Dataombudsmannen: försäkringsbolagen har samlat in hälso- och sjukvårdsuppgifter på onödigt omfattande sätt

7.7.2022 12.41 | Publicerad på svenska 18.7.2022 kl. 13.59

Pressmeddelande

Dataombudsmannens byrå har utrett hur försäkringsbolagen förfarit då de begärt hälso- och sjukvårdsuppgifter om personer som ansökt om försäkring och om försäkrade av hälso- och sjukvårdsaktörer för att utreda försäkringsbolagets ansvar. Brister upptäcktes i synnerhet när det gäller behörig avgränsning av de uppgifter som begärs av hälso- och sjukvården och lagenligheten i behandlingen av hälso- och sjukvårdsuppgifter om personer som ansöker om försäkring.

Dataombudsmannens byrå inledde en utredning av ärendehelheten i och med kontakterna av försäkringsbolagens klienter och hälso- och sjukvårdsaktörerna.

De uppgifter som begärs av hälso- och sjukvården ska vara avgränsade och specificerade

I utredningarna av Dataombudsmannens byrå kom det fram att försäkringsbolagen finner det nödvändigt att i vissa situationer begära hälso- och sjukvårdsuppgifter direkt av hälso- och sjukvården. Försäkringsbolagens tillvägagångssätt för att avgränsa en begäran om uppgifter varierade.

Om ett försäkringsbolag har ett behov av att begära hälso- och sjukvårdsuppgifter om en person av hälso- och sjukvården, ska begäran avgränsas till uppgifter som gäller enbart ett visst fall, en viss sjukdom eller ett visst symptom och som behövs för at bedöma försäkringsbolagets ansvar. Försäkringsbolaget ska också bedöma för vilken tidsperiod det är nödvändigt att begära uppgifter.

Bestämmelsen i dataskyddslagen gäller inte för uppgifter om en person som ansöker om en försäkring

Försäkringsbolagen motiverade behandlingen av hälso- och sjukvårdsuppgifter om en person som ansökt om en försäkring med regleringen i dataskyddslagen, enligt vilken en försäkringsanstalt kan behandla hälso- och sjukvårdsuppgifter som gäller en försäkrad eller en person som ansöker om en försäkring och som är nödvändiga för att utreda försäkringsanstaltens ansvar.

Dataombudsmannen konstaterar att denna bestämmelse i dataskyddslagen gäller enbart för behandling av uppgifter om en försäkrad och en person som ansöker om ersättning. Försäkringsbolagen kan inte med stöd av bestämmelsen behandla hälso- och sjukvårdsuppgifter som gäller en person som ansökt om en försäkring eller begära uppgifter av hälso- och sjukvården i det skede då en försäkring ansöks, eftersom ett avtal inte ännu ingåtts vid den tidpunkten.

Försäkringsbolaget har därtill i samband med ansökan begärt samtycke att inhämta hälso- och hälsovårdsuppgifter av en person som ansöker om en försäkring. Dataombudsmannen konstaterar att det är möjligt att behandla hälso- och sjukvårdsuppgifter under vissa förutsättningar, om personen gett ett giltigt samtycke till detta. Ett giltigt samtycke förutsätter att personen får noggrann information om de uppgifter som samlas in om honom eller henne och för vilka ändamål de används. En begäran om ett samtycke av allmän karaktär utan specifikation av uppgifter och användningsändamål uppfyller följaktligen inte kraven i dataskyddsförordningen.

Praxis vid behandling av och en begäran om hälso- och hälsovårdsuppgifter ska rättas så att den blir lagenlig

Dataombudsmannen förordnade tre försäkringsbolag att korrigera sin praxis i fråga om behandling av hälso- och sjukvårdsuppgifter så att den överensstämmer med lagen när det gäller behandling av uppgifter om personer som ansöker om en försäkring och avgränsningen av en begäran om uppgifter som sänds till hälso- och sjukvården. Ett försäkringsbolag tilldelades en anmärkning om behandling av personuppgifter i strid med dataskyddslagstiftningen.

Därtill gav dataombudsmannen de försäkringsbolag som utgjorde målet för utredningen handledning i avgränsningen av en begäran som sänds till hälso- och sjukvården.

Besluten har ännu inte vunnit laga kraft.

Referat av dataombudsmannens beslut i Finlex på finska:

Mer information:

Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766