Ákvörðun Persónuverndar vegna athugun á lyfjagagnagrunni landlæknis
19. nóvember 2008
Ákvörðun
Hinn 14. nóvember 2008 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2008/106:
I.
Almennt
Hinn 10. mars 2008 var ákveðið á fundi stjórnar Persónuverndar að gera úttekt hjá Landlæknisembættinu á vinnslu persónuupplýsinga í lyfjagagnagrunni samkvæmt 27. gr. lyfjalaga nr. 93/1994, sbr. lög nr. 89/2004. Nánar tiltekið var ákveðið að gera úttekt á eftirfarandi tveimur atriðum:
Hvaða upplýsingar um kostnað vegna lyfjakaupa eru skráðar í gagnagrunninn.
Hvort aðgangur að gagnagrunninum samrýmist framangreindu ákvæði lyfjalaga.
Boðað var til úttektarinnar með bréfi til Landlæknisembættisins, dags. 8. apríl 2008, þar sem óskað var eftir að afhentar yrðu þær verklagsreglur og verkferlar sem giltu um aðgang að upplýsingum í gagnagrunninum. Embættið svaraði með bréfi, dags. 18. s.m. Með því voru hjálögð umbeðin gögn. Annars vegar voru það kaflar úr öryggishandbók embættisins sem að grunni til er frá 2001 en hefur verið endurskoðuð síðan, þ. á m. 2005 og 2008 þegar bætt var inn umfjöllun um lyfjagagnagrunninn. Hins vegar var það lýsing, dags. 8. maí 2006, á þeim fyrirspurnum sem gerðar eru í gagnagrunninn.
Hinn 14. maí 2008 var gerður samningur við Stika ehf. um að veita sérfræðiaðstoð á sviði upplýsingatækni við framkvæmd úttektarinnar. Sama dag ritaði Svavar Ingi Hermannsson, sérfræðingur hjá Stika ehf., undir trúnaðarheit þar sem hann hét því að gæta þagnarskyldu um allar þær upplýsingar sem sanngjart væri og eðlilegt að leynt færu. Einnig var samdægurs framkvæmd vettvangsathugun hjá embætti Landlæknis. Af hálfu Persónuverndar voru þar stödd lögfræðingarnir Særún María Gunnarsdóttir, Þórður Sveinsson og Bragi Rúnar Axelsson, ásamt framangreindum sérfræðingi. Af hálfu embættis Landlæknis voru þar stödd Matthías Halldórsson aðstoðarlandlæknir, Sigríður Haraldsdóttir framkvæmdastjóri heilbrigðistölfræðisviðs, Ólafur Einarsson verkefnisstjóri og Kristinn Jónsson gagnagrunnsstjóri.
Með bréfi, dags. 20. maí 2008, sendi Landlæknisembættið Persónuvernd minnisblað, dags. 19. s.m., þar sem lýst var tilteknum þætti í öryggiskerfi embættisins vegna lyfjagagnagrunnsins, þ.e. skráningu á aðgerðum í grunninum (s.s. einstökum uppflettingum) og eftirliti með aðgangi að honum.
Með bréfi, dags. 21. júlí 2008, bauð Persónuvernd Landlæknisembættinu að tjá sig um lýsingu á því sem fram fór í vettvangsheimsókninni. Landlæknisembættið svaraði með bréfi, dags. 27. ágúst s.á. þar sem gerðar voru athugasemdir við lýsinguna.
II.
Vettvangsheimsókn
1.
Almennt
Hér fer á eftir lýsing á þeim þáttum varðandi vinnslu persónuupplýsinga í lyfjagagnagrunninum sem varða skráningu á kostnaði vegna lyfjakaupa og aðgang að grunninum. Lýsingin er að stofni til tekin upp úr minnisblaði Persónuverndar frá 20. maí 2008, en gerðar hafa verið breytingar á lýsingunni með hliðsjón af athugasemdum Landlæknisembættisins í áðurnefndu bréfi þess, dags. 27. ágúst 2008.
2.
Upplýsingar um verð lyfja sem skráðar eru í grunninn
Í lyfjagagnagrunninn eru skráðar upplýsingar um heildarverð lyfs og hlut Tryggingastofnunar ríkisins (TR), en ekki hlut sjúklings. Er því m.a. ekki skráð hvort sjúklingur hafi fengið afslátt og þá hversu mikinn. Til að það sé unnt þarf að breyta svonefndum EDI-skeytum sem send eru frá lyfjabúðum til TR. Einnig er fjallað um þetta í kafla 3.2.1 hér á eftir.
Fram hefur komið af hálfu Landlæknisembættisins að lyfjabúðir afhenda ekki upplýsingar um hlut sjúklings í lyfjaverði þar sem þær telja að um viðskiptaleyndarmál sé að ræða.
3.
Aðgangur að upplýsingum í lyfjagagnagrunni
3.1.
Almennt
Lyfjagagnagrunnurinn er hýstur á innra neti TR sem sér um reksturinn á honum. Notast er við dulkóðuð VPN-gögn frá Landlæknisembættinu og aðgangur að þeim takmarkaður við ákveðnar IP-tölur hjá landlækni. Þá hafa þrír starfsmenn TR aðgang að gagnagrunninum, þ.e. gagnagrunnsstjóri, kerfisstjóri og trúnaðarmaður landlæknis. Aðgangur þeirra afmarkast við dulkóðuð gögn. Trúnaðarmaðurinn hefur það hlutverk að dulrita lyfseðla sem búið er að afgreiða hjá TR. Hann geymir dulkóðunarlykil og dulkóðar gögn. Lyfseðlar eru færðir vikulega inn í gagnagrunninn með brenglunarföllum og hökkum.
Sex starfsmenn Landlæknisembættisins hafa aðgang að lyfjagagnagrunninum og eru heimildir þeirra takmarkaðar við lesaðgang. Þetta eru tveir læknar sem sinna lyfjaeftirliti, þrír verkefnisstjórar gagnagrunna og upplýsingakerfa og sérfræðingur í tölfræðivinnslu. Framangreindir starfsmenn embættisins nota sérstakan hugbúnað, sem nefndur er lyfjaeftirlitskerfi, til að tengjast grunninum og er gagnagrunnurinn notaður daglega.
Öryggisafrit eru tekin reglulega af grunninum. Daglega er tekið heildarafrit sem geymt er í viku. Þá er mánaðalega tekið afrit sem varðveitt er í eitt ár. Einu sinni á ári er og tekið afrit sem varðveitt er til frambúðar.
3.2.
Aðgangur TR
Samkvæmt 3. mgr. 27. gr. lyfjalaga nr. 93/1994 getur TR sótt um aðgang að persónuupplýsingum úr lyfjagagnagrunni Landlæknisembættisins. Landlæknir getur veitt slíkt leyfi ef TR æskir aðgangs vegna endurgreiðslu lyfjakostnaðar sjúklings og fyrir liggur samþykki hans, sbr. a-lið 1. tölul. ákvæðisins, eða ef TR æskir aðgangs til að kanna lyfjaávísanir og ávísanavenjur lækna vegna eftirlits með lyfjakostnaði, enda komi ekki fram persónuauðkenni sjúklings í þeim tilvikum, sbr. b-lið 1. tölul. ákvæðisins.
TR fær aldrei beinan aðgang að lyfjagagnagrunninum. Í einstaka tilviki hefur TR hins vegar óskað eftir athugun Landlæknisembættisins þegar fyrir liggur grunur um að lyfjakostnaður sé óeðlilega hár eða að lyfjanotkun hafi verið óeðlileg. Af hálfu embættisins kemur fram að gætt sé fyllsta trúnaðar í slíkum tilfellum.
3.2.1.
Aðgangur vegna endurgreiðslu lyfjakostnaðar
Í öryggishandbók Landlæknisembættisins er að finna verkferli merkt „100-250 Endurgreiðsla til einstaklings" sem fjallar um aðgang TR að persónuupplýsingum úr lyfjagagnagrunni vegna endurgreiðslu lyfjakostnaðar. Þessi verkferli eru hins vegar ekki virk í reynd þar sem upplýsingar um hlut sjúklings í lyfjakostnaði, þ.e. raunverð með tilliti til afsláttar, eru ekki sendar TR og þar af leiðandi ekki færðar inn í lyfjagagnagrunninn. Því er einungis skráð markaðsverð lyfs og hlutdeild TR í kostnaðinum.
Fyrir kemur að einstaklingar leita eftir upplýsingum um eigin lyfjanotkun og kostnað vegna lyfja. Þeir fá þá í hendur allar upplýsingar um eigin lyfjanotkun.
3.2.2.
Aðgangur vegna eftirlits með lyfjakostnaði
TR hefur sjaldan óskað eftir upplýsingum úr lyfjagagnagrunni vegna eftirlits með lyfjakostnaði. Það hefur þó verið gert í tengslum við fræðslufundi TR með heilsugæslustöðvum. Þá er óskað eftir svokölluðum „lyfjaprófílum" fyrir viðkomandi heilsugæslustöð í því skyni að læknar geti fylgst með og bætt eigin ávísanavenjur. Óskað er eftir þessum upplýsingum með undirrituðu bréfi. Upplýsingar, sem Landlæknisembættið veitir, hafa einkum verið í tölfræðiformi, þ.e. sem súlurit, en ef auðkenni læknanna, sem í hlut eiga, koma fram hefur verið leitað eftir samþykki þeirra. Hafa læknar á heilsugæslustöðvunum á Seltjarnarnesi og Selfossi beðið skriflega um að persónuauðkenni þeirra komi fram, en þeir eru áhugamenn um bættar ávísanavenjur. Öll samskipti við TR eru færð í málaskrárkerfi Landlæknisembættisins. Þessi tilvik eru fá og aldrei hefur komið til þess að synjað hafi verið um að veita upplýsingar í þessu skyni.
3.3.
Aðgangur Lyfjastofnunar
Samkvæmt 3. mgr. 27. gr. lyfjalaga nr. 93/1994 getur Lyfjastofnun sótt um aðgang að persónuupplýsingum úr lyfjagagnagrunni landlæknisembættisins. Landlæknir getur veitt slíkt leyfi ef Lyfjastofnun æskir aðgangs í samræmi við eftirlitshlutverk stofnunarinnar samkvæmt lyfjalögum þegar rökstuddur grunur er um fölsun lyfseðils fyrir ávana- og fíknilyf eða að tilurð hans hafi orðið með öðrum ólögmætum hætti, sbr. a-lið 2. tölul. ákvæðisins, eða þegar rökstuddur grunur er um ranga afgreiðslu lyfseðils fyrir ávana- og fíknilyf, sbr. b-lið 2. tölul. ákvæðisins.
Lyfjastofnun fær aldrei beinan aðgang að lyfjagagnagrunninum.
3.3.1.
Aðgangur vegna gruns um ólögmæta tilurð lyfseðils
Lyfjastofnun hefur ekki óskað eftir upplýsingum úr lyfjagagnagrunni á þessum grundvelli. Þegar grunur vaknar um fölsun lyfseðils sendir Lyfjastofnun tilkynningu til lögreglu og einnig til Landlæknisembættisins um það. Landlæknir getur þá flett einstaklingnum upp í lyfjagagnagrunninum og kannað hvort líkur séu á óeðlilegum lyfjaútskriftum. Er það liður í eftirliti embættisins. Tilkynningarnar og önnur gögn, sem verða til vegna þeirra, eru færðar í málaskrárkerfi Landlæknisembættisins. Þær eru varðveittar í sama rými og kvartana- og kærumál og þar af leiðandi er öryggisstig þeirra hið sama.
Hringt er frá Landlæknisembættinu í viðkomandi lækni í stöku tilvikum og fyrir kemur að lækninum er í framhaldi af því send útskrift lyfja á viðkomandi sjúkling til að geta staðfest að ekki sé um frekari falsanir að ræða. Ekki er alltaf eitthvað skráð, en verið er að færa meiri festu í verklagið. Framvegis verði aðeins hringt ef allt reynist vera í lagi. Í öðrum tilvikum verði hvorki hringt né sendur tölvupóstur heldur alltaf sent bréf. Þetta hefur verið tilkynnt í Læknablaðinu.
3.3.2.
Aðgangur vegna gruns um ranga afgreiðslu lyfseðils
Lyfjastofnun hefur aldrei óskað eftir upplýsingum úr lyfjagagnagrunni á þessum grundvelli. Þegar grunur vaknar um ranga afgreiðslu lyfseðils sendir Lyfjastofnun rökstutt bréf til Landlæknisembættisins sem sér um að sækja nauðsynlegar upplýsingar. Lyfjagagnagrunnurinn hefur ekki haft að geyma neinar frekari upplýsingar um ranga afgreiðslu en sem Lyfjastofnun hefur þegar haft undir höndum. Komi í ljós að lyfseðill hafi verið falsaður getur komið til þess að fylgt sé því verklagi, sem lýst er í kafla 3.3.1 hér að framan, til að komast að því hvort um frekari falsanir hafi verið að ræða.
3.4.
Aðgangur landlæknisembættisins
Samkvæmt 4. mgr. 27. gr. lyfjalaga nr. 93/1994 hefur landlæknir sjálfur aðgang að lyfjagagnagrunninum í samræmi við eftirlitshlutverk embættisins samkvæmt lögum um heilbrigðisþjónustu, læknalögum og lyfjalögum þegar eitthvert af eftirtöldum skilyrðum er uppfyllt:
þegar ástæða er til að ætla að einstaklingur hafi fengið ávísað miklu af ávana- og fíknilyfjum frá mörgum læknum,
þegar ástæða er til að ætla að læknir hafi ávísað ávana- og fíknilyfjum á sjálfan sig,
þegar ástæða er til að ætla að einstaklingur hafi fengið ávísað meira af ávana- og fíknilyfjum en eðlilegt getur talist á tilteknu tímabili,
til að hafa almennt eftirlit með ávísunum lækna á lyf og fylgjast með lyfjaþróun skv. 19. gr. læknalaga nr. 53/1988, sbr. nú 18. gr. laga nr. 41/2007 um landlækni.
Eftirlit með framangreindu er á hendi Matthíasar Halldórssonar aðstoðarlandlæknis, sem og Kristjáns Oddssonar, yfirlæknis hjá Landlæknisembættinu, í fjarveru Matthíasar.
3.4.1.
Grunsemdir um að einstaklingur hafi fengið ávísað of miklu af ávana- og fíknilyfjum, annaðhvort frá mörgum læknum eða í meira magni en eðlilegt getur talist á tilteknu tímabili
Ábendingar um að einstaklingur hafi fengið ávísað of miklu af ávana- og fíknilyfjum, annaðhvort frá mörgum læknum eða í meira magni en eðlilegt getur talist á tilteknu tímabili, geta komið inn með ýmsu móti, t.d. frá aðstandendum, apótekum, lögreglu, TR og frá læknum. Grunsemdir geta einnig vaknað við reglubundið eftirlit þar sem farið er yfir gögn í lyfjagagnagrunninum, þ.e. ef í ljós kemur að lyfjaávísanir, sem skráðar eru á tiltekinn einstakling, eru óeðlilega margar. Stuðst er við ákveðin viðmið í því sambandi. Við þetta reglubundna eftirlit eru persónuauðkenni lækna og sjúklinga dulkóðuð en afkóðuð ef sérstök ástæða þykir til. Algengt er að læknar sendi inn skriflegar fyrirspurnir vegna sjúklinga sem til þeirra leita og vilja fá ávísað lyfjum.
Ef fjöldi ávísana og hugsanlega aðrir þættir gefa, að mati Landlæknisembættisins, tilefni til að aðhafast í málinu er viðkomandi lækni, s.s. geðlækni, sent bréf, hann látinn vita af vandanum og lausn á honum lögð til, t. a. m. að fela ákveðnum lækni að stjórna lyfjagjöfinni. Stöku sinnum er sent afrit yfir lyfjaávísanir síðasta árs.
Samrit er sent á aðra útgefandi lækna, en nöfn þeirra eru ekki tilgreind. Sú framkvæmd var eitt sinn við lýði en var lögð af. Í stað nafna viðkomandi lækna stendur: „Samrit sent á aðra útgefandi lækna." Engar upplýsingar eru sendar aðstandendum eða lögreglu.
Þegar ábending eða fyrirspurn um lyfjaneyslu einstaklings berst Landlæknisembættinu er stofnað um hana sérstakt mál. Öll samskipti eru skjöluð og vistuð í sama fýsíska hólfi og mál sem fara í kæru- og kvartanaskrá, en einungis starfsmenn með skilgreindar aðgangsheimildir hafa aðgang að þeim.
Þær upplýsingar, sem hægt er að sjá um lyfjaávísanir einstaklinga, birtast í tvenns konar formum, þ.e. „einstaklingar samantekt" og „ávísað á einstakling". Formið „einstaklingar samantekt" sýnir upplýsingar flokkaðar eftir dulkóðuðum kennitölum, ATC-kóða (frá 1.-5. stigi) eða heiti lyfs, norrænu vörunúmeri lyfs, afgreiðslutímabili, fjölda lækna, fjölda ávísana eða ávísuðum dagskömmtum. Til þess að sjá frekari upplýsingar um tiltekinn einstakling er hægt að velja aðgerðina „skoða ávísanir". Við það er náð í dulkóðaða kennitölu eftir númeri hennar, hún afkóðuð og sett inn í innsláttarsvið í forminu „ávísað á einstakling". Þar er hægt að skoða frekari upplýsingar um ávísanir einstaklings á tilteknu tímabili fyrir ákveðinn ATC-kóða. Fram koma upplýsingar um númer og útgáfudag lyfseðils; læknanúmer, nafn og aðalsérgrein læknis; afgreiðslustað, afgreiðsludag lyfs, fjölda afgreiðslna og númer afgreiðslu ef um fjölnota lyfseðil er að ræða; samanteknar upplýsingar um lyf úr lyfjaverðskrá (heiti lyfs, form og einingar); einingafjölda og dagsskammta einnar einingar; heildarverð lyfs samkvæmt lyfseðli og verð samkvæmt lyfjaverðskrá; ATC-kóða lyfs, lyfjaheitisnúmer og norrænt vörunúmer; og aldur, kyn og póstnúmer lögheimils viðkomandi einstaklings.
Þannig er bæði hægt að fletta upp upplýsingum um lyfjaávísanir einstaklings með því að slá kennitölu hans beint inn í formið „ávísað á einstakling" eða með því að afkóða kennitölu með aðgerðinni „skoða ávísanir" í forminu „einstaklingar samantekt".
3.4.2.
Grunsemdir um að læknir hafi ávísað ávana- og fíknilyfjum á sjálfan sig
Komið hafa upp tvö mál þar sem grunur var uppi um að læknir hefði ávísað ávana- og fíknilyfjum á sjálfan sig. Voru þá skoðuð gögn í lyfjagagnagrunninum vegna grunsemda sem vaknað höfðu vegna annarra misfellna í starfi viðkomandi lækna sem gáfu tilefni til skoðunar gagna. Af hálfu embættis Landlæknis hefur komið fram að athuganir á gögnum hafi staðfest misfellur í starfi læknanna og hafi það haft í för með sér íþyngjandi aðgerðir embættisins.
Málin eru skjöluð og varðveitt með sama hætti og mál einstaklinga sem fá ávísað miklu af ávana- og fíknilyfjum frá mörgum læknum. Eingöngu starfsmenn með skilgreindar aðgangsheimildir hafa aðgang að þeim.
Þær upplýsingar, sem hægt er að sjá um lyfjaávísanir lækna, birtast í þrenns konar formum, þ.e. „læknar samantekt", „læknar samantekt úrtak" og „ávísað af lækni". Formið „læknar samantekt" gefur möguleika á samantekt eftir fjölda einstaklinga sem hafa fengið ávísað lyfjum; fjölda lyfjaávísana og ávísuðu magni í dagskömmtum fyrir ATC-kóða; eða fyrirfram skilgreindum lyfjahópum og læknum á ákveðnu tímabili. Ef aðgerðin „skoða ávísanir" er valin birtist formið „ávísað af lækni" og við það er læknanúmer afkóðað og hægt að skoða nánari upplýsingar um ávísanir læknisins.
3.4.3.
Almennt eftirlit með ávísunum lækna á lyf; þróun lyfjanotkunar
Fram kom að almennt eftirlit með ávísunum á lyf getur t.d. farið þannig fram að skoðuð sé notkun tiltekinna lyfja miðað við önnur lönd. Fyrst og fremst er skoðuð tölfræði. Ef þörf er á að afkóða persónuauðkenni er gert ráð fyrir að sækja um heimild vísindasiðanefndar og Persónuverndar. Til þess kom vegna svonefndrar Vioxx-rannsóknar þar sem upplýsingar úr lyfjagagnagrunninum voru tengdar við upplýsingar í gagnagrunni um útskriftir spítala, en til að tengja saman upplýsingarnar þurfti að afkóða persónuauðkenni í fyrrnefnda gagnagrunninum. Við þetta kom umframdauði í ljós. Fengin voru leyfi frá vísindasiðanefnd og Persónuvernd í tengslum við þessa rannsókna (sjá leyfi Persónuverndar, dags. 27. júní 2005, í máli nr. 2005/237).
3.5.
Aðgangur í öðrum tilvikum
Í vettvangsheimsókninni nefndi aðstoðarlandlæknir 4. mgr. 3. gr. sóttvarnalaga nr. 19/1997, sbr. lög nr. 55/2004, þegar hann var spurður um hvort aðgangur væri veittur að lyfjagagnagrunninum í öðrum tilvikum en talin eru upp í 27. gr. lyfjalaga. Í framangreindu ákvæði sóttvarnalaga segir að sóttvarnalæknir skuli fá afhentar upplýsingar úr m.a. lyfjagagnagrunni landlæknis til að halda skrá um sýklalyfjanotkun. Upplýsingarnar skuli vera ópersónugreinanlegar.
Aðspurður segist aðstoðarlandlæknir ekki kannast við önnur ákvæði í lögum sem séu sambærileg við 4. mgr. 3. gr. sóttvarnalaga. Ekki sé veittur aðgangur að gögnum í lyfjagagnagrunninum nema að fengnum tilskildum leyfum. Landlæknir túlkar eftirlit í ljósi d-liðar 4. mgr. 27. gr. lyfjalaga vítt, en lagaheimildir eru ekki skýrar og er því sótt um leyfi til Persónuverndar og vísindasiðanefndar.
3.6.
Verklagsreglur
Samkvæmt 5. mgr. 27. gr. lyfjalaga nr. 93/1994 setur landlæknir verklagsreglur um afgreiðslu umsókna um aðgang að lyfjagagnagrunninum. Skal þar m.a. kveðið á um skyldu umsækjanda til að gera grein fyrir tilefni þess að óskað er eftir upplýsingum úr grunninum og hvernig meðferð og úrvinnslu upplýsinga verði háttað. Settar hafa verið verklagsreglur sem birtast annars vegar í köflum, sem færðir voru inn í öryggishandbók embættisins árin 2005 og 2008, og hins vegar í lýsingu, dags. 8. maí 2006, á þeim fyrirspurnum sem gerðar eru í gagnagrunninn, sbr. umfjöllun í I. þætti ákvörðunar þessarar.
Þá hefur komið fram af hálfu Landlæknisembættisins að settar hafa verið verklagsreglur um aðgang að upplýsingum úr persónugreinanlegum gagnagrunnum embættisins í þágu vísindarannsókna. Samkvæmt þeim er vísindamönnum einungis heimill aðgangur með leyfi Persónuverndar og vísindasiðanefndar og fá upplýsingar aðeins afhentaðar á dulkóðuðu formi þannig að þær séu ekki auðkenndar tilteknum einstaklingum. Enginn fái í hendur upplýsingar, sem auðkenndar séu einstaklingi, nema viðkomandi einstaklingur sjálfur.
3.7.
Upplýsingaöryggi
3.7.1.
Afkóðunarlykill
Stilliskrár, sem geymir m.a. RSA-lykilorð til að afkóða gögn, er gætt með öðrum RSA-lykli sem unninn er úr lykilorði. Notað er sex stafa lykilorð til að vernda lykilinn. Afrit af RSA-lykli er geymt á geisladiski. Þess má geta að viðurkenndur meðalendingartími geisladiska er nú talinn eitt ár. Hins vegar er lykilorðið einnig skráð á pappír og varðveitt þannig með geisladisknum.
3.7.2.
Aðgerðaskráning
Fram kom í vettvangsheimsókninni að það væri regla hjá Landlæknisembættinu að geta þess í aðgerðaskrá (log-skrá) ef persónuauðkenni væru afkóðuð. Aðstoðarlandlæknir kannaðist ekki við að það væri haft að reglu að skoða aðgerðaskrána reglulega. Þá sagði hann það ekki skráð hvers vegna farið væri inn í lyfjagagnagrunninn hverju sinni. Í um helmingi tilvika væri slíkt gert vegna gruns um misferli.
Til stóð að gera prófun á því hvort aðgangur að upplýsingum í lyfjagagnagrunninum hefði samrýmst ákvæðum lyfjalaga. Í því skyni voru skoðaðar nokkrar uppflettingar í aðgerðaskrá Landlæknisembættisins og kannað hvort í málaskrá embættisins væri að finna viðhlítandi skýringar á hverri og einni uppflettingu. Við athugunina kom hins vegar í ljós að aðgerðaskráning hófst fyrst 17. apríl 2008. Þá kom í ljós að síðan þá hafði þess aðeins verið getið í aðgerðaskránni þegar persónuauðkennd gögn voru dregin út úr þýði, þ.e. þegar leitarfyrirspurn skilaði niðurstöðum um marga einstaklinga þar sem kennitölur eru dulkóðaðar og einn einstaklingur var valinn úr þessum hópi, skoðaður og kennitala hans afkóðuð. Uppflettingar á persónuauðkenndum upplýsingum, t.d. uppflettingar á einstökum kennitölum, voru hins vegar ekki skráðar. Sagði starfsmaður Landlæknisembættisins að bætt yrði úr þessu samdægurs.
Það sem skráð var í aðgerðaskrána var nánar tiltekið eftirfarandi: Hvenær kennitala var dulkóðuð, hvaða dag hún var afkóðuð, hver afkóðaði hana og IP-tala þess sem afkóðaði hana. Ekki er gerður greinarmunur á kennitölu og læknanúmeri í aðgerðaskránni. Til þess að komast að því hvort er þarf að tengja saman aðgerðaskráningartöflu við töflu sem inniheldur kennitölurnar.
Með bréfi, dags. 20. maí 2008, sendi Landlæknisembættið Persónuvernd minnisblað, dags. 19. s.m., þar sem lýst er fyrirkomulagi aðgerðaskráningar og eftirlits með aðgangi að gagnagrunninum. Þar segir að þegar kennitölur eða læknanúmer séu afkóðuð skráist það sérstaklega í töflu í aðgerðaskrá. Nánar tiltekið skráist upplýsingar um „færslunúmer einkvæms númers færslu í töflu", „Oracle notanda er framkvæmi afkóðun", „stýrikerfisnotanda er framkvæmi afkóðun", „dagsetningu og tíma afkóðunar", „IP tölu frá hvaða tölvu fyrirspurn er gerð" og „dulkóðaða kennitölu eða læknanúmer sem flett sé upp á". Þá segir m.a.:
„Reglulegt eftirlit verður með logskránni (gagnaritaranum). Á sex mánaða fresti verður logskráin skoðuð sérstaklega eftir ákveðnu verklagi. Öryggisstjóri ber ábyrgð á framkvæmd reglulegs eftirlits. Helstu verkefni í reglulegu eftirliti eru eftirfarandi:
Notendur lyfjagagnagrunns, sem eru eingöngu tilteknir starfsmenn Landlæknisembættisins, eru skoðaðir þar sem athugað er hvort notkun þeirra á gagnagrunninum er í samræmi við starfslýsingar þeirra. Þetta á einkum við þegar um er að ræða afkóðun kennitalna einstaklinga í lyfjagagnagrunni og afkóðun læknanúmera.
Tíu kennitölur og fimm læknanúmer, sem hafa verið afkóðuð, verða valin af handahófi og athugað hvort skjölun sé samkvæmt verklagi, þ.e. að tilefni afkóðunar sé skráð."
Í bréfi Landlæknisembættisins til Persónuverndar, dags. 27. ágúst 2008, er einnig fjallað um aðgerðaskráningu. Segir þar m.a. að leitast sé við að hafa málaskráningu sem nákvæmasta. Það geti hent í erli dagsins að ekki sé skráð tilefni vinnslu á persónugreindum gögnum í lyfjagagnagrunninum, t.d. þegar um ræði reglubundið eftirlit, s.s. keyrslu á tilteknum fyrirspurnum, tölfræðivinnslum, prófunum o.þ.h. þar sem unnið sé með persónugreinanleg gögn. Hafi verið ákveðið að til tryggja að tilefni vinnslu á persónugreindum gögnum verði ávallt skráð skuli aðgerðaskráning tengd beint við tiltekna vinnslu í grunninum. Ekki verði því hjá því komist að skrá tilefni vinnslunnar hverju sinni.
3.7.3.
Önnur atriði
Flett er upp í lyfjagagnagrunninum u.þ.b. einu sinni á dag, en mjög er mismunandi hve mörgum færslum í gagnagrunninum er flett upp í einu. Stundum er aðeins flett upp örfáum færslum. Þess má geta að um 2.3 milljónir færslna eru skráðar í gagnagrunninn á hverju ári.
Til að fletta upp ákveðinni kennitölu í lyfjagagnagrunninum þarf fyrst að dulkóða hana og leita eftir henni á því formi.
Fram kom að gögn í lyfjagagnagrunninum, sem orðin voru eldri en þriggja ára, voru ekki höfð með í úrvinnslu.
III.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að mál þetta lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
2.
Forsendur
2.1.
Upplýsingar um verð lyfja
Samkvæmt 3. mgr. 27. gr. lyfjalaga nr. 93/1994 getur TR sótt um aðgang að persónuupplýsingum úr lyfjagagnagrunni Landlæknisembættisins. Landlæknir getur m.a. veitt slíkt leyfi ef TR æskir aðgangs vegna endurgreiðslu lyfjakostnaðar sjúklings og fyrir liggur samþykki hans, sbr. a-lið 1. tölul. ákvæðisins. Af 2. mgr. 24. gr. lyfjalaga er ljóst að lyfsölum ber að afhenda TR allar upplýsingar um afgreiðslu lyfja svo að unnt sé að færa þær í lyfjagagnagrunninn, en TR tekur þá við upplýsingunum f.h. Landlæknisembættisins og færir þær inn í grunninn; landlæknir ber hins vegar ábyrgð á þeirri vinnslu.
Svo að hagsmunir sjúklinga af því að geta fengið rétt ákvarðaðar endurgreiðslur af lyfjakostnaði frá TR séu tryggðir verða nauðsynlegar upplýsingar um lyfjakostnað þeirra að liggja fyrir. Af framangreindu verður ráðið að þær eigi að vera skráðar í lyfjagagnagrunninn. Svo er hins vegar ekki og er TR því ekki kleift að nota hann til að ákvarða sjúklingum endurgreiðslur af lyfjakostnaði.
Í þessu sambandi skal bent á að samkvæmt 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga skal þess gætt við vinnslu persónuupplýsinga að þær séu áreiðanlegar og uppfærðar eftir þörfum. Þá er í 1. mgr. 25. gr. laganna m.a. mælt fyrir um að þegar skráðar hafa verið persónuupplýsingar, sem eru rangar, villandi eða ófullkomnar, skuli séð til þess að þær verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða.
Líta má svo á að upplýsingar í lyfjagagnagrunni Landlæknisembættisins séu ófullkomnar í framangreindum skilningi þar sem þær geti ekki komið að lögboðnum notum við endurgreiðslu til sjúklinga á lyfjakostnaði. Sé því skylt að auka við þær að því marki sem það er nauðsynlegt til að þær komi að þessum notum.
Fram hefur komið að ástæða þess að upplýsingarnar eru ekki skráðar í gagnagrunninn sé sú að lyfjabúðir neiti að afhenda áreiðanlegar upplýsingar um lyfjakostnað. Mun Persónuvernd taka það mál sérstaklega upp gagnvart lyfjabúðunum.
2.2.
Aðgangur að lyfjagagnagrunninum
Í 3. og 4. mgr. 27. gr. lyfjalaga nr. 93/1994 er mælt fyrir um hvenær aðgangur að lyfjagagnagrunni Landlæknisembættisins sé heimill. Kemur fram að auk embættisins hafi Lyfjastofnun og TR heimild til aðgangs að gögnum í grunninum í ákveðnum tilvikum. Umrædd ákvæði hljóða svo:
„Lyfjastofnun og Tryggingastofnun ríkisins geta sótt um aðgang að persónuupplýsingum úr lyfjagagnagrunninum. Landlæknir getur veitt slíkt leyfi ef:
Tryggingastofnun ríkisins æskir aðgangs:
vegna endurgreiðslu lyfjakostnaðar sjúklings og fyrir liggur samþykki hans,
til að kanna lyfjaávísanir og ávísanavenjur lækna vegna eftirlits með lyfjakostnaði, enda komi ekki fram persónuauðkenni sjúklings í þeim tilvikum.
Lyfjastofnun æskir aðgangs í samræmi við eftirlitshlutverk stofnunarinnar samkvæmt þessum lögum:
þegar rökstuddur grunur er um fölsun lyfseðils fyrir ávana- og fíknilyf eða að tilurð hans hafi orðið með öðrum ólögmætum hætti,
þegar rökstuddur grunur er um ranga afgreiðslu lyfseðils fyrir ávana- og fíknilyf.
Landlæknir hefur sjálfur aðgang að lyfjagagnagrunninum í samræmi við eftirlitshlutverk embættisins samkvæmt lögum um heilbrigðisþjónustu, læknalögum og lögum þessum þegar eitthvert af eftirtöldum skilyrðum er uppfyllt:
þegar ástæða er til að ætla að einstaklingur hafi fengið ávísað miklu af ávana- og fíknilyfjum frá mörgum læknum,
þegar ástæða er til að ætla að læknir hafi ávísað ávana- og fíknilyfjum á sjálfan sig,
þegar ástæða er til að ætla að einstaklingur hafi fengið ávísað meira af ávana- og fíknilyfjum en eðlilegt getur talist á tilteknu tímabili,
til að hafa almennt eftirlit með ávísunum lækna á lyf og fylgjast með þróun lyfjanotkunar skv. 19. gr. læknalaga [sbr. nú 18. gr. laga nr. 41/2007 um landlækni]."
Hér á eftir er farið yfir hvort aðgangur umræddra stofnana að gagnagrunninum samrýmist framangreindum ákvæðum 27. gr. lyfjalaga.
2.2.1.
Aðgangur TR
Fram hefur komið að TR hefur ekki fengið beinan aðgang að gögnum í lyfjagagnagrunninum. Hins vegar hefur TR óskað eftir því í einstaka tilviki að Landlæknisembættið skoði gögn þegar fyrir liggur grunur um að lyfjakostnaður sé óeðlilega hár eða að lyfjanotkun hafi verið óeðlileg. Þá hefur Landlæknisembættið afhent TR gögn varðandi ávísanavenjur einstakra lækna vegna eftirlits með lyfjakostnaði. Persónauðkenni sjúklinga koma þar ekki fram og persónuaðkenni lækna eru þar aðeins að því gefnu að þeir hafi samþykkt það. Þessa notkun á grunninum verður að telja samrýmast ákvæði b-liðar 1. tölul. 3. mgr. 27. gr. lyfjalaga um að TR geti æskt aðgangs til að kanna lyfjaávísanir og ávísanavenjur lækna vegna eftirlits með lyfjakostnaði, enda komi ekki fram persónauðkenni sjúklings.
TR hefur ekki æskt aðgangs að grunninum með vísan til a-liðar 1. tölul. 3. mgr. 27. gr. lyfjalaga, þ.e. vegna endurgreiðslu lyfjakostnaðar sjúklings og að fengnu samþykki hans, enda hefur grunnurinn ekki að geyma nauðsynlegar upplýsingar til að slík notkun hans sé möguleg.
2.2.2.
Aðgangur Lyfjastofnunar
Fram hefur komið að Lyfjastofnun hefur ekki fengið beinan aðgang að gögnum í lyfjagagnagrunninum. Þegar grunur vaknar um fölsun lyfseðils sendir Lyfjastofnun hins vegar tilkynningu um það til Landlæknisembættisins sem athugar gögn í lyfjagagnagrunninum til að kanna hvort líkur séu á óeðlilegum lyfjaútskriftum. Tilkynningar og gögn, sem til verða vegna þeirra, eru varðveitt í málaskrárkerfi Landlæknisembættisins í sama rými og kvartana- og kærumál. Í sumum tilvikum er útskrift lyfja á viðkomandi sjúkling send þeim lækni, sem samkvæmt lyfseðli hefur gefið hann út, til að fá staðfest að ekki sé um frekari falsanir að ræða. Ekki er í lyfjalögum mælt fyrir um aðgang meðferðarlækna að gögnum í lyfjagagnagrunni. Þar sem hér er um að ræða upplýsingar um lyfjaávísanir, sem skráð er að viðkomandi læknir hafi sjálfur gefið út, telur Persónuvernd hins vegar að eðli máls samkvæmt sé heimilt að afhenda þær viðkomandi lækni, enda séu þær sendar honum með öruggum hætti, sbr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, t.d. í innsigluðu umslagi eða með dulkóðuðu tölvubréfi sem einungis viðkomandi læknir getur afkóðað. Að öðru leyti telur og Persónuvernd framangreinda notkun á lyfjagagnagrunninum samrýmast a-lið 2. tölul. 3. mgr. 27. gr. lyfjalaga um að Lyfjastofnun geti æskt aðgangs að grunninum þegar rökstuddur grunur er um fölsun lyfseðils fyrir ávana- og fíknilyf eða að tilurð hans hafi orðið með öðrum ólögmætum hætti.
Þegar rökstuddur grunur er um ranga afgreiðslu lyfseðils fyrir ávana- og fíknilyfi, sbr. b-lið 2. tölul. 3. mgr. 27. gr. lyfjalaga um að Lyfjastofnun geti æskt aðgangs að lyfjagagnagrunninum í slíkum tilvikum, sendir Lyfjastofnun Landlæknisembættinu rökstutt bréf og embættið athugar því næst gögn í lyfjagagnagrunninum. Samkvæmt skýringum Landlæknisembættisins hefur aldrei komið til þess að lyfjagagnagrunnurinn hafi haft að geyma frekari upplýsingar en þegar hafa verið til staðar hjá Lyfjastofnun um slík tilvik. Telur Persónuvernd framangreinda notkun á lyfjagagnagrunninum samrýmast umræddu ákvæði lyfjalaga.
2.2.3.
Aðgangur Landlækisembættisins
Fram hefur komið að Landlæknisembættið fær ábendingar með ýmsu móti um hvort einstaklingar hafi fengið ávísað of miklu af ávana- og fíknilyfjum, annaðhvort frá mörgum læknum eða meira en eðlilegt getur talist á tilteknu tímabili, sbr. a- og c-liði 4. mgr. 27. gr. lyfjalaga um heimild Landlæknisembættisins til aðgangs að lyfjagagnagrunninum í slíkum tilfellum. Meðal þeirra sem sendi inn ábendingar séu lögregla, apótek, aðstandendur, TR og læknar. Að auki geti grunsemdir vaknað við reglubundið eftirlit þar sem farið er yfir gögn í gagnagrunninum. Persónuauðkenni séu þá dulkóðuð en séu afkóðuð ef sérstök ástæða þyki til. Telji Landlæknisembættið tilefni til að aðhafast í málinu sé viðkomandi lækni sent bréf og lausn lögð til á vandanum. Samrit af bréfinu sé sent öðrum útgefandi læknum, en nöfn þeirra séu þó ekki tilgreind. Gögn varðandi málið séu vistuð í sama hólfi og kæru- og kvartanaskrá embættisins.
Aðeins hafi tvisvar komið upp mál þar sem grunur hafi verið uppi um að læknir hafi ávísað ávana- og fíkniefnum á sjálfan sig, sbr. b-lið 4. mgr. 27. gr. lyfjalaga um aðgang Landlæknisembættisins að lyfjagagnagrunninum í slíkum tilvikum. Hafi upplýsingar í lyfjagagnagrunninum verið skoðaðar af því tilefni og málsgögn færð í áðurnefnda kvartana- og kæruskrá.
Persónuvernd telur framangreinda notkun á lyfjagagnagrunninum samrýmast a-c-liðum 4. mgr. 27. gr. lyfjalaga. Einnig þarf hins vegar að líta til d-liðar sömu málsgreinar um að Landlæknisembættið hafi aðgang að gagnagrunninum til að hafa almennt eftirlit með ávísunum lækna á lyf og fylgjast með þróun lyfjanotkunar. Um það er vísað til 19. gr. læknalaga nr. 53/1988. Með 24. gr. laga nr. 41/2007 um landlækni voru ákvæði þeirrar greinar afnumin, en sams konar ákvæði og hér um ræðir er hins vegar að finna í 1. mgr. 20. gr. þeirra laga. Þar segir að landlæknir hafi almennt eftirlit með ávísun lyfja og fylgist með þróun lyfjanotkunar.
Komið hefur fram af hálfu Landlæknisembættisins að við skoðun á gögnum í lyfjagagnagrunninum í framangreindu skyni séu persónuauðkenni dulkóðuð nema sótt sé um leyfi Persónuverndar (og vísindasiðanefndar ef um er að ræða vísindarannsókn) til annars. Þegar litið er til þessa telur stofnunin umrædda notkun á lyfjagagnagrunninum samrýmast d-lið 4. mgr. 27. gr. lyfjalaga þegar um ræðir almennt eftirlit með lyfjaávísunum og lyfjanotkun.
Aðgangur vegna vísindarannsókna, sem Landlæknisembættið á hlut að, verður hins vegar að byggjast á öðrum heimildum. Samkvæmt 3. tölul. 1. mgr. 7. gr. reglna nr. 698/2004 um tilkynningarskylda og leyfisskylda persónuupplýsinga, sbr. 33. gr. laga nr. 77/2000, þarf leyfi Persónuverndar til vinnslu persónuupplýsinga um m.a. lyfjanotkun nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila eða byggist á upplýstu samþykki hins skráða. Þegar afla þarf slíks leyfis, sem hér um ræðir, metur stofnunin það hvort sinni hvort lagalegar heimildir séu til staðar. Um þetta vísast nánar til kafla 2.2.4 hér á eftir.
2.2.4.
Aðgangur í öðrum tilvikum
Samkvæmt 4. mgr. 3. gr. sóttvarnalaga nr. 19/1997, sbr. lög nr. 55/2004, fær sóttvarnalæknir afhentar upplýsingar úr lyfjagagnagrunninum til að halda skrá um sýklalyfjanotkun. Upplýsingarnar skulu vera ópersónugreinanlegar. Þegar hvorki þetta ákvæði né 27. gr. lyfjalaga á við eru ekki afhent gögn úr grunninum án leyfis Persónuverndar eftir því sem fram kemur í skýringum Landlæknisembættisins.
Persónuvernd hefur veitt leyfi til aðgangs að lyfjagagnagrunninum eins og fyrr greinir. Hafa slík leyfi verið veitt vegna vísindarannsókna með vísan til 3. tölul. 1. mgr. 7. gr. reglna nr. 698/2004, sbr. 33. gr. laga nr. 77/2000, eins og fyrr greinir. Til að forsendur séu til veitingar slíks leyfis þarf að vera fullnægt einhverju af skilyrðunum fyrir vinnslu viðkvæmra persónuupplýsinga sem mælt er fyrir um í 9. gr. þeirra laga, sbr. c-lið 8. tölul. 2. gr. laganna þar sem fram kemur að upplýsingar um heilsuhagi, þ. á m. um lyfjanotkun, eru viðkvæmar persónupplýsingar. Að auki þarf, eins og endranær við vinnslu persónuupplýsinga, að vera fullnægt einhverju hinna almennu skilyrða fyrir vinnslu slíkra upplýsinga sem mælt er fyrir um í 8. gr. laganna.
Meðal þeirra ákvæða 9. gr., sem koma til greina í því sambandi, eru 9. tölul. 1. mgr. um að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á. Af ákvæðum 8. gr. kemur og til greina 7. tölul. 1. mgr. um að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra.
Einnig verður að vera fullnægt öllum grundvallarkröfum 7. gr. laga nr. 77/2000, m.a. að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og á þann veg að samrýmist vönduðum vinnsluháttum persónuupplýsinga (1. tölul.); að upplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsyn krefur í þágu tilgangs vinnslunnar (3. tölul.); og að þeirra skuli aflað í skýrum, yfirlýstum, málefnalegum tilgangi og þær ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.). Í ákvæðinu, sem hefur að geyma síðastnefndu regluna, er sérstaklega tekið fram að frekari vinnsla persónuupplýsinga í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi teljist ekki ósamrýmanleg upphaflegum tilgangi að því tilskildu að viðeigandi öryggis sé gætt.
Í ljósi framangreindra ákvæða er ljóst að vinnsla persónuupplýsinga í lyfjagagnagrunninum í þágu vísindarannsókna getur samrýmst lögum nr. 77/2000. Það kemur í hlut Persónuverndar að meta hvort svo sé í einstökum tilvikum þegar veitt eru leyfi með stoð í 3. tölul. 1. mgr. 7. gr. reglna nr. 698/2004. Tekið skal fram að samkvæmt því ákvæði þarf þó ekki leyfi stofnunarinnar ef vinnsla upplýsinganna byggist alfarið á upplýstu samþykki hinna skráðu. Hins vegar þarf þá að tilkynna vinnsluna til Persónuverndar, sbr. 31. og 32. gr. laga nr. 77/2000, sbr. 2.–4. og 6. gr. framangreindra reglna.
2.2.5.
Verklagsreglur um aðgang
Fram hefur komið Landlæknisembættið hefur sett verklagsreglur með vísan til 5. mgr. 27. gr. lyfjalaga. Í slíkum reglum skal m.a. kveðið á um skyldu umsækjanda til að gera grein fyrir tilefni þess að óskað er eftir upplýsingum úr grunninum og hvernig meðferð og úrvinnslu upplýsinga verði háttað. Ekki er fjallað um þetta í verklagsreglum Landlæknisembættisins varðandi aðgang TR og Lyfjastofnunar samkvæmt 3. mgr. 27. gr. lyfjalaga, enda hefur ekki komið til þess að persónugreinanlegar upplýsingar séu afhentar þeim með vísan til þess ákvæðis. Persónuvernd bendir hins vegar á að lögskylt er að setja ákvæði í verklagsreglur um þetta atriði og að í ljósi 27. gr. lyfjalaga er ekki hægt að útiloka að til þess komi að persónugreinanleg gögn verði að afhenda umræddum stofnunum. Bendir Persónuvernd því Landlæknisembættinu á að setja í verklagsreglurnar ákvæði sem þetta varða.
Í kafla 100-236 í öryggishandbók Landlæknisembættisins er m.a. fjallað um afhendingu á upplýsingum úr lyfjagagnagrunninum til meðferðarlækna, en eins og greinir í kafla 2.2.2 telur Persónuvernd slíka afhendingu ekki þurfa að brjóta gegn lyfjalögum. Í umræddum kafla segir að fyrirspurn læknis vegna gruns um hugsanlega lyfjamisnotkun skuli vera rökstudd. Persónuvernd telur að slíkt ákvæði feli það í orðalagi sínu að greina skuli frá tilefni aðgangs að upplýsingum. Svo að hafið sé yfir vafa að farið sé að umræddri kröfu 3. mgr. 27. gr. lyfjalaga telur Persónuvernd hins vegar æskilegt að vikið sé að skyldu til að greina frá tilefni aðgangs með skýrari hætti. Hefur raunar komið fram af hálfu Landlæknisembættisins að búa eigi svo um hnúta að ávallt þurfi að greina frá tilefni aðgangs, sbr. kafla 2.2.6 hér á eftir, og verður samkvæmt framangreindu að fjalla um það í verklagsreglum. Að auki verður að fjalla um það í slíkum reglum hvernig meðferð og úrvinnslu slíkra upplýsinga verði háttað.
2.2.6.
Upplýsingaöryggi
Fram kom við framkvæmd úttektarinnar að upplýsingaöryggi varðandi aðgangsmál var áfátt í tengslum við aðgerðaskráningu (log-skráningu), þ.e. skráningu á aðgerðum í lyfjagagnagrunninum. Nánar tiltekið voru uppflettingar á persónuauðkenndum upplýsingum, t.d. uppflettingar á kennitölum, ekki skráðar. Af hálfu Landlæknisembættisins var því lýst yfir að bætt yrði úr þessu. Þá hefur komið fram af hálfu embættisins að í aðgerðaskráningu muni ávallt verða skrásett tilefni vinnslu upplýsinga í lyfjagagagnagrunninum. Þá muni verða haft reglulegt eftirlit með aðgerðaskránni og hún skoðuð sérstaklega eftir ákveðnu verklagi á sex mánaða fresti.
3.
Niðurstaða
Af framkvæmd úttektar á lyfjagagnagrunni Landlæknisembættisins, sbr. 27. gr. lyfjalaga nr. 93/1994, verður ráðið að aðgangur að honum í einstökum tilvikum samrýmist lögum. Embættinu er hins vegar leiðbeint um að setja í verklagsreglur samkvæmt 5. mgr. sömu greinar ákvæði um skyldu þeirra sem sækja um að fá gögn úr grunninum til að gera grein fyrir tilefni óskar þar að lútandi og um hvernig meðferð og úrvinnslu upplýsinga verði háttað. Þá er embættinu leiðbeint um að fara yfir hvernig aðgerðaskráningu er háttað og sjá til þess að hún hafi að geyma heildstæðar upplýsingar um hverjir hafi flett upp upplýsingum í lyfjagagnagrunninum og í hvaða tilgangi. Að auki er embættinu leiðbeint um að gera viðeigandi ráðstafanir til að nauðsynlegar upplýsingar um kostnað vegna lyfjakaupa verði færðar í grunninn svo að hann komi að lögboðnum notum við að ákvarða endurgreiðslur til sjúklinga af lyfjakostnaði, sbr. a-lið 1. tölul. 3. mgr. 27. gr. lyfjalaga.