetsregister, personuppgiftsansvar, kvalitetsregisters ändamål och utlämnande genom direktåtkomst. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt 30-32. Skäl för beslutet Personuppgiftsansvar och personuppgiftsbiträde Datainspektionen konstaterar att Styrelsen, i enlighet med Datainspektionens beslut 2009-02-09 dnr 101-2008, har upprättat ett personuppgiftsbiträdesavtal med Capio Artro Clinic AB. Upplysningsvis vill Datainspektionen framföra följande. Enligt Datainspektionen kan personuppgiftsbiträdesavtalets utformning och lydelse ge upphov till oklarheter rörande Svensk Ortopedisk Förenings roll, ansvar och inflytande över hanteringen av personuppgifterna. Mot den bakgrunden vill Datainspektionen förtydliga att Styrelsen, i egenskap av centralt personuppgiftsansvarig för Korsbandsregistret, alltjämt är ytterst juridiskt ansvarig för hanteringen av personuppgifter i det nationella kvalitetsregistret. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. Sida 2 av 10
I ärendet har framkommit att Styrelsen är personuppgiftsansvarig för central behandling av personuppgifter i Korsbandsregistret och att man anlitat Capio Artro Clinic AB för driften av registret. Ett personuppgiftsbiträdesavtal har upprättats mellan Svensk Ortopedisk Förening, genom Styrelsen, och Capio Artro Clinic AB. I avtalet framgår bl.a. att personuppgiftsbiträde får behandla personuppgifter efter instruktioner från Svensk Ortopedisk Förening. I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Vidare följer av patientdatalagens grundläggande bestämmelse i 2 kap. 6 att respektive privat vårdgivare och myndighet i kommun och landsting som bedriver hälso- och sjukvård, är personuppgiftsansvarig för sin egen behandling av personuppgifter, d.v.s. den hantering som sker i samband med att personuppgifter registreras och rapporteras in till det nationella kvalitetsregistret. Detta lokala personuppgiftsansvar omfattar även den hantering som sker när en befattningshavare hos vårdgivaren genom direktåtkomst tar del av vårdgivarens redan inrapporterande uppgifter. Det innebär att vårdgivaren är ansvarig för att följa patientdatalagens grundläggande bestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll. Vidare följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Detta ansvar omfattar således den behandling av personuppgifter som sker på det samlade kvalitetsregistret, d.v.s. innehållande uppgifter från samtliga inrapporterande vårdgivare. Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik, gallring och rättelse av personuppgifter. Om den centralt personuppgiftsansvarige anlitar en extern aktör för att t.ex. ta hand om driften av ett system och hantera personuppgifter för den centralt ansvariges räkning, är denne enligt 30 personuppgiftslagen skyldig att upprätta ett personuppgiftsbiträdesavtal med den externe aktören. I avtalet ska särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige. Det är således Styrelsen, inte Svensk Ortopedisk Förening, som ansvarar för att personuppgiftsbiträdet hanterar uppgifterna på ett lagligt sätt och i enlighet med instruktionerna. I sammanhanget ska nämnas att Styrelsen, förutom att ansvara för den centrala hanteringen av personuppgifter i Korsbandsregistret, även kan ha ett lokalt personuppgiftsansvar. Detta aktualiseras om Styrelsen själv samlar in och rapporterar uppgifter till Korsbandsregistret. Sida 3 av 10
Utlämnande genom direktåtkomst säkerhet vid behandlingen Datainspektionen konstaterar att Styrelsen behandlar personuppgifter i Korsbandsregistret i strid med 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14. Datainspektionen förelägger därför Styrelsen att upphöra att göra personuppgifter i Korsbandsregistret åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. I beslut 2009-02-09 dnr 101-2008 konstaterade Datainspektionen att Styrelsens behandling av personuppgifter i Korsbandsregistret inte uppfyllde säkerhetskraven i personuppgiftslagen. Datainspektionen förutsatte därför att Styrelsen, om den fortsättningsvis ville göra känsliga personuppgifter åtkomliga över Internet, skulle vidta tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av uppgifterna i systemet (d.v.s. börjar använda sig av asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande). I ärendet har emellertid framkommit att användare fortfarande kan ta del av känsliga personuppgifter över Internet genom inloggning med användarnamn och lösenord. Korsbandsregistret är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdenheten till den centralt personuppgiftsansvarige myndigheten, i detta fall Styrelsen. När den inrapporterande vårdgivaren sedan nyttjar sin möjlighet, enligt 7 kap. 9 patientdatalagen, till direktåtkomst till egna redan inrapporterade uppgifter äger ett nytt utlämnande rum. Detta innebär enligt Datainspektionen att den centralt personuppgiftsansvarige bl.a. har att svara för att utlämnandet genom direktåtkomst uppfyller de krav på säkerhetsåtgärder som följer av patientdatalagen och personuppgiftslagen. Av 31 personuppgiftslagen följer att den personuppgiftsansvarige, i detta fall Styrelsen, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Bestämmelsen i 31 personuppgiftslagen innebär enligt Datainspektionen att känsliga personuppgifter enligt PuL (t.ex. uppgifter om hälsa), får lämnas ut via Internet endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller Sida 4 av 10
motsvarande. Vidare följer av 2 kap. 5 SOSFS 2008:14 bl.a. att en vårdgivare, som använder öppna nät för att hantera patientuppgifter, har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av detta är att det inte är förenligt med varken personuppgiftslagen eller SOSFS 2008:14 att, som i Korsbandsregistret, göra känsliga personuppgifter åtkomliga över Internet endast genom inloggning med användarnamn och lösenord. Styrelsen föreläggs därför att upphöra att göra personuppgifter i Korsbandsregistret åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord. Information till de registrerade Datainspektionen konstaterar att Styrelsen, genom att lämna de registrerade otillräcklig information om personuppgiftsbehandlingen i Korsbandsregistret, behandlar personuppgifter i strid med informationskraven i 7 kap. 3 och 8 kap. 6 patientdatalagen. Datainspektionen förelägger därför Styrelsen att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Korsbandsregistret som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. I ärendet har framkommit att patienten i samband med besök på en klinik informeras om hur registreringen av personuppgifter går till, vem som är personuppgiftsansvarig, vad uppgifterna används till och att det är frivilligt att lämna uppgifter till registret. Viss skriftlig information finns även på Korsbandsregistrets hemsida. Regeringen anför i propositionen (prop. 2007/08:126 s. 208) att det från integritetssynpunkt är angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med personuppgiftsbehandlingen. Vidare anför regeringen att informationen även är viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen. För behandling av personuppgifter i nationella kvalitetsregister gäller patientdatalagens allmänna bestämmelse om informationsskyldighet i 8 kap. 6. Av bestämmelsen följer att den personuppgiftsansvarige bl.a. ska se till att den registrerade får information om vem som är personuppgiftsansvarig, ändamålet med behandlingen, rätten att ta del av uppgifter enligt 26 Sida 5 av 10
personuppgiftslagen, vad som gäller ifråga om bevarande och gallring, rätten till skadestånd m.m. Utöver detta finns, i 7 kap. 3 patientdatalagen, särskilda krav på information för nationella kvalitetsregister. Enligt bestämmelsen ska den personuppgiftsansvarige, innan personuppgifter behandlas i ett nationellt kvalitetsregister, se till att den enskilde får information om 1. rätten att när som helst få uppgifter om sig själv utplånade i registret, 2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och 3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Det finns i patientdatalagen inget krav på att informationen till de registrerade ska lämnas på ett särskilt sätt, t.ex. skriftligt. I propositionen (prop. 2007/08:126 Patientdatalag m.m. s. 258) anför regeringen att det bör överlåtas åt varje personuppgiftsansvarig att bestämma hur informationen ska ges. En förutsättning är att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Enligt regeringen åligger det också den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Vidare anför regeringen (s. 249 f) följande av betydelse i sammanhanget. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne då det gäller information till en registrerad vid personuppgiftsbehandling anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. Även om ovanstående uttalande lämnas i ett avsnitt som berör informationskravet vid sammanhållen journalföring är det enligt Datainspektionen gällande även vid behandling av personuppgifter i kvalitetsregister. Såväl kvalitetsregisterföringen som den sammanhållna journalföringen bygger på att patienten ska få information och ges rätt att motsätta sig personuppgiftsbehandlingen. För den personuppgiftsansvarige är det således nödvändigt att ha säkra rutiner både för att information faktiskt lämnas och att den uppfyller patientdatalagens krav på innehåll. Den personuppgiftsansvarige behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga registrerade till del. Mot den bakgrunden är det, enligt Datainspektionen, i allmänhet inte tillräckligt att den Sida 6 av 10
personuppgiftsansvarige endast informerar exempelvis på Internet eller genom broschyr eller annat anslag i väntrum, om inte detta kompletteras med någon form av hänvisning till den registrerade att ta del av informationen. Eftersom hänsyn ska tas till den enskilde registrerades möjligheter att tillgodogöra sig informationen kan den personuppgiftsansvarige även behöva olika informationsrutiner för olika kvalitetsregister. Datainspektionen konstaterar att den information som ges om personuppgiftsbehandlingen i Korsbandsregistret är bristfällig. Detta eftersom det saknas uppgift om rätten att när som helst utplåna uppgifter, om uppgifter samlas in från någon annan källa än patienten eller dennes patientjournal, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till registerutdrag enligt 26 personuppgiftslagen, rätten till rättelse av sådana personuppgifter som behandlats i strid med personuppgiftslagen, rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Styrelsen föreläggs därför att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Korsbandsregistret som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. I sammanhanget ska förtydligas att Styrelsen, i egenskap av personuppgiftsansvarig för central behandling av personuppgifter i Korsbandsregistret, har ansvar för att korrekt information om den centrala hanteringen når samtliga som registreras i Korsbandsregistret. Styrelsen kan därför behöva vidta informationsinsatser både för den hantering av personuppgifter som Styrelsen gör i egenskap av inrapporterande vårdgivare och för den hantering som sker som centralt personuppgiftsansvarig. Åtkomstkontroll Datainspektionen konstaterar att Styrelsen, genom avsaknad av rutiner för systematisk och återkommande åtkomstkontroll, inte lever upp till kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förelägger därför Styrelsen att ta fram och införa rutiner för åtkomstkontroll i Korsbandsregistret i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. Sida 7 av 10
I ärendet har framkommit att det i Korsbandsregistret finns en automatlog som registrerar alla händelser i registret. Det finns för närvarande inget regelbundet kontrollsystem implementerat. Personuppgiftsbiträdet kan efter begäran ta fram uppgift om vilken användare som tagit del av uppgift i Korsbandsregistret, när öppningen skedde och vilken patient det gäller. Enligt 4 kap. 3 patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av 2 kap. 11 SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal att olovligen läsa uppgifter. Rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Behörighetsstyrning Mot bakgrund av vad som framkommit i ärendet bedömer Datainspektionen att Styrelsen har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Datainspektionen förutsätter dock att Styrelsen, om det inte finns rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna, tar fram och inför rutiner i enlighet med kraven i 2 kap. 6 SOSFS 2008:14. Sida 8 av 10
Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. I ärendet har framkommit att användare i Korsbandsregistret har en unik inloggning som kontrolleras mot arbetsplatstillhörighet och uppgraderas regelbundet med max sex månaders mellanrum. Behandlande läkare ansöker om behörighet att få ta del av uppgifter i Korsbandsregistret. Behörighet ges av Capio Artro Clinic AB som tilldelar läkaren ett användarnamn och lösenord. Användaren ska sedan i samband med första inloggningen byta till ett eget lösenord. Användarnamnet inaktiveras om användaren inte loggat in i registret under en 90-dagars period. Det har i ärendet inte framkommit huruvida det finns rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna. Av 4 kap. 2 patientdatalagen följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. I sammanhanget ska noteras att Styrelsen i egenskap av centralt (och eventuellt lokalt) personuppgiftsansvarig för Korsbandsregistret har ansvar för behörighetsstyrningen rörande egna användare inom Styrelsens organisation. Ansvaret för att användare hos andra inrapporterande vårdgivare har en behörighet som följer kraven i patientdatalagen och SOSFS 2008:14 ligger emellertid på respektive inrapporterande vårdgivare. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder Sida 9 av 10
överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Erik Janzon, ITsäkerhetsspecialisten Magnus Bergström och juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 10 av 10