Stavanger kommune klaget, på vegne av seg selv og 71 andre kommuner, ­Apotek 1 Gruppen AS inn til Data­tilsynet for brudd på personopplysningsloven og GDPR (General Data Protection Regulation) i oktober 2018. Bakgrunnen er at ­grossisten Apokjeden Distribusjon nektet å utlevere komplette pasientdata for over 22 000 multidosepasienter da Norsk Medisinaldepot AS (NMD) tok over avtalen om multidoselevering etter Apotek 1.

Apotek 1 mener kommunene ikke har ­avtalemessig grunnlag for å kreve komplett utlevering og beskylder kommunene for å endre saken til et spørsmål om rett til innsyn i og overføring av pasientdata.

«Slik Kommunens henvendelse til Data­tilsynet fremstår, synes det for oss som at Kommunen har skjøvet personvernbestemmelser foran seg for å forsøke å presse frem en overlevering av data fra gammel leverandør til ny leverandør, i et omfang og format ­Kommunen ikke har kontraktsrettslighjemmel til å kreve og heller ikke har anledning til å kreve med bakgrunn i personvernlovgivningen», skriver Apotek 1 i svarbrevet til Datatilsynet, som har bedt om en redegjørelse fra selskapet.

Les også: Datatilsynet krever redegjørelse fra Apotek 1

Krangel om data

Stavanger kommune og 71 andre norske kommuner har hatt avtale med Apotek 1 om levering av multidosepakkede legemidler siden 2014. NMD vant anbudet for de neste fire årene og tok over avtalen fra 1. januar 2019.

I etterkant har det utviklet seg en krangel om utlevering av data fra gammel til ny ­leverandør. Apotek 1 leverte ikke de fullstendige ­ordinasjonskortene, men bare data om de medisinene som hører til i multidosene. Kommunene mener Apotek 1 skulle gi NMD full tilgang til alle data på ordinasjonskortene.

I desember 2018 gikk Apotek 1 med på å levere komplette ordinasjonskort til kommunene, men saken om brudd på personvernlovgivingen fortsetter.

Vil ikke gjøre jobben for etterfølgeren

I svaret til Datatilsynet skriver Apotek 1 at de gjorde kommunene oppmerksom på at ­leverandørskiftet forutsatte en realistisk ­implementeringsplan og at en slik implementering vil kreve mye tid og ressurser fra ­leverandøren som overtar kontrakten. De hevder at kommunene og NMD imidlertid ikke lagde en slik realistisk implementeringsplan, men belaget seg på overlevering av bearbeidet data i elektronisk format fra gammel leverandør til ny leverandør.

Les også: Multidosefeil kunne gitt livstruende feil

«Ved å overlevere slik data til NMD ville ­Apotek 1 for alle praktiske formål levert deler av leveransen som NMD var pålagt etter den nye avtalen. Dette var det ikke avtalemessig grunnlag for å kreve etter avtalen mellom ­Apotek 1 og Kommunen. Apotek 1 motsatte seg følgelig kravet», skriver Apotek 1.

Hvem har ansvar for dataene?

Noe av det som ligger bak uenigheten ­mellom kommunene og Apotek 1, er at ­Apotek 1
mener de er behandlingsansvarlig for ­pasientinformasjonen i ordinasjonskortene, mens ­kommunene mener Apotek 1 er databehandler. Behandlingsansvarlige er, etter personvernforordningen, den som, alene eller sammen med andre, bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Apotek 1 mener de behandler informa­sjonen om pasientene etter personvernforordningen og apotekloven. Det gjør de med hjelp av reseptekspedisjonssystemet Nagara, som de selv har valgt som løsning. De mener de behandler dataene på den måten de gjør for å oppfylle kravene og at det er deres plikt å behandle dataene etter kravene; det er ikke ansvaret til kommunene eller pasientenes leger.

«Med bakgrunn i ovenstående er det etter vår oppfatning at Apotek 1 helt opplagt er behandlingsansvarlig for de pasientdata som genereres og lagres i vårt reseptekspedisjonssystem «Nagara».»

Ivaretar dokumentasjonsplikten

I brevet fra Datatilsynet bes Apotek 1 om å redegjøre hvordan de som databehandler behandler og oppbevarer opplysninger.

«All den tid Apotek 1 ikke er databehandler, men behandlingsansvarlig (...), er det ikke mulig å gi noe meningsfylt svar på de konkrete spørsmålene fra Datatilsynet – ettersom disse forutsetter en situasjon der Apotek 1 er databehandler», svarer Apotek 1.

Likevel benytter de muligheten til å understreke at deres formål med å oppbevare enkeltpersoners helseopplysninger etter at avtalen om multidoseleveranser har opphørt, er å ivareta sin dokumentasjonsplikt for ­resept­ekspedisjoner etter apotekloven. De viser til at det ikke er en forskrift for hvor lenge resept­opplysninger skal oppbevares, og de forholder seg derfor til Statens legemiddelverk som har tatt til orde for at fem år vil være tilstrekkelig og nødvendig ut fra tilsynsbehov.

«Apotek 1 følger bransjerutinen på dette området, og oppbevarer altså resept­opplysninger i en periode på fem år etter reseptekspedisjon.»

Uklar avtale

Datatilsynet stiller også spørsmål ved
Apotek 1s tjeneste Pasientnett. De oppfatter avtalen rundt tjenesten som uklar og ber
Apotek 1 redegjøre for den.

Apotek 1 opplyser at Pasientnett er en ­tjeneste som tilbys kommunale anbuds­kunder av apotekkjeden, for at den kommunale helse- og omsorgstjenesten skal kunne få tilgang til reseptinformasjon om de pasientene de har under sin oppfølging, kommunisere med ­Apotek 1 om disse pasientene samt initiere reseptekspedisjoner for disse. Pasientnett er for øvrig utviklet i samråd med Direktoratet for e-helse.

Pasientnett effektiviserer kommunens ­t­ilgang til reseptopplysninger og bestilling av medisin til pasientene, ifølge Apotek 1.

«Pasientnett betjener således en flyt av personopplysninger mellom Apotek 1 og ­kommunene som er nødvendig for å utføre konsesjonspålagt apotekvirksomhet.»

Apotek 1 sier seg dog delvis enig med Datatilsynet.

«Den første versjonen av databehandler­avtalen for Pasientnett var, som påpekt av Datatilsynet, uklar for kommunene og ­beskrivelsen av roller og behandlingsaktiviteter var ikke god nok. Vi har derfor revidert data­behandleravtalen for å rette opp dette.»

(Publisert i NFT nr. 3/2019 side 17)