Þessi síða var prentuð út af vef Persónuverndar
| |
 | |
Almennt
Þann 27. nóvember 2003 kvað Hæstiréttur upp dóm í máli konu sem krafðist þess að ógilt yrði með dómi synjun landlæknis á beiðni hennar um að ekki yrðu færðar í gagnagrunn á heilbrigðissviði heilsufarsupplýsingar, sem skráðar hefðu verið í sjúkraskrár um látinn föður. Dóminn má nálgast hér.
Fram að uppkvaðningu dómsins varð Persónuvernd ítrekað fyrir harðri gagnrýni af hálfu Íslenskrar erfðagreiningar ehf. fyrir "að halda gagnagrunni á heilbrigðissviði í gíslingu". Var því haldið fram að framganga stofnunarinnar í málinu kæmi í veg fyrir að hægt væri að hefja vinnu við gerð gagnagrunnsins. Þetta taldi Persónuvernd ekki rétt og birti um mitt ár 2003 svofellda tilkynningu:
Um miðlægan gagnagrunn á heilbrigðissviði gilda lög nr. 139/1998
og reglugerð nr. 32/2000.
Þau ákvæði laganna, sem eftirlit Persónuverndar byggjast á, eru einkum 2. tölul. 1. mgr. 5. gr., 2. mgr. 7. gr., 2. mgr. 10. gr. og 1. mgr. 12. gr. Þau ákvæði reglugerðarinnar, sem einkum skipta máli um eftirlit Persónuverndar, er að finna í VII. kafla.
Um gang starfs Persónuverndar, og þar áður forvera stofnunarinnar, Tölvunefndar, er ítarlega fjallað hér í sérstöku skjali sem hefur að geyma lýsingu á málavöxtum frá útgáfu rekstrarleyfis 22. janúar 2000).
Almennt er fjallað um aðkomu Tölvunefndar í öðru skjali .
Í tengslum við þá gagnrýni Íslenskrar erfðagreiningar ehf., sem Persónuvernd hefur orðið fyrir á undanförnu einu og hálfu ári, er sérstaklega minnt á bréf stofnunarinnar til fyrirtækisins, dags. 22. nóvember 2002, sem reifað er í fyrra skjalinu sem nefnt er hér að ofan. Þar kemur mjög skýrt fram að stofnunin hefur fallist á þær tillögur félagsins að gagnagrunnur á heilbrigðissviði verði tengdur internetinu og að notendum hans verði birt þar til gerð ættartré, með því skilyrði að hönnunartillögurnar muni standast prófun.
Auk þess er minnt á fund Persónuverndar og Íslenskrar erfðagreiningar ehf. hinn 28. janúar 2003 og bréf Íslenskrar erfðagreiningar ehf. frá 5. mars s.á. (sjá reifun í fyrra skjalinu hér að ofan). Þar kom fram að félagið vill að leyst verði endanlega úr því hvort umrædd ættartré séu persónugreinanleg áður en athugun á öryggi gagnagrunns á heilbrigðissviði haldi áfram. Til að taka afstöðu til þessa þarf Persónuvernd að fá ráðgjöf sérfræðinga sinna frá fyrirtækinu CMG Admiral. Þess vegna hefur Persónuvernd, með bréfum til Íslenskrar erfðagreiningar ehf., dags. 13. febrúar, 13. mars, 7. apríl og 15. júlí 2003, óskað eftir tímaáætlun frá félaginu svo að hún geti boðað þessa sérfræðinga til landsins með eðlilegum fyrirvara. Íslensk erfðagreining ehf. neitar hins vegar að bera kostnað af aðstoð sérfræðinga, sbr. bréf 5. mars 2003, en samkvæmt 3. mgr. 4. gr. laga nr. 139/1998 ber rekstrarleyfishafa að greiða kostnað sem Persónuvernd verður fyrir vegna gagnagrunnsins.
Þá krefst fyrirtækið þess að fá strax skýlaus svör frá Persónuvernd þótt hún hafi ekki enn fengið nauðsynleg gögn um hversu ítarlegar fyrirspurnir viðskiptavinir fyrirtækisins muni geta lagt fram. Þetta skiptir hins vegar máli um það hvort þau ættartré, sem birtast viðskiptavinum, verði persónugreinanleg eður ei (sjá nánar bréf Persónuverndar til Íslenskrar erfðagreiningar ehf., dags. 13. mars 2002, sem reifað er í fyrra skjalinu hér að ofan).
Af ofangreindu er ljóst að störf Persónuverndar í tengslum við gagnagrunn á heilbrigðissviði hafa á allan hátt verið fagleg og málefnaleg og að fullyrðingar Íslenskrar erfðagreiningar ehf. um hið gagnstæða eiga ekki við rök að styðjast.
Ýmis skjöl um ákvarðanir Persónuverndar, og áður Tölvunefndar, varðandi öryggi persónuupplýsinga í gagnagrunni á heilbrigðissviði:
Almennir öryggisskilmálar
Aðferðafræði (Methodology)
(Adobe Acrobat skjal)
Öryggismarkmið (Security Target) (Adobe Acrobat skjal)
Umfjöllun á íslensku um "Security Target"
Hér er hlekkur að upplýsingasíðu heilbrigðis- og tryggingamálaráðuneytis um miðlægan gagnagrunn á heilbrigðissviði.
Kennitala: 560800-2820 | Netfang: postur@personuvernd.is