Ákvörðun um að hafna ósk Lyfja og heilsu um endurskoðun hluta niðurstöðu
Á fundi sínum hinn 8. febrúar 2005 tók stjórn Persónuverndar svofellda ákvörðun í máli nr. 2002/17:
I.
Grundvöllur máls
Hinn 3. júlí 2003 komst Persónuvernd að niðurstöðu varðandi úttekt á öryggi persónuupplýsinga hjá Lyfjum og heilsu hf., sbr. 11.–13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. reglur nr. 299/2001 um öryggi slíkra upplýsinga. Ákveðið var að tiltekinna úrbóta væri þörf. M.a. var mælt fyrir um, sbr. 1. mgr. 40. gr. laganna, að setja þyrfti skriflega öryggisstefnu, gera skriflegt áhættumat, skrá öryggisráðstafanir, viðhafa innra eftirlit, gera formlega samninga við vinnsluaðila, sjá til þess að tilteknir starfsmenn undirverktaka eða þjónustuaðila undirrituðu trúnaðarheit, tryggja betur öryggi í gagnaflutningi, tryggja að persónugreinanlegum merkingum af umbúðum lyfja væri eytt áður en þær væru afhentar til förgunar, hindra að starfsmenn vinnsluaðila gætu yfirtekið útstöðvar og tryggja að þeir hefðu einungis aðgang að ópersónugreinanlegum upplýsingum við vinnslu í prófunarumhverfi fyrir lyfsölukerfið. Þá var mælt fyrir um:
b. að eyða skyldi öllum persónugreinanlegum lyfjagögnum sem kynnu að vera varðveitt umfram það sem lögskylt er (9. tölul. ákvörðunarorða).
Með bréfi, dags. 5. nóvember 2003, óskaði Helga M. Óttarsdóttir hdl., f.h. Lyfja og heilsu hf., þess að sá hluti niðurstöðu Persónuverndar frá 3. júlí 2003, sem birtist í síðastnefndu, tveimur fyrirmælunum, yrði endurupptekinn. Einnig var óskað eftir endurupptöku á þeim hlutum ákvörðunarinnar sem lúta að öryggi í gagnaflutningi og eyðingu merkinga af lyfjaumbúðum sem afhentar eru til förgunar. Með niðurstöðu hinn 2. mars 2004 var samþykkt að endurskoða þau fyrirmæli. Liggur nú fyrir með hvaða hætti Lyf og heilsa hf. hefur uppfyllt þau, sem og önnur fyrirmæli Persónuverndar, önnur en þau tvö sem talin eru upp hér að framan. Því liggur nú fyrir til ákvörðunar ósk félagsins um endurskoðun þeirra.
Bréfaskipti og málavextir
1.
Tilhögun töku afrita
Fyrirmæli í niðurstöðu Persónuverndar frá 3. júlí 2003 um að stöðva töku afrita af upplýsingum frá Lyfjum og heilsu hf. á sömu spólur og upplýsingar annarra byggjast á því að semji félagið við annan aðila en Þekkingu hf. um hýsingu gagnanna skapist hætta á að ekki verði, af tæknilegum ástæðum, unnt fyrir Þekkingu hf. að hreinsa út gögnin án þess að eyða um leið gögnum sem afrituð hafa verið fyrir aðra aðila á sömu spólur. Var einnig höfð í huga sú hætta að ekki væri unnt að tryggja aðskilnað gagna nægilega vel. Í bréfi Lyfja og heilsu hf., dags. 5. nóvember 2003, segir varðandi það atriði:
Þegar afrit eru tekin þá eru þau í raun aðeins speglun af þeim gögnum sem geymd eru á diskum. Afritunin tekur einnig afrit af aðgangstakmörkunum en þær fylgja með þegar gögn eru endurheimt. Engin hætta er á því að gögn mismunandi aðila blandist á einhvern hátt saman við afritun. Endurheimt gagna er aðeins framkvæmd af starfsmönnum vinnsluaðila þannig að ábyrgðaraðilar gagnanna fá aldrei aðgang að afritunarspólum. Þegar gögn eru endurheimt þá eru aðgangstakmarkanir endurheimtar um leið. Þannig er enginn munur í raun á geymslu gagna hvort sem þau eru á diski eða spólu."
Á fundi hjá Persónuvernd hinn 29. janúar 2004 var rætt um þá hættu sem fylgir því að ekki verði unnt að eyða gögnum á afritunarspólum hjá Þekkingu hf. ef. samið verði um hýsingu þeirra hjá öðrum aðila. Fulltrúar Lyfja og heilsu hf. lýstu því yfir að komi til slíks mun félagið tryggja að upplýsingar á afritunarspólum verði ekki til áfram hjá Þekkingu hf. Með bréfi, dags. 6. apríl 2004, óskaði Persónuvernd eftir nánari skýringum frá Lyfjum og heilsu hf. á því hvernig þetta myndi fara fram. Lyf og heilsa hf. svaraði með bréfi, dags. 7. maí 2004. Þar segir:
Ef Lyf og heilsa myndi flytja tölvuvinnslu sína úr höndum Þekkingar í eigin hendur eða þriðja aðila yrði gerður Varðveislusamningur afrita við Þekkingu til 7 ára.
Samningurinn felur í sér að varðveita þau afrit sem þegar hafa verið tekin af gögnum Lyf og heilsu undanfarin ár. Trúnaðaryfirlýsingar Þekkingar og starfsmanna þess gilda áfram ásamt því að núverandi verklag við vörslu gagna mun standa. Mikilvægi varðveislusamnings afrita við Þekkingu er sá að ef upp kæmi sú staða að gögn Lyf og heilsu skaddist og þörf verður á afriti frá þeim tíma sem Þekking sá um tölvuvinnslu að endurhleðsla þeirra gagna yrði auðveld, hraðvirk og aðgengileg. Að 7 árum liðnum yrði afritum Lyf og heilsu í vörslu Þekkingar eytt.
Með varðveislusamningi afrita við Þekkingu telst öryggi persónuupplýsinga tryggt."
Með bréfi, dags. 3. ágúst 2004, óskaði Persónuvernd umsagnar Þekkingar hf. um þessa tillögu. Þekking hf. svaraði með bréfi, dags. 27. ágúst 2004. Þar segir:
Ofangreint verklag er staðfest hér með fyrir hönd Þekkingar hf."
Eyðing gagna
Í bréfi Lyfja og heilsu hf. til Persónuverndar, dags. 5. nóvember 2003, segir:
Lyfjabúðir og afgreiðsla lyfja er hluti af heilbrigðiskerfinu, sbr. einnig markmið lyfjalaga í 1. gr. laganna þar sem segir að "við verslun með lyf skal það ætíð haft til hliðsjónar að lyfjadreifing er hluti heilbrigðisþjónustu og starfsmenn við dreifinguna skulu vinna með öðrum aðilum í heilbrigðisþjónustu að opinberum heilbrigðismarkmiðum hverju sinni." Við það að veita þjónustu við sjúklinga þurfa lyfjabúðir oft að aðstoða og gefa yfirsýn yfir viðskipti, s.s. að afhenda yfirlit yfir lyfjakaup á tilteknu tímabili. Koma slíkar beiðnir bæði til vegna óska sjúklinga um upplýsingar um heildarinntöku lyfja, og einnig vegna samskipta sjúklinga við opinbera aðila, s.s. Tryggingastofnun ríkisins og skattayfirvöld. Þá tryggir skráning lyfjasögu möguleika á rekjanleika ef mistök verða.
Umbjóðandi okkar sendir reglulega, eða á um þriggja mánaða fresti, megnið af öllum lyfseðlum á pappír til Tryggingastofnunar ríkisins. Aðra lyfseðla er skylt að geyma í sjö ár, sbr. 19. gr. reglugerðar nr. 91/2001. Umbjóðandi okkar geymir því ekki lyfseðla eða persónugreinanlegar upplýsingar á pappír umfram þann tíma.
Umbjóðandi okkar telur því öll rök fyrir því að geyma lyfjagögn í allt að 7 ár, ekki síst til að tryggja að þjónusta lyfjabúða, sem er hluti af heilbrigðiskerfinu, sé fullnægjandi. Í þessu sambandi hafa verið gerð drög að verklagsreglum um eyðingu gagna."
Með bréfum, dags. 6. apríl og 3. ágúst 2004, var Lyfjum og heilsu hf. boðið að koma á framfæri frekari athugasemdum. Í bréfi félagsins, dags. 13. september 2004, segir að fallist sé á að eyða persónugreinanlegum gögnum sem orðin séu sjö ára gömul. Sé þá bæði átt við gögn á tölvutæku formi og á pappír.
Niðurstaða
Persónuvernd hefur farið yfir framangreindar athugasemdir Lyfja og heilsu hf. og tekið afstöðu til þess hvernig verða skuli við þeim. Hvað varðar töku afrita og tillögu félagsins um svonefndan varðveislusamning afrita til sjö ára hefur verið litið til ákvæða laga um öryggi persónuupplýsinga og þeirra grundvallarreglna sem varða heimilan varðveislutíma persónuupplýsinga. Hvað varðar eyðingu lyfjagagna, sem varðveitt kunna að vera umfram það sem lögskylt er, hefur verið litið til þeirra ákvæða laga og stjórnvaldsfyrirmæla sem varða heimilan varðveislutíma slíkra gagna.
Öryggisafrit
Tilhögun og varðveislutími
Í tengslum við töku afrita ber að líta til 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en þar er kveðið á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi (1. mgr.). Þá er þar kveðið á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra (2. mgr.). Fyrirmæli í ákvörðun Persónuverndar frá 3. júlí 2003 um stöðvun afritatöku á sömu spólur og notaðar eru fyrir afrit annarra aðila byggðust á þessum ákvæðum. Var þá litið til hættunnar á því að af tæknilegum ástæðum yrði ekki unnt að eyða afritum af gögnum félagsins, kæmi til þess að samið yrði við annan aðila en Þekkingu hf. um hýsingu gagna, án þess að eyða um leið afritum annarra aðila. Ekki hefur komið fram hvernig unnt væri að girða fyrir þá hættu.
Um þá tillögu að gerður verði samningur við Þekkingu hf. um varðveislu afrita í sjö ár, komi til þess að samið verði við annan aðila um hýsingu gagna, ber að líta til grunnreglna 1. mgr. 7. gr. laga nr. 77/2000. Ein þeirra kveður á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Þá kveður önnur þeirra á um að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Í ljósi þeirra ákvæða 7. og 11. gr. laga nr. 77/2000, sem hér hafa verið rakin, telur Persónuvernd ekki unnt að fallast á tillögu Lyfja og heilsa hf. um gerð varðveislusamnings afrita til sjö ára. Telja verður nægilegt að öryggisafrit félagsins séu varðveitt tímabundið, þ.e. uns til er nýtt, uppfært öryggisafrit sem nægir til að endurbyggja tölvukerfi komi til þess að netþjónn hrynji eða upplýsingar glatist af öðrum ástæðum.
Fellst Persónuvernd því ekki á ósk Lyfja og heilsu hf. um að breyta 8. tölul. ákvörðunarorða í ákvörðun stofnunarinnar frá 3. júlí 2003. Ber félaginu því að stöðva töku afrita á sömu spólur og notaðar eru fyrir upplýsingar frá öðrum aðilum en Lyfjum og heilsu hf. Tekið skal fram að þetta haggar í engu heimild Lyfja og heilsu til að semja við Þekkingu hf. um áframhaldandi varðveislu, komi til þess að samið verði við annan aðila um hýsingu gagna. Þó skal aldrei semja um lengri varðveislutíma en nauðsynlegt er til að ávallt séu til staðar uppfærðar upplýsingar af þeim gögnum sem varðveita ber samkvæmt þeim lögum og reglum sem Lyfjum og heilsu hf. ber að hlíta.
Varðveislutími gagna
hjá Lyfjum og heilsu hf.
Í ákvörðun Persónuverndar, dags. 3. júlí 2003, segir m.a.:
Í ljósi framangreinds ákvað Persónuvernd að Lyf og heilsa hf. skyldi eyða öllum persónugreinanlegum lyfjagögnum sem kynnu að vera varðveitt umfram það sem lögskylt er. Lyf og heilsa hf. hefur farið fram á að þessari ákvörðun Persónuverndar verði breytt og félaginu heimilað að varðveita öll persónugreinanleg gögn um lyfjanotkun, sem til verða hjá því, í sjö ár. Félagið vísar til þess að slík varðveisla þess á slíkum gögnum sé nauðsynleg til að geta veitt fullnægjandi þjónustu. Lyfjabúðir verði að geta aðstoðað viðskiptavini, m.a. við að gefa þeim yfirlit yfir eigin viðskipti á tilteknu tímabili. Slíkt geti m.a. gerst vegna óska manna um upplýsingar um heildarinntöku lyfja og vegna samskipta við opinbera aðila, s.s. Tryggingastofnun ríkisins og skattayfirvöld. Þá tryggi skráning lyfjasögu möguleika á rekjanleika ef mistök verði. Er vísað til þess að lyfjadreifing sé hluti heilbrigðisþjónustu og að starfsmönnum við lyfjadreifingu beri að vinna með öðrum aðilum heilbrigðisþjónustunnar að opinberum heilbrigðismarkmiðum hverju sinni, sbr. 1. mgr. 1. gr. laga nr. 93/1994.
Í lyfjalögum nr. 93/1994, eins og þeim var breytt með lögum nr. 89/2003, er nú kveðið á um starfrækslu Landlæknis á persónugreinanlegum lyfjagagnagrunni sem Tryggingastofnun ríkisins og Lyfjastofnun geta fengið aðgang að. Af 2. mgr. 24. gr. er ljóst að í gagnagrunninn á að skrá þær upplýsingar sem fram koma á lyfseðlum um afgreiðslu lyfja, en í ákvæðinu er kveðið á um skyldu lyfjabúða til að afhenda Tryggingastofnun allar slíkar upplýsingar ár aftur í tímann á rafrænan hátt en á dulkóðuðu formi. Í 3. og 4. mgr. 27. gr. er afmarkað í hvaða tilgangi nota má gagnagrunninn: Tryggingastofnun hefur aðgang að honum vegna endurgreiðslna lyfjakostnaðar sjúklinga og eftirlits með lyfjakostnaði; Lyfjastofnun vegna eftirlits með því hvort tilurð lyfseðils hafi orðið með ólögmætum hætti, s.s. vegna fölsunar, og hvort afgreiðsla lyfseðils fyrir ávana- og fíknilyf hafi verið röng; og Landlæknir vegna eftirlits með ávísunum lækna á ávana- og fíknilyf, s.s. hvort einstaklingi sé ávísað meiru en eðlilegt getur talist, og almenns eftirlits með ávísunum á lyf og þróun lyfjanotkunar. Þær persónuupplýsingar, sem skráðar eru í gagnagrunninn, má varðveita í þrjú ár,sbr. 3. mgr. 27. gr.
Í reglugerð nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sem styðst við 6. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, er að finna ákvæði um færslu sjúkraskráa. Í 2. mgr. 2. gr. reglugerðarinnar segir hvaða upplýsingar færa skal í sjúkraskrá. Er þar m.a. mælt fyrir um að þar skuli, eftir því sem við eigi, skrá upplýsingar um lyfjanotkun og lyfjaofnæmi, sbr. 3. tölul., sem og heiti lyfs, styrkleika og magn ásamt fyrirmælum sé um lyfjameðferð með lyfseðilsskyldum lyfjum að ræða, sbr. 6. tölul. Samkvæmt 19. gr. reglugerðar nr. 91/2001, sbr. 12. gr. laga nr. 93/1994, skulu lyfjabúðir geyma í sjö ár þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins. Ljósrit þeirra skuli afhent Lyfjastofnun sé þess óskað. Má af þessu ráða að átt sé hér við varðveislu á pappírsgögnum.
Það að lyfjadreifing sé hluti heilbrigðisþjónustu og að starfsmenn við dreifinguna skulu vinna með öðrum aðilum heilbrigðisþjónustunnar að opinberum heilbrigðismarkmiðum hverju sinni, sbr. framangreint ákvæði 1. mgr. 1. gr. laga nr. 93/1994, sem Lyf og heilsa hf. hefur vísað til, haggar ekki framangreindum ákvæðum laga og reglugerða, settra með stoð í þeim, um varðveislu upplýsinga um lyfjanotkun. Þar liggur fyrir skýr afstaða löggjafans til þess hvaða upplýsingar um lyfjanotkun skulu skráðar innan heilbrigðiskerfisins og af hverjum, sem og hversu lengi þær skulu varðveittar. Kemur þar m.a. fram hvernig varðveita á slíkar upplýsingar til að tryggja hagsmuni sjúklinga í tengslum við veitingu heilbrigðisþjónustu, sbr. 3. og 6. tölul. 2. mgr. 2. gr. reglugerðar nr. 227/1991. Einnig kemur þar fram hversu lengi varðveita á upplýsingar um lyfjanotkun vegna endurgreiðslna frá Tryggingastofnun ríkisins vegna kaupa á lyfseðilsskyldum lyfjum og annarra samskipta við hið opinbera í tengslum við lyfseðilsskyld lyf, þ.e. með 2. mgr. 27. gr. laga nr. 93/1994 og 19. gr. reglugerðar nr. 93/1994. Af þessu má ráða að löggjafinn og framkvæmdarvaldið hafa metið hvernig vernda ber þá hagsmuni sem Lyf og heilsa hf. vísar til sem rökstuðnings fyrir sjö ára varðveislutíma umræddra gagna. Með lengri varðveislu á upplýsingum um lyfjanotkun einstaklinga yrði gengið lengra en gert er ráð fyrir í framangreindum ákvæðum.
Fellst Persónuverndar því ekki á ósk Lyfja og heilsu hf. um að breyta 9. tölul. ákvörðunarorða í ákvörðun stofnunarinnar frá 3. júlí 2003 um að eytt skuli þeim persónuupplýsingum um lyfjaneyslu sem kunna að vera varðveittar umfram það sem lögskylt er. Samkvæmt því skulu rafrænar upplýsingar um lyfseðla ekki varðveittar lengur en í eitt ár, sbr. 4. mgr. 24. gr. laga nr. 93/1994, og pappírslyfseðlar aðeins varðveittir séu þeir ekki sendir Tryggingastofnun ríkisins og þá ekki lengur en í sjö ár, sbr. 19. gr. reglugerðar nr. 91/2001, sbr. 12. gr. laga nr. 93/1994.
3.
Með vísan til ofangreinds hefur Persónuvernd ákveðið að:
1. Að 8. tölul. ákvörðunarorða í ákvörðun Persónuverndar frá 3. júlí 2003 skuli standa óhaggaður. Lyf og heilsa hf. skal því stöðva töku afrita af upplýsingum frá félaginu á sömu spólur og upplýsingar annarra aðila.
2. Að 9. tölul. ákvörðunarorða í framangreindri ákvörðun skuli einnig standa óhaggaður. Félagið skal því eyða öllum persónugreinanlegum lyfjagögnum sem kunna að vera varðveitt umfram það sem lögskylt er. Á það við um öll gögn, þ. á m. upplýsingar sem hafa verið skráðar í tölvulyfsölukerfi félagsins og á pappír. Rafrænar upplýsingar um lyfseðla skulu ekki varðveittar lengur en í eitt ár. Þá skulu þeir pappírslyfseðlar aðeins varðveittir, sem ekki eru sendir Tryggingastofnun ríkisins, og þá ekki lengur en í sjö ár.