Ákvörðun stjórnar Persónuverndar byggð á úttekt stofnunarinnar á öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf.
Persónuvernd hefur lokið úttekt á öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf. Markmið úttektarinnar var að fá glögga yfirlitsmynd af öryggi þeirrar vinnslu lyfjaupplýsinga sem fram fer hjá félaginu og í lyfjaverslunum þess.
Almennt um verkefnið
Með bréfi, dags. 18. júní 2001, tilkynnti Persónuvernd Hagræði hf., nú Lyfjum og heilsu hf., að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga á vegum félagsins. Var þess óskað að Persónuvernd bærust gögn um öryggismál lyfjaupplýsinga sem m.a. lýstu viðhöfðu öryggiskerfi með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis og 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Markmið úttektarinnar var að fá glögga yfirlitsmynd af öryggi þeirrar vinnslu lyfjaupplýsinga sem fram fer hjá félaginu og í lyfjaverslunum þess. Umbeðin lýsing barst frá Hagræði hf. með bréfi, dags. 10. október 2001, og sagði þar m.a. að félagið ynni eftir stjórnunarstaðlinum ÍST BS 7799. Með bréfi, dags. 26. júní 2002, tilkynnti Persónuvernd Lyfjum og heilsu hf., áður Hagræði hf., að Svönu Helen Björnsdóttur, verkfræðingi og framkvæmdastjóra Stika ehf., hefði verið falið að fara yfir framangreinda lýsingu og vinna skýrslu um ástand öryggismála í lyfjabúðum félagsins og hjá því sjálfu. Svana Helen aflaði ýmissa frekari gagna, m.a. um öryggisstefnu félagsins, áhættumat og öryggisráðstafanir, þ. á m. um öryggi gagna í flutningi og sendingum; öryggi gagna í gagnagrunnum, t.d. notkun dulkóðunar; aðgang að afgreiðslukerfi félagsins; ytra öryggi, t.d. viðvörunarkerfi, vöktun húsnæðis og lyklamál; förgun gagna, gagnamiðla og búnaðar; og áætlanir um samfelldan rekstur, þ.e. um viðbrögð við áföllum, s.s. bruna. Var gagna þessara aflað frá einum af vinnsluaðilum félagsins, Þekkingu-Tristan hf., en þar eru gögn frá Lyfjum og heilsu hf. hýst. Auk öflunar skriflegra gagna fór Svana Helen í vettvangsheimsókn til Þekkingar-Tristan hf. á Akureyri hinn 23. september 2002. Þann dag heimsótti hún einnig Apótekarann í Hafnarstræti, eina af lyfjabúðum Lyfja og heilsu hf. þar. Hinn 14. janúar 2003 heimsótti hún og lyfjabúð Lyfja og heilsu hf. við Háteigsveg í Reykjavík og daginn eftir lyfjabúð félagsins í Kringlunni.
Svana Helen skilaði skýrslu til Persónuverndar með bréfi, dags. 5. febrúar 2003. Með bréfi, dags. 23. s.m., bauð Persónuvernd Lyfjum og heilsu hf. að tjá sig um skýrsluna og var þess óskað að umsögn félagsins bærist fyrir 1. apríl. Nokkru áður, eða hinn 16. janúar 2003, var og haldinn fundur í húsnæði Persónuverndar um þá vinnu sem þegar hafði farið fram vegna úttektarinnar. Svör við bréfi Persónuverndar, dags. 23. febrúar 2003, bárust ekki innan þess frests sem tilgreindur var. Með bréfi, dags. 11. apríl s.á., var erindið því ítrekað og frestur til svara framlengdur til 25. apríl. Tekið var fram að ef þá hefðu ekki borist svör kynni að verða litið svo á að Lyf og heilsa hf. hefði engar efnislegar athugasemdir við innihald skýrslunnar. Svör hafa ekki borist.
Vinnsla persónuupplýsinga
hjá Lyfjum og heilsu hf.
Fyrir liggja gögn um vinnslu lyfjaupplýsinga hjá Lyfjum og heilsu hf., einkum í skýrslu Svönu Helenar Björnsdóttur, sem barst Persónuvernd með bréfi, dags. 5. febrúar 2003, en þar er að finna lýsingu á vinnslunni eins og hún á að fara fram samkvæmt þeim gögnum sem hún hefur aflað. Í skýrslunni kemur m.a. fram að Svana Helen gerði ítrekaðar tilraunir til að afla gagna frá Lyfjum og heilsu hf., þ. á m. um öryggisráðstafanir hjá félaginu, en án árangurs. Af því tilefni fór Svana Helen þá leið að kalla eftir gögnum beint frá einum af vinnsluaðilum félagsins, þ.e. Þekkingu Tristan hf., en þar eru gögn frá félaginu hýst. Í skýrslu Svönu Helenar kemur ennfremur fram að:
Þegar lyfseðill berst lyfjabúð eru upplýsingar af honum skráðar inn í lyfsölukerfi Lyfja og heilsu hf. og varðveittar þar. Geta má þess að í tilkynningu, sem Lyf og heilsa hf. sendi Persónuvernd (nr. S268), segir að ekki hafi enn verið tekin ákvörðun um hvenær upplýsingunum eða persónuauðkennum skuli eytt. Auk varðveislu á tölvutæku formi eru afrit allra lyfseðla varðveitt í skammtímageymslu í viðkomandi lyfjabúð, en frumrit "núll-lyfseðla" (afrit v. eftirritunarskyldra lyfja) eru sett í langtímageymslu, einnig í viðkomandi lyfjabúð. Þar eru þeir varðveittir í samræmi við 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja, þar sem segir að lyfsalar og aðrir sem hafa leyfi til lyfsölu skuli halda eftir þeim lyfseðlum sem ekki eru sendir Tryggingastofnun. Skuli þeir geymdir í minnst sjö ár og afrit þeirra afhent Lyfjastofnun sé eftir því óskað.
Lyf og heilsa hf. sendir Lyfjastofnun frumrit lyfseðla vegna eftirritunarskyldra lyfja, þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar. Lyfseðlarnir eru sendir á mánaðarfresti með ábyrgðarpósti eða boðsendir, en stundum óháð þessum fresti þegar Lyfjastofnun hefur frumkvæði að eftirlitskönnun. Kemur þá fyrir að þeir séu sendir með símbréfi eða tölvupósti. Þá sendir Lyf og heilsa hf. Tryggingastofnun ríkisins upplýsingar um alla afgreidda lyfseðla rafrænt á dulkóðuðu formi. Auk þess eru stofnuninni, á tveggja til þriggja mánaða fresti, send frumrit allra lyfseðla (afrit v. eftirritunarskyldra lyfja) sem hún tekur þátt í að greiða. Eru lyfseðlarnir sendir með ábyrgðarpósti eða boðsendir.
Áðurnefnt lyfsölukerfi Lyfja og heilsu hf. er þróað af Landsteinum hf. sem einnig sér um viðhald þess. Í því eru skrár sem tengja má saman á ýmsa vegu. Tólf skrár eru með persónuupplýsingum. Meðal þeirra er viðskiptamannaskrá, en þar eru m.a. upplýsingar um viðskiptamannanúmer, nöfn, kennitölur, heimilisföng og símanúmer. Sérstök skrá er til yfir viðskiptamenn sem haft er sérstakt eftirlit með. Þar má m.a. sjá upphafsdag eftirlits og ástæður þess. Þarna er einnig skrá með upplýsingum um ofnæmi viðskiptamanna; skrár yfir lyfjapantanir, þar sem sjá má hverjir hafa pantað hvaða lyf, tegund lyfseðla, hvaða læknar og lyfjafræðingar voru ábyrgir o.fl.; og skrár yfir reikninga fyrir afgreidd lyf, þar sem m.a. má sjá verð, afslætti og hvaða læknar og lyfjafræðingar voru ábyrgir. Með tengingu þessara skráa má fá fram ýmsar persónuupplýsingar, t.d. um allar lyfjaávísanir sem tilteknir læknar hafa gefið út og hverjir fengu umrædd lyf.
Lyfsölukerfið og önnur upplýsingakerfi Lyfja og heilsu hf. eru hýst hjá Þekkingu-Tristan hf. Það fyrirtæki er, ásamt Landsteinum hf., hluti af samsteypunni GoPro – Landsteinar. Þekking-Tristan hf. hefur tvær starfsstöðvar, aðra á Akureyri en hina í Kópavogi. Yfirstjórn félagsins er á Akureyri. Þar er kerfisstjóri þess, en hann er einnig kerfisstjóri Lyfja og heilsu hf. Upplýsingakerfi Lyfja og heilsu hf., þ. á m. lyfsölukerfið, eru og hýst á netþjónum Þekkingar-Tristan hf. á Akureyri. Netþjónarnir eru ekki algjörlega aðskildir frá öðrum búnaði hjá Þekkingu-Tristan hf. Er m.a. notuð sama stöð til að taka afrit bæði af gögnum Lyfju og heilsu hf. og af gögnum annarra viðskiptavina félagsins. Liggja gögn þeirra allra á sömu segulbandsspólunum, en aðgangsstýringar eiga að tryggja að gögn haldist aðgreind.
Samkvæmt upplýsingum frá Þekkingu-Tristan hf., en eins og áður segir fengust takmarkaðar upplýsingar frá Lyfjum og heilsu hf., er miðað við að stjórnendur Lyfja og heilsu hf. hafi aðeins aðgang að ópersónugreinanlegum gögnum, en eingöngu starfsmenn hverrar lyfjabúðar hafi aðgang að persónugreinanlegum upplýsingum varðandi sölu lyfja í viðkomandi búð. Lyfsölukerfi Lyfja og heilsu hf. er hýst sem einn gagnagrunnur, en upplýsingar frá hverri lyfjabúð mynda sér deild í gagnagrunninum.
Frá Akureyri og Kópavogi veitir Þekking-Tristan hf. Lyfjum og heilsu hf. ýmsa þjónustu, t.d. keyrslu fyrirspurna, en kerfisþjónusta vegna lyfsölukerfisins er hins vegar veitt af Landsteinum hf. Kerfisstjóri Þekkingar-Tristan hf. ákveður hvort þjónusta fer fram frá Akureyri eða Kópavogi. Á útstöðvum, bæði í einstökum lyfjabúðum og í höfuðstöðvum Lyfja og heilsu hf., er hins vegar yfirtökuhugbúnaður, sem merkir að starfsmenn Þekkingar-Tristan hf. geta yfirtekið vélar og þar með skoðað allar upplýsingar sem vistaðar eru á þeim vélum. Þá geta þeir uppfært hugbúnað og haft með höndum eftirlit. Kerfisstjóri stýrir aðgangi starfsmanna Þekkingar-Tristan hf. Sé þörf fyrir kerfisþjónustu í lyfsölukerfinu hafa stjórnendur Lyfja og heilsu hf. hins vegar samband við Landsteina hf. sem þá ákveða hvaða starfsmenn Landsteina hf. vinna verkið. Fá þeir þá aðgang að innra neti og upplýsingakerfum Lyfja og heilsu hf. í gegnum tengingar við Þekkingu-Tristan hf. í Kópavogi. Lyfja og heilsa hf. hefur, í samvinnu við Þekkingu-Tristan hf. og Landsteina hf., komið sér upp prófunarumhverfi fyrir lyfsölukerfið. Allar kerfisbreytingar, sem unnar eru af starfsmönnum Landsteina hf., eru prófaðar áður en þær eru settar upp á raunkerfinu.
Í skýrslu Svönu Helenar Björnsdóttur eru m.a. gerðar athugasemdir við:
2. Að ekki sé til eignaskrá í samræmi við staðalinn ÍST BS 7799 um stjórnun upplýsingaöryggis, en í gr. 4.3.1.1 er gert ráð fyrir slíkri skrá. Hins vegar sé til listi yfir gögn sem varðveitt eru í gagnagrunnum í lyfsölukerfi Lyfja og heilsu hf. og á pappír.
3. Að ekki hafi verið gert áhættumat í samræmi við 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.
4. Að framsal ábyrgðar vanti frá einstökum lyfsöluleyfishöfum til stjórnenda Lyfju hf., en samkvæmt 20. gr. lyfjalaga nr. 93/1994 megi þeir einir selja lyf sem til þess hafi hlotið leyfi ráðherra og verði þeir að vera lyfjafræðingar. Svana Helen telur því að yfirstjórnandi hverrar lyfjabúðar, þ.e. lyfsöluleyfishafi, sé ábyrgðaraðili vinnslu persónuupplýsinga í lyfjabúðinni í skilningi laga nr. 77/2000. Lyfsöluleyfishafarnir og stjórnendur Lyfja og heilsu hf. þurfi að semja um aðgang þeirra síðarnefndu að upplýsingum og um að þeim sé óheimill aðgangur að persónugreinanlegum upplýsingum. Stjórnendur Lyfja og heilsu hf. hafi ekki samið við Þekkingu-Tristan hf. um vinnslu persónuupplýsinga og aðgang að þeim, en óljóst sé hvort þeir hafi heimild til þess meðan ekki hafi verið samið um framsal ábyrgðar frá lyfsöluleyfishöfunum til þeirra.
5. Að öryggi í gagnaflutningi sé óvíst. Komið hafi í ljós að lyfjagögn og persónuupplýsingar séu fluttar eftir almennu gagnaflutningsneti frá einstökum lyfjabúðum til Þekkingar-Tristan hf. á Akureyri. Fjartengingar hafi ekki verið teknar út og hvergi sé beitt dulkóðun, hvorki í flutningi gagnanna né við vörslu þeirra. Þá fari gögn ódulkóðuð um innra net Þekkingar-Tristan hf. milli starfsstöðva félagsins í Kópavogi og á Akureyri. Þar sem samskipti sem þessi megi hlera með ýmsu móti sé öryggi við flutning gagnanna ekki tryggt.
6. Að ekkert hafi komið fram um hversu gömul gögn séu varðveitt hjá Lyfjum og heilsu hf., hvernig þau séu varðveitt og hvernig öryggi þeirra sé tryggt. Lyfjaupplýsingar eigi hins vegar ekki að varðveita á persónugreinanlegu formi lengur en þörf krefji. Eftir að notkun þeirra sé lokið eigi að taka þær út úr daglegum rekstri og geyma þær dulkóðaðar þar til þeim verði fargað á öruggan hátt. Landlæknir geti krafist gagna vegna eftirlits síns með ávísun lyfja eitt ár aftur í tímann og því sé ónauðsynlegt að geyma upplýsingar vegna eftirlits hans lengur, sbr. 4. mgr. 24. gr. lyfjalaga nr. 93/1994. Sú regla í 19. gr. reglugerðar nr. 91/2001 að í minnst sjö ár skuli halda eftir þeim lyfseðlum, sem ekki eru sendir Tryggingastofnun ríkisins, eigi og aðeins við um pappírsgögn. Þá nægi ópersónugreinanlegar upplýsingar til að fullnægja bókhaldsskyldum og í markaðsstarfi.
7. Að öryggi persónuupplýsinga við förgun lyfja sé óljóst. Í lyfjabúðum Lyfja og heilsu hf. hf. sé tekið á móti lyfjum til förgunar, en merkingar á umbúðum, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfsins, séu ekki alltaf fjarlægðar áður en þau séu send til förgunar. Óljóst sé hvað verði um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra.
8. Að nethögun Lyfja og heilsu hf. sé ekki nægilega skýr. Tölvunet félagsins sé í raun hluti af tölvuneti Þekkingar-Tristan hf., og svo virðist sem upplýsingar um nethögun hafi ekki verið skráðar á fullnægjandi hátt hjá félögunum tveimur. Huga verði betur að aðskilnaði kerfis Lyfja og heilsu hf. frá öðrum kerfum sem hýst séu hjá Þekkingu-Tristan hf., m.a. í gagnaflutningi.
9. Að aðgangsstýringar séu óljósar. Einungis þeir starfsmenn lyfjabúða, sem þess þurfi, eigi að hafa aðgang að persónugreinanlegum gögnum, en ekki sé tryggt að stjórnendur Lyfja og heilsu hf. hafi hann ekki. Vitað sé að þeir geri viðskiptaáætlanir sem byggist á öflun upplýsinga um aldur viðskiptavina, lyfjakaup þeirra og hvar þeir kaupi lyf. Þeir hafi hins vegar ekki lagt fram upplýsingar um aðgangskerfi sitt og hafi ekki verið sýnt fram á að þeir hafi alls ekki aðgang að persónugreinanlegum gögnum.
10. Að aðskilnaður afrita hjá Þekkingu-Tristan hf. sé ekki nægilegur. Þar séu hýst gögn frá mörgum óskyldum aðilum. Gögn frá Lyfjum og heilsu hf. séu tekin á sömu afritunarspólur og gögn annarra fyrirtækja og þau séu ekki dulkóðuð. Þar sem þau innihalda viðkvæmar persónuupplýsingar mælir Svana Helen eindregið með því að þau verði aðskilin öðrum gögnum og auk þess dulkóðuð.
11. Að ekki sé alls staðar fylgt lýsingu í greinargerð Þekkingar-Tristan hf., dags. 12. september 2002, á yfirtöku starfsmanna þess félags á útstöðvum í tölvukerfi Lyfja og heilsu hf.. Í greinargerðinni segi að yfirtaka útstöðva skuli ekki fara fram nema starfsmaður Lyfja og heilsu hf. hafi samband við starfsmann Þekkingar-Tristan hf., ræsi síðan yfirtökuhugbúnaðinn með lykilorði og opni þannig tenginguna frá sér, fylgist með aðgerðum starfsmanns Þekkingar-Tristans hf. og loki fyrir aðgang hans að verki loknu (með því að loka yfirtökuforritinu). Komið hafi í ljós í heimsókn til Apótekarans í Hafnarstræti, Akureyri, hinn 23. september 2002, að eftir þessu sé farið. Niðurstaðan hafi orðið sú sama í heimsókn til lyfjabúðar Lyfja og heilsu hf. í Kringlunni hinn 14. janúar 2003. Í heimsókn til lyfjabúðar félagsins við Háteigsveg í Reykjavík sama dag hafi niðurstaðan hins vegar orðið önnur, en þar sé yfirtökuforritið stöðugt í gangi. Ekkert komi því í veg fyrir að starfsmenn Þekkingar-Tristan hf. yfirtaki þar tölvur án leyfis.
12. Að starfsmenn Landsteina hf. hafi beinan aðgang inn til Þekkingar-Tristan hf. og þar með að upplýsingakerfi Lyfja og heilsu hf. Þetta séu starfsmenn sem sjái um forritun og þróun upplýsingakerfa. Þar sem starfsmenn Þekkingar-Tristan hf. virðist ekki hafa eftirlit með aðgangi Landsteina hf. liggi beint við að ætla að starfsmenn Landsteina hf. hafi ekki aðeins aðgang að prófunarumhverfi lyfsölukerfisins heldur lyfsölukerfinu sjálfu með gögnum allra lyfjabúða. Í heimsókn til lyfjabúðar Lyfja og heilsu hf. í Kringlunni hinn 14. janúar 2003 hafi komið í ljós að lyfsöluleyfishafi hafi sjálfur samband við Landsteina hf. vegna beiðna um þjónustu vegna lyfsölukerfisins. Í heimsókn til lyfjabúðar Lyfja og heilsu hf. við Háteigsveg í Reykjavík sama dag, og í heimsókn til Apótekarans í Hafnarstræti, Akureyri, hinn 23. september 2002, hafi hins vegar komið í ljós að starfsmenn hafi ekki haft neina vitneskju um Landsteina hf. og aðgang þess félags að lyfsölukerfinu. Óljóst sé hvernig þessum aðgangi sé stýrt, hvaða aðgang starfsmenn Landsteina hf. hafi að gögnum Lyfja og heilsu hf. eða hvernig sá aðgangur sé tryggður. Einnig sé óljóst hvort þessi aðgangur hafi verið heimilaður starfsmönnum Landsteina hf. af lyfsöluleyfishöfum.
13. Að öryggi prófunargagna í prófunarumhverfi fyrir lyfsölukerfi Lyfja og heilsu hf. sé óljóst. Ekki sé vitað hvort prófunargögn séu raungögn og, sé svo, hvernig öryggi þeirra sé tryggt. Þótt lyfsölukerfið sé hýst hjá Þekkingu-Tristan hf. virðist starfsmenn þess félags ekki hafa eftirlit með aðgangi eða vinnu starfsmanna Landsteina hf. í lyfsölukerfinu. Óljóst sé hver það geri.
14. Að Þekking-Tristan hf. og Landsteinar hf. séu systurfyrirtæki (í skýrslunni kemur ekki fram hvaða þýðingu Svana Helen telur að það hafi).
15. Að bæta þurfi vitund stjórnenda og starfsmanna Lyfja og heilsu hf. um hvaða lögum og stjórnvaldsfyrirmælum fylgja skuli við lyfsölu og í rekstri lyfjabúða.
16. Að öryggisráðstafanir hafi aðeins verið skráðar að takmörkuðu leyti, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 7. gr. reglna nr. 299/2001. Ekki hafi komið fram að innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, sé fullnægjandi. Þá komi ekki fram hvort og þá hvernig Lyf og heilsa hf. hafi sannreynt að vinnsluaðilar, þ. á m. Þekking-Tristan hf. og Landsteinar hf., geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Auk þess sé óljóst hvort gerður hafi verið vinnslusamningur við Landsteina hf. og Lyfjaver hf. (sjá lið 18 hér að neðan um það félag), sbr. 1. mgr. 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001, en drög að tveimur samningum við Þekkingu-Tristan hf. og drög að samstarfssamningi við Öryggismiðstöð Íslands hf., en hún hefur með höndum öryggisgæslu í lyfjabúðum, hafi verið lögð fram. Loks segi í tilkynningu Lyfja og heilsu hf. um vinnslu félagsins á persónuupplýsingum, þ.e. tilkynningu nr. S268, sbr. 31. og 32. gr. laga nr. 77/2000 þar sem kveðið er á um skyldu ábyrgðaraðila til að tilkynna Persónuvernd um vinnslu persóuupplýsinga, að það vinni samkvæmt stjórnunarstaðlinum ÍST BS 7799, en við framkvæmd úttektarinnar hafi ekki komið fram neinar vísbendingar um að sú sé raunin.
17. Að í drögum að samningum Lyfja og heilsu hf. og Þekkingar-Tristan hf. vanti að tilgreina kröfur til upplýsingaöryggis, s.s. um fjartengingar. Koma þurfi þar fram að óheimilt sé að tengja gögn Lyfja og heilsu hf. og einstakra lyfjabúða við önnur gögn. Hvorki sé þar getið um aðskilnað gagna einstakra lyfjabúða né aðskilnað gagna Lyfja og heilsu hf. frá gögnum annarra aðila sem hýsi gögn hjá Þekkingu-Tristan hf. Mikilvægt sé að hafa slík ákvæði í samningum, m.a. vegna þess að kerfistjóri Þekkingar-Tristan hf. sé ekki aðeins að auki kerfistjóri Lyfja og heilsu hf. heldur einnig, svo að dæmi sé tekið, Lyfju hf. Loks vanti samninga við aðra þjónustuaðila, t.d. Landsteina hf., Lyfjaver ehf. (sjá lið 18 hér að neðan um það félag) og ræstingafyrirtæki. Þó hafi verið lögð fram drög að samningi við Öryggismiðstöð Íslands hf., en í þau vanti ákvæði um aðgang starfsmanna Öryggismiðstöðvar Íslands hf. að starfsstöðum Lyfja og heilsu hf. og hvort þeir hafi lykla að þeim. Ekki sé heldur fjallað um trúnaðaryfirlýsingar og önnur atriði er varða verndun persónuupplýsinga.
18. Að engar upplýsingar liggi fyrir um hvernig fyrirtækið Lyfjaver ehf., sem fengin hafi verið verkefni er feli í sér vinnslu persónuupplýsinga, meðhöndli upplýsingar. Þessi vinnsla felist í tölvustýrðri lyfjaskömmtun, en samkvæmt frétt á heimasíðu Lyfja og heilsu hf. frá 12. febrúar 2002 sé haft samstarf við Lyfjaver ehf. um slíka skömmtun. Engar upplýsingar liggi fyrir um Lyfjaver ehf. og starfsemi þess. Þurfi að afla um það nánari upplýsinga, m.a. um hvort upplýsingar um lyfjanotkun sömu einstaklinga berist Lyfjaveri ehf. frá fleiri en einni lyfjabúð.
19. Að verklagsreglur, er varði upplýsingaöryggi, vanti, þ.e. um hýsingu og rekstur kerfa; heimilunarferli, þ.e. ferli sem sýni hvernig stjórnendur heimili vinnslu upplýsinga og notkun upplýsingavinnslubúnaðar; og ferli við framkvæmd innri úttekta, meðferð frávika og frábrigða (sjá lið 20 hér að neðan) og verkefnis- og verkstjórn.
20. Að frávik og frábrigði séu ekki nægilega vel skráð, t.d. í sérstaka frávikaskrá, en þó séu ýmis atvik, s.s. röng afgreiðsla lyfja, færð í sérstakar atvikaskrár og falsaðir lyfseðlar settir í bréfamöppur. Með fráviki sé átt við það þegar ekki sé unnið í samræmi við verklagsreglur en með frábrigði það að kröfu sé ekki fullnægt. Frávik og frábrigði geti orsakast af ýmiss konar villum og bilunum. Auk þess sem bæta þurfi skráningu á þessum atvikum verði að bæta innra eftirlit með vinnslu rafrænna, persónugreinanlegra lyfjaupplýsinga, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001 (sjá lið 16 hér að ofan).
21. Að öryggisráðstafanir séu ekki eins og þeim sé lýst í tilkynningu Lyfja og heilsu hf. til Persónuverndar um vinnslu félagsins á persónuupplýsingum, þ.e. tilkynningu nr. 268, sbr. 31. og 32. gr. laga nr. 77/2000. Í tilkynningunni segi að unnið sé samkvæmt stjórnunarstaðlinum ÍST BS 7799, en við framkvæmd úttektarinnar hafi ekki komið fram neinar vísbendingar um að sú sé raunin eða að innleiðing staðalsins sé hafin hjá Lyfjum og heilsu hf. Þannig hafi félagið til dæmis ekki skráða öryggisstefnu, en slík stefna sé hornsteinn í stjórnkerfi upplýsingaöryggis samkvæmt staðlinum.
III.Ákvörðun Persónuverndar
Forsendur
1.
Í máli þessu er til úrlausnar öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf. í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis.
Upplýsingar um lyfjanotkun teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Er heimild til vinnslu slíkra upplýsinga háð því að hún fullnægi einhverju af almennum skilyrðum 8. gr. laganna og einhverju af sérstökum skilyrðum 9. gr. laganna. Þá leiðir af ákvæðum laganna að enda þótt fullnægt sé skilyrðum 8. og 9. gr. telst vinnsla ekki vera heimil nema hún fullnægi ennfremur meðalhófsreglum 7. gr. laganna.
Þar sem þessari ákvörðun Persónuverndar er einungis ætlað að taka á öryggismálum vinnslunnar mun hún ekki taka til álitaefna er varða lögmæti vinnslunnar. Verður því ekki, að svo stöddu, fjallað um lögmæti einstakra skráa sem eru í lyfsölukerfi Lyfju og heilsu hf. (s.s. skráar yfir viðskiptamenn sem haft er sérstakt eftirlit með) eða annarra þátta vinnslunnar (t.d. varðveislutíma upplýsinga í lyfsölukerfinu). Þá lýtur ákvörðun þessi aðeins að öryggi vinnslu hjá Lyfju og heilsu hf. (þ.m.t. vinnsluaðilum) en ekki öðrum þáttum s.s. öryggi miðlunar upplýsinga frá félaginu til landlæknis, Tryggingastofnunar ríkisins eða Lyfjastofnunar.
Í 31. og 32. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, er kveðið á um skyldu ábyrgðaraðila til að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Vinnsla lyfjaupplýsinga hjá Lyfjum og heilsu hf. er tilkynningarskyld samkvæmt þessum reglum, sbr. 31. gr. laga nr. 77/2000, sbr. 6. gr. reglna nr. 90/2001. Hún hefur og verið tilkynnt Persónuvernd (tilkynning nr. S286). Í tilkynningunni koma fram þau atriði, sem fram eiga að koma í tilkynningu, sbr. 1. mgr. 32. gr. laga nr. 77/2000, að því undanskildu að ekki er tekið fram að upplýsingar séu sendar landlækni, Lyfjastofnun og Tryggingastofnun eða að vinnsluaðilarnir Landsteinar hf. og Lyfjaver hf. hafi aðgang að upplýsingum, sbr. hins vegar 7. tölul. 1. mgr. 32. gr. þar sem kveðið er á um að í tilkynningu eigi að koma fram hverjum upplýsingar verði afhentar. Af þessu tilefni bendir Persónuvernd hér á mikilvægi þess að tilkynningar um vinnslu persónuupplýsinga séu uppfærðar reglulega svo að þær gefi rétta mynd af vinnslu hverju sinni. Þá gerir stjórn Persónuverndar alvarlega athugasemd við að í framangreindri tilkynningu hafi verið fullyrt að félagið ynni í samræmi við staðalinn BS ÍST 7799 þótt það hafi ekki verið gert.
3.
Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar. Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir.
Í 4. tölul. 2. gr. laga nr. 77/2000 er hugtakið ábyrgðaraðili skilgreint sem sá "aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna." Af því sem fram kemur í gögnum málsins telst Lyf og heilsa hf. vera ábyrgðaraðili í þessum skilningi, en ekki einstakir lyfsöluleyfishafar, enda tekur félagið ákvarðanir um val á búnaði og vinnsluaðferðir og annast gerð samninga við vinnsluaðila. Ber Lyf og heilsa hf. þar með ábyrgð á því að fullnægt sé framangreindum ákvæðum 11. gr. laga nr. 77/2000 og öðrum ákvæðum varðandi öryggi við vinnslu persónuupplýsinga. Breytir þar engu sú faglega ábyrgð sem hvílir á lyfsöluleyfishafa samkvæmt lyfjalögum nr. 93/1994, sbr. einkum 1. mgr. 20. gr. og 1. mgr. 21. gr., þar sem segir að þeir einir megi hafa með höndum lyfsölu sem til þess hafa hlotið leyfi ráðherra og að þeir beri faglega ábyrgð á rekstri lyfjabúðar, enda er í 2. mgr. 21. gr. laga nr. 93/1994 gert ráð fyrir að lyfjabúð geti verið rekin af öðrum en lyfsöluleyfishafa og þurfi sá aðili þá sjálfstætt leyfi ráðherra til rekstursins.
Í 11. gr. laga nr. 77/2000 er fjallað um kröfur til öryggis persónuupplýsinga, í 12. gr. sömu laga er fjallað um innra eftirlit og í 13. gr. sömu laga um samninga við vinnsluaðila. Samkvæmt 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, skal ábyrgðaraðili skrá öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir.
Hjá Lyfjum og heilsu hf. er hins vegar hvorki til öryggisstefna né áhættumat og öryggisráðstafanir hafa aðeins verið skráðar að takmörkuðu leyti. Telur Persónuvernd æskilegt, vegna hinnar viðamiklu vinnslu félagsins á viðkvæmum persónuupplýsingum, að öryggisstefna, áhættumat og öryggisráðstafanir fullnægi þeim kröfum sem fram koma í staðlinum ÍST BS 7799. Þá telur Persónuvernd æskilegt að skráning öryggisráðstafananna geri það einnig.
a) Þar sem öryggisráðstafanir hafa ekki verið fyllilega skráðar liggur ekki fyrir hvort eða hvernig tryggt sé að einungis þeir hafi aðgang að persónugreinanlegum upplýsingum sem þess þurfa. Persónuvernd telur hins vegar að svo að fullnægt verði kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði að tryggja að einungis þeir hafi þennan aðgang sem þurfa á honum að halda, starfs síns vegna.
b) Ekkert liggur fyrir um hversu gömul gögn eru varðveitt hjá Lyfjum og heilsu hf., hvernig þau eru varðveitt og hvernig öryggi þeirra er tryggt. Öllum þeim gögnum, sem kunna að vera varðveitt, þó að það sé ekki lengur lögmætt og málefnalegt, sbr. 7. gr. laga nr. 77/2000, verður að eyða. Með vísan til þessa telur Persónuvernd nauðsynlegt að Lyf og heilsa hf. yfirfari kerfi félagsins, kanni hvort þau hafi að geyma persónuupplýsingar, og sé svo, að þá verði þeim persónuupplýsingum eytt sem ekki má lengur varðveita. Bent er á að samkvæmt 4. mgr. 24. gr. lyfjalaga nr. 93/1994 getur landlæknir krafist rafrænna upplýsinga af lyfseðlum – en aðeins fyrir ár aftur í tímann. Einnig er bent á að af 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, afhendingu og áritun lyfja leiðir að aðeins þarf að geyma (í sjö ár) þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins.
c) Lyfjaupplýsingar, sem fara frá einstökum lyfjabúðum til Þekkingar-Tristan hf. á Akureyri, í sumum tilvikum í gegnum starfsstöðvar félagsins í Kópavogi, eru ódulkóðaðar í flutningi, sem og við vörsluna þar. Þá segir í skýrslu Svönu Helenar Björnsdóttur að nethögun Lyfja og heilsu hf. sé ekki nægilega skýr og að öryggi fjartenginga hafi ekki verið tekið út. Svo að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 til upplýsingaöryggis sé fullnægt telur Persónuvernd nauðsynlegt, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að tryggja verði öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.
d) Tekið er á móti lyfjum til förgunar, en merkingar á umbúðum lyfjanna, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfs, eru ekki alltaf fjarlægðar áður en þeim er fargað. Óljóst er hvað verður um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra. Þegar litið er til þess hversu viðkvæmar þessar upplýsingar eru telur Persónuvernd að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði ekki fullnægt nema merkingarnar verði teknar af umbúðunum.
e) Starfsmenn Þekkingar-Tristan hf. geta yfirtekið útstöðvar í lyfjabúðum Lyfja og heilsu hf. Þótt ætlast sé til að starfsmaður Lyfja og heilsu hf. stýri aðgangi starfsmanna Þekkingar-Tristan hf. og að þeir fái ekki yfirtökuaðgang nema nauðsyn krefji er því ekki alls staðar fylgt og yfirtökuforrit í raun og veru stöðugt í gangi, a.m.k. í lyfjabúðinni við Háteigsveg 14, eins og fram kom í vettvangsheimsókn Svönu Helenar þangað hinn 14. janúar 2003. Ekki liggur því fyrir að alls staðar sé tryggt að starfsmenn Þekkingar-Tristan hf. geti ekki yfirtekið tölvugögn án leyfis. Persónuvernd telur þetta verklag ekki fullnægja kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.
f) Ekki liggur fyrir hvers eðlis prófunarumhverfið fyrir lyfsölukerfi Lyfja og heilsu hf. er, þ.e. hvort prófunargögn séu raungögn, og sé svo, hvernig öryggi þeirra sé tryggt. Starfsmenn Landsteina hf., sem sjá um forritun og þróun upplýsingakerfa Lyfja og heilsu hf., vinna í þessu prófunarumhverfi, en þeir hafa beinan aðgang inn til Þekkingar-Tristan hf. og þar með að upplýsingakerfi Lyfja og heilsu hf. Persónuvernd telur að tryggja þurfi að þeir hafi ekki aðgang að persónugreinanlegum lyfjaupplýsingum við vinnslu í prófunarumhverfi. Telja verður, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að slíkur aðgangur fullnægi ekki kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.
g) Ekki liggur fyrir að tryggður sé fullnægjandi aðskilnaður afrita hjá Þekkingu-Tristan hf. Þar eru hýst gögn frá mörgum óskyldum aðilum og hafa gögn frá Lyfjum og heilsu hf. verið tekin á sömu afritunarspólur og gögn annarra fyrirtækja. Persónuvernd telur hins vegar rétt að tekin séu sérstök afrit af gögnum Lyfja og heilsu hf. og raunar skylt, með hliðsjón af 1. og 2. mgr. 11. gr. laga nr. 77/2000, að það sé gert.
h) Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Samkvæmt úttektarskýrslu Svönu Helenar eru til drög að tveimur samningum við Þekkingu-Tristan hf. Segir þar einnig að óljóst sé hvort gerðir hafi verið vinnslusamningar við aðra vinnsluaðila, þ.e. Landsteina hf. og Lyfjaver hf. Af þessu verður að líta svo á að kröfum 13. gr. laga nr. 77/2000 til að gerðir séu vinnslusamningar sé ekki fullnægt hjá Lyfjum og heilsu hf. Persónuvernd telur nauðsynlegt að slíkir samningar verði gerðir og að þar verði kveðið á um þær öryggiskröfur sem fullnægja verður, en samkvæmt úttektarskýrslunni eru þær ekki nægilega vel skilgreindar í drögum þeim að samningum við Þekkingu-Tristan hf. sem lögð hafa verið fram. Auk þess telur Persónuvernd nauðsynlegt að í samskiptum sínum við undirverktaka og þjónustuaðila, s.s. þá sem sjá um ræstingar, sé þess gætt að þeir starfsmenn, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar. Varðandi undirverktaka þarf að huga sérstaklega að því að samkvæmt 3. mgr. 13. gr. laga nr. 77/2000 er hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.
i) Einn þáttur í öryggi persónuupplýsinga er innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001. Meðan Lyf og heilsa hf. hefur ekki sett sér öryggisstefnu og hvorki unnið áhættumat né skráð öryggisráðstafanir nema að takmörkuðu leyti verður ekki talið að kröfum um innra eftirlit sé fullnægt. Innra eftirlit skal framkvæma með því að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 8. gr. reglna nr. 299/2001. Innra eftirlit skal viðhaft með reglubundnum hætti, ekki sjaldnar en árlega, og skal ákveða tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd þess, sbr. 2. mgr. Þá skal ábyrgðaraðili sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti þar sem lýst skal niðurstöðu hvers þáttar eftirlitsins, sbr. 3. mgr., þar sem segir einnig að skýrslur um innra eftirlit skuli varðveita tryggilega.
Með vísan til alls ofangreinds og 1. mgr. 40. gr. laga nr. 77/2000 hefur Persónuvernd ákveðið að beina fyrirmælum til Lyfja og heilsu hf. um að viðhafa þær ráðstafanir sem taldar eru upp í ákvörðunarorði hér fyrir neðan. Að liðnum þeim tíma sem þar er tilgreindur mun Persónuvernd fara í vettvangsheimsóknir til starfsstöðva félagsins, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanna hvort eftir fyrirmælunum hafi verið farið. Mun félaginu verða tilkynnt um nánari tímasetningu þeirra heimsókna síðar. Hafi ekki verið farið eftir fyrirmælunum mun Persónuvernd grípa til nauðsynlegra ráðstafana.
Ekki verður að svo stöddu tekin ákvörðun um dulkóðun persónuupplýsinga í gagnagrunni hjá vinnsluaðilum eða undirverktökum þeirra, en þess má vænta að á því máli verði tekið að framangreindum fresti liðnum.
Fyrir 1. janúar 2004 skal Lyf og heilsa hf. hafa lokið við að:
2. Gera skriflegt áhættumat, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og skapa þannig forsendur fyrir vali á skriflegum öryggisráðstöfunum.
3. Fullnægja kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.
4. Taka upp innra eftirlit í samræmi við 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001.
5. Gera skriflegan samning við Þekkingu-Tristan hf., Landsteina hf. og Lyfjaver ehf., sem og aðra vinnsluaðila, séu þeir fyrir hendi, í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.
6. Tryggja að þeir starfsmenn undirverktaka eða þjónustuaðila, s.s. aðila sem sjá um ræstingar, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar.
7. Tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.
8. Stöðva töku afrita af upplýsingum frá Lyfjum og heilsu hf. á sömu spólur og upplýsingar annarra aðila.
9. Eyða öllum persónugreinanlegum lyfjagögnum sem kunna að vera varðveitt þó að ekki sé lögskylt að varðveita þau. Þetta á við um öll gögn, þ. á m. upplýsingar sem hafa verið skráðar í lyfsölukerfið og á pappír.
10. Hindra að starfsmenn Þekkingar-Tristan hf. geti yfirtekið útstöðvar þar sem unnið er með persónugreinanlegar upplýsingar.
11. Tryggja að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar eru afhentar förgunaraðila.
12. Tryggja að starfsmenn Landsteina hf. hafi einungis aðgang að ópersónugreinanlegum upplýsingum við vinnslu í prófunarumhverfi fyrir lyfsölukerfið.