Úrlausnir

Lyfjabúðir - Endurskoðun tveggja ákvörðunarorða

31.5.2006

Efni: Niðurstaða Persónuverndar um óskir Lyfja og heilsu hf. og Lyfju hf. um breytingar á tilteknum fyrirmælum í ákvörðunum, dags. 3. júlí 2003, n.t.t. að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun og að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en þær verði afhentar förgunaraðila

I.

Persónuvernd vísar til fyrri samskipta við Lyfju hf. og Lyf og heilsu hf. vegna ákvarðana stofnunarinnar, dags. 3. júlí 2003, vegna úttektar á öryggi persónuupplýsinga hjá félögunum tveimur. Með vísan til þess sem úttektirnar leiddu í ljós um hvernig vinnslu persónuupplýsinga væri háttað hjá félögunum og hvernig öryggis þeirra væri gætt mælti Persónuvernd þar fyrir um ýmsar ráðstafanir, sbr. 1. mgr. 40. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem grípa skyldi til að svo að kröfum 11.–13. gr. sömu laga, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga, yrði fullnægt. Var veittur frestur til 1. janúar 2004 til að fullnægja þeim kröfum.

Hinn 17. október 2003 var haldinn fundur í Persónuvernd með Lyfjum og heilsu hf. þar sem fjallað var um viðbrögð félagsins við ákvörðun Persónuverndar varðandi félagið. Af hálfu félagsins voru þá lagðir fram minnispunktar þar að lútandi þar sem fram kom að það teldi sum fyrirmælin í ákvörðuninni þarfnast endurskoðunar. Með bréfi, dags. 5. nóvember 2003, óskaði og Helga M. Óttarsdóttir hdl. þess, f.h. Lyfja og heilsu hf., að hluti ákvörðunar Persónuverndar frá 3. júlí 2003 yrði endurupptekinn, sbr. 24. gr. stjórnsýslulaga nr. 37/1993. Með bréfi, dags. 8. desember 2003, framlengdi Persónuvernd frestinn til að verða við þeim fyrirmælum, sem endurupptökubeiðnin laut að, til 1. febrúar 2004. Skömmu áður, eða hinn 29. janúar s.á., kynntu fulltrúar Lyfja og heilsu hf. á fundi hjá Persónuvernd hvernig orðið hefði verið við fyrirmælum stofnunarinnar. Barst Persónuvernd greinargerð þar að lútandi eftir fundinn, dags. s.d., þar sem beiðnin um endurupptöku hluta ákvörðunarinnar var ítrekuð.

Hinn 4. desember 2003 var haldinn fundur með Lyfju hf. þar sem fjallað var um viðbrögð félagsins við ákvörðun Persónuverndar varðandi félagið. Af hálfu félagsins var lögð fram greinargerð um hvernig félagið myndi fara eftir ákvörðuninni. Kom þar fram að óskað væri eftir endurskoðun á tilteknum hluta hennar. Með bréfi, dags. 30. desember 2003, var kynnt nánar hvernig brugðist hefði verið ákvörðuninni og kom þar fram sú afstaða félagsins að þeim kröfum, sem þar koma fram, hefði verið fullnægt.

II.
1.

Hér verður leyst úr tveimur atriðum sem bæði félögin hafa gert athugasemdir við í ákvörðunum Persónuverndar, dags. 3. júlí 2003, þ.e. þessi tvö fyrirmæli:

Tryggja skuli öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skuli nota aðferð sem sé á almennum markaði og þyki vera öruggust á hverjum tíma. Eigi þetta við hvort sem um sé að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila (7. tölul. ákvörðunarorða í ákvörðun varðandi Lyf og heilsu hf. en 6. í ákvörðun varðandi Lyfju hf.).

Tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila (11. tölul. ákvörðunarorða í báðum ákvörðununum).


Tekið skal fram að Lyf og heilsa hf. hefur jafnframt óskað eftir endurupptöku á fleiri þáttum í ákvörðun Persónuverndar varðandi félagið, en að svo stöddu verður aðeins leyst úr framangreindum atriðum. Síðar verður og tekin afstaða til annarra athugasemda, svo og lagt mat á það hvort Lyf og heilsa hf. og Lyfja hf. hafi að öðru leyti farið eftir ákvörðunum Persónuverndar, dags. 3. júlí 2003.

2.

Í bréfi Lyfja og heilsu hf. til Persónuverndar, dags. 5. nóvember 2003, er endurupptökubeiðni félagsins með vísan til 24. gr. stjórnsýslulaga nr. 37/1993 rökstudd. Um þau fyrirmæli að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun segir:

"Forsendur í ákvörðun stjórnar Persónuverndar um kerfi umbjóðanda okkar eru ekki með öllu réttar. Starfsstöðvar umbjóðanda okkar eru tengdar vinnsluaðila, þ.e. Þekkingu-Tristan hf., með ADSL tengingum hjá OgVodafone. Hver starfsstöð er skilgreind sem sérstök rás beint í ATM-búnað hjá vinnsluaðila. Ekki er notað almennt gagnaflutningsnet eins og Internetið. Ekki er talið mögulegt að hlera ATM samskipti á búnað símafyrirtækisins. Þegar gögnin eru komin inn í búnað vinnsluaðila fara þau áfram um MPLS tengingar Landssímans milli Kópavogs og Akureyrar þar sem gögnin eru raunverulega hýst. Í því kerfi eru einnig notaðar sýndarrásir, þ.e. aðskildar rásir fyrir hvern og einn viðskiptavin vinnsluaðila.

Áhættumat sýnir að mjög litlar líkur eru á hlerun eða innbrotum í samskiptakerfið eins og það er í dag. Áhættan er talin vera mjög lítil og þar með ásættanleg. Ekki er talinn ávinningur af því að dulrita öll samskipti sem fara fram á lokuðu neti umbjóðanda okkar. Í þessu sambandi ber að hafa í huga verðmæti þeirra upplýsinga sem verið er að verja, ásamt veikleikum í tengslum við flutning upplýsinga og mjög litlum líkum á því að þeir veikleikar verði nýttir."

Í bréfi Lyfju hf. til Persónuverndar, dags. 4. desember 2003, er því lýst hvernig félagið hefur brugðist við ákvörðun Persónuverndar. Er þar óskað eftir endurskoðun á þeim fyrirmælum að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun. Beiðnin er rökstudd með eftirfarandi orðum.

"Samkvæmt áhættumati Lyfju hf. eru gagnaflutningsleiðir og öryggi þeirra ekki í óásættanlegri hættu varðandi hlerun eða öryggi persónuupplýsinga. Apótek Lyfju hf. eru tengd með ADSL og FrameRelay tengingum á ATM-formi sem ekki hefur verið sýnt fram á að hægt sé að hlera með neinum þeim hætti er stefnt geti persónuupplýsingum í hættu. Að fenginni umsögn fjarskiptafyrirtækja er ljóst að ekki einusinni starfsmenn viðkomandi geta náð neinum þeim gögnum sem um er að ræða með þekktum eða auðveldum aðferðum."

Um þau fyrirmæli að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila segir í bréfi Lyfja og heilsu hf., dags. 5. nóvember 2003:

"Á lyfjabúðum hvílir sú skylda að taka við lyfjum frá sjúklingum til förgunar, sbr. 23. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja. Þessari skyldu hafa lyfjabúðir sinnt án endurgjalds. Á sjúklingum hvílir hins vegar ekki sú skylda að afhenda lyfjabúðum lyf til förgunar. Margir kjósa hins vegar að gera það. Umbjóðandi okkar hefur litið svo á að þeir sem afhenda lyf til förgunar þar sem persónuupplýsingar koma fram á umbúðum veiti samþykki sitt fyrir því að afhenda umræddar upplýsingar. Umbjóðandi okkar hyggst setja verklagsreglur um það hvernig með þessi lyf verður farið. Þannig verði sjúklingum sem koma með lyf til förgunar boðið að afmá persónuupplýsingar áður en lyfin eru afhent. Kjósi þeir að gera það ekki mun verða litið svo á að þeir hafi veitt samþykki sitt fyrir afhendingu upplýsinganna. Verklagsregla þessi mun verða í gæðahandbókum lyfjabúða."

Lyfja hf. hefur ekki óskað eftir endurskoðun eða endurupptöku á þeim fyrirmælum að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila. Í bréfi félagsins til Persónuverndar, dags. 4. desember 2003, er hins vegar lagt til verklag til að fara eftir þessum fyrirmælum sem ekki getur talist nægilegt til að fullnægja þeim eftir orðalagi sínu. Þessu verklagi er lýst svo í bréfinu:

"Þeir sem skila inn lyfjum til eyðingar undirrita yfirlýsingu um að þeir hafi afhent lyfin og geri sér grein fyrir að um persónugreinanleg gögn sé að ræða sem fari til eyðingar. Með því er litið svo á að um upplýst samþykki viðkomandi sé að ræða."
3.

Persónuvernd hefur farið yfir framangreindar athugasemdir Lyfja og heilsu hf. og Lyfju hf. í tengslum við þau fyrirmæli í úttektarákvörðunum stofnunarinnar varðandi félögin, dags. 3. júlí 2003, að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun og að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila.

Í 1. mgr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er kveðið á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi (1. mgr.). Þá er þar kveðið á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Persónuvernd telur að Lyf og heilsa hf. og Lyfja hf. hafi, með framangreindum athugasemdum sínum, nægilega sýnt fram á að skilyrðum þessara ákvæða sé fullnægt með þeim gagnaflutningstengingum sem nú er notast við hjá félögunum, þ.e. lokuðum ADSL- og MPLS-rásum. Hefur því verið ákveðið að fallast á kröfu félaganna um endurskoðun á fyrirmælum stofnunarinnar um að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun (7. tölul. ákvörðunarorða í ákvörðun varðandi Lyf og heilsu hf. en 6. í ákvörðun varðandi Lyfju hf.).

Einnig telur Persónuvernd að það verklag, sem Lyf og heilsa hf. og Lyfja hf. hafa lagt til í tengslum við eyðingu persónugreinanlegra merkinga af umbúðum lyfja áður en umbúðirnar eru afhentar förgunaraðila, fullnægi skilyrðum framangreindra ákvæða, þ.e. annars vegar að þeim sem koma með lyf til förgunar verði boðið að afmá persónuupplýsingar, en það er tillaga Lyfja og heilsu hf., eða hins vegar að þeir undirriti yfirlýsingu um að þeir hafi afhent lyfin og geri sér grein fyrir að um persónugreinanleg gögn sé að ræða sem fari til eyðingar, en það er tillaga Lyfju hf. Hefur því í fyrsta lagi verið ákveðið að fallast á kröfu Lyfja og heilsu hf. um endurskoðun á þeim fyrirmælum Persónuverndar að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila (11. tölul. ákvörðunarorða). Þá hefur í öðru lagi verið ákveðið að fallast á það verklag sem Lyfja hf. hefur lagt til svo að fara megi eftir sams konar fyrirmælum hvað það félag varðar (11. tölul. ákvörðunarorða).

III.

Með vísan til ofangreinds hefur Persónuvernd komist að eftirfarandi niðurstöðum:

Að þær öryggisráðstafanir, sem Lyfja og heilsa hf. og Lyfja hf. nota í gagnaflutningi, séu fullnægjandi. Í ljósi þess er fallist á kröfu félaganna um endurskoðun þeirra fyrirmæla í ákvörðunum stofnunarinnar, dags. 3. júlí 2003, að tryggja skuli öryggi í gagnaflutningi með öruggum tengingum og dulkóðun. Er þeim því heimilt að viðhafa áfram núverandi verklag í gagnaflutningi óbreytt.

Að það verklag í tengslum við eyðingu persónugreinanlegra merkinga af lyfjaumbúðum að bjóða þeim sem koma með lyf til förgunar að afmá persónuupplýsingar, eða leggja fyrir þá yfirlýsingu um að þeir geri sér grein fyrir að um persónugreinanleg gögn sé að ræða sem fari til eyðingar, sé fullnægjandi. Í ljósi þess er fallist á kröfu Lyfja og heilsu hf. um endurskoðun þeirra fyrirmæla í ákvörðun Persónuverndar varðandi félagið, dags. 3. júlí 2003, að tryggja skuli að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar verði afhentar förgunaraðila. Þá eru og sams konar fyrirmæli í ákvörðun Persónuverndar varðandi Lyfju hf., dags. s.d., endurskoðuð. Er því nægilegt að félögin viðhafi framangreint verklag svo að kröfum til öryggis persónuupplýsinga sé fullnægt í tengslum við eyðingu persónugreinanlegra merkinga af lyfjaumbúðum.



Var efnið hjálplegt? Nei