Já, Persónuvernd samþykkti þetta, en með trega

Birt á Moggablogginu 7.11.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Fyrirsögnin er tilvísun í síðasta blogg mitt, þar sem ég bloggaði við frétt um frumvarp til laga um breytingu á lögum um vátryggingasamninga. 

Mér skilst að textinn sem kemur fram í frumvarpinu, sé einhvers konar sátt í málinu (sjá umsögn Persónuverndar um frumvarp til laga um breytingu á lögum um vátryggingasamninga, nr. 30/2004 ).  Í umsögn Persónuverndar segir m.a.:

Skýrt skal tekið fram að Persónuvernd telur að meginstefnu varhugavert að heimila aðilum utan heilbrigðiskerfisins umfangsmikla skráningu eða aðra meðferð heilsufarsupplýsinga án þess að til komi upplýst samþykki hlutaðeigandi einstaklinga. Þá skal því haldið til haga að, eftir því sem Persónuvernd best veit, er sjaldgæft í framkvæmd að upplýsingar um heilsufar skyldmenna vátryggingartaka eða vátryggðs leiði til þess að tryggingafélög óski eftir frekari rannsókn á heilsufari umsækjanda á því tímamarki sem hann sækir um vátryggingu. Þvert á móti eru upplýsingarnar í reynd notaðar til þess rökstyðja hærri iðgjöld, setningu sérskilmála eða synjun um vátryggingu vegna þess að tryggingafélög telja líklegt að umsækjandi þrói með sér eða fái tiltekinn sjúkdóm í framtíðinni. Persónuvernd er því enn þeirrar skoðunar að öflun upplýsinga um heilsufar skyldmenna geti eðli málsins samkvæmt ekki falið í sér annað en könnun á því [að] hætta sé á arfgengum sjúkdómi, þrátt fyrir að ekki sé gengið svo langt að láta umsækjendur gangast undir erfðarannsókn í því skyni.

Í því samhengi sem hér um ræðir hefur verið bent á að afli tryggingafélögin ekki upplýsinga um heilsufar skyldmenna vátryggingartaka og vátryggðra geti ákvæði í endurtryggingarsamningum hugsanlega leitt til þess að iðgjöld hækki verulega og að það dragi úr framboði á persónutryggingum hérlendis. Hins vegar bendir Persónuvernd á að út frá sjónarmiðum um persónuvernd og friðhelgi einkalífs er æskilegra að þessara upplýsinga sé ekki aflað. Persónuvernd bendir einnig á að engin gögn hafa verið lögð fram sem sýna fram á hversu miklar afleiðingar það kynna að hafa í för með sér fyrir vátryggingamarkaðinn að afla ekki upplýsinga um heilsufar skyldmenna, s.s. um hversu mikið iðgjöld myndu hækka, en slík matsgerð liggur hugsanlega fyrir hjá hagsmunaaðilum.

Þrátt fyrir þennan fyrirvara og í reynd andstöðu Persónuverndar, þá leggur stofnunin til að þessi öflun persónuupplýsinganna verði leyfð, vegna kröfu frá endurtryggjendum.  Við þetta þarf að stoppa.  Í fyrsta lagi, þá falla nær allir endurtryggjendur íslenskra vátryggingafélaga undir tilskipun Evrópusambandsins 95/46/EC (directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data eða Data Protection Law).  Krafa frá þessum aðilum um þær upplýsingar sem hér um ræðir er því augljóslega í andstöðu við þessa tilskipun.  Það eru því ekki haldgóð rök, að vegna þess að aðrir vilji að maður fari á svig við lög, þá eigi maður að fara á svig við lög.  Lögin voru sett til að vernda friðhelgi einkalífsins og þau eiga þá að verka sem skjöldur á friðhelgi einkalífsins.  Ef lögin geta ekki verið þessi skjöldur, þá er alveg eins gott að afnema þau.  Það gengur ekki að sumir eigi að beygja sig aftur á bak og áfram til að uppfylla kröfur laganna meðan stór erlend endurtryggingafélög geta valtað yfir þau eins og ómerkilegan pappírssnepil.  Sú upplýsingasöfnun sem endurtryggjendurnir fara fram á er samkvæmt íslenskum lögum óheimil nema fyrir liggi upplýst samþykki.  Hvernig getur Persónuvernd þá fallist á eitthvað annað en að upplýst samþykki liggi til grundvallar upplýsingagjöfinni? Hér átti Persónuvernd að spyrna við fótum og neita að fallast á þá málamiðlun sem gerð var.  Það góða er að stofnunin hefur ennþá tækifæri til að endurskoða afstöðu sína og senda nýtt álit til þeirrar nefndar sem málið fer til.

Í öðru lagi, þá vantar allar upplýsingar um það hvernig þessar upplýsingar eru notaðar og hvort þau áhættustýringarlíkön sem liggja að baki séu studd einhverjum vísindalegum rökum eða (eins og Persónuvernd segir) hér er eingöngu um yfirvarp að ræða til að félögin geti krafist hærri iðgjalda.  Kannski að Fjármálaeftirlitið geti komið að málinu og krafist nánari skýringa á þeim tryggingafræðilegu útreikningum sem liggja að baki.  Hafa þessi félög innan vébanda sinna lækna sem hafa sérhæft sig í erfðafræði sjúkdóma?  Eru tölfræðiupplýsingar félaganna byggðar á reynslu miðað við núverandi styrk, tækni og getu heilbrigðiskerfisins?  Hafa verið færð haldgóð rök fyrir hverri einustu ákvörðun um hærri iðgjöld og skertar bætur eða er bara flett upp í töflu til að finna skerðingarstuðli?  Það gengur ekki að annar aðilinn eigi að upplýsa um sínar viðkvæmustu upplýsingar, meðan hinn aðilinn felur sig bak við erlendan endurtryggjanda.  Af hverju fjalla lagabreytingarnar ekki um upplýsingaskyldu vátryggingafélagsins til tryggingatakans?

Í þriðja lagi má spyrja (eins og ég geri í fyrra bloggi mínu um þetta efni), hver er munurinn á því að veita blóðsýni sem hægt er að vinna úr erfðaupplýsinga og að greina frá sjúkrasögu fjölskyldumeðlima?  Við skulum hafa í huga, að þó svo að sífellt finnist fleiri og fleiri gen, sem samkvæmt erfðarannsóknum eru talin auka líkurnar á því að einstaklingur fái tiltekinn sjúkdóm, þá virðist stökkbreyting í geninu oftast eingöngu auka líkur lítillega. Erfðaupplýsingar, hvort sem þær eru fengnar með blóðsýni eða munnmælum, gefa þess vegna bara vísbendingu en eru almennt ekki óyggjandi.  Þekking á erfðum sjúkdóma er enn sem komið er frekar takmörkuð, þ.e. menn geta almennt ekki sagt óyggjandi að hafi foreldri fengið Alzheimer eða Parkinsonsjúkdóminn eða MS o.s.frv. að afkvæmið muni einnig einn dag fá viðkomandi sjúkdóm.  Sjúkdómssaga náskyldra veitir því ekki öruggar upplýsingar um að umsækjandi um tryggingu muni einnig fá einhvern af þeim sjúkdómum sem hrjá aðra fjölskyldumeðlimi.  Tryggingafélögin virðast aftur á móti líta svo á að komi einhver sjúkdómur fyrir hjá nánustu ættingjum, þá sé það góð og gild ástæða fyrir því að hafna umsókn, hækka iðgjald eða lækka bótafjárhæð.  Ef bara þessi röksemdarfærsla tryggingafélaganna héldi vatni, þá væri hægt búa til frábæran þekkingargrunn fyrir heilbrigðisstarfsfólk.  Málið er bara að það er ekkert sem bendir til að rökin haldi.  Ég held raunar að árulesarar, lithimnulesarar og aðrir með viðlíka náðargáfu geti sagt tryggingafélögunum mun nákvæmar frá líkamsástandi og heilsufari tryggingatakans en sjúkdómssaga nákominna ættingja gerir.  Bestu upplýsingarnar fást samt með ítarlegri læknisskoðun.

Ég vil taka það fram, svo það fari ekkert á milli mála, að ég treysti vátryggingafélögunum fullkomlega til að varðveita á öruggan máta allar trúnaðarupplýsingar, sem þeim er treyst fyrir.  Málið snýst ekki um það.  Málið snýst um rétt (eða eigum við að segja réttleysi) vátryggingatakans til að veita þriðja aðila upplýsingar sem leynt eiga að fara og njóta verndar laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.  Málið snýst um rétt/réttleysi þriðja aðilans að óska eftir upplýsingum um einstaklinga sem ekki eru aðilar að máli sem er til meðferðar.  Málið snýst um rétt sjúklings að eingöngu þeir sem hann annast hafi vitneskju um sjúkdóm hans nema hann sjálfur ákveði að um sjúkleika hans verði fjallað á öðrum vettvangi.  Málið snýst um að viðkvæmar persónuupplýsingar eru verndaðar af persónuverndarlögum og önnur lög eiga ekki að heimila skerðingu á þeirri vernd nema mjög brýnir hagsmunir liggi því til grundvallar.  Áhættumat vegna persónutrygginga eru ekki slíkir hagsmunir.  Krafa erlendra endurtryggingafélaga, sem hóta að hækka annars iðgjöld, eru ekki slíkir hagsmunir.

Ég skora á þingmenn að standa vörð um friðhelgi einkalífsins í samræmi við gildandi lög í landinu.  Ég skora á þá að hafna þeirri kröfu erlendra endurtryggingafélaga, að íslenskir neytendur þurfi að láta utanaðkomandi aðilum í té viðkvæmar persónuupplýsingar um sína nánustu.  Krafa sem er skýlaust brot á tilskipun Evrópusambandsins nr. 95/46/EC og lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.