Gebyr for ulovlig innhenting av personopplysninger

Datatilsynet har ilagt Oslo Universitetssykehus (OUS) et overtredelsesgebyr på 400 000 for ulovlig innsamling og bruk av blodprøver og helseopplysninger. OUS må informere alle de har behandlet opplysninger om, om hva som har skjedd. Dersom opplysningene skal brukes videre, må de berørte samtykke til dette. Hvis ikke må opplysningene slettes.

Gebyret er et av de høyeste som er gitt innen helsesektoren. Bakgrunnen for gebyret er funnene vi gjorde under en kontroll hos Janusbanken i Kreftregisteret på OUS i 2016. 

Kontrollen avdekket at OUS har tappet ekstra blod fra omlag 1200 pasienter uten samtykke. Pasientene var inne for å ta prøver i forbindelse med kreftdiagnostisering eller behandling. De ekstra prøvene som ble tatt skulle brukes til forskning. Dette er et grovt overtramp av pasientenes personvernrettigheter. Vi ser derfor veldig alvorlig på denne saken.

Bakgrunn for saken:

Janusbanken består både av en biobank med biologisk materiale, og et register med opplysninger om prøvene. Prøvene er innhentet i forbindelse med blodgivning og andre landsomfattende helseundersøkelser. Hovedformålet med behandlingen er kreftforskning. Dette skal gjøres gjennom å øke kunnskapen om årsaker til kreft, hvordan sykdommen utvikles og å finne tidlige markører for kreft. 

I 2009 oppdaget Janusbanken at de ikke hadde samtykke fra alle de det var innhentet helseopplysninger fra. Dette til tross for at samtykke var et premiss for konsesjonen de hadde fra Datatilsynet. De søkte derfor om ny konsesjon fra Datatilsynet. Frem til 2015 har Kreftregisteret i korrespondanse med Datatilsynet redegjort for arbeidet med å etterleve kravene i stilt i konsesjonen.

I 2015 informerte Kreftregisteret oss i Datatilsynet om at det var besluttet å stanse innsamlingen til Janusbanken fordi innhenting av samtykke ikke var på plass. De ønsket samtidig fritak fra vilkåret for samtykke tilbake til 2009, og for fremtidig innsamling av materiale. Dette gjorde at Datatilsynet hadde behov for å avklare ansvarsforholdene for behandling av opplysninger i Janusbanken samt klargjøre hvilket regelverk som gjelder for behandlingen av helseopplysninger.

Vi gjennomførte derfor en kontroll hos virksomheten i 2016. Kontrollsaken er nå avsluttet fra Datatilsynets side. OUS har mottatt vedtak om overtredelsesgebyr på 400 000 kr.

Et samtykkebasert register uten innhentede samtykker

Det ekstra blodet ble sendt til Janusbanken. Det er et forskningsregister med biologisk materiale fra folk som var friske da de avgav første blodprøve til registeret. Formålet med registeret er kreftforskning blant annet gjennom å sammenligne blodprøver fra kreftpasienter med prøver tatt av pasienten før han eller hun ble syk.

Janusbanken er fra oppstarten av samtykkebasert. De første prøvene, som er tatt av friske personer ble samlet inn med deres samtykke. De som har sagt ja til å være med i registeret har blitt fortalt at de ville spørres igjen om det skulle innhentes nye blodprøver eller dersom prøvene skulle brukes til andre formål. Etter hvert som noen av disse har blitt syke, og det er innhentet nye prøver av dem, inneholder Janusbanken blodprøver av disse personene både før og etter at de ble syke. Dette er personer det er attraktivt å forske på.

Registeret har vært drevet på bakgrunn av konsesjon fra Datatilsynet. Konsesjonen stiller klare betingelser om at registrering og bruk av biologisk materiale og personopplysninger kun skal gjøres dersom den dette som eier materialet og opplysningene har samtykket til det.

Pasientkontakten ved prøvetaking gir god mulighet til å innhente samtykke

Kontrollen vår avdekket at det fram til 2015 var samlet inn prøver til Janusbanken uten at pasientene har blitt spurt eller informert. Vi mener det ville vært enkelt å be om pasientenes samtykke til en ekstra prøve til Janusbanken siden de var i en konsultasjon med helsepersonell da prøvene ble tatt. Det er også all grunn til å tro at disse pasientene ville vært positive til å samtykke ettersom de tidligere har sagt ja til å avgi blodprøve til forskning.

Deling av pasientlister er brudd på taushetsplikten internt i helseforetaket

Innhenting av blodprøvene er gjort ved at OUS ved Kreftregisteret, har rekvirert lister over personer som er under utredning kreftsykdom. Listene er levert inn fra ulike enheter innen OUS. Deretter har Kreftregisteret sammenlignet listene mot de som frivillig har levert prøver til Janusbanken. Ved treff, er det rekvirert en ekstra blodprøve fra pasienten. Dette innebærer derfor også et brudd på taushetsplikten internt i helseforetaket. Listene skulle ikke vært delt på tvers av helseforetaket slik det er gjort i dette tilfellet.

Lovbruddet kan gi store konsekvenser for kreftforskningen

Saken har avdekket nok et eksempel på at uklare ansvarslinjer innen helsesektoren får konsekvenser for pasientenes personvern. I denne saken har OUS ved Kreftregisteret handlet i strid med konsesjonen fra Datatilsynet, noe som i seg selv er et alvorlig lovbrudd. Det mest alvorlige med dette er at det bryter med helt grunnleggende personvernrettigheter som handler om at den enkelte i størst mulig grad skal bestemme over opplysninger om seg selv. Denne retten gjelder også dersom man oppsøker helsetjenesten for helsehjelp. I vår vurdering om å ilegge overtredelsesgebyr, har vi lagt til grunn at OUS ved Kreftregisteret har høy grad av skyld i at dette avviket har skjedd.

Selv om vi ikke har grunn til å tro at det har skjedd noen utleveringer av personopplysninger i denne saken, ser vi svært alvorlig på det som har skjedd. Janusbanken pålegges derfor å slette opplysningene og destruere materialet som er ulovlig innhentet dersom det ikke blir innhentet samtykke fra de pasientene dette gjelder. Slik sletting er på ingen måte ønskelig fordi det kan gi konsekvenser for viktig kreftforskning. Det er likevel en uunngåelig konsekvens av at virksomheten ikke har fulgt reglene den er underlagt.

Last ned