Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 5 miljoner euro mot ett konsultföretag inom hälsodata för bristande regelefterlevnad vid uppbyggnad av två forskningsdatabaser enligt dataskyddsförordningen (GDPR).
Bakgrund
Bolaget är ett konsultföretag som genomför studier antingen för egen räkning eller på uppdrag av läkemedelsföretag. Bolaget hade fått tillstånd av CNIL att inrätta två databaser med hälsouppgifter för forskning, studier och utvärdering: LRX-databasen, som bygger på apoteksdata, och EMR-databasen, som bygger på läkarnas konsultationsdata.
LRX-databasen var avsedd att möjliggöra icke-interventionsstudier av läkemedelsanvändning i verkligheten. För att bygga upp databasen samlade bolaget in uppgifter om läkemedelsförsäljning från cirka 14 000 partnerapotek. I vissa fall samlades även en unik identifieringskod in som möjliggjorde longitudinell spårning av patienters vårdförlopp. Uppgifterna pseudonymiserades innan de lagrades i databasen.
EMR-databasen var avsedd att stödja studier om utvärdering och analys av vårdmetoder. Den innehöll patientrelaterade uppgifter såsom födelseår, kön, civilstånd, antal barn och yrkeskategori samt hälsouppgifter från läkarbesök, däribland diagnoser, symtom, recept och vaccinationer. Varje patient tilldelades en unik identifierare kopplad till respektive läkare.
Efter medierapporter och flera klagomål genomförde CNIL tillsyn i bolagets lokaler och hos flera partnerapotek. Under förfarandet hävdade bolaget bland annat att uppgifterna i LRX- och EMR-databaserna var anonyma och att bolaget inte var ansvarigt för den initiala insamlingen och överföringen av uppgifter från apotek och läkare.
Myndighetens bedömning
CNIL fastslog inledningsvis att bolaget var personuppgiftsansvarigt för de behandlingar som användes för att skapa både LRX- och EMR-databaserna. Myndigheten ansåg att samtliga aktörers åtgärder ingick i en sammanhängande behandlingskedja för att skapa och fylla bolagets databaser och att bolaget bestämde ändamålen och metoderna för behandlingen.
CNIL avvisade också bolagets argument att uppgifterna i databaserna var anonyma. Myndigheten fann att uppgifterna var pseudonymiserade men fortfarande utgjorde personuppgifter. Databaserna möjliggjorde longitudinell spårning av patienter genom unika identifierare och innehöll omfattande hälso- och andra personuppgifter. CNIL ansåg därför att enskilda personer kunde särskiljas inom datamängderna och att återidentifiering kunde vara möjlig med rimliga medel.
När det gäller EMR-databasen konstaterade CNIL ett brott mot den franska dataskyddslagen. I den information som lämnades till patienterna angavs att uppgifterna skulle lagras så länge bolagets studier och analyser pågick, medan tillståndet medgav lagring i tio år innan anonymisering eller radering. CNIL ansåg därför att informationen var felaktig. Myndigheten konstaterade också att bolaget inte hade säkerställt att patienternas rätt att invända mot behandlingen kunde utövas på ett effektivt sätt.
När det gäller LRX-databasen konstaterade CNIL ett brott mot artikel 14 GDPR. Bolaget förlitade sig på partnerapotek för att informera patienterna om behandlingen, men tillsyn visade att patienterna inte fick den information som krävdes. CNIL ansåg att ansvaret för att uppfylla informationsskyldigheten enligt artikel 14 GDPR låg kvar hos bolaget.
CNIL konstaterade vidare att den franska dataskyddslagen hade överträtts genom de studier som genomfördes med hjälp av LRX-databasen. Tillståndet omfattade enligt myndigheten endast inrättandet av databasen och inte de efterföljande studierna, vilka utgjorde separata behandlingar av hälsouppgifter. Eftersom dessa behandlingar inte hade godkänts särskilt och inte uppfyllde tillämpliga krav ansågs de vara olagliga.
Slutligen konstaterade CNIL ett brott mot artikel 25 GDPR om inbyggt dataskydd och dataskydd som standard. Apoteksprogramvarans moduler extraherade och överförde patientuppgifter även i situationer där apoteket hade valt att inte delta i överföringen till LRX-databasen. CNIL ansåg att bolaget borde ha säkerställt att sådan filtrering skedde redan innan uppgifterna extraherades och överfördes.
CNIL ålade bolaget en sanktionsavgift på 5 miljoner euro för överträdelser av den franska dataskyddslagen samt artiklarna 14 och 25 GDPR. Myndigheten förelade även bolaget att åtgärda de identifierade bristerna, bland annat genom korrekt patientinformation, säkerställd rätt till invändning och förhindrad extraktion av uppgifter där apotek motsatt sig överföring. Beslutet förenades med ett löpande vite om 10 000 euro per dag som skulle börja löpa sex månader efter beslutet.
Praktiska konsekvenser
Beslutet illustrerar den fortsatt höga tröskeln för att anse pseudonymiserade hälsouppgifter vara anonymiserade enligt GDPR. Att uppgifter har genomgått hashning eller annan pseudonymisering är inte tillräckligt om individer fortfarande kan särskiljas i datamängden eller om återidentifiering är möjlig med rimliga medel.
Beslutet visar också att en aktör som utformar och styr uppbyggnaden av en forsknings- eller analysdatabas kan anses vara personuppgiftsansvarig för behandlingar som utförs av flera olika aktörer i samma behandlingskedja. Att insamling eller teknisk bearbetning utförs av vårdgivare, apotek, programvaruleverantörer eller andra tredje parter utesluter inte att den aktör som bestämmer ändamålen och de huvudsakliga medlen för behandlingen anses vara personuppgiftsansvarig.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör behandling av hälsouppgifter, bedömning av pseudonymisering och anonymisering samt krav på inbyggt dataskydd vid utveckling av forsknings- och analysdatabaser. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om dataskydd, GDPR eller IT-rättsliga frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: CNIL.