Krav til informasjon når opplysninger er på avveier

Datatilsynet har etablert en ny praksis som innebærer at personer som har fått sine personopplysninger utlevert uten at det er lov, skal få beskjed om at utleveringen har skjedd.

Det er virksomheten som har stått for den uautoriserte utleveringen som må sørge for at de berørte blir informert.

Personvernnemnda (PVN) behandlet i 2013-14 en rekke saker i som omhandlet uautorisert utlevering av personopplysninger (se for eksempel PVN-2013-05 på personvernnemnda.no). Disse sakene er ofte referert til som GE-sakene, fordi opplysningene ble utlevert til GE Healthcare. Nemnda tok for seg om virksomheten som er ansvarlig for behandlingen av personopplysningen hadde plikt til å varsle de berørte individuelt eller kollektivt. PVN konkluderte med at ulovfestede grunnleggende personvernprinsipper gir Datatilsynet adgang til å pålegge informasjonsplikt. Dette betyr at Datatilsynet kan pålegge behandlingsansvarlig å informere de berørte om avvik som har medført uautorisert utlevering av person- og helseopplysninger.

Når skal de berørte informeres

Sakene som ble behandlet i PVN gjaldt uautorisert utlevering av helseopplysninger fra medisinsk utstyr. Opplysningene ble vurdert til å være omfattet av definisjonen helseopplysninger til tross for at det kun var tale om pasienters fødselsnummer og vekt – i noen tilfeller bare fødselsnummer.

Nemnda mener at det å få vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer, er en grunnleggende personverninteresse.

Det mest beskyttelsesverdige i disse sakene var ikke først og fremst de konkrete opplysningene, men informasjonen som kan utledes– altså personopplysningenes kontekst. I sakene som ble behandlet i PVN var det informasjonen om at personer hadde vært innkalt til en medisinsk undersøkelse som var beskyttelsesverdig. I andre tilfeller kan det være informasjonen om en persons tilknytning til et forsikringsselskap, en bank eller et meglerhus som er beskyttelsesverdig. Personvernnemndas uttalelse har relevans for mange typer kontekster, som kan gjøre at opplysningene samlet sett kan ses som beskyttelsesverdige. 

Varsling til de berørte skal ikke bare avgjøres utfra en vurdering av risiko for misbruk av opplysningene på avveier. Personvernnemnda fastslår at informasjon om avviket har en verdi i seg selv – uavhengig av om den som blir varslet kan foreta seg noe etter å ha fått kunnskapen. I disse sakene var det på det rene at de berørte ikke kunne foreta seg noe for å få kontroll på opplysningene. De skulle likevel varsles. 

Personvernnemnda konkluderte også med at økonomiske konsekvenser for den behandlingsansvarlige ikke er avgjørende for vurderingen av informasjonsplikten. 

Skal det varsles individuelt eller kollektivt

De opprinnelige GE-sakene fikk noen oppfølgingssaker (PVN-2014-22, PVN-2014-23, PVN-2014-24, personvernnemnda.no) hvor det ble problematisert om informasjonen som skulle gis fra behandlingsansvarlig skulle være individuell eller kollektiv. Spørsmålet var altså om det skulle sendes brev til hver enkelt av de berørte, eller om det var tilstrekkelig å informere via kanaler hvor det var sannsynlig at de berørte ville få informasjonen (annonser, pressedekning, eller liknende).

Personvernnemnda kom til at det er anledning til å velge informasjonstiltak utfra hvor sensitive opplysningene som lekker ut er. De sakene hvor nemnda kom til at kollektiv informasjon var tilstrekkelig, var det for eksempel lekket informasjon om en generell type røntgenundersøkelse sammen med fødselsnummer. Tankegangen her er at hvis man utfra de opplysningene som er lekket ikke kan slutte noe mer enn at du tilhører en bestemt aldersgruppe som er anbefalt å ta en viss type undersøkelse, så er ikke dette noe som forteller noe om din helsetilstand.

Ny praksis – råd til hvordan virksomheter bør innrette seg

Med den nye praksisen vil Datatilsynet ha lav terskel for å pålegge virksomheter å gi individuell informasjon til de berørte. I noen tilfeller vil det gå noe tid med til saksbehandling fra virksomheten melder avviket til Datatilsynet til de får et pålegg om å informere de berørte. Virksomhetene må selv bedømme om de i denne perioden vil informere på eget initiativ eller om de vil vente til de pålegges å gjøre det.

Hvis virksomheten er i tvil om det er tilstrekkelig med kollektiv informasjon, eller om det er sider ved saken som taler for at informasjon ikke bør gis, så bør Datatilsynet konsulteres. 

Artikkel 29-gruppens anbefaling om avviksvarsling

I avgjørelsene som gjaldt uautorisert utlevering av person- og helseopplysninger til GE støttet Personvernnemnda seg i stor grad på Artikkel 29-gruppens anbefaling om avviksvarsling. Denne anbefalingen er nå på høring og kan være til hjelp for utarbeidelse av interne rutiner til informasjon til berørte ved avvik som gjelder personopplysninger.