Stavanger kommune sendte i slutten av oktober inn en varsling til ­Datatilsynet om Apotek 1s mulige brudd på ­personopplysningsloven og GDPR ­(General Data Protection Regulation). ­Varslingen ­gjelder avtalen Stavanger kommune og 71 andre norske kommuner har hatt med Apotek 1 om levering av multidose­pakkede legemidler.

Uenighet om ordinasjonskort
Kjernen i uenighetene går på informa­sjonen i de digitale «ordinasjonskortene» (se også artikkel side 10). Alle pasienter, uavhengig om de er institusjonspasienter eller ­hjemmeboende pasienter, må ha et digitalt, registrert «ordinasjonskort» for å få utdelt multidosepakkede legemidler. Disse er å regne som resepter, og inneholder informasjon om total legemiddelbruk, navn, adresse og leveringsinformasjon.
Den digitale pasientinformasjonen er koblet opp til maskinene i Apotek 1s fabrikk, slik at legemidlene pakkes korrekt etter ­ordinasjon fra lege.
«Det er dataen i «ordinasjonskortet»­ Apotek 1 nekter å levere ut, og som Behandlingsansvarlig og den registrerte pasienten behøver. Behandlingsansvarlig trenger fullt datasett fra Databehandler for å kunne ivareta pasientsikkerheten», skriver Stavanger kommune.

— Fare for liv og helse
Apotek 1 anklages for å bryte GDPR-­reglene ved å nekte Stavanger ­kommune tilgang til og tilbakelevering av korrekt data som ­forvaltes på vegne av rundt 22 000 ­registrerte pasienter i de aktuelle kommunene.
«Databehandler planlegger å benytte den registrerte pasientdataen til annet ­formål enn det som framgår av sam­tykket fra den registrerte og ­Behandlings­ansvarlig. Databehandler ønsker ikke å signere databehandleravtale», skriver ­klager innledningsvis.
Videre mener Stavanger kommune at Apotek 1 nekter for at GDPR kan ­benyttes i saken, til tross for at saken ifølge ­kommunen er midt i kjernen av GDPR, ­nemlig deres rett til å kontrollere og få ­innsyn i ­opplysninger som Apotek 1 har registrert og har ­behandlet på deres vegne.
«Dataene er av svært sensitiv art, her helse- og medisinopplysninger», ­skriver kommunen, som går langt i å hevde ­konsekvensene av Apotek 1s handling.
«Ovennevnte brudd på GDPR medfører fare for liv og helse til over 22 000 pasienter som risikerer å få feil medisin og dosering.»
Kommunen mener Apotek 1 har brutt grunnleggende prinsipper i GDPR-­lov­­­giv­ningen som integritet, tilgjengelighet og personopplysningssikkerhet.
«Det er etter Behandlingsansvarlig sin oppfatning at Databehandler setter ­kom­mersielle interesser foran pasient­sikker­heten», påstår de.
For institusjonspasienter må syke­hjems­lege skrive ut resept for hver enkelt ­pasient, og denne har så blitt sendt til ­Apotek 1 som registrerer informasjonen i sitt ­journalsystem, «Nagara». Hjemme­boende pasienter ­betaler legemidlene sine selv, men har skrevet under på at ­kommunen overtar ansvaret for ulike ­oppgaver innen ­medisinhåndteringen til pasienten. I ­den­ne medisinhåndteringen inngår da ­multi­dosepakking av pasientens legemidler.
Ut 2018 var det Apotek 1 som hadde avtale med de 72 aktuelle kommunene om levering av multidosepakkede legemidler. Men etter en ny anbudskonkurranse er det nå Norsk Medisinaldepot AS (NMD) som skal utføre denne tjenesten fra nyttår.

Vanskelig for ny leverandør
For at NMD skal kunne yte samme tjeneste som Apotek 1 har gjort til nå, er Apotek 1 nødt til å overføre all pasientdata. Implementeringen for NMD må ­nemlig være i mål før første pakking og levering i januar 2019. Dette har ikke gått smertefritt.
«Dagens leverandør, Apotek 1, ­nekter å utlevere helt nødvendig pasientdata til ­kommunene og ny leverandør. Dette er ­informasjon som kommunene og ny ­leverandør ikke har og behøver i ­implementeringen av ny avtale. Pasientene eier opplysningene som forvaltes av Behandlingsansvarlig – og ikke lege­middelgrossisten som leverer varer og tjenester til kommunene og pasientene», skriver kommunen.
Ifølge varselet til Datatilsynet ba ­kommunene Apotek 1 om å utlevere ­dataene allerede i august 2018. Grossisten skal ha nektet, og kommunene så først på alternative metoder for å få hentet ut disse.
«Disse alternative fremgangsmåtene, her at vi overfører fra papir og fra andre ­journalsystem, har vist seg å ikke være ­optimale med hensyn til pasient­sikker­heten og nødvendig fremdrift», heter det i varslingsbrevet.
Dermed så kommunene seg nødt til å henvende seg til Apotek 1 igjen, men på nytt skal de ha fått avslag på forespørselen. Siden har saken eskalert, og kommunene mener nå de er kommet i en så ­vanskelig situasjon at de trenger hjelp fra tilsyns­myndighetene for å få avklart saken.
«Vi reagerer sterkt på at Apotek 1 ­nekter å utlevere ordinasjonskort til våre ­pasienter som behøver dette. Begrunnelsene er heller ikke troverdige. Det er åpenbart rent kommersielle hensyn som ligger bak beslutningen om å nekte innsyn i disse livsnødvendige opplysningene», hevder kommunen, og legger til:
«Pasientens rett til innsyn i egne ­person­opplysninger mener vi er så ­grunnleggende og selvsagt, at vi har ­vanskelig for å begripe at Apotek 1 ­diskuterer rettmessigheten av dette kravet.»

Ønsker å beholde pasienter
Kommunene mener Apotek 1 bryter flere lover og regler, og hevder blant annet at Apotek 1 planlegger å bruke den registrerte pasientdataen til et annet formål enn det som fra før er avtalt.
«Vi har fått konkrete tilbakemeldinger fra virksomheter i kommunene om at Apotek 1 forsøker å flytte enkelte legemidler fra ­ordinasjonskortet over på andre ­betalings- og leveringstjenester.»
Apotek 1 skal nemlig, ifølge kommunene, ha varslet at de vil fortsette å selge lege­midler og andre varer som er ordinert av lege til de hjemme­boende multidosepasientene også etter at avtalen med kommunene har løpt ut. Flere av kommunene i avtalen hevder ifølge e-posten at Apotek 1 for­søker å overføre eventuellmedisin og annet som ikke ­pakkes i multidose over på andre bestillings- og leveringsløsninger.
«Dette mener vi er å benytte sensitiv informasjon om pasientene til et annet formål enn det som er avtalt med ­behandlingsansvarlig og den registrerte pasienten. Behandling av opplysninger til et formål som ikke er forenlig med det ­opprinnelige formål, er i utgangspunktet forbudt», skriver kommunenes representant.
Saken er også prinsipielt viktig for kommunene, da de på grunn av ­anskaff­­elses­regelverket må gjennomføre ny anbuds­konkurranse cirka hvert fjerde år.
«I foreliggende sak, vil kommunene som følge av kravet til konkurranse kunne ha behov for overføring av pasientdata fra en legemiddelgrossist til en annen med jevne mellomrom.»

— Trygge på våre rutiner
Apotek 1 forsvarer seg med at det ikke ­finnes noen løsning for elektronisk overføring av ordinasjonskort mellom pakkefabrikkene. I tillegg mener de at ordinasjonskortene ikke er omfattet av GDPR-regelverkets ­bestemmelser om dataportabilitet.
«Dere må gjerne løfte denne saken til Legemiddelverket og Datatilsynet. Vi er trygge på at våre rutiner er fullt ut i samsvar med GDPR-regelverket», skriver Apotek 1 i en e-post til kommunene 27. september 2018.
Det som dog skal være mulig ifølge kommunene, er å gjøre uttrekk av data fra ­Apotek 1s journalsystem Nagara, og gi disse til kunden og NMD. ­Sistnevnte kan da importere denne dataen korrekt inn i sitt system, Pharmados. NMD skal ifølge brevet være villig til å betale Apotek 1 for timene det vil ta å trekke ut nødvendige data.
Også den nye leverandøren NMD skal siden august 2018 ha forsøkt å komme i dialog med Apotek 1 om elektronisk informasjons­overføring, men Apotek 1 skal ha hevdet at det ikke er noe behov for møte mellom ny og gammel leverandør.
«Det mener vi er feil. Det er klart at disse to leverandørene må samarbeide for å få til en god og trygg overføring av ­pasientdata. Da må partene nødvendigvis snakke sammen», heter det i brevet.
Kommunene påpeker at de er svært bekymret for at Apotek 1s praksis i denne saken vil kunne føre til fare for liv og helse. De mener det er høy risiko for at ­multi­dosepasientene får feil legemiddel, feil dose, overdosering eller ikke-­kompitabel legemiddelkombinasjon når legemidlene skal leveres av to leverandører.

Får støtte fra Helsedirektoratet
Helsedirektoratet skriver i en e-post til ­kommunene 26. oktober 2018 at ­­ordi­nasjonskort er å anse som resept, og påpeker at farmasøyt ikke kan stryke eller endre innholdet uten å ha snakket med legen om dette. De ser derfor kritisk på at Apotek 1 har slettet all informasjon om pasientens legemiddelbruk ut over de legemidlene som pakkes i ­multidose, før ordinasjonskortene har blitt overført til ny leverandør, i dette tilfellet NMD.
«Det vil i tillegg være en stor ­pasient­sikkerhetsutfordring dersom det fjernes noe fra papirordinasjonskortet i overgangen mellom apotekkjedene», ­skriver Helse­direktoratet i e-posten.
NFT har stilt NMD en rekke spørsmål om deres rolle i anbudssaken, men grossisten har valgt å være kort i sin tilbakemelding.
— Vi anser dette som en sak mellom kommunene og nåværende leverandør av tjenesten. Vi ønsker ikke å uttale oss mer om denne saken, sier Hege Willoch, fag- og kvalitetsdirektør i NMD, til NFT.
 

(Publisert i NFT nr. 1/2019 s. 6-7)