Ákvörðun um 24 mánaða varðveislutíma rafrænna upplýsinga um lyfseðla
I.
Bréfaskipti
1.
Á fundi stjórnar Persónuverndar 10. mars 2008 var ákveðið að taka til athugunar hvort endurskoða skyldi fyrri afstöðu stofnunarinnar um að lyfjabúðir skuli ekki varðveita rafrænar upplýsingar um lyfseðla lengur en í eitt ár, sbr. 3. mgr. 24. gr. lyfjalaga nr. 93/1994.
Sú afstaða kemur fram í ákvörðunum stofnunarinnar, dags. 3. júlí 2003, í framhaldi af úttektum á vinnslu persónuupplýsinga hjá Lyfjum og heilsu hf. og Lyfju hf. Fyrrnefnda félagið fór fram á endurskoðun þessarar afstöðu, en með ákvörðun Persónuverndar, dags. 8. febrúar 2005, var þeirri beiðni synjað.
2.
Sjúklingar eiga rétt á endurgreiðslum frá Tryggingastofnun ríkisins (TR) tvö ár aftur í tímann, sbr. 2. mgr. 53. gr. laga nr. 100/2007 um almannatryggingar. Þegar ákvörðun um eins árs varðveislutíma var upphaflega tekin var m.a. litið til þess að lengri varðveisla væri óþörf til að þjóna endurgreiðsluhagsmunum sjúklinga. Var þá einkum litið til þess að samkvæmt ákvæðum lyfjalaga nr. 93/1994 um lyfjagagnagrunn landlæknis, sbr. lög nr. 89/2003, skal varðveita umræddar upplýsingar þar í þrjú ár og segir í a-lið 2. mgr. 27. gr. laganna að TR geti fengið aðgang að gagnagrunninum til að ákvarða endurgreiðslur til sjúklinga. Var og litið til 1. mgr. 5. gr. reglugerðar nr. 91/2001 en þar segir að þegar lyfseðill er afgreiddur skuli tilgreina verð lyfs, greiðsluhlut sjúklings og hlut TR. Samkvæmt 26. gr. reglugerðarinnar hefur Lyfjastofnun eftirlit með því að ákvæðum hennar sé framfylgt og hefur hún staðfest að samkvæmt þessu reglugerðarákvæði eigi raunverulegt verð lyfs að fara inn í lyfjagagnagrunninn.
Upplýsingar, sem bárust Persónuvernd frá Lyfjastofnun og landlækni, leiddu hins vegar í ljós að ekki er tryggt enn að unnið sé í samræmi við framangreind ákvæði laga og reglna. Er því ekki skýrt að í lyfjagagnagrunn landlæknis séu færðar þær upplýsingar sem þörf krefur til að þjóna umræddum hagsmunum. Geta má þess að hjá Persónuvernd hefur verið ráðist í athugun á tilteknum þáttum í vinnslu persónuupplýsinga í lyfjagagnagrunninum.
3.
Sú staðreynd, sem að framan er lýst, getur haft þær afleiðingar að hagsmunum sjúklinga verði stefnt í hættu ef lyfjabúðir varðveita gögnin aðeins í eitt ár. Af þeirri ástæðu var málið rætt á framangreindum fundi stjórnar Persónuverndar hinn 10. mars 2008 og þá ákveðið að taka til athugunar að:
Leyfa varðveislu í tvö ár þannig að tryggt verði að afla megi gagna fyrir endurgreiðslur í samræmi við 2. mgr. 53. gr. laga nr. 100/2007.
Gera athugun í haust á því hvernig búðirnar eyða gögnum sem orðin eru tveggja ára.
Með bréfum, dags. 11. mars og 5. maí 2008, var Lyfjum og heilsu hf., Lyfjavali ehf., Lyfjaveri ehf. og Viðari Lúðvíkssyni f.h. Lyfju hf. boðið að koma á framfæri athugasemdum um framangreint, sbr. og símbréf frá 11. apríl 2008 til þriggja fyrstnefndu félaganna. Frá þeim hafa ekki borist svör. Hins vegar má líta svo á Lyf og heilsa hf. telji afstöðu sína þegar hafa komið fram í fyrri bréfaskiptum varðandi varðveislu rafrænna upplýsinga um lyfseðla, m.a. í aðdraganda framangreindrar ákvörðunar Persónuverndar, dags. 8. febrúar 2005.
Frá áðurnefndum lögmanni hefur borist svar f.h. Lyfju hf. með tölvubréfi hinn 8. maí 2008. Þar er vísað til fyrri bréfaskipta þar sem hann hefur komið fram f.h. félagsins í tengslum við varðveislu rafrænna upplýsinga um lyfseðla. Þau bréfaskipti tengjast athugun Persónuverndar á því hvernig farið hefur verið að framangreindum ákvörðunum stofnunarinnar, dags. 3. júlí 2003, sbr. og ákvörðun, dags. 8. febrúar 2005. Í tölvubréfi lögmannsins kemur fram að hann telur fyrri svör nægileg, en þau koma einkum fram í bréfi hans til Persónuverndar, dags. 28. desember 2007.
Í því bréfi er vísað til þess sem fram kemur í umræddum ákvörðunum um að í ljósi 3. mgr. 24. gr. lyfjalaga nr. 93/1994 skuli eyða rafrænum lyfseðlum eftir eitt ár. Segir að erfitt sé í framkvæmd að eyða lyfseðlum samstundis um leið og þeir hafi náð eins árs aldri. Þá segir að lögskylt geti verið að varðveita lyfseðla lengur en í eitt ár í ljósi m.a. samninga, sem og ákvæða 8. og 9. gr. laga nr. 77/2000 um hvenær heimilt er að vinna með persónuupplýsingar. Auk þess er bent á þá hagsmuni sem tjónþolar í slysamálum hafa af því að geta leitað til lyfjabúða sinna þegar nær dragi uppgjöri slysamáls til að fá útprentað yfirlit yfir lyfjakaup til að framvísa viðkomandi tryggingafélagi. Stundum sé slíkt yfirlit eina gagnið sem fyrir liggi um lyfjakaup hins slasaða.
Einnig segir m.a. í bréfi lögmannsins:
„Eins og að framan greinir telur umbjóðandi minn að viðskiptavinir lyfjabúða geri væntingar til þess að upplýsingar um lyfjakaup þeirra séu varðveittar af lyfjabúðum og að þær megi nálgast löngu síðar og ef þörf krefur. Má því telja að samþykki viðskiptavina umbjóðanda míns fyrir varðveislu upplýsinganna liggi þegar fyrir. Umbjóðandi minn er hins vegar reiðubúinn að taka til skoðunar hvort unnt sé að afla sérstaks, skriflegs samþykkis viðskiptavina hans fyrir því að lyfjaupplýsingar um þá verði varðveittar lengur en gerð er krafa um í lyfjalögum nr. 93/1994 eða reglugerð nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja, telji Persónuvernd þörf á því."
II.
Ákvörðun
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
2.
Upplýsingar um lyfseðla eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem segir að upplýsingar um heilsuhagi, þ. á m. erfðaeiginleika, lyfja- áfengis- og vímuefnanotkun, séu viðkvæmar. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 9. gr. laga nr. 77/2000 fyrir vinnslu slíkra upplýsinga. Sem endranær þarf og að vera fullnægt einhverju hinna almennu skilyrða fyrir vinnslu persónuupplýsinga, almennra sem viðkvæmra, sem mælt er fyrir um í 8. gr. laganna. Að auki þarf öllum skilyrðum 7. gr. laganna að vera fullnægt.
Samkvæmt 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla viðkvæmra persónuuupplýsinga m.a. heimil ef hinn skráði hefur samþykkt vinnsluna (1. tölul); sérstök heimild stendur til vinnslunnar í öðrum lögum (2. tölul.); vinnslan sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja (7. tölul.); og vinnslan sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu.
Í 1. mgr. 8. gr. er og m.a. mælt fyrir um að vinnsla persónuupplýsinga sé heimil hafi hinn skráði samþykkt vinnsluna (1. tölul.); hún sé nauðsynleg til að fullnægja lagaskyldu (2. tölul); og hún sé nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra (7. tölul.).
Þau ákvæði, sem að framan greinir, koma einkum til greina sem heimildir til þeirrar vinnslu persónuupplýsinga sem hér um ræðir. Við mat á því hvort þessi ákvæði eigi við ber að líta til ákvæða 7. gr. laga nr. 77/2000, m.a. um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er í þágu tilgangs vinnslunnar (3. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.). Þá ber að líta til ákvæða um skráningu upplýsinga um lyfjanotkun í lögum og reglum.
Um þau ákvæði segir í framangreindri ákvörðun Persónuverndar, dags. 8. febrúar 2005:
„Í lyfjalögum nr. 93/1994, eins og þeim var breytt með lögum nr. 89/2003, er nú kveðið á um starfrækslu Landlæknis á persónugreinanlegum lyfjagagnagrunni sem Tryggingastofnun ríkisins og Lyfjastofnun geta fengið aðgang að. Af 2. mgr. 24. gr. er ljóst að í gagnagrunninn á að skrá þær upplýsingar sem fram koma á lyfseðlum um afgreiðslu lyfja, en í ákvæðinu er kveðið á um skyldu lyfjabúða til að afhenda Tryggingastofnun allar slíkar upplýsingar ár aftur í tímann á rafrænan hátt en á dulkóðuðu formi. Í 3. og 4. mgr. 27. gr. er afmarkað í hvaða tilgangi nota má gagnagrunninn: Tryggingastofnun hefur aðgang að honum vegna endurgreiðslna lyfjakostnaðar sjúklinga og eftirlits með lyfjakostnaði; Lyfjastofnun vegna eftirlits með því hvort tilurð lyfseðils hafi orðið með ólögmætum hætti, s.s. vegna fölsunar, og hvort afgreiðsla lyfseðils fyrir ávana- og fíknilyf hafi verið röng; og Landlæknir vegna eftirlits með ávísunum lækna á ávana- og fíknilyf, s.s. hvort einstaklingi sé ávísað meiru en eðlilegt getur talist, og almenns eftirlits með ávísunum á lyf og þróun lyfjanotkunar. Þær persónuupplýsingar, sem skráðar eru í gagnagrunninn, má varðveita í þrjú ár,sbr. 3. mgr. 27. gr.
Í reglugerð nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sem styðst við 6. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, er að finna ákvæði um færslu sjúkraskráa. Í 2. mgr. 2. gr. reglugerðarinnar segir hvaða upplýsingar færa skal í sjúkraskrá. Er þar m.a. mælt fyrir um að þar skuli, eftir því sem við eigi, skrá upplýsingar um lyfjanotkun og lyfjaofnæmi, sbr. 3. tölul., sem og heiti lyfs, styrkleika og magn ásamt fyrirmælum sé um lyfjameðferð með lyfseðilsskyldum lyfjum að ræða, sbr. 6. tölul. Samkvæmt 19. gr. reglugerðar nr. 91/2001, sbr. 12. gr. laga nr. 93/1994, skulu lyfjabúðir geyma í sjö ár þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins. Ljósrit þeirra skuli afhent Lyfjastofnun sé þess óskað. Má af þessu ráða að átt sé hér við varðveislu á pappírsgögnum.
Það að lyfjadreifing sé hluti heilbrigðisþjónustu og að starfsmenn við dreifinguna skulu vinna með öðrum aðilum heilbrigðisþjónustunnar að opinberum heilbrigðismarkmiðum hverju sinni, sbr. framangreint ákvæði 1. mgr. 1. gr. laga nr. 93/1994, sem Lyf og heilsa hf. hefur vísað til, haggar ekki framangreindum ákvæðum laga og reglugerða, settra með stoð í þeim, um varðveislu upplýsinga um lyfjanotkun. Þar liggur fyrir skýr afstaða löggjafans til þess hvaða upplýsingar um lyfjanotkun skulu skráðar innan heilbrigðiskerfisins og af hverjum, sem og hversu lengi þær skulu varðveittar. Kemur þar m.a. fram hvernig varðveita á slíkar upplýsingar til að tryggja hagsmuni sjúklinga í tengslum við veitingu heilbrigðisþjónustu, sbr. 3. og 6. tölul. 2. mgr. 2. gr. reglugerðar nr. 227/1991. Einnig kemur þar fram hversu lengi varðveita á upplýsingar um lyfjanotkun vegna endurgreiðslna frá Tryggingastofnun ríkisins vegna kaupa á lyfseðilsskyldum lyfjum og annarra samskipta við hið opinbera í tengslum við lyfseðilsskyld lyf, þ.e. með 2. mgr. 27. gr. laga nr. 93/1994 og 19. gr. reglugerðar nr. [91/2001]. Af þessu má ráða að löggjafinn og framkvæmdarvaldið hafa metið hvernig vernda ber þá hagsmuni sem Lyf og heilsa hf. vísar til sem rökstuðnings fyrir sjö ára varðveislutíma umræddra gagna. Með lengri varðveislu á upplýsingum um lyfjanotkun einstaklinga yrði gengið lengra en gert er ráð fyrir í framangreindum ákvæðum.
Fellst Persónuvernd[?] því ekki á ósk Lyfja og heilsu hf. um að breyta 9. tölul. ákvörðunarorða í ákvörðun stofnunarinnar frá 3. júlí 2003 um að eytt skuli þeim persónuupplýsingum um lyfjaneyslu sem kunna að vera varðveittar umfram það sem lögskylt er. Samkvæmt því skulu rafrænar upplýsingar um lyfseðla ekki varðveittar lengur en í eitt ár, sbr. 4. mgr. 24. gr. laga nr. 93/1994, og pappírslyfseðlar aðeins varðveittir séu þeir ekki sendir Tryggingastofnun ríkisins og þá ekki lengur en í sjö ár, sbr. 19. gr. reglugerðar nr. 91/2001, sbr. 12. gr. laga nr. 93/1994."
Frá því að framangreind ákvörðun, dags. 8. febrúar 2005, var tekin hafa forsendur ekki breyst hvað varðar varðveislu rafrænna upplýsinga um lyfseðla til að sjúklingar geti fengið endurgreiðslu af lyfjakostnaði hjá Tryggingastofnun ríkisins. Samkvæmt 2. mgr. 53. gr. laga nr. 100/2007 um almannatryggingar gildir réttur til slíkra endurgreiðslna tvö ár aftur í tímann. Eins og áður greinir liggja ekki fyrir nauðsynlegar upplýsingar í lyfjagagnagrunni landlæknisembættisins til að unnt sé að tryggja þann rétt. Þegar litið er til framangreindra ákvæða 7. tölul. 1. mgr. 9. gr. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, sbr. og 7. gr. sömu laga, telur Persónuvernd varðveislu rafrænna upplýsinga um lyfseðla hjá lyfjabúðum í 24 mánuði samrýmast þessum ákvæðum.
Hefur stofnunin því ákveðið að fallast á þá varðveislu. Varðveisla allra rafrænna upplýsinga um lyfseðla hjá lyfjabúðum til lengri tíma, án þess að aflað sé upplýsts samþykkis sjúklinga, er hins vegar þess eðlis að hún þarf að byggjast á skýrri lagaheimild, sbr. til hliðsjónar dóm Hæstaréttar frá 27. nóvember 2003 í máli nr. 151/2003. Slík lagaheimild er ekki til staðar og er því ekki tilefni til endurskoðunar á fyrri afstöðu stofnunarinnar hvað varðveislu slíkra upplýsinga varðar. Það skal þó tekið fram að ekki er gerð athugasemd við varðveislu í þeim tilvikum þegar fengið er skriflegt samþykki, enda sé veitt sú fræðsla sem mælt er fyrir um í 7. tölul. 2. gr. og 20. gr. laga nr. 77/2000.
3.
Niðurstaða
Með vísan til alls framangreinds tikynnist hér með að stjórn Persónuverndar hefur á fundi sínum í dag ákveðið að heimila lyfjabúðum að varðveita í 24 mánuði rafrænar upplýsingar um lyfseðla. Þegar slíkar upplýsingar hafa náð 24 mánaða aldri skal þeim eytt.
Jafnframt hefur verið ákveðið að gera á hausti komanda athugun á því hjá Lyfjum og heilsu hf., Lyfjavali ehf., Lyfjaveri ehf. og Lyfju hf. hvernig staðið sé að eyðingu upplýsinganna.