Í ljósi eðlis upplýsinga í sjúkraskrám leggur grundvallarregla 71. gr. stjórnarskrárinnar um friðhelgi einkalífs, sbr. og 8. gr. Mannréttindasáttmála Evrópu, sem lögfestur var með lögum nr. 62/1994, á ríkisvaldið ríkar skyldur til að veita þeim sérstaka vernd. Nýlega, þ.e. hinn 17. júlí 2008, felldi Mannréttindadómstóll Evrópu dóm (í máli I gegn Finnlandi nr. 20511/03) þar sem þetta kemur berlega fram. Málið höfðaði kona gegn finnska ríkinu, en hún taldi að upplýsingar um að hún væri HIV-smituð í sjúklingaskrá sjúkrahúss, þ.e. skrá með upplýsingum um sjúkdómsgreiningar og meðferðarlækna einstakra sjúklinga, hefðu ekki notið fullnægjandi verndar. Hún vann sem hjúkrunarkona á sjúkrahúsinu á árunum 1989–1994 og í ársbyrjun 1992 þóttu henni athugasemdir vinnufélaga benda til þess að þeir hefðu skoðað upplýsingar um hana í sjúklingaskránni í heimildarleysi, en allir starfsmenn sjúkrahússins höfðu aðgang að skránni. Konan höfðaði skaðabótamál fyrir finnskum dómstólum, en kröfum hennar var hafnað þar sem hún gat ekki sannað að tilteknir starfsmenn hefðu skoðað skrána. Í aðgerðaskráningu, þ.e. skrá sem sýnir hverjir hafa gert tilteknar aðgerðir í tölvukerfi, var aðeins hægt að sjá síðustu fimm uppflettingar og þær voru ekki auðkenndar einstökum starfsmönnum heldur aðeins viðkomandi deild innan sjúkrahússins.

Mannréttindadómstóllinn komst að þeirri niðurstöðu að þar sem upplýsingaöryggi hefði verið ófullnægjandi hefði finnska ríkið brotið gegn 8. gr. Mannréttindasáttmála Evrópu. Um öryggisbrestinn segir m.a. í dóminum (44. mgr., þýðing PV úr ensku):

Dómurinn veitir því athygli að stefnandi tapaði máli sínu [fyrir finnskum dómstólum] þar sem henni var ókleift að sanna að orsakasamhengi hefði verið á milli galla á reglum [sjúkrahússins] um aðgangsöryggi og dreifingar upplýsinga um heilsufar hennar. Til þess ber hins vegar að líta að með því að leggja sönnunarbyrði um það á stefnanda er litið fram hjá viðurkenndum vanköntum á skráningu sjúkrahússins á þeim tíma sem um ræðir. Ljóst er að hefði sjúkrahúsið viðhaft frekara eftirlit með aðgangi að heilsufarsskrám með því að afmarka aðgang við heilbrigðisstarfsmenn, sem komu beint að meðferð stefnanda, eða með því að halda aðgerðaskrá yfir alla, sem höfðu skoðað skráningu um heilsufar hennar, hefði staða hennar fyrir innlendum dómstólum verið síður óhagstæð. [..]

Af framangreindri tilvitnun má ráða að Mannréttindadómstóllinn telur virkt eftirlit með aðgangi að tölvukerfum, sem í eru skráðar upplýsingar um sjúklinga, vera forsendu þess að þau fái samrýmst 8. gr. Mannréttindasáttmálans. Ljóst er af eftirfarandi orðum í dóminum (48. mgr., þýðing PV úr ensku) að slíkt eftirlit og upplýsingaöryggi almennt verði að fullnægja ströngum kröfum:

Dómurinn veitir því athygli að það eitt að landslög veittu stefnanda kost á að krefjast skaðabóta fyrir tjón vegna ólögmætrar uppljóstrunar um persónuupplýsingar hennar nægði ekki til að vernda friðhelgi einkalífs hennar. Það sem þarf í þessu sambandi er raunhæf og virk vernd til að útiloka allan möguleika á óleyfilegum aðgangi. Slík vernd var ekki veitt í umræddu tilviki.

Framar í dóminum er fjallað almennt um mikilvægi þess að upplýsingar um sjúklinga njóti verndar. Um það segir (38. mgr., þýðing PV úr ensku): 

Vernd persónuupplýsinga, ekki síst upplýsinga í heilbrigðiskerfinu, hefur grundvallarþýðingu svo að einstaklingur fái notið réttar til friðhelgi einkalífs og fjölskyldu eins og mælt er fyrir um í 8. gr. Mannréttindasáttmálans. Það að trúnaðar sé gætt um heilsufarsupplýsingar er brýn meginregla í lagakerfi allra aðila að sáttmálanum. Ekki aðeins hefur það úrslitaþýðingu að virða friðhelgi einkalífs sjúklings heldur einnig að standa vörð um traust hans til heilbrigðisstétta og heilbrigðiskerfisins almennt. [..] Lög aðildarríkja verða að tryggja að gætt sé fullnægjandi öryggis svo að girt sé fyrir hvers kyns miðlun eða birtingu á upplýsingum um heilsufar einstaklinga sem strítt getur gegn meginreglum 8. gr. sáttmálans [..].

Dóminn má lesa hér.

www.personuvernd.is