Datatilsynet krever redegjørelse fra Apotek 1
Tilsynsmyndigheten mener Apotek 1 Gruppen AS må redegjøre for deres behandling av personopplysningene til tusenvis av multidosepasienter.

Stavanger kommune kontaktet i oktober 2018 Datatilsynet på vegne av 72 kommuner i et multidoseanbud der Apotek 1 hadde vært leverandør. I varselbrevet påstår de at Apotek 1 har brutt GDPR-lovverket og personopplysningsloven gjennom sin behandling av opplysninger om over 22 000 multidosepasienter.
Trenger informasjon fra begge sider
Datatilsynet skriver tidlig i sitt brev til Apotek 1 at saken, slik de oppfatter den, har flere sider, og at det er nødvendig med en redegjørelse fra Apotek 1 for å få deres syn på saken.
«Temaene saken omhandler anses å være av prinsipiell betydning, og personopplysningene saken gjelder er sensitive og beskyttelsesverdige og omfatter et stort antall pasienter. Vi har også notert oss påstander om at feilaktig håndtering av personopplysningene kan medføre risiko for pasientsikkerheten til de registrerte», skriver de i brevet, som er signert av blant andre fagdirektør Camilla Nervik.
Datatilsynet viser til personvernforordningen når de krever redegjørelse på flere forhold i saken.
«Etter Datatilsynets forståelse, har Apotek 1 Gruppen AS gjennom avtale blitt tildelt oppgaven å på vegne av 72 kommuner levere legemidler i tjenesten Multidose. Slik saken ser ut for Datatilsynet, er det uenighet knyttet til plassering av dataansvaret for behandling av personopplysningene i forbindelse med avtalen.»
Krever begrunnelse for dataansvar
Blant annet ber Datatilsynet om en redegjørelse fra Apotek 1 vedrørende ansvarsforholdene.
«Dersom Apotek 1 Gruppen AS anser seg som dataansvarlig, ber vi om redegjørelse for hvilket rettslig grunnlag som kommer til anvendelse for behandlingen», skriver de.
Videre er Datatilsynet interesserte i hvordan databehandleravtalen mellom Apotek 1 og kommunene har regulert avvikling av Apotek 1s multidoseleveranser. En slik avtale har imidlertid Apotek 1 ikke ønsket å skrive under på, ettersom de mener de er behandlingsansvarlige, ikke kommunene (se artikkel side 9).
«Vi ber dere særskilt redegjøre for hvordan avtalen regulerer overføring eller eventuelt sletting av personopplysninger ved opphør. Videre ber vi om deres syn på om avtalen regulerer i hvilken form eventuell overføring av personopplysninger skal skje, og hvorvidt dette kan skje elektronisk eller manuelt», heter det i brevet.
— Ikke rettslig grunnlag
Datatilsynet påpeker at databehandler ikke lenger har rettslig grunnlag til å behandle personopplysninger som følger av avtalen etter at databehandleravtalen har opphørt.
«Dette innebærer at opplysningene i sin helhet skal tilbakeføres eller slettes, slik at de ikke lenger er tilgjengelige for databehandler», konstaterer Datatilsynet, som ber om en juridisk redegjørelse fra Apotek 1 dersom de mener at alle personopplysninger ikke i sin helhet skal overføres eller slettes.
«Vi ber også om en oversikt over hvilke eventuelle fremtidige formål personopplysningene skal benyttes til», skriver de.
Mener avtalen er uklar
I brevet kommer Datatilsynet også inn på Apotek 1s tjeneste Pasientnett, og forklarer at de har mottatt en henvendelse som gjelder denne tjenesten. De skal også ha fått tilsendt en databehandleravtale mellom Apotek 1 og en ikke navngitt kommune som gjelder databehandling i denne tjenesten.
«Denne avtalen fremstår som uklar for Datatilsynet, og vi finner behov for å be om at dere redegjør for Pasientnett», står det skrevet.
Det Datatilsynet ønsker fra Apotek 1, er en beskrivelse av tjenesten Pasientenett og informasjon om hvilke personopplysninger som behandles i forbindelse med tjenesten. Samtidig krever tilsynet protokoll over alle behandlingsaktivitetene som Apotek 1 har utført gjennom Pasientnett, i tillegg til redegjørelse for hvilke ansvarsforhold som er gjeldende og hvilket rettslig grunnlag som er aktuelt for behandling av personopplysninger i Pasientnett.
(Publisert i NFT nr. 2/2019 s. 12)