Man ska inte samla in eller överlåta för mycket information för försäkringsbolagens ersättningsärenden
Dataombudsmannens byrå har utrett Patientförsäkringscentralens och Trafikförsäkringscentralens förfaringssätt när de skaffade information från hälsovården för handläggning av ersättningsärenden. Dataombudsmannens byrå har också granskat förfaringssättet av två aktörer inom hälsovården när de överlämnat patientuppgifter till försäkringsbolag. Enligt utredningen har försäkringsbolagen begärt för mycket patientuppgifter. Aktörer inom hälsovården har också överlämnat uppgifter utan någon urskiljning.
Personer som klagat hos Dataombudsmannens byrå har ansett att Patientförsäkringscentralen och Trafikförsäkringscentralen har från hälsovården bett mer patienthandlingar som gäller klagandena än vad som har varit nödvändigt för att utreda skadan. Klagandena hade också ansett att aktörer inom hälsovården hade lämnat ut för mycket patientuppgifter. Patientjournaler som gäller till exempel psykoterapi hade begärts och lämnats ut som sådana i ett trafikskadeärende.
Principen om uppgiftsminimering ska följas när uppgifter begärs och lämnas ut
Parter som lämnar ut och tar emot uppgifter ska se till att personuppgifter inte samlas in eller lämnas ut i en onödigt stor utsträckning. I försäkringsregelverket begränsas försäkringsbolagens rätt till information av kravet för nödvändighet, enligt vilket försäkringsbolagen har rätt till sådana patientuppgifter som är nödvändiga för avgörandet i ett försäkringsärende. Ett liknande krav för begränsning av uppgifterna finns också i dataskyddslagstiftningen.
Enligt minimeringsprincipen i den allmänna dataskyddsförordningen ska de personuppgifter som behandlas vara nödvändiga och begränsade till ett visst ändamål. Enligt det inbyggda standardkravet på dataskydd ska försäkringsbolaget försäkra sig om att det endast behandlar uppgifter som är nödvändiga för ersättningsärendet.
För att uppfylla dessa krav ska en begäran om uppgifter som skickats till hälsovården vara begränsad till varje enskilt fall och endast avse nödvändiga uppgifter. Aktörer inom hälsovården ska också bedöma på basis av försäkringsbolagets uppgiftsbegäran vilka uppgifter som är nödvändiga för ärendet.
Dataskyddsombudsmannen tar i sina avgöranden ställning även till det sätt på vilket uppgifterna överlåts. Dataskyddsombudsmannen anser att uppgifterna om patientens hälsotillstånd bör i första hand lämnas ut i form av ett utlåtande enligt rekommendationen från Finlands Läkarförbund. Om uppgifterna av motiverat skäl ska lämnas ut som kopior av patienthandlingar, ska man se till att endast nödvändiga uppgifter lämnas ut, till exempel genom att täcka över de uppgifter som inte behövs. Dataombudsmannen understryker att när man lämnar ut kopior av patienthandlingar ska man särskilt noggrant överväga huruvida uppgifterna är nödvändiga.
Dataskyddsombudsmannen gav anmärkningar om behandling av uppgifter i strid med dataskyddsförordningen
Dataskyddsombudsmannen gav en anmärkning till Patientförsäkringscentralen om behandling av personuppgifter i strid med dataskyddsförordningen. En av aktörerna inom hälsovården fick en anmärkning samt ett förordnande att ändra förfaringssätten för överlåtande av patientuppgifter till försäkringsbolag så att de uppfyller kraven i dataskyddslagstiftningen.
Utredning av andra fall som förknippas med denna helhet fortsätter vid dataombudsmannens byrå
Dataskyddsombudsmannens beslut om Patientförsäkringscentralen i Finlex på finska
Dataskyddsombudsmannens beslut om aktören inom hälsovården i Finlex på finska
Dataskyddsombudsmannens ställningstagande om Trafikförsäkringscentralen i Finlex på finska
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766