Öryggi persónuupplýsinga í lyfjaávísanagátt

Mál nr. 2023050834

30.6.2023

Ákvörðun

í máli nr. 2023050834 vegna frumkvæðisathugunar á því hvort embætti landlæknis tryggir viðeigandi upplýsingaöryggi við vinnslu persónuupplýsinga í lyfjaávísanagátt:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 3. febrúar 2023 fór fram fundur embættis landlæknis, Lyfjastofnunar og Persónuverndar um eftirlit með aðgengi að lyfjaávísanagátt. Í gáttinni er rafrænum lyfjaávísunum miðlað milli útgefenda þeirra og lyfjabúða og er hún starfrækt af embætti landlæknis.

Á fundinum var því lýst af hálfu embættis landlæknis og Lyfjastofnunar að örðugt væri að hafa eftirlit með uppflettingum í gáttinni í lyfjabúðum þar sem þar væru ekki skráðar aðgerðir starfsmanna í því viðmóti sem væri notað til að nálgast lyfjaávísanagátt. Á hinn bóginn væru aðgerðirnar skráðar í aðgerðaskrá fyrir gáttina hjá embætti landlæknis.

Hvað þetta snerti nefndu embætti landlæknis og Lyfjastofnun að aðgangur starfsmanna að viðmóti lyfjabúða og lyfjaávísanagátt væri ekki persónubundinn. Því gæti verið mjög erfitt að sjá hver hefði flett hverjum upp og þyrfti að notast við viðveruskráningu lyfjabúða til að fá úr slíku skorið.

Á fundinum kom fram af hálfu Persónuverndar að stofnunin myndi fara yfir hvort þörf væri á athugun af hennar hálfu vegna vinnslu persónuupplýsinga í lyfjaávísanagátt.

Með bréfi, dags. 9. maí 2023, upplýsti Persónuvernd embætti landlæknis um að stofnunin teldi að embættinu kynni að vera skylt að tryggja persónubundinn rekjanleika uppflettinga í lyfjaávísanagátt. Með hliðsjón af því tilkynnti Persónuvernd embætti landlæknis jafnframt að stofnunin hefði ákveðið að hefja frumkvæðisathugun á því hvort upplýsingaöryggi væri tryggt við lögmælta vinnslu persónuupplýsinga í lyfjaávísanagátt af hálfu embættisins. Var þess óskað að embætti landlæknis tæki afstöðu til þess hvort, og þá hvernig, upplýsingaöryggi er tryggt við vinnsluna, auk þess embættinu var boðið að koma á framfæri skýringum, athugasemdum og gögnum sem þýðingu gætu haft fyrir málið.

2.
Sjónarmið embættis landlæknis

Embætti landlæknis svaraði með bréfi, dags. 24. maí 2023. Í bréfinu er meðal annars lýst tæknilegri uppbyggingu lyfjaávísanagáttar, þeim öryggisráðstöfunum sem þar eru viðhafðar og afstöðu embættisins til ábyrgðar á rekjanleika uppflettinga í gáttinni.

2.1.
Tæknileg uppbygging lyfjaávísanagáttar og öryggisráðstafanir

Fram kemur í bréfi embættis landlæknis að embættinu beri samkvæmt 50. gr. lyfjalaga nr. 100/2020 að starfrækja lyfjaávísanagátt og sé heimilt að varðveita rafrænar lyfjaávísanir í gáttinni meðan lyfjaávísun er í gildi. Lyfjaávísanagátt sé skilgreind í 10. tölul. 3. gr. laganna sem miðlægur skeytamiðlari sem haldi utan um rafrænar lyfjaávísanir milli útgefenda lyfjaávísana og lyfjabúða.

Lyfjaávísanagátt sé rekin sem gagnagrunnur í svonefndri Heklu-miðju sem sé miðja Heklu-heilbrigðisnets. [...]

Svonefndar Heklu-gáttir tengist Heklu-miðjunni, þ.e. lyfjaávísanagátt eins og hér háttar til. Veitendur heilbrigðisþjónustu reki sjúkraskrárkerfi sín meðal annars í því skyni að sjá um útgáfu rafrænna lyfjaávísana. Sjúkraskrárkerfin noti Heklu-gáttir, sem reknar séu af veitendum heilbrigðisþjónustu, í þessu skyni. Á svipaðan hátt reki lyfsalar lyfjaafgreiðslukerfi fyrir sínar lyfjabúðir sem notuð séu til að afgreiða lyfseðilsskyld lyf. Lyfjaafgreiðslukerfin noti einnig Heklu-gáttir sem reknar séu af lyfsölum, meðal annars í því skyni að afla upplýsinga úr lyfjaávísanagátt um rafrænar lyfjaávísanir. Samskipti lyfjaafgreiðslukerfis við lyfjaávísanagátt fari fram í gegnum forritunarviðmót. Hvorki starfsmenn lyfjabúða né aðrir notendur lyfjaafgreiðslukerfa hafi beinan aðgang að lyfjaávísanagátt.

Í bréfinu er einnig lýst þeim ráðstöfunum sem gerðar eru af hálfu embættis landlæknis í því skyni að tryggja öryggi persónuupplýsinga í lyfjaávísanagáttinni.

Í fyrsta lagi sé gáttin rekin sem hluti af Heklu-heilbrigðisneti sem tryggi öryggi upplýsinga á margvíslegan hátt. Um sé að ræða lokað net Heklu-miðja og skilgreindra Heklu-gátta sem tryggi að óviðkomandi aðilar hafi ekki möguleika á að tengjast netinu. Þær Heklu-miðjur sem embætti landlæknis reki séu hýstar á bak við öflugar innbrotavarnir hjá hýsingaraðila sem staðist hafi ströngustu öryggiskröfur. Öll samskipti sem fari um netið séu dulkóðuð sem tryggi að óviðkomandi komist ekki inn í þau samskipti sem fari um netið. Þá sé Heklu-gáttum veittur aðgangur að mismunandi þjónustum Heklu-heilbrigðisnets. Þannig sé aðgangur Heklu-gáttar lyfjabúðar bundinn við aðgang að uppflettingum í lyfjaávísanagátt.

Í öðru lagi séu persónuauðkenni sjúklinga dulkóðuð í gagnagrunni lyfjaávísanagáttar.

Í þriðja lagi sé tryggt að sá sem ávísi lyfi hafi tilskyldar heimildir samkvæmt starfsleyfaskrá embættis landlæknis.

Í fjórða lagi séu allar uppflettingar lyfjabúða í lyfjaávísanagátt skráðar í aðgerðarskrá með upplýsingum um tímasetningar þeirra. Er í þessu sambandi sérstaklega tekið fram að embætti landlæknis hafi við samningu lyfjalaga nr. 100/2020 farið fram á það við heilbrigðisráðuneytið að starfsfólk lyfjaverslana yrði skyldað til að skrá sig inn á persónubundinn aðgang í lyfjaafgreiðslukerfi. Heilbrigðisráðuneytið hafi hins vegar ekki séð ástæðu til að taka upp í frumvarpsdrögin skilyrði um skráningu uppflettinga einstakra starfsmanna lyfjabúða.

2.2.
Ábyrgð á rekjanleika uppflettinga

Embætti landlæknis byggir á því að lyfsalar teljist ábyrgðaraðilar að vinnslu persónuupplýsinga við afgreiðslu lyfja í lyfjabúðum, þ.m.t. uppflettingum í lyfjaávísanagátt. Þeim beri því að tryggja aðgangsstýringar og rekjanleika í aðgerðum sem framkvæmdar séu í lyfjaafgreiðslukerfum.

Rekstur lyfjaávísanagáttar, eins og hún er skilgreind í 10. tölul. 3. gr. lyfjalaga nr. 100/2020, taki ekki til uppflettinga einstakra starfsmanna lyfjabúða í lyfjaafgreiðslukerfum. Uppflettingarnar fari fram í gegnum forritunarviðmót, sem sé ekki hluti af lyfjaávísanagátt. Óraunhæft og nánast ógerlegt sé fyrir embætti landlæknis að hafa með höndum aðgangsstýringu fyrir alla þá sem hafa heimild til að setja sig í samband við skeytamiðlarann, þ.e. lyfjaávísanagáttina.

Embætti landlæknis beri á hinn bóginn ábyrgð á vinnslu persónuupplýsinga í lyfjaávísanagáttinni sjálfri, þ.e. hinum miðlæga skeytamiðlara sem haldi utan um rafrænar lyfjaávísanir milli útgefenda lyfjaávísana og lyfjabúða. Embættið álíti sig skorta lagastoð fyrir því að binda uppflettingar í lyfjaávísanagátt því skilyrði að upplýsingar um þá sem þær framkvæmi berist embættinu. Þessu sé þó öfugt farið í öðrum miðlægum lyfjatengdum gagnagrunnum þar sem embættið móttaki þessar upplýsingar frá þeim kerfum sem notuð séu til að framkvæma uppflettingar.

Embætti landlæknis telji sig ekki geta haft eftirlit með uppflettingum í lyfjaávísanagátt í því skyni að bera kennsl á tilhæfulausar uppflettingar heldur séu lyfsalar þeir einu sem geti rakið tilefni uppflettinga síns starfsfólks. Embætti landlæknis geti tengt tiltekna uppflettingu við afgreiðslu en hins vegar geti verið margar ástæður fyrir því að lyf séu ekki afgreidd í kjölfar uppflettingar. Telur embættið að lyfsalar gætu komið sér upp virkni í lyfjaafgreiðslukerfum þannig að gefa þyrfti skýringu á einstökum uppflettingum.

Fram kemur í bréfi embættis landlæknis að í bígerð sé að veita almenningi aðgang að upplýsingum um uppflettingar í lyfjaávísanagátt, þ.e. hvenær og í hvaða lyfjabúðum uppflettingar séu framkvæmdar, en nákvæmari upplýsingagjöf sé háð því að gerðar verði ríkari kröfur til lyfjaafgreiðslukerfa varðandi rekjanleika.

Í bréfinu er rakið að sérstök reglugerð um lyfjaávísanagátt hafi ekki verið sett þrátt fyrir að mælt sé fyrir um skyldu ráðherra þar að lútandi í 53. gr. lyfjalaga nr. 100/2020. Að mati embættisins sé reglugerð nr. 740/2020 um lyfjaávísanir og afhendingu lyfja ekki nægjanlega skýr varðandi notkun lyfjaávísanagáttar í lyfjabúðum og skyldur lyfsala henni tengdri. Ákvæði 1. mgr. 13. gr. reglugerðarinnar mæli þó skýrlega fyrir um að lyfsölum beri að tryggja að farið sé með lyfjaávísanir þannig að þær séu ekki sýnilegar óviðkomandi. Jafnframt segi í 19. gr. reglugerðarinnar að tryggja skuli að unnt sé að rekja afhendingu lyfja til viðkomandi starfsmanns. Þessi ákvæði, auk tiltekinna ákvæða persónuverndarlöggjafarinnar, leggi því ríkar kröfur á herðar lyfsala um að tryggja nægjanlegar og viðeigandi aðgangsstýringar á kerfum sínum.

Loks er það áréttað að fulltrúar embættis landlæknis og Lyfjastofnunar í vinnuhópi, sem vann að núgildandi lagaumhverfi fyrir lyf, hafi farið fram á að starfsfólk lyfjabúða yrði skyldað til að skrá sig inn á persónubundinn aðgang í lyfjaafgreiðslukerfum. Fulltrúar lyfsala hafi hins vegar lagst eindregið gegn því. Krafan hafi því hvorki ratað í texta laga né reglugerða.

II.
Forsendur og niðurstaða
1.
Afmörkun máls – Gildissvið – Ábyrgðaraðili

Mál þetta lýtur að því hvort embætti landlæknis tryggi viðeigandi upplýsingaöryggi við vinnslu persónuupplýsinga í lyfjaávísanagátt en með gáttinni er rafrænum lyfjaávísunum miðlað milli útgefenda þeirra og lyfjabúða, sbr. 50. gr. og 10. tölul. 3. gr. lyfjalaga nr. 100/2020 og eins og nánar er lýst í kafla I.2.1.

Málið varðar því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 2. og 4. tölul. 3. gr. og 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

Í 50. gr. lyfjalaga nr. 100/2020 er mælt fyrir um að embætti landlæknis starfræki lyfjaávísanagátt. Embætti landlæknis telst því vera ábyrgðaraðili að vinnslu persónuupplýsinga í gáttinni, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Embætti landlæknis verður á hinn bóginn ekki talið bera ábyrgð á vinnslu persónuupplýsinga af hálfu starfsmanna lyfjabúða, svo sem uppflettinga í lyfjaávísanagáttinni. Með hliðsjón af afmörkun þessa máls verður ekki fjallað um upplýsingaöryggi hjá lyfjabúðum í niðurstöðu þessari.

2.
Lögmæti vinnslu – Viðunandi öryggi persónuupplýsinga

Mælt er fyrir um lyfjaávísanagátt í 50. gr. lyfjalaga nr. 100/2020, sbr. skilgreiningu 10. tölul. 3. gr. sömu laga. Þar segir segir að embætti landlæknis skuli starfrækja lyfjaávísanagátt í þeim tilgangi að miðla rafrænum lyfjaávísunum milli útgefenda lyfjaávísana og lyfjabúða. Heimilt sé að varðveita rafrænar lyfjaávísanir í lyfjaávísanagáttinni á meðan lyfjaávísun er í gildi.

Í lyfjalögum eru ekki sérstök ákvæði um upplýsingaöryggi í lyfjaávísanagáttinni en samkvæmt lokamálslið framangreindrar 50. gr. fer um vinnslu persónuupplýsinga, sem fara um lyfjaávísanagátt, samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga.

Samkvæmt 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, skal þess gætt við vinnslu persónuupplýsinga að viðeigandi öryggi upplýsinganna sé tryggt. Ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt þennan áskilnað og skal geta sýnt fram á það, sbr. 2. mgr. ákvæðanna. Ítarlegri ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi sé metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að upplýsingarnar verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Af framangreindu er ljóst að embætti landlæknis ber að tryggja viðeigandi upplýsingaöryggi við þá vinnslu persónuupplýsinga í lyfjaávísanagátt sem embættið ber ábyrgð á, þ.e. bæði við varðveislu upplýsinganna og með því að gera þær aðgengilegar fyrir lyfjabúðir. Tekur sú krafa meðal annars til þess að embættið geri viðeigandi og viðunandi ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í gáttinni.

Um það hversu ríkar kröfur verða gerðar til upplýsingaöryggis í lyfjaávísanagátt, samkvæmt fyrrgreindum ákvæðum persónuverndarlög­gjafar­innar, verður að líta til þess að í gáttinni eru unnar upplýsingar um lyfjanotkun einstaklinga og er því um að ræða viðkvæmar persónuupplýsingar, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018.

Meðal þeirra öryggisráðstafana sem unnt er að styðjast við til að varna gegn óheimilli birtingu eða óheimilum aðgangi að persónuupplýsingum, sem varðveittar eru í rafrænu upplýsingakerfi, er aðgerðaskráning. Getur slík skráning jafnframt verið til þess fallin að tryggja viðunandi eftirlit með aðgangi og annarri notkun upplýsinganna. Má í þessu sambandi nefna að í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, var það nefnt sem dæmi um öryggisráðstafanir að tryggður væri rekjanleiki uppflettinga og vinnsluaðgerða.

Fyrir liggur að embætti landlæknis móttekur og varðveitir upplýsingar um rafrænar lyfjaávísanir í lyfjaávísanagátt og veitir lyfjabúðum aðgang að upplýsingunum í gegnum þeirra eigin lyfjaafgreiðslukerfi sem tengd eru gáttinni.

Ljóst er af gögnum málsins að embætti landlæknis hefur gripið til ýmissa ráðstafana í því skyni að stuðla að upplýsingaöryggi í gáttinni. Til að mynda er embættinu kleift að rekja uppflettingar í gáttinni til einstakra lyfjabúða og tímasetningar þeirra, auk þess sem tengingar utanaðkomandi aðila við gáttina eru takmarkaðar. Þá eru fyrir hendi tilteknar lögbundnar öryggisráðstafanir, svo sem þagnarskylda starfsmanna lyfjabúða, sbr. 3. mgr. 34. gr. lyfjalaga nr. 100/2020.

Að mati Persónuverndar skortir þó á að viðhafðar séu fullnægjandi öryggisráðstafanir sem miða sérstaklega að því að varna gegn óheimilum aðgangi að upplýsingum í lyfjaávísanagáttinni. Er í því sambandi óhjákvæmilegt að líta til þess að í lyfjaávísanagáttinni er ekki aðgerðaskráning sem felur í sér persónubundinn rekjanleiki uppflettinga, hvorki í sjálfri gáttinni né í þeim lyfjaafgreiðslukerfum sem hafa verið tengd við hana. Í því felst að aðgangsstýringu að upplýsingum í gáttinni er ábótavant. Þá verður ekki ráðið af gögnum málsins að embætti landlæknis bindi aðgang lyfjabúða að upplýsingum úr lyfjaávísanagátt sérstökum skilyrðum sem lúta að upplýsingaöryggi.

Hvað varðar ábyrgð lyfjabúða í þessu sambandi áréttar Persónuvernd að í ákvörðun þessari er einungis fjallað um ábyrgðarskyldur embættis landlæknis varðandi vinnslu persónuupplýsinga í lyfjaávísanagátt. Ábyrgðarskyldur annarra ábyrgðaraðila í tengslum við þá vinnslu hagga í engu þeirri sjálfstæðu skyldu sem hvílir á embættinu að gera viðeigandi ráðstafanir sem miða að því að tryggja viðunandi öryggi persónuupplýsinga í gáttinni, þ. á m. að varna gegn óheimilum aðgangi að upplýsingunum. Það breytir ekki framangreindri niðurstöðu að lyfjabúðir hafa aðgang að upplýsingum í lyfjaávísanagátt í gegnum lyfjaafgreiðslukerfi, enda leiðir það allt að einu til þess að upplýsingar í gáttinni eru gerðar tiltækar af hálfu embættisins.

Að öllu framangreindu gættu er það niðurstaða Persónuverndar að embætti landlæknis hafi ekki gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga í lyfjaávísanagátt í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir embætti landlæknis að gera viðeigandi ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í lyfjaávísanagátt, þ. á m. með tilhæfulausum uppflettingum starfsmanna lyfjabúða. Umræddar ráðstafanir ættu einkum að taka til þess að persónubundinn rekjanleiki uppflettinga í gáttinni verði tryggður. Geta viðeigandi ráðstafanir verið af tæknilegum og/eða skipulagslegum toga, svo sem með því að binda aðgang lyfjabúða að lyfjaávísanagátt því skilyrði að þær takmarki aðgang við þá starfsmenn sem á honum þurfa að halda starfs síns vegna og skrái jafnframt upplýsingar um uppflettingar einstakra starfsmanna.

Skal staðfesting á því að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á inntaki þeirra ráðstafana sem gripið hefur verið til vegna þeirra, berast Persónuvernd eigi síðar en 1. september 2023.

Á k v ö r ð u n a r o r ð:

Embætti landlæknis hefur ekki gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga í lyfjaávísanagátt í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.

Lagt er fyrir embætti landlæknis að gera viðeigandi ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í lyfjaávísanagátt. Eigi síðar en 1. september 2023 skal embætti landlæknis senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á þeim ráðstöfunum sem gripið hefur verið til í því skyni.

Persónuvernd, 27. júní 2023

Ólafur Garðarsson

formaður

 

Árnína Steinunn Kristjánsdóttir                              Björn Geirsson

Vilhelmína Haraldsdóttir                           Þorvarður Kári Ólafsson