Mener Apotek 1 setter kommersielle interesser foran pasientsikkerheten
Stavanger kommune klaget inn Apotek 1 Gruppen AS til Datatilsynet for brudd på GDPR og personopplysningsloven fordi grossisten, Apokjeden Distribusjon, nektet å utlevere komplett pasientdata for over 22 000 multidosepasienter.

Stavanger kommune sendte i slutten av oktober inn en varsling til Datatilsynet om Apotek 1s mulige brudd på personopplysningsloven og GDPR (General Data Protection Regulation). Varslingen gjelder avtalen Stavanger kommune og 71 andre norske kommuner har hatt med Apotek 1 om levering av multidosepakkede legemidler.
Uenighet om ordinasjonskort
Kjernen i uenighetene går på informasjonen i de digitale «ordinasjonskortene» (se også artikkel side 10). Alle pasienter, uavhengig om de er institusjonspasienter eller hjemmeboende pasienter, må ha et digitalt, registrert «ordinasjonskort» for å få utdelt multidosepakkede legemidler. Disse er å regne som resepter, og inneholder informasjon om total legemiddelbruk, navn, adresse og leveringsinformasjon.
Den digitale pasientinformasjonen er koblet opp til maskinene i Apotek 1s fabrikk, slik at legemidlene pakkes korrekt etter ordinasjon fra lege.
«Det er dataen i «ordinasjonskortet» Apotek 1 nekter å levere ut, og som Behandlingsansvarlig og den registrerte pasienten behøver. Behandlingsansvarlig trenger fullt datasett fra Databehandler for å kunne ivareta pasientsikkerheten», skriver Stavanger kommune.
— Fare for liv og helse
Apotek 1 anklages for å bryte GDPR-reglene ved å nekte Stavanger kommune tilgang til og tilbakelevering av korrekt data som forvaltes på vegne av rundt 22 000 registrerte pasienter i de aktuelle kommunene.
«Databehandler planlegger å benytte den registrerte pasientdataen til annet formål enn det som framgår av samtykket fra den registrerte og Behandlingsansvarlig. Databehandler ønsker ikke å signere databehandleravtale», skriver klager innledningsvis.
Videre mener Stavanger kommune at Apotek 1 nekter for at GDPR kan benyttes i saken, til tross for at saken ifølge kommunen er midt i kjernen av GDPR, nemlig deres rett til å kontrollere og få innsyn i opplysninger som Apotek 1 har registrert og har behandlet på deres vegne.
«Dataene er av svært sensitiv art, her helse- og medisinopplysninger», skriver kommunen, som går langt i å hevde konsekvensene av Apotek 1s handling.
«Ovennevnte brudd på GDPR medfører fare for liv og helse til over 22 000 pasienter som risikerer å få feil medisin og dosering.»
Kommunen mener Apotek 1 har brutt grunnleggende prinsipper i GDPR-lovgivningen som integritet, tilgjengelighet og personopplysningssikkerhet.
«Det er etter Behandlingsansvarlig sin oppfatning at Databehandler setter kommersielle interesser foran pasientsikkerheten», påstår de.
For institusjonspasienter må sykehjemslege skrive ut resept for hver enkelt pasient, og denne har så blitt sendt til Apotek 1 som registrerer informasjonen i sitt journalsystem, «Nagara». Hjemmeboende pasienter betaler legemidlene sine selv, men har skrevet under på at kommunen overtar ansvaret for ulike oppgaver innen medisinhåndteringen til pasienten. I denne medisinhåndteringen inngår da multidosepakking av pasientens legemidler.
Ut 2018 var det Apotek 1 som hadde avtale med de 72 aktuelle kommunene om levering av multidosepakkede legemidler. Men etter en ny anbudskonkurranse er det nå Norsk Medisinaldepot AS (NMD) som skal utføre denne tjenesten fra nyttår.
Vanskelig for ny leverandør
For at NMD skal kunne yte samme tjeneste som Apotek 1 har gjort til nå, er Apotek 1 nødt til å overføre all pasientdata. Implementeringen for NMD må nemlig være i mål før første pakking og levering i januar 2019. Dette har ikke gått smertefritt.
«Dagens leverandør, Apotek 1, nekter å utlevere helt nødvendig pasientdata til kommunene og ny leverandør. Dette er informasjon som kommunene og ny leverandør ikke har og behøver i implementeringen av ny avtale. Pasientene eier opplysningene som forvaltes av Behandlingsansvarlig – og ikke legemiddelgrossisten som leverer varer og tjenester til kommunene og pasientene», skriver kommunen.
Ifølge varselet til Datatilsynet ba kommunene Apotek 1 om å utlevere dataene allerede i august 2018. Grossisten skal ha nektet, og kommunene så først på alternative metoder for å få hentet ut disse.
«Disse alternative fremgangsmåtene, her at vi overfører fra papir og fra andre journalsystem, har vist seg å ikke være optimale med hensyn til pasientsikkerheten og nødvendig fremdrift», heter det i varslingsbrevet.
Dermed så kommunene seg nødt til å henvende seg til Apotek 1 igjen, men på nytt skal de ha fått avslag på forespørselen. Siden har saken eskalert, og kommunene mener nå de er kommet i en så vanskelig situasjon at de trenger hjelp fra tilsynsmyndighetene for å få avklart saken.
«Vi reagerer sterkt på at Apotek 1 nekter å utlevere ordinasjonskort til våre pasienter som behøver dette. Begrunnelsene er heller ikke troverdige. Det er åpenbart rent kommersielle hensyn som ligger bak beslutningen om å nekte innsyn i disse livsnødvendige opplysningene», hevder kommunen, og legger til:
«Pasientens rett til innsyn i egne personopplysninger mener vi er så grunnleggende og selvsagt, at vi har vanskelig for å begripe at Apotek 1 diskuterer rettmessigheten av dette kravet.»
Ønsker å beholde pasienter
Kommunene mener Apotek 1 bryter flere lover og regler, og hevder blant annet at Apotek 1 planlegger å bruke den registrerte pasientdataen til et annet formål enn det som fra før er avtalt.
«Vi har fått konkrete tilbakemeldinger fra virksomheter i kommunene om at Apotek 1 forsøker å flytte enkelte legemidler fra ordinasjonskortet over på andre betalings- og leveringstjenester.»
Apotek 1 skal nemlig, ifølge kommunene, ha varslet at de vil fortsette å selge legemidler og andre varer som er ordinert av lege til de hjemmeboende multidosepasientene også etter at avtalen med kommunene har løpt ut. Flere av kommunene i avtalen hevder ifølge e-posten at Apotek 1 forsøker å overføre eventuellmedisin og annet som ikke pakkes i multidose over på andre bestillings- og leveringsløsninger.
«Dette mener vi er å benytte sensitiv informasjon om pasientene til et annet formål enn det som er avtalt med behandlingsansvarlig og den registrerte pasienten. Behandling av opplysninger til et formål som ikke er forenlig med det opprinnelige formål, er i utgangspunktet forbudt», skriver kommunenes representant.
Saken er også prinsipielt viktig for kommunene, da de på grunn av anskaffelsesregelverket må gjennomføre ny anbudskonkurranse cirka hvert fjerde år.
«I foreliggende sak, vil kommunene som følge av kravet til konkurranse kunne ha behov for overføring av pasientdata fra en legemiddelgrossist til en annen med jevne mellomrom.»
— Trygge på våre rutiner
Apotek 1 forsvarer seg med at det ikke finnes noen løsning for elektronisk overføring av ordinasjonskort mellom pakkefabrikkene. I tillegg mener de at ordinasjonskortene ikke er omfattet av GDPR-regelverkets bestemmelser om dataportabilitet.
«Dere må gjerne løfte denne saken til Legemiddelverket og Datatilsynet. Vi er trygge på at våre rutiner er fullt ut i samsvar med GDPR-regelverket», skriver Apotek 1 i en e-post til kommunene 27. september 2018.
Det som dog skal være mulig ifølge kommunene, er å gjøre uttrekk av data fra Apotek 1s journalsystem Nagara, og gi disse til kunden og NMD. Sistnevnte kan da importere denne dataen korrekt inn i sitt system, Pharmados. NMD skal ifølge brevet være villig til å betale Apotek 1 for timene det vil ta å trekke ut nødvendige data.
Også den nye leverandøren NMD skal siden august 2018 ha forsøkt å komme i dialog med Apotek 1 om elektronisk informasjonsoverføring, men Apotek 1 skal ha hevdet at det ikke er noe behov for møte mellom ny og gammel leverandør.
«Det mener vi er feil. Det er klart at disse to leverandørene må samarbeide for å få til en god og trygg overføring av pasientdata. Da må partene nødvendigvis snakke sammen», heter det i brevet.
Kommunene påpeker at de er svært bekymret for at Apotek 1s praksis i denne saken vil kunne føre til fare for liv og helse. De mener det er høy risiko for at multidosepasientene får feil legemiddel, feil dose, overdosering eller ikke-kompitabel legemiddelkombinasjon når legemidlene skal leveres av to leverandører.
Får støtte fra Helsedirektoratet
Helsedirektoratet skriver i en e-post til kommunene 26. oktober 2018 at ordinasjonskort er å anse som resept, og påpeker at farmasøyt ikke kan stryke eller endre innholdet uten å ha snakket med legen om dette. De ser derfor kritisk på at Apotek 1 har slettet all informasjon om pasientens legemiddelbruk ut over de legemidlene som pakkes i multidose, før ordinasjonskortene har blitt overført til ny leverandør, i dette tilfellet NMD.
«Det vil i tillegg være en stor pasientsikkerhetsutfordring dersom det fjernes noe fra papirordinasjonskortet i overgangen mellom apotekkjedene», skriver Helsedirektoratet i e-posten.
NFT har stilt NMD en rekke spørsmål om deres rolle i anbudssaken, men grossisten har valgt å være kort i sin tilbakemelding.
— Vi anser dette som en sak mellom kommunene og nåværende leverandør av tjenesten. Vi ønsker ikke å uttale oss mer om denne saken, sier Hege Willoch, fag- og kvalitetsdirektør i NMD, til NFT.
(Publisert i NFT nr. 1/2019 s. 6-7)