Úrskurður varðandi Lyfjastofnun.

Ákvörðun

27.8.2006

Hinn 27. ágúst 2003 tók stjórn Persónuverndar svohljóðandi ákvörðun varðandi vinnslu persónuupplýsinga hjá Lyfjastofnun:

Í máli þessu eru til úrlausnar tvö atriði er varða vinnslu Lyfjastofnunar á persónuupplýsingum, í fyrsta lagi lögmæti þeirrar vinnslu persónuupplýsinga sem þar fer fram, þ.e. hvort hún hafi viðhlítandi lagastoð, og í öðru lagi öryggi þeirrar vinnslu sem hefur slíka lagastoð. Þannig lýtur ákvörðun þessi að tveimur málum, annars vegar máli er stofnað var til með bréfi Persónuverndar til Lyfjastofnunar, dags. 5. september 2001, þar sem Lyfjastofnun var tilkynnt að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga hjá stofnuninni (mál nr. 2001/720), og hins vegar máli er lýtur að lögmæti vinnslu Lyfjastofnunar á persónuupplýsingum um lyfjaneyslu og skráningu þeirra upplýsinga í gagnagrunn. Tilefni þess máls er m.a. atvik sem átti sér stað hinn 30. maí 2002 þegar listi yfir lyfjaávísanir vegna ýmiss konar lyfja, sem Lyfjastofnun hafði kallað eftir, var símsendur til óviðkomandi aðila (mál nr. 2002/284).

Með bréfi, dags. 5. september 2001, tilkynnti Persónuvernd Lyfjastofnun að ákveðið hefði verið að gera úttekt á vinnslu persónuupplýsinga hjá stofnuninni. Var þess óskað að Persónuvernd bærust gögn þar að lútandi. Lyfjastofnun svaraði með bréfi, dags. 18. september 2001. Taldi Persónuvernd þörf á frekari gögnum og óskaði þeirra með bréfi, dags. 28. nóvember s.á. Í framhaldi af því, hinn 7. desember s.á., barst Persónuvernd tölvupóstur frá Lyfjastofnun og því næst bréf, dags. 31. janúar 2002, þar sem erindi Persónuverndar var svarað. Bréfinu fylgdi skjal um öryggismál hjá stofnuninni, nefnt áhættumat, dags. s.d. Með bréfi, dags. 11. febrúar 2002, tilkynnti Persónuvernd Lyfjastofnun að Svönu Helen Björnsdóttur, verkfræðingi og framkvæmdastjóra Stika ehf., hefði verið falið að vinna skýrslu um ástand öryggismála hjá stofnuninni. Þá var Lyfjastofnun minnt á að tilkynna alla vinnslu sína á persónuupplýsingum í samræmi við 31. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í framhaldi af þessu barst Persónuvernd bréf frá Lyfjastofnun, dags. 18. febrúar 2002, og síðar tilkynning nr. S733, hinn 19. apríl s.á., um skráningu á upplýsingum af lyfseðlum eftirritunarskyldra lyfja.

Svana Helen hóf sjálfstæða athugun á öryggi persónuupplýsinga hjá Lyfjastofnun. Við þá athugun átti hún ýmis samskipti og samráð við stofnunina, m.a. viðræður við forstjóra hennar. Aflaði hún og ýmissa gagna um vinnslu persónuupplýsinga hjá Lyfjastofnun, m.a. öryggisstefnu stofnunarinnar og gagna um öryggisráðstafanir. Þessi gögn eru í gæðahandbók Lyfjastofnunar og bárust þau Svönu með bréfi til hennar, dags. 20. mars 2002. Að auki fór Svana, ásamt starfsmanni Persónuverndar, í heimsókn til Lyfjastofnunar hinn 7. maí s.á.

Svana skilaði Persónuvernd skýrslu um öryggi vinnslunnar, sem unnin var í samræmi við öryggisstaðalinn ÍST ISO/IEC BS 17799:2000, ásamt bréfi, dags. 26. júní 2002. Með bréfi Persónuverndar, dags. s.d., var Lyfjastofnun boðið að tjá sig um skýrsluna. Lyfjastofnun svaraði með bréfi, dags. 8. ágúst 2002, og óskaði m.a. eftir upplýsingum um hverjar væru reglur Persónuverndar um atriði sem vikið væri að í skýrslu Svönu, þ.e. tengingu tölvu við innra net og tengingu tölvu við Internetið. Með bréfi, dags. 23. s.m., óskaði Persónuvernd eftir afstöðu Svönu til athugasemda Lyfjastofnunar. Svana svaraði með bréfi, dags. 2. september 2002. Með bréfi, dags. 27. s.m., bauð Persónuvernd Lyfjastofnun að tjá sig um bréf Svönu. Lyfjastofnun svaraði með bréfi, dags. 9. október 2002, og voru þar óskir um skýringar ítrekaðar. Persónuvernd svaraði með bréfi, dags. 23. apríl 2003. Með bréfi, dags. 15. júlí s.á., var Lyfjastofnun boðið að koma að frekari gögnum og athugasemdum um öryggisúttektina, teldi hún ástæðu til. Lyfjastofnun svaraði með bréfi, dags. 5. ágúst s.á., og voru óskir um skýringar þar enn ítrekaðar. Ekki voru þar gerðar sérstakar athugasemdir við öryggisúttektina, en hjálagt fylgdi endurskoðað áhættumat, dags. 25. júlí s.á., varðandi upplýsingar af lyfseðlum eftirritunarskyldra lyfja. Af tilefni óska um skýringar skal tekið fram að um það hverjar "reglur" Persónuverndar eru um umrædd atriði hefur verið vísað til reglna nr. 299/2001 um öryggi persónuupplýsinga, en eðli málsins samkvæmt ber að haga öryggisráðstöfunum eftir atvikum máls hverju sinni. Hverjar þær eru hvað varðar Lyfjastofnun kemur fram í þessari ákvörðun.

Bréfaskipti hafa átt sér stað milli Persónuverndar og Lyfjastofnunar um lögmæti vinnslu síðarnefndu stofnunarinnar á persónuupplýsingum, m.a. vegna atviks sem varð hinn 30. maí 2002 þegar listi yfir lyfjaávísanir, sem Lyfjastofnun hafði óskað eftir að fá frá verslun Lyfju hf. í Lágmúla, var fyrir mistök myndsendur til óviðkomandi aðila. Á þessum lista voru ítarlegar persónuupplýsingar, m.a. um tilteknar lyfjaávísanir nafngreinds læknis, bæði á eftirritunarskyld lyf og lyf sem ekki eru eftirritunarskyld, og hverjir höfðu fengið hvaða lyf. Listinn bar þannig með sér upplýsingar um lyfjaneyslu stórs hóps manna. Þegar Persónuvernd fékk vitneskju um þetta atvik var ákveðið að hefja athugun á málinu og lögmæti vinnslu persónuupplýsinga hjá Lyfjastofnun. Barst Persónuvernd bréf frá Lyfju hf., dags. 8. júní 2002, og frá versluninni í Lágmúla, dags. s.d., þar sem m.a. sagði að Lyfjastofnun hefði óskað þess sérstaklega að listinn yrði myndsendur.

Persónuvernd sendi Lyfjastofnun bréf, dags. 4. september 2002, þar sem m.a. var spurt hvort listinn hefði verið myndsendur að beiðni Lyfjastofnunar, með hvaða lagaheimild hún hefði gert það, hvort kallað hefði verið eftir upplýsingum um allar lyfjaávísanir viðkomandi læknis, eða einungis vegna eftirritunarskyldra lyfja, og til hvaða aðgerða stofnunin hefði gripið til að koma í veg fyrir að atvik sem þetta endurtæki sig. Lyfjastofnun svaraði með bréfi, dags. 1. október 2002. Þar segir m.a.:

Í bréfi Lyfjastofnunar segir einnig að stofnunin hafi ákveðið að taka til endurskoðunar framkvæmd eftirlits með lyfjaávísunum lækna og m.a. rætt þá framkvæmd við landlækni sem hafi í reynd forræði þess. Samvinna á milli Lyfjastofnunar og landlæknis sé afar mikilvæg svo að efla megi skilvirkt eftirlit með lyfjaávísunum lækna, sérstaklega á ávana- og fíknilyf. Landlæknisembættið hafi hins vegar skýrar lagaheimildir til að afla upplýsinganna beint frá lyfjabúðum án milligöngu Lyfjastofnunar þó að hagræði sé af núverandi fyrirkomulagi vegna almenns eftirlits stofnunarinnar með lyfjabúðum. Í niðurlagi bréfsins segir loks: "Lyfjastofnun hefur þegar brýnt fyrir lyfjabúðum (sbr. dreifibréf Lyfjastofnunar nr. 4/2002/LS [frá 6. júní 2002]) að allar trúnaðarupplýsingar sem opinberum eftirlitsaðilum er ætlað að afla við eftirlitsstörf sín og þar verða til berist með ábyrgðarpósti eða öðrum tryggilegum hætti".

Vegna upplýsinga Lyfjastofnunar um að hún hefði óskað eftir umræddum upplýsingum að beiðni landlæknis fór Persónuvernd þess á leit, með bréfi dags. 10. mars 2003, að landlæknir gerði grein fyrir afstöðu sinni til þess hvort hann hefði verið ábyrgðaraðili vinnslunnar og Lyfjastofnun unnið á hans vegum sem vinnsluaðili. Þá var þess óskað að landlæknir upplýsti hvort gerður hefði verið vinnslusamningur við Lyfjastofnun í samræmi við 13. gr. laga nr. 77/2000. Landlæknir svaraði með bréfi, dags. 20. mars sl., og þar kom fram að enginn sérstakur samningur (vinnslusamningur) hefði verið gerður og vakin athygli á því að um áratuga langt samstarf og eftirlit á þessu sviði væri að ræða.

Umsagnar Lyfjastofnunar um heimildir hennar til vinnslu persónuupplýsinga var aftur óskað með bréfi, dags. 16. júlí 2003. Þar sagði m.a.: "Persónuvernd vísar til fyrri samskipta vegna úttektar stofnunarinnar á öryggi lyfjaupplýsinga hjá Lyfjastofnun. Þar sem við úrlausn málsins verður ekki aðeins vikið að öryggismálum vinnslunnar heldur einnig lögmæti hennar er þess hér með óskað að Lyfjastofnun tjái sig um það atriði, einkum lögmæti söfnunar og skráningar á gögnum sem bera með sér upplýsingar um lyfjaneyslu einstakra manna og færslu þeirra í gagnagrunn." Lyfjastofnun svaraði með bréfi, dags. 5. ágúst 2003. Þar segir m.a.:

Meðal þeirra gagna, sem litið hefur verið til við umfjöllun um mál þetta, eru:

1) Tilkynning Lyfjastofnunar til Persónuverndar (nr. S733, dags. 19. apríl 2002). Þar er greint frá vinnslu persónuupplýsinga af lyfseðlum vegna eftirritunarskyldra lyfja (þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar). Kemur fram að vinnslan sé þáttur í eftirliti með ávísunum á slík lyf. Upplýsinganna sé aflað frá lyfjabúðum, þær skráðar í gagnagrunn og sendar landlækni. Öryggis sé gætt með dulkóðun og upplýsingunum eytt eftir tveggja ára varðveislutíma.

Engin tilkynning hefur borist frá stofnuninni um að hún vinni með upplýsingar um önnur lyf en þau sem eru eftirritunarskyld.

2) Skýrsla Svönu Helenar Björnsdóttur um öryggi við vinnslu persónuupplýsinga hjá Lyfjastofnun. Skýrslan barst Persónuvernd með bréfi, dags. 26. júní 2002, eins og áður segir. Þar er að finna lýsingu á vinnslu Lyfjastofnunar á persónuupplýsingum. Efni skýrslunnar er rakið nánar hér að neðan.

3) Ýmis bréf Lyfjastofnunar og bréfaskipti í tengslum við úttektina. Í tölvupósti frá Lyfjastofnun til Persónuverndar hinn 7. desember 2001 var tilkynnt að "Lyfjaeftirlit ríkisins (nú Lyfjastofnun) h[efði] frá því um 1990 (jafnvel fyrir þennan tíma) skráð upplýsingar um notkun á ávana og fíknilyfjum í gagnagrunn sbr. nú 13. gr. reglugerðar nr. 233/2001 um ávana og fíkniefni og önnur eftirritunarskyld lyf [og að í dag skrái] Lyfjastofnun í gagnagrunn í access þessar upplýsingar og þar [séu] skráðar sölutölur frá lyfjafyrirtækjum og upplýsingar á lyfseðlum sem sendir eru Lyfjastofnun."

Í bréfi frá Lyfjastofnun til Persónuverndar, dags. 18. febrúar 2002, segir að varðveislutími upplýsinganna sé eitt ár en að hámarki tæplega tvö ár. Upplýsingum sé eytt árlega. Aðgangur að þeim sé takmarkaður og einungis tveir starfsmenn hafi aðgang að þeim. Landlæknir fái upplýsingar úr gagnagrunninum og séu þær sendar honum reglulega.

Í bréfi frá Lyfjastofnun til Persónuverndar, dags. 8. ágúst 2002, er lýst afstöðu stofnunarinnar til skýrslu Svönu. Fyrir liggur og bréf Svönu til Persónuverndar, dags. 2. september 2002, þar sem athugasemdum Lyfjastofnunar er svarað; bréf Lyfjastofnunar til Persónuverndar, dags. 9. október 2002, þar sem gerðar eru athugasemdir við svör Svönu og bréf Lyfjastofnunar til Persónuverndar, dags. 5. ágúst 2003, þar sem lýst er afstöðu stofnunarinnar til lögmætis vinnslu hennar á persónuupplýsingum, en bréfinu fylgdi áhættumat vegna upplýsinga af lyfseðlum eftirritunarskyldra lyfja, dags. 25. júlí sl. Nánar er fjallað um þetta hér að neðan.

Auk ofangreindra gagna má m.a. nefna bréf Lyfjastofnunar til Persónuverndar, dags. 1. október 2002, og bréf landlæknis til Persónuverndar, dags. 20. mars sl., vegna þess atviks þegar listi yfir lyfjaávísanir var myndsendur frá verslun Lyfju hf. í Lágmúla til óviðkomandi aðila, en hann átti að berast Lyfjastofnun.

4) Skýrsla stýrihóps sem heilbrigðisráðherra skipaði hinn 8. júlí 2002 með það hlutverk að skilgreina og meta þarfir Lyfjastofnunar, landlæknis og Tryggingastofnunar ríkisins fyrir lyfjaupplýsingar.

Í skýrslu Svönu Helenar Björnsdóttur kemur fram að persónuupplýsingar varðandi lyfsölu berast Lyfjastofnun eingöngu á pappír, en með ferns konar hætti: Í fyrsta lagi eru frumrit allra lyfseðla vegna eftirritunarskyldra lyfja send með ábyrgðarpósti. Segir að þeir séu geymdir í möppum í opnum hillum í skjalasafni stofnunarinnar. Í öðru lagi berast lyfseðlar svonefndra undanþágulyfja, þ.e. lyfja sem Lyfjastofnun hefur ekki veitt markaðsleyfi fyrir en samþykkir að nota megi. Slíkt samþykki getur verið veitt fyrirfram fyrir allri notkun lyfs, en þá sendir læknir lyfseðil til lyfjabúðar og er afrit sent Lyfjastofnun þaðan, eða fyrir hvert einstakt skipti, en þá sendir læknir lyfseðil til Lyfjastofnunar og er afrit sent lyfjabúð þaðan. Í þriðja lagi berast gögn í tengslum við gerð svokallaðra skyndikannana, oft að beiðni landlæknis. Þá er jafnvel safnað öllum ávísunum fyrir tiltekið lyf, öllum ávísunum frá tilteknum lækni eða öllum ávísunum fyrir tiltekinn einstakling. Til að gera slíka könnun er kallað eftir persónuupplýsingum frá lyfjabúðum sem senda þær til Lyfjastofnunar í almennum pósti. Lyfjastofnun vinnur því næst úr gögnunum og sendir landlækni upplýsingar með innanhúspósti. Í fjórða lagi er um að ræða kannanir, gerðar að frumkvæði Lyfjastofnunar sjálfrar. Þá er aflað gagna frá lyfjabúðum sem hafa að geyma upplýsingar um nöfn einstaklinga og kennitölur, lyfjaheiti og hvaða læknir hafi ávísað lyfi.

Upplýsingar af lyfseðlum eftirritunarskyldra lyfja eru færðar í Access-gagnagrunn sem er hjá Lyfjastofnun. Ekki liggur fyrir að upplýsingar, sem berast um neyslu annarra lyfja, séu færðar í þennan gagnagrunn. Gagnagrunnurinn er dulkóðaður þegar ekki er verið að nota hann en afkóðast þegar unnið er í honum. Einn starfsmaður annast færslu persónuupplýsinga í gagnagrunninn. Skráðar eru dagsetningar færslna en ekki nafn notanda eða aðgerð. Aðgangur er því ekki sérstaklega skráður. Færsluskráningar eru ekki rýndar og óvíst er um skráningu á stýrikerfisaðgangi. Tölvan, sem gagnagrunnurinn er hýstur í, er dagleg vinnustöð þess starfsmanns og notar hann tölvuna til annarra verka, s.s. til að komast á Internetið og vera í tölvupóstsamskiptum. Tölvan er tengd innra neti Lyfjastofnunar, en diskur hennar er þó ekki aðgengilegur öðrum sem eru tengdir innra netinu. Veiruvarnarforrit er hvorki á þessari tölvu né öðrum tölvum. Veiruvarnir eru hins vegar á netþjónum sem ná til tölvupósts og internets. Tekin eru öryggisafrit af gagnagrunninum. Það er gert vikulega. Afrit eru á geisladiskum sem varðveittir eru í bankahólfi. Önnur upplýsingakerfi en umræddur gagnagrunnur eru hýst hjá Nýherja hf. Öryggismál þess félags skipta máli hvað varðar gagnagrunninn, enda er hann tengdur við innra net Lyfjastofnunar.

Í skýrslu Svönu Helenar Björnsdóttur eru gerðar ýmsar athugasemdir:

Að í tölvupósti tölvuráðgjafa Lyfjastofnunar frá 20. mars sl. hafi verið gerð athugasemd við að öryggisstaðlinum ÍST ISO/IEC 17799:2000 yrði beitt við framkvæmd úttektarinnar, enda væri ekki lögskylt að fara eftir honum við skipulag öryggismála. Svana telur hins vegar að notkun hennar á staðlinum við gerð úttektarinnar hafi leitt til þess að ýmsar nauðsynlegar upplýsingar hafi borist henni.

Að öryggi gagnagrunns varðandi eftirritunarskyld lyf sé ófullnægjandi. Eðlilegt sé að flytja gagnagrunninn á sérstaka tölvu sem ekki sé nettengd enda þurfi þá ekki að huga að ráðstöfunum til að tryggja öryggi um netaðgang. Allar ráðstafanir verði þá einfaldari og aðgangsleiðir skýrari og öruggari. Verði gagnagrunnurinn á nettengdri tölvu verði erfitt að greina þennan þátt starfseminnar frá annarri.

Að taka þurfi betur út rekstur alls innra nets Lyfjastofnunar og tengingar við ytri net. Sérstaklega þurfi að huga að öryggisráðstöfunum og kröfum til hýsingaraðila og verktaka, auk þess sem gera þurfi ítarlegt áhættumat þar sem fram komi hvaða ráðstöfunum þurfi að beita til að tryggja upplýsingaöryggi Lyfjastofnunar í heild. Þá sé óráðlegt að leyfa aðgang að Interneti og tölvupósti frá vinnustöð sem hýsi svo viðkvæm gögn sem hér um ræði. Slíkt skapi veilur í upplýsingaöryggi og ekki hafi verið sýnt fram á í áhættumati að umræddri áhættu sé mætt (þarna er miðað við eldra áhættumat, dags. 31. janúar 2002, en ekki hið endurskoðaða áhættumat, dags. 25. júlí 2003).

Að áhættumat Lyfjastofnunar, dags. 31. janúar 2002, sé ófullnægjandi. Þar sé ekki fjallað um öryggi persónuupplýsinga sem berist á undanþágulyfseðlum og vinnslu þeirra, né upplýsinga sem berast í tengslum við kannanir á lyfjaafgreiðslum. Þá sé m.a. blandað saman mati á áhættu og lýsingu á starfsemi og húsnæði Lyfjastofnunar. Í áhættumati eigi að tilgreina eignir sem tengjast upplýsingavinnslu, lýsa mati á viðkvæmni upplýsinga og öryggi upplýsingavinnslubúnaðar og skilgreina ógnir sem steðjað geti að. Þá þurfi Lyfjastofnun að gera grein fyrir hvaða öryggisráðstafanir hafi verið gerðar og gera grein fyrir hvaða viðbótarráðstafanir ætti að gera eða fyrirhugað sé að gera. Þessar athugasemdir eiga ekki við lengur þar sem Lyfjastofnun hefur skilað inn nýju áhættumati, dags. 25. júlí 2003.

Að nauðsynlegt sé að veiruvarnir verði á þeirri vinnustöð sem nú hýsi gagnagrunn með upplýsingum af lyfseðlum eftirritunarskyldra lyfja, jafnvel þótt Nýherji hf. veiruleiti tölvupóst á leið til notenda stofnunarinnar. Þetta eigi einnig við um aðrar vinnustöðvar stofnunarinnar.

Að afritunarferli gagnagrunnsins sé ótryggt. Geisladiskur með afrituðum gögnum sé fluttur á milli bankahólfs og Lyfjastofnunar tvisvar sinnum í hvert sinn sem afritun fari fram. Komi eitthvað fyrir þennan gagnamiðil í flutningi sé ekkert annað öryggisafrit til. Betra væri að tekin væru tvenns konar afrit, annað til að geyma innan húss en hitt til geymslu í bankahólfi, eða að hvert öryggisafrit væri tekið á nýjan geisladisk. Gæta þurfi þess að alltaf sé til öryggisafrit á öruggum stað.

Að óljóst sé hvernig háttað sé annarri vinnslu persónuupplýsinga hjá Lyfjastofnun en skráningu og varðveislu upplýsinga af lyfseðlum eftirritunarskyldra lyfja. Skrá þurfi öll vinnuferli með persónuupplýsingar þannig að fram komi hver sé ábyrgð einstakra starfsmanna á tilteknum vinnslustigum.

Með bréfi, dags. 8. ágúst 2002, gerði Lyfjastofnun athugasemdir við efni skýrslu Svönu Helenar Björnsdóttur. Þær voru þessar m.a.:

Að í skýrslunni segi að lyfseðlar eftirritunarskyldra lyfja séu geymdir í möppum í opnum hillum í skjalasafni stofnunarinnar, en þetta sé ekki rétt. Þeir séu geymdir í sérstaklega læstri geymslu sem einungis fáir starfsmenn hafi aðgang að.

Að í skýrslunni segi að ábyrgð á meðferð persónuupplýsinga hafi verið framseld utanaðkomandi tölvuráðgjafa (sjá lið 1 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en þetta sé ekki rétt. Ábyrgð á meðferð persónuupplýsinga hafi ekki að neinu leyti verið framseld. Hins vegar sé nauðsynlegt fyrir fagstofnanir að leita sérfræðiráðgjafar þegar þess gerist þörf.

Geta má þess að í bréfi Svönu til Persónuverndar, dags. 2. september 2002, er þessum athugasemdum svarað. Kemur þar m.a. fram sú afstaða hennar að allar þær upplýsingar, sem fjallað sé um í skýrslu hennar, falli undir gildissvið laga nr. 77/2000, en ekki aðeins upplýsingar af lyfseðlum eftirritunarskyldra lyfja; að í vettvangsheimsókn til Lyfjastofnunar hinn 7. maí 2002 hafi skjalageymslan verið opin og þar inni hefðu engar læstar hirslur verið en geymsluherbergið hins vegar verið læsanlegt; og að það sé hennar mat að Lyfjastofnun hafi gert utanaðkomandi tölvuráðgjafa ábyrgan fyrir vinnslu stofnunarinnar á persónuupplýsingum. Afstaða Lyfjastofnunar til þessara athugasemda kemur fram í bréfi hennar til Persónuverndar, dags. 9. október 2002. Er þar m.a. ítrekað það sem segir í bréfi stofnunarinnar, dags. 8. ágúst s.á., að lyfseðlar séu varðveittir í sérstaklega læstri geymslu. Jafnframt er bent á mikilvægi þess að tæknimenntaðir ráðgjafar séu fengnir til svara varðandi tæknileg atriði.

Með bréfi, dags. 5. ágúst 2003, sendi Lyfjastofnun Persónuvernd endurskoðað áhættumat, dags. 25. júlí s.á., vegna upplýsinga af lyfseðlum eftirritunarskyldra lyfja, sbr. liði 4 og 5 hér að ofan í lýsingu á niðurstöðum skýrslu Svönu þar sem vikið er að eldra áhættumati.

Af hálfu Lyfjastofnunar hefur því verið haldið fram að eingöngu upplýsingar af lyfseðlum vegna eftirritunarskyldra lyfja falli undir gildissvið laga nr. 77/2000 en ekki upplýsingar af öðrum lyfseðlum sem stofnuninni berast. Hér verður að líta til þess hvernig hugtakið persónuupplýsingar er skilgreint í 1. tölul. 2. gr. laga nr. 77/2000. Þar er hugtakið skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Verður því ekki á það fallist með Lyfjastofnun að eingöngu persónuupplýsingar varðandi eftirritunarskyld lyf falli undir gildissvið laga nr. 77/2000.

Vinnsla persónuupplýsinga er heimil ef hún fullnægir einhverju af skilyrðum 8. gr. laga nr. 77/2000. Upplýsingar um lyfjanotkun eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laganna. Vinnsla slíkra upplýsinga verður bæði að fullnægja einhverju af skilyrðum 8. gr. laganna og einhverju af skilyrðum 9. gr. laganna. Þær heimildir 8. og 9. gr., sem helst koma til álita um vinnslu Lyfjastofnunar á persónuupplýsingum, eru 6. tölul. 1. mgr. 8. gr., um vinnslu persónuupplýsinga sem er nauðsynleg vegna beitingar opinbers valds, og 2. tölul. 1. mgr. 9. gr., um að vinnsla viðkvæmra persónuupplýsinga sé heimil standi til hennar sérstök lagaheimild.

Úrlausn þess hvort skilyrðum fyrrnefnda ákvæðisins sé fullnægt veltur á því hvort túlka megi þá löggjöf sem Lyfjastofnun starfar eftir á þann hátt að hún hafi með höndum verkefni sem krefjast vinnslu þeirra persónuupplýsinga, sem fyrir liggur að hún hefur unnið með, við beitingu opinbers valds. Úrlausn þess hvort skilyrðum síðarnefnda ákvæðisins sé fullnægt veltur á því hvort fyrir hendi séu nægilega skýrar lagaheimildir til vinnslunnar.

Í 3. gr. lyfjalaga nr. 93/1994 er hlutverk Lyfjastofnunar afmarkað. Segir þar að hlutverk hennar sé að meta lyf og aðrar vörur; annast útgáfu, breytingu, niðurfellingu og afturköllun markaðsleyfa lyfja; afgreiða umsóknir um leyfi til að flytja inn og selja gegn lyfseðli lyf sem ekki hafa markaðsleyfi hér á landi; annast útgáfu leyfa til rannsókna með lyf; annast skráningu aukaverkana lyfja og upplýsingagjöf um lyf í samvinnu við landlækni; annast faglegt eftirlit með innflutningi lyfja, lyfjaefna og hráefna til lyfjagerðar eða annarrar vöru sem undir stofnunina heyrir; annast faglegt eftirlit með starfsemi lyfjabúða, lyfjaheildverslana og lyfjagerða og eftirlit með handhöfum markaðsleyfa lyfja og umboðsmönnum þeirra og annarra fyrirtækja, stofnana og einstaklinga er selja, framleiða, flytja inn eða búa um lyf og skyldar vörur; hafa eftirlit með lyfjaauglýsingum og sjá til þess að kynning og dreifing lyfja sé í samræmi við gildandi lög og reglur; og annast önnur atriði er lúta að framkvæmd laga nr. 93/1994, þ.m.t. samvinnu við erlendar stofnanir á sviði lyfjamála. Geta má þess að lögunum var breytt með lögum nr. 89/2003, sem tóku gildi 10. apríl 2003. Var þá bætt við því hlutverki að hafa sértækt eftirlit með ávana- og fíknilyfjum að því er varðar afgreiðslu, gerð og áritun lyfseðla og afhendingu ávana- og fíknilyfja úr lyfjabúð.

Í 12. gr. lyfjalaga nr. 93/1994 er ákvæði um að sett skuli reglugerð um gerð lyfseðla og ávísun lyfja, afgreiðslu þeirra og merkingu. Með stoð í þessu ákvæði var sett reglugerð nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja. Í 22. gr. segir að lyfseðla vegna eftirritunarskyldra lyfja skuli senda Lyfjastofnun. Í 26. gr. er og kveðið á um að Lyfjastofnun hafi eftirlit með að ákvæðum hennar sé framfylgt og að skylt sé að láta henni í té þau gögn eða upplýsingar sem hún telur nauðsynlegar vegna starfsins.

Samkvæmt framangreindu verður að telja Lyfjastofnun hafa heimild til öflunar persónuupplýsinga varðandi eftirritunarskyld lyf í tengslum við beitingu opinbers valds, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Einnig verður, með vísan til 22. gr. reglugerðar nr. 91/2001, að telja skilyrði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 vera uppfyllt. Persónuvernd telur því að Lyfjastofnun hafi, og hafi haft, heimild til að kalla eftir lyfseðlum vegna eftirritunarskyldra lyfja frá lyfjabúðum. Hvergi er hins vegar að finna ákvæði, sambærilegt við ákvæði 22. gr. reglugerðar nr. 91/2001, um önnur lyf en þau sem eru eftirritunarskyld. Þar af leiðandi brast Lyfjastofnun heimild til vinnslu persónuupplýsinga um önnur lyf en þau sem eru eftirritunarskyld og var því t.d. óheimilt, hinn 30. maí 2002, að óska eftir símsendingu lista yfir lyfjaávísanir frá Lyfju hf. í Lágmúla.

Eins og fram hefur komið hefur Lyfjastofnun skráð upplýsingar af lyfseðlum eftirritunarskyldra lyfja inn í gagnagrunn og varðveitt í tvö ár. Þessi gagnagrunnur hefur verið notaður við eftirlit með lyfjaávísunum lækna. Samkvæmt lögum fellur þetta eftirlit undir landlækni, sbr. 4. mgr. 11. gr. lyfjalaga nr. 93/1994 og 19. gr. læknalaga nr. 53/1988. Verður þessi skráning og varðveisla Lyfjastofnunar á viðkvæmum persónuupplýsingum því ekki talin heimil á grundvelli opinbers valds. Í ljósi fyrirhugaðra breytinga samkvæmt lögum nr. 89/2003, sem breyttu lögum nr. 93/1994 og nr. 53/1988, telur Persónuvernd þó ekki vera tilefni til að beita sérstökum úrræðum á grundvelli 40. og 41. gr. laga nr. 77/2000 um stöðvun vinnslu eða eyðingu upplýsinga. Er þá litið til þess að nú stendur yfir vinna við undirbúning lögmætrar vinnslu stjórnvalda á upplýsingum af lyfseðlum, sbr. bráðabirgðaákvæði laga nr. 89/2003 þar sem kveðið er á um aðlögunartímabil til 1. janúar 2005. Hins vegar telur Persónuvernd óhjákvæmilegt að gagnagrunni Lyfjastofnunar verði eytt þegar þessu aðlögunartímabili lýkur.

Varðandi þátt landlæknis í þessu máli, en ljóst er að landlæknir og Lyfjastofnun höfðu með sér samvinnu um öflun persónuupplýsinga frá lyfjabúðum, verður ekki fjallað að svo stöddu þar sem stefnt er að sjálfstæðri ákvörðun í tengslum við heildarathugun á vinnslu persónuupplýsinga á hans vegum.

Með vísan til alls ofangreinds telur Persónuvernd að Lyfjastofnun sé og hafi verið óheimil söfnun persónupplýsinga um sölu og neyslu annarra lyfja en þeirra sem eru eftirritunarskyld. Skorti Lyfjastofnun samkvæmt því heimild til þess að óska, hinn 30. maí 2002, eftir símsendingu lista yfir lyfjaávísanir frá Lyfju hf. í Lágmúla. Þá telur Persónuvernd einnig að Lyfjastofnun sé og hafi verið óheimilt að skrá upplýsingar um lyfjaneyslu í gagnagrunn og að eyða beri honum eigi síðar en hinn 1. janúar 2005, í samræmi við bráðabirgðaákvæði laga nr. 89/2003.

Er þá næst til skoðunar öryggi þeirrar vinnslu sem Lyfjastofnun er heimil samkvæmt því er að framan greinir. Í 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga eru settar fram kröfur til upplýsingaöryggis og í 12. gr. sömu laga er fjallað um innra eftirlit. Í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga eru kröfur framangreindra ákvæða útfærðar nánar. Meðal þessara krafna til upplýsingaöryggis er að það sé skjalfest með hvaða hætti ábyrgðaraðili mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.

Áður en lengra er haldið skal, vegna athugasemdar Svönu Helenar Björnsdóttur um að í samskiptum Lyfjastofnunar og hennar hafi utanaðkomandi tölvuráðgjafi komið fram fyrir hönd stofnunarinnar, tekið fram að Persónuvernd telur, einkum á grundvelli 13. gr. laga nr. 77/2000, að ábyrgðaraðila sé heimilt að fela öðrum, hvort sem er tölvuráðgjafa eða t.d. lögmanni, tiltekin verkefni. Þá liggur auk þess ekki fyrir að umræddur ráðgjafi hafi annast vinnslu persónuupplýsinga á vegum Lyfjastofnunar. Gerir Persónuvernd þar af leiðandi ekki athugasemd við þetta atriði.

Hjá Lyfjastofnun er til öryggisstefna og áhættumat, auk þess sem skráðar hafa verið ýmsar öryggisráðstafanir. Í öryggisstefnunni eru einkum taldar upp almennar kröfur, s.s. um að vernda skuli upplýsingar og samskipti stofnunarinnar gegn óheimilum aðgangi, halda skuli trúnað um upplýsingar og samskipti og fullnægja skilyrðum laga og reglugerða. Í ljósi þess að hjá Lyfjastofnun er unnið með viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, og þeirra orða í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 að við mótun öryggisstefnu skuli "taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra", telur Persónuvernd hins vegar að í öryggisstefnunni verði að lýsa eðli vinnslu Lyfjastofnunnar á viðkvæmum persónuupplýsingum í megindráttum og tilgreina, með hliðsjón af eðli vinnslunnar, hvaða þætti í upplýsingaöryggi eigi að leggja mesta áherslu á, t.d. hvort það skuli vera gæði upplýsinga eða aðgangur að þeim. Persónuvernd telur því öryggisstefnu Lyfjastofnunar ekki vera nægilega ítarlega og því ekki fullnægja þeim kröfum sem gera verður til slíks skjals.

Samkvæmt 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 á með áhættumati að meta hættuna á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingum eða skert öryggi þeirra að öðru leyti. Áhættumat skal taka til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með, auk þess sem tilgreina skal hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Persónuvernd telur nýtt áhættumat Lyfjastofnunar, dags. 25. júlí sl., sem nær til allrar þeirrar vinnslu persónuupplýsinga sem henni er heimil, þ.e. upplýsinga af lyfseðlum eftirritunarskyldra lyfja, fullnægja þeim kröfum sem gera verður til slíks skjals. Þó þykir rétt, vegna athugasemdar í áhættumati um að eingöngu upplýsingar af lyfseðlum eftirritunarskyldra lyfja falli undir gildissvið laga nr. 77/2000 minnt á það sem áður segir um að undir gildissvið laganna falla allar persónuupplýsingar, þ.e. allar upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

Hjá Lyfjastofnun hafa verið skráðar ýmsar öryggisráðstafanir. Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 kemur fram að öryggisráðstafanir eiga að byggjast á áhættumati, þ.e. markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Persónuvernd telur eldra áhættumat Lyfjastofnunar, dags. 31. janúar 2002, ekki hafa verið fullnægjandi. Meginefni þess var annars vegar lýsing á aðstöðu og húsnæði stofnunarinnar, tölvukerfi hennar og hugbúnaðarlausn, sem og öryggisráðstöfunum í tengslum við þessa þætti, og hins vegar ályktanir, sem dregnar voru af þessari lýsingu, um að öryggi væri fullnægjandi. Hins vegar voru ekki nema að litlu leyti greindar þær hættur sem steðjað geta að þeim persónuupplýsingum sem Lyfjastofnun vinnur með. Þar sem öryggisráðstafanir hafa samkvæmt þessu ekki verið skráðar á grundvelli fullnægjandi áhættumats, og þar sem ekki liggur fyrir að þær hafi verið endurskoðaðar í kjölfar hins nýja áhættumats, telur Persónuvernd að endurmeta verði öryggisráðstafanir og skrá þær að nýju þannig að þær mæti þeim hættum sem greindar hafa verið. Við skráninguna verður að líta til 1. mgr. 11. gr. laga nr. 77/2000 þar sem kveðið er á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig verður að líta til 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, en þar segir m.a. að við skráningu skuli taka fram hvernig brugðist verði við áföllum í rekstri vinnslukerfis og hvernig flutningi milli vinnslukerfa verði hagað.

Í 1. mgr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, er kveðið á um skyldu ábyrgðaraðila til að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Í 2. mgr. 12. gr. er kveðið á um að innra eftirlit skuli viðhafa með reglubundnum hætti og skuli tíðni þess og umfang ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi fara sjaldnar fram en árlega. Þá segir í 3. mgr. að ábyrgðaraðili skuli sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skuli lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skuli varðveita tryggilega og Persónuvernd hafa aðgang að þeim hvenær sem er. Persónuvernd leggur á það áherslu að eftir þessu reglum verði farið hjá Lyfjastofnun og að Lyfjastofnun kanni hvernig innra eftirliti verði best fyrir komið þannig að það samrýmist 12. gr. laga nr. 77/2000.

Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Fram hefur komið að upplýsingakerfi Lyfjastofnunar, að undanskildum gagnagrunni með upplýsingum af lyfseðlum eftirritunarskyldra lyfja, eru hýst hjá Nýherja hf. Ekki hefur hins vegar verið gerður samningur við félagið í samræmi við 13. gr. laga nr. 77/2000. Þarf að bæta úr því.

Persónuvernd telur nauðsynlegt að Lyfjastofnun geri umbætur á öryggi við vinnslu persónuupplýsinga og viðhafi eftirfarandi öryggisráðstafanir:

Fullnægi kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

Komi á innra eftirliti, í samræmi við 12. gr. laga nr. 77/2000.

Geri skriflegan samning við Nýherja hf., að því marki sem það félag vinnur með persónuupplýsingar á vegum stofnunarinnar, í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.

Tryggi öryggi innra nets Lyfjastofnunar og tenginga við ytri net með notkun búnaðar sem til er á almennum markaði og þykir vera öruggastur á hverjum tíma.

Frestur til að koma framangreindum öryggisráðstöfunum í framkvæmd er veittur til 1. febrúar 2004. Að liðnum þeim tíma má vænta þess að Persónuvernd heimsæki starfsstöð Lyfjastofnunar, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanni hvort eftir fyrirmælunum hafi verið farið.

Vinnsla Lyfjastofnunar á persónuupplýsingum um neyslu lyfja, þ.e. annarra en þeirra sem eru eftirritunarskyld, er og hefur verið óheimil.

Lyfjastofnun skal, eigi síðar en 1. janúar 2005, eyða þeim gagnagrunni sem hún hefur búið til og hefur að geyma persónuupplýsingar um lyfjaneyslu.

Lyfjastofnun skal, eigi síðar en 1. febrúar 2004, hafa tryggt viðhlítandi öryggi við vinnslu persónuupplýsinga um sölu og neyslu eftirritunarskyldra lyfja, með þeim hætti sem að framan greinir.