Journalnummer: 2017-632-0213
Datatilsynet vender hermed tilbage til sagen, hvor Region Hovedstaden har brugt en Google-kalender i forbindelse med forskningsprojekter i Enhed [udeladt] på det tidligere Glostrup Hospital og (efter Glostrup Hospitals fusion med Rigshospitalet) på Rigshospitalet – Glostrup, og hvor Datatilsynet har anmodet Region Hovedstaden om at besvare en række spørgsmål vedrørende [udeladt] adgang til personoplysninger, da han var ansat i regionen.
Datatilsynet har modtaget forskellige henvendelser fra [udeladt], hvori han har givet udtryk for, at der er problemer med datasikkerheden i Region Hovedstaden. [Udeladt] har i den sammenhæng bl.a. peget på, at regionens ansatte skulle anvende Google-kalender til behandling af oplysninger om bl.a. kræftpatienter, og at regionen ikke i fornødent omfang skulle have etableret en logning efter sikkerhedsbekendtgørelsen. Herudover har Datatilsynet kunne konstatere, at [udeladt] tilsyneladende har haft adgang til en stor mængde personoplysninger, da han var ansat i Region Hovedstaden.
Ved breve modtaget i Datatilsynet den 21. juni 2017 og 20. februar 2018 er Region Hovedstaden kommet med udtalelser til sagen.
1. Google-kalenderen
Efter en gennemgang af sagen finder Datatilsynet det kritisabelt, at Region Hovedstaden i forbindelse med forskningsprojekter har brugt en Google-kalender, som bl.a. indeholdt patientnavne, og som ikke blev logget, og hvor regionen ikke havde indgået databehandleraftale med Google. Behandlingen af personoplysninger hos Region Hovedstaden har efter Datatilsynets opfattelse derfor ikke levet op til kravet om indgåelse af skriftlig databehandleraftale i persondatalovens1 § 42, stk. 2, og logningskravet i sikkerhedsbekendtgørelsens2 § 19, stk. 1.
Datatilsynet har noteret sig det af Region Hovedstaden oplyste om, at der i forbindelse med forskningsprojekter i Enhed [udeladt] på det tidligere Glostrup Hospital og efterfølgende på Rigshospitalet – Glostrup blev anvendt en Google-kalender, at kalenderen udelukkende blev brugt til at angive, om en forud-booket tid på en scanner (til et bestemt projekt) blev anvendt, at det var frivilligt, om forskeren ville anvende kalenderen, at nogle forskergrupper anvendte deltagernummer eller forskerens eget navn ud for det givne tidspunkt, men at andre forskergrupper anvendte patientnavne, og at det ikke kan udelukkes, at personnumre på patienter har været anvendt enkelte gange ved en fejl, selvom det ikke var almindelig praksis.
Endvidere har Datatilsynet noteret sig, at Region Hovedstaden har oplyst, at regionen ikke ved, hvornår kalenderen blev oprettet, at regionen i september 2016 blev opmærksom på kalenderens eksistens og rettede henvendelse til den ansvarlige afdeling, at kalenderen blev lukket i oktober 2016 men først slettet i maj 2017, at kalenderen ikke blev logget, at der ikke var indgået databehandleraftale med Google, at oprettelsen og brugen af kalenderen strider imod Region Hovedstadens retningslinjer for behandling af personoplysninger, at kalenderen var beskyttet med individuelle passwords, at personkredsen, som havde adgang til kalenderen, til enhver tid var ca. 10-15 betroede forskningsmedarbejdere, og at adgang til kalenderen blev givet til udvalgte forskere [udeladt] i forbindelse med opstart af forskningsprojekter med scanningsbehov, og at adgangen blev slettet igen, når projektet var slut.
Datatilsynet forudsætter, at Region Hovedstaden i øvrigt – dvs. i forhold til andre systemer end den ophørte Google-kalender – foretager logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19, idet regionen ikke har besvaret denne del af tilsynets spørgsmål.
2. [Udeladt] adgang til personoplysninger
Datatilsynet har noteret sig, at Region Hovedstaden bl.a. har oplyst, at [udeladt] både har været ansat som forsker og læge i regionen, at han som forsker vil have haft adgang til alle de sundhedsdata, som de projektansvarlige har vurderet som relevante for hans opgaver i det eller de forsøg, han har været tilknyttet, at han som læge vil have haft adgang til alle de sundhedsdata, der var knyttet til den enhed, hvor han var ansat, men at han kun har haft lov til at tilgå sundhedsdata på de patienter, hvor han havde en behandlingsrelation, at læger har denne adgang, da en behandlingsrelation eller behandlingssituation kan opstå pludseligt, hvorfor en sådan adgang er nødvendig for at kunne yde den nødvendige behandling, at regionen har klare retningslinjer for, hvilke sundheds- og forskningsdata som en ansat må tilgå, uanset hvilke muligheder den ansatte rent faktisk har, at regionen også havde sådanne retningslinjer på tidspunktet for [udeladt] ansættelse, og at [udeladt].
På ovennævnte baggrund foretager Datatilsynet sig ikke yderligere i forhold til spørgsmålet om [udeladt] adgang til personoplysninger i Region Hovedstaden.
Tilsynet foretager sig herefter ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside, dog således at udtalelsen anonymiseres i forhold til [udeladt].
________________________________________
1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning