„Ég óska hér með eftir afriti af öllum mínum sjúkragögnum sem skráð hafa verið í heilbrigðiskerfinu,“ skrifaði karlmaður á fertugsaldri í erindi til embættis landlæknis í lok ágúst.
Nokkrum dögum síðar fékk hann hluta sjúkraskrár sinnar – sex ár af þrettán hjá einum geðlækni. Hann var ósáttur við að svo mörg ár vantaði í sjúkraskrána en honum brá enn frekar í brún þegar hann skoðaði gögnin betur.
Í sjúkraskránni var talsverður texti hulinn með svörtum reitum en það var nóg að draga bendilinn yfir svörtu reitina, „highlighta“ textann upp á ensku, til þess að textinn kæmi í ljós.
Maðurinn sá því að sjúkraskráin innihélt ekki aðeins upplýsingar um hann sjálfan heldur einnig viðkvæmar upplýsingar um fjóra aðra sem var einfalt að persónugreina. Sjúkraskráin var frá geðlækni og í henni voru upplýsingar um geðheilsu annarra sjúklinga, sjálfsvígstilraunir, kynferðisbrot sem einn þeirra hafði verið beittur sem barn og mögulega lyfjamisnotkun annars sjúklings.
Maðurinn áttaði sig á því að hann ætti ekki að hafa þessar upplýsingar og lét embættið vita. Hann fékk þau svör frá persónuverndarfulltrúa embættis landlæknis að um mistök væri að ræða og að farið yrði yfir verklag með starfsmönnum til þess að „hindra að álíka mistök ættu sér stað aftur“.
Verklagi fylgt en samt urðu mistök
Elísabet Benedikz, starfandi landlæknir, segir að mistökin virðist bæði hafa verið tæknileg og mannleg en verklagi hafi þó verið fylgt.
Er þá möguleiki að þetta sé eitthvað sem er líka vandamál í öðrum gagnaafhendingum sem hafa verið hjá embættinu?
„Það á ekki að vera það, nei,“ segir Elísabet.
Munið þið eitthvað fara yfir gögn sem þið hafið þegar sent frá ykkur, önnur gögn, til þess að kanna hvort að sömu mistök hafi getað átt sér stað í öðrum tilvikum?
„Það hefur ekki verið tekin nein ákvörðun um slíkt.“
Elísabet segir að þessi tiltekna sjúkraskrá hafi verið skoðuð en hún geti ekki tjáð sig um það hvort skráningunni hafi verið ábótavant.
„Almennt séð þá á maður að láta sjúkraskrána fjalla um sjúklinginn, það er nú fyrsta atriðið og ekki skrá meira en þarf til að komast að réttri niðurstöðu um greiningu og meðferð. En stundum þarf að skrá þá sérstaklega einhverja sögu í kringum viðkomandi svo maður fái rétta mynd af ástandi og áhættuþáttum.“
Hugsanlegur öryggisbrestur tilkynntur mánuði síðar
Maðurinn, sem vill ekki láta nafns síns getið vegna þess að hann vill ekki að frásögn hans hafi neikvæð áhrif á heilbrigðisþjónustu við hann, kvartaði til Persónuverndar og skrifaði: „Mér voru afhent gögn sem ég hafði enga heimild til að fá aðgang að.“
Persónuvernd vísaði kvörtun mannsins frá og segir í frávísuninni: „Ekki er hægt að kvarta til Persónuverndar yfir vinnslu persónuupplýsinga annarra, nema hafa til þess skriflegt umboð.“ Maðurinn hefur kvartað til umboðsmanns Alþingis yfir niðurstöðu Persónuverndar.
Maðurinn tilkynnti embætti landlæknis um málið í mars þegar hann komst að því að hann gæti lesið textann undir svörtu reitunum. Hann lét embættið þá jafnframt vita af því að hann hefði kvartað til Persónuverndar. Embættið tilkynnti ekki málið til Persónuverndar á þeim tíma og segir í svari embættisins við fyrirspurn fréttastofu frá 15. maí að það hafi talið að málið væri á borði Persónuverndar vegna þess að maðurinn hefði tilkynnt það.
„Eftir nánari athugun, og samtal við starfsmann Persónuverndar, kom í ljós að málið var ekki enn komið á borð Persónuverndar en þó var talið að um mögulegan öryggisbrest væri að ræða sem tilkynna ætti til Persónuverndar,“ segir í svari embættis landlæknis við fyrirspurn RÚV. „Var því tilkynning send til Persónuverndar í síðustu viku. Þegar litið er um öxl hefði embættið í upphafi átt að ganga úr skugga um að málið væri sannanlega komið á borð Persónuverndar.“
Samkvæmt tilmælum Persónuverndar ber fyrirtækjum og stofnunum að tilkynna um öryggisbrest án tafar, helst innan þriggja sólarhringa eftir að öryggisbrestur kemur í ljós. Persónuvernd skilgreinir öryggisbrest með eftirfarandi hætti:
„Öryggisbrestur er brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.“
Þá segir á vef Persónuverndar: „nauðsynlegt getur verið að tilkynna einnig þeim einstaklingum, sem verða fyrir áhrifum af öryggisbresti, um hann.“
Taka málið alvarlega
Elísabet segist ekki geta svarað því hvort embætti landlæknis eigi að láta fólkið sem á persónuupplýsingarnar sem maðurinn fékk í hendurnar vita. „Því ég hef sjálf ekki upplýsingar um hvers lags upplýsingar þetta eru,“ segir Elísabet. „Ef það lítur út fyrir að hafa orðið öryggisbrestur, að þá ber okkur að upplýsa viðkomandi eða upplýsa líka Persónuvernd um það.“
Þú talar um öryggisbrest, er þetta öryggisbrestur?
„Það er ekki víst, nei.“
Elísabet segir embættið ætla að gera ýmislegt til umbóta eftir að þetta mál kom upp.
„Verklag verður yfirfarið og skjalfest. Þeir starfsmenn sem koma að því að höndla þessi gögn munu fá reglubundna þjálfun og í þriðja lagi þá förum við yfir tæki og tól og tryggjum að þeir sem taka að sér gögnin, að edítera gögnin, hafi til þess nægilega góð tæki.“
Þannig að þið ætlið að taka þetta mál alvarlega?
„Við tökum það að sjálfsögðu alvarlega, við tökum allar kvartanir alvarlega.“
Þrjú ár eru síðan Persónuvernd sektaði embætti landlæknis um tólf milljónir króna fyrir að hafa ekki tryggt öryggi rafrænna heilsufarsupplýsinga. Persónuvernd hafði á þeim tíma aldrei gefið út jafn háa sekt. Embættið krafðist þess að Héraðsdómur Reykjavíkur ógilti ákvörðunina. Héraðsdómur varð ekki við þeirri kröfu en mildaði þó sektina í átta milljónir króna.
