Stavanger kommune kontaktet i ­oktober 2018 Datatilsynet på vegne av 72 ­kommuner i et multidose­anbud der ­Apotek 1 hadde vært leverandør. I ­varselbrevet påstår de at Apotek 1 har brutt GDPR-­lovverket og personopplysningsloven gjennom sin behandling av opplysninger om over 22 000 multidosepasienter.

Trenger informasjon fra begge sider
Datatilsynet skriver tidlig i sitt brev til ­Apotek 1 at saken, slik de oppfatter den, har flere sider, og at det er nødvendig med en ­redegjørelse fra Apotek 1 for å få deres syn på saken.
«Temaene saken omhandler anses å være av prinsipiell betydning, og personopplysningene saken gjelder er sensitive og beskyttelses­verdige og omfatter et stort antall pasienter. Vi har også notert oss påstander om at feilaktig håndtering av personopplysningene kan medføre risiko for pasientsikkerheten til de registrerte», skriver de i brevet, som er signert av blant andre fagdirektør Camilla Nervik.
Datatilsynet viser til personvernfor­ordningen når de krever redegjørelse på flere forhold i saken.
«Etter Datatilsynets forståelse, har ­Apotek 1 Gruppen AS gjennom avtale blitt tildelt ­oppgaven å på vegne av 72 kommuner levere legemidler i tjenesten Multidose. Slik saken ser ut for Datatilsynet, er det ­uenighet knyttet til ­plassering av data­ansvaret for behandling av person­opplysningene i ­forbindelse med avtalen.»

Krever begrunnelse for dataansvar
Blant annet ber Datatilsynet om en redegjørelse fra Apotek 1 vedrørende ansvarsforholdene.
«Dersom Apotek 1 Gruppen AS anser seg som dataansvarlig, ber vi om redegjørelse for hvilket rettslig grunnlag som kommer til anvend­else for behandlingen», skriver de.
Videre er Datatilsynet interesserte i ­hvordan databehandleravtalen mellom ­Apotek 1 og kommunene har regulert ­avvikling av Apotek 1s multidoselever­anser. En slik avtale har imidlertid Apotek 1 ikke ønsket å skrive under på, ettersom de mener de er behandlings­ansvarlige, ikke kommunene (se artikkel side 9).
«Vi ber dere særskilt redegjøre for hvordan avtalen regulerer overføring eller ­eventuelt sletting av personopplysninger ved opphør. Videre ber vi om deres syn på om avtalen regulerer i hvilken form eventuell overføring av personopplysninger skal skje, og hvorvidt dette kan skje elektronisk eller manuelt», heter det i brevet.

— Ikke rettslig grunnlag
Datatilsynet påpeker at databehandler ikke lenger har rettslig grunnlag til å behandle ­personopplysninger som følger av avtalen etter at databehandleravtalen har opphørt.
«Dette innebærer at opplysningene i sin ­helhet skal tilbakeføres eller slettes, slik at de ikke lenger er tilgjengelige for data­behandler», konstaterer Datatilsynet, som ber om en ­juridisk redegjørelse fra Apotek 1 dersom de mener at alle person­opplysninger ikke i sin helhet skal overføres eller slettes.
«Vi ber også om en oversikt over hvilke eventuelle fremtidige formål person­­o­pplys­ningene skal benyttes til», skriver de.

Mener avtalen er uklar
I brevet kommer Datatilsynet også inn på ­Apotek 1s tjeneste Pasientnett, og ­forklarer at de har mottatt en henvendelse som ­gjelder denne tjenesten. De skal også ha fått tilsendt en databehandleravtale mellom Apotek 1 og en ikke navngitt kommune som gjelder ­databehandling i denne tjenesten.
«Denne avtalen fremstår som uklar for ­Datatilsynet, og vi finner behov for å be om at dere redegjør for Pasientnett», står det skrevet.
Det Datatilsynet ønsker fra Apotek 1, er en beskrivelse av tjenesten Pasientenett og informasjon om hvilke personopplys­ninger som behandles i forbindelse med tjenesten. Samtidig krever tilsynet protokoll over alle behandlingsaktivitetene som Apotek 1 har utført gjennom Pasientnett, i tillegg til ­redegjørelse for hvilke ansvarsforhold som er gjeldende og ­hvilket rettslig grunnlag som er aktuelt for behandling av person­opplysninger i Pasientnett.

(Publisert i NFT nr. 2/2019 s. 12)