Umræða og fréttir

Landlæknisembættið hefði mögulega greitt háa sekt fyrir að afhenda Advania upplýsingar um heilbrigði og sjúkdóma meginþorra íslensku þjóðarinnar hefði nýja persónuverndarlöggjöfin verið komin í gildi. Þetta segir forstjóri Persónuverndar, Helga Þórisdóttir, í viðtali við Læknablaðið. Sektir við brotum á persónuvernd geta nú hæst numið á þriðja milljarð króna. Helga segir að samvinna heilbrigðisstéttanna og Persónuverndar muni nú aukast og fagmennska eigi að koma í veg fyrir fall.

                                  
                                  Helga Þórisdóttir forstjóri Persónuverndar bendir á að með nú sé
                                  óheimilt að fylgjast með gjörðum fólks nema að það viti af því.
                                  Nýju persónuverndarlögin séu mun víðtækari en margur geri ráð fyrir.

„Nú er búið að ákveða að ef misfarið er með persónuupplýsingar á vinnustað, þá hefur það afleiðingar í för með sér,“ segir Helga Þórisdóttir um nýja persónuverndarlöggjöf ESB sem tók gildi hér á landi 15. júlí síðastliðinn. Hún telur að niðurstaðan í máli sem varðaði flutning á gagnasöfnum Embættis landlæknis með heilbrigðisupplýsingum um meginþorra þjóðarinnar til Advania hefði getað orðið því dýrkeypt hefðu ný persónuverndarlög verið í gildi. Persónuvernd úrskurðaði um flutninginn nú í mars og gerði alvarlegar athugasemdir við hvernig staðið var að málum, þar sem ekki var fyrirfram gengið úr skugga um öryggi gagnanna hjá þriðja aðila.

„Það er mikilvægt að átta sig á því að sérhver heilbrigðisstofnun, og aðrir vinnustaðir sem vinna persónuupplýsingar um notendur, bera ábyrgð á vinnslunni. Það er því á ábyrgð forstjóra hverrar stofnunar að tryggja að vinnsla og meðferð persónuupplýsinga sé í samræmi við persónuverndarlög, að öryggi þeirra sé tryggt og að enginn óviðkomandi komist í þessar upplýsingar,“ segir Helga.

 

^{Snjallheimurinn drifkraftur breyttra laga}

Hert lögin eiga uppruna sinn hjá Evrópusambandinu og taka mið af breyttum tímum – snjallheiminum sem við búum nú í. Netið og víðtækar tækniframfarir í kjölfar þeirra kölluðu á þessar breytingar á persónuverndarlöggjöfinni sem hafði verið í gildi frá aldamótum.

„Það er hægt að kortleggja allar okkar athafnir frá morgni til kvölds og við þurfum að vita hverjir gera það, hvenær og í hvaða tilgangi. Nú er óheimilt að fylgjast með gjörðum okkar nema við vitum af því,“ segir Helga og telur að Íslendingar stæðu ekki svo framarlega í persónuvernd væru þeir ekki í slagtogi við Evrópusambandið í gegnum EES-samninginn.

„Löggjöfin í Bandaríkjunum er allt önnur en hér, svo dæmi sé tekið. Þar ganga gagnagrunnar um hverjir hafa leitað til geðlæknis og hverjir séu með áfengissýki kaupum og sölum. Viðskiptasjónarmiðin trompa þar persónuverndarsjónarmiðin,“ segir Helga og telur að menningarmunur skýri ólíka meðferð persónuupplýsinga og ljóst að afleiðingar seinni heimsstyrjaldarinnar sitji enn í mörgum Evrópuþjóðum sem skilji því betur að söfnun þeirra geti verið skaðleg einstaklingum. „Það skiptir máli að vita og þekkja hvar persónuupplýsingarnar um okkur liggja.“

Helga segir nýju lögin miklu víðtækari en margur gerir sér grein fyrir. „Ef hægt er að persónugreina manneskju beint eða óbeint með tilliti til nafns, kennitölu, staðsetningar eða af líkamlegu-, lífeðlisfræðilegu-, erfðafræðilegu-, andlegu-, efnalegu-, menningarlegu- eða félagsfræðilegu tilliti,  þá er um persónupplýsingar að ræða. Það er allt undir,“ segir hún.

 

Heilbrigðisþjónustan í brennidepli

Heilbrigðisþjónustan er annar tveggja geira sem hefur fengið mesta athygli Persónuverndar undanfarið. Hinn er skólinn. Ástæðan er einföld. Upplýsingarnar sem fást á þessum tveimur sviðum geta skaðað einstaklinga mikið, fari þær á flakk.

Helga bendir á að læknavísindin hafi ekki farið varhluta af breyttum tímum. Fjarlækningar og nettengd tæki séu nú hluti af starfseminni, ný öpp og upplýsingagrunnar spretti upp og fara verði varlega með þau gögn sem safnist.

„Þó svo að persónuverndarlög eigi að vera óháð tækninni hafa breytingarnar á þeim sviðum verið svo miklar að það þarf að staldra við og rétta hlut einstaklinga. Sem dæmi má nefna að Internet allra hluta með öllum sínum nettengdu snjalltækjum, býr til óhemju magn upplýsinga, þ.e. gagnagnótt (Big data). Með aðstoð gervigreindar er síðan hægt að greina upplýsingarnar niður á einstaklinga. Úr verður gríðarlega umfangsmikil söfnun og miðlun upplýsinga um okkur á öllum stigum. Tæknin hefur hafið innreið sína í alla geira samfélagsins,“ segir hún.

„Áður voru þetta diktafónar og vélrituð skjöl á læknastofum en nú er hægt að samkeyra heilu gagnagrunnana og miðla miklu magni upplýsinga. Gagnagrunnarnir geta verið vistaðir í mörgum löndum með mismunandi löggjöf. Öryggi og varnir eru einnig mismunandi. Við skulum því horfast í augu við það að heilbrigðisgeirinn er kominn á kaf í tæknina. Við sjáum jafnvel nettengda tækni inni í fólki, samanber nettengd lækningatæki. Því skipta vönduð vinnubrögð svo miklu máli. Það skiptir máli hvaða upplýsingar verða til og hver hefur aðgang að þeim,“ segir Helga. Hún nefnir sem dæmi að auðvelt sé að forðast handvömm eins og að bjóða upp á netspjall án þess að velta því fyrir sér hvort samskiptin séu varin fyrir aðgangi óviðkomandi eða breyta ekki lykilorði á lækningatækjum þannig að framleiðandinn eða aðrir komist í upplýsingarnar.

„Ljóst er að ábyrgð á notkun tækni í heilbrigðisþjónustu verður aldrei lögð á notendur heilbrigðisþjónustunnar, heldur verður hún ætíð að vera á þeim sem ákveður hvaða búnaður skal nýttur.“

 

Stóla á heilbrigðisstarfsmenn

„Persónuvernd innan heilbrigðisgeirans er það mikilvæg að alltaf hefur einn læknir setið í stjórn stofnunarinnar. Það er gert til að tryggja þekkingu og skilning á málefninu,“ segir Helga sem sjálf stýrði um tíma Lyfjastofnun áður en hún tók við stjórnartaumum Persónuverndar.

Helga segir Persónuvernd búast við mikilli samvinnu læknastéttarinnar og stofnunarinnar enda sé í nýju lögunum kveðið á um að ef mat á áhrifum á persónuvernd gefi til kynna að vinnsla muni hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni, skuli hann hafa samráð við Persónuvernd áður en vinnslan hefjist.

„Við höfum ákveðnar áhyggjur af því að þessi nýja krafa gæti orðið mikill flöskuháls á starfseminni hér en enn sem komið er hefur það ekki gerst.“ Hún telur að margir hafi undanfarið skólast vel í reglum um persónuvernd og þekki orðið til krafna laganna en útilokar þó ekki að enn hafi menn ekki náð að tileinka sér breytt vinnulag. Fagleg vinnubrögð séu hins vegar forsenda árangurs.

 „Á sama tíma og tækni getur bjargað lífi fólks verður að vera tryggt að aðgengi að upplýsingum sé takmarkað og öryggis gætt, þannig að slíkar upplýsingar verði ekki aðgengilegar óviðkomandi. Ekki megi hlaupa upp til handa og fóta og nota hverja nýju lausnina á fætur annarri án fullnægjandi prófana,“ segir Helga. Spurð hvort þessi varfærni í nýju lögunum hægi á framþróun á læknasviðinu svarar hún að það þurfi einfaldlega að vinna heimavinnuna sína.

„Heimild þarf að vera í lögum fyrir hverri vinnslu persónuupplýsinga. Persónuverndarlögin eru öryggisventill fyrir heilbrigt umhverfi og góðan rekstur,“ leggur hún áherslu á, og bendir á að ný skylda um að halda skrá yfir vinnslustarfsemi hjálpi stjórnendum að hafa yfirlit yfir rekstur á hverjum vinnustað.

Helga segir að fram að gildistöku nýju laganna hafi ekki verið skylt að tilkynna öryggisbresti til Persónuverndar en nú þurfi að gera það innan 72 klukkustunda frá því að þeir komast upp. „Það eru strax farnar að koma til okkar ábendingar, eins og að hakkarar eru að reyna að brjótast inn í kerfi hér á landi auk þess sem þó nokkrir vinnustaðir eru að lenda í því að persónuupplýsingar berist öðrum en þeim sem þær eiga að fá,“ segir Helga. Hún nefnir þó að heilbrigðisgeirinn búi að því að strangur lagarammi hafi lengi gilt á því sviði.

„En reynslan í nágrannalöndum bendir hins vegar til þess að margt geti farið úrskeiðis þegar um vinnslu viðkvæmra heilsufarsupplýsinga er að ræða og því þarf ávallt að hafa öryggi í fyrirrúmi.“

 

Stækkandi stofnun

Persónuvernd hefur verið í ólgusjó undanfarin ár. Sérfræðingum fækkaði um tíma vegna skorts á fjármagni og voru þeir á tímabili einungis þrír en 12 starfa þar nú. Hátt í sjö hundruð mál bíða úrlausnar nú þegar umsvifin aukast enn vegna lagabreytinganna. Og vegna þeirra hafa stærri einkafyrirtæki, sem nú þurfa til að mynda að hafa persónuverndarfulltrúa innan sinna raða, sóst eftir sérfræðingum stofnunarinnar. Hreyfing hefur einnig verið mikil á toppnum og sátu fjórir í forstjórastólnum á tveggja ára tímabili áður en  Helga tók við fyrir þremur árum.

„Starfsmenn hér þurfa að vera um 25 til að sinna vaxandi þunga í persónuverndarmálum,“ segir Helga og sér fram á bætta tíma. Málaflokkurinn hafi ekki aðeins fengið aukið vægi með tilkomu laganna, heldur hafi stofnunin einnig flutt upp um tvær hæðir og í stærra pláss í húsnæði sínu við Rauðarárstíg. Hún er nú í fyrrum plássi Sjúkratrygginga sem fluttu og eru nú við rætur Grafarholts.

„Það er mikill stígandi í málum tengdum persónuvernd í Evrópu og í raun í heiminum öllum og málafjöldinn hefur næstum fjórfaldast hjá okkur frá upphafi. Álagið hefur verið gríðarlegt, það er eiginlega ekki hægt að nefna það. Fyrst núna í janúar kom fjárveiting sem máli skipti,“ segir hún. „Við erum mönnuð góðu fólki – en þurfum fleiri, þekkingarstigið innan stofunarinnar er hátt og við hlökkum til samvinnunnar við heilbrigðisstéttirnar og að takast á við þau álitamál sem upp koma.“