GDPR-spøkelset kommer nærmere norske bedrifter for hver dag som går, og det er lett å få et inntrykk av et det kun er nå i 2018 at temaet om ­personopplysninger har opptatt bransjen. Men ifølge Terje Wistner, direktør for teknologi og e-helse i Apotekforeningen, skjedde det store endringer allerede i 2014.

— I mai 2014 etablerte bransjen en felles standard for informasjonssikkerhet i apotek. Det ble blant annet utarbeidet sju rutiner for personvernarbeidet som apotekansatte skulle følge. Rutinene er basert på krav i lovgivningen, og inngår som en del av ­apotekenes internkontrollsystem, forteller han til NFT.

Merkbare endringer

Behovet for å etablere en bransjestandard for informasjonssikkerhet ble tydeliggjort ved innføringen av e-resept og er en direkte årsak til at man startet dette arbeidet.

— Det apotekkundene merket best med de nye rutinene, var at de måtte vise ­legitimasjon når de hentet ut legemidler eller fikk utskrift over gyldige resepter i Reseptformidleren på apoteket. Apoteket gir heller ikke lenger reseptopplysninger per telefon. I tillegg måtte personer som skulle hente ut reseptvarer eller informasjon om resept­varer for andre ha med seg fullmakt, forklarer Wistner.

Arbeidet for å sikre personvern stopper aldri opp, og temaet har det siste året blitt høyaktuelt i forbindelse med innføringen av EUs GDPR-forordning. GDPR vil innlemmes i EØS-avtalen og i norsk lovgivning fra og med juli, og vil fungere som et vedlegg til ny norsk personopplysningslov.

— En arbeidsgruppe i regi av Apotekforeningen har siden begynnelsen av 2018 arbeidet med å tilpasse de eksisterende rutiner om informasjonssikkerhet til de nye reglene. Disse er nå ferdig reviderte. Rutinene beskriver blant annet utlevering av reseptvarer og helse- og personopplysninger, viktige prinsipper for behandling og oppbevaring av helse- og personopplysninger i apotek og krav om innsyn. Representanter fra de tre kjedene, sykehusapotekene og Ditt Apotek har sittet i arbeidsgruppen, sier Apotekforeningens e-helse-direktør.

Oppdaterer informasjon til publikum

Wistner forteller videre at arbeidsgruppen også har utarbeidet en oversikt over hvilke endringer som er gjort i rutinene, for å gjøre det lettere for apotekene å sette seg inn i hva som er nytt.

— Det har også vært nødvendig å ­oppdatere publikumsbrosjyren fra 2014. Apotek plikter nå å gi informasjon om sin behandling av helse- og personopplysninger og brosjyren er oppdatert for å ivareta dette kravet. Brosjyrene skal trykkes opp og sendes ut til alle apotek, slik at de kan gjøres tilgjengelig for publikum.

I brosjyren står det blant annet hvorfor apotek behandler informasjon om kundene, hvilken informasjon de lagrer og hvem ­apoteket har lovpålagt plikt til å utlevere helse- og personopplysninger til.

— Det er dessuten beskrevet hvilke rettigheter apotekkundene har, blant annet når de kan be om innsyn, hva som kan kreves rettet eller slettet og hvem de eventuelt kan klage til. Rutinene, presentasjonen med oversikt over endringer og publikumsbrosjyren ­publiseres på apotekenes felles intranett, Apotekinfo. I tillegg skjer publisering internt hos de enkelte apotekkjedene, og endringene tas inn i kvalitetssystemene, understreker Wistner.

(Publisert i NFT nr. 7/2018 side 8)