Fire år brukte Datatilsynet på å behandle beskyldningen fra 72 kommuner om at Apotek 1 brøt GDPR-lovverket og personopplysningsloven.

«Konsekvensene av manglende avtaler i saken har potensielt vært store, og uklarhetene og uenighetene mellom partene har medført fare for pasientsikkerheten til et betydelig antall mennesker», står det i det endelige vedtaket fra juli 2022.

Stavanger kommune kontaktet i oktober 2018 Datatilsynet på vegne av 72 kommuner i et multidoseanbud der Apotek 1 hadde vært leverandør – det så kalte storbyanbudet. I brevet påstår kommunene at Apotek 1 har brutt GDPR-lovverket og personopplysningsloven gjennom sin behandling av opplysninger om over 22 000 multidosepasienter.

Etter fire år kunne Datatilsynet fatte endelig vedtak om irettesettelse av begge parter for manglende etterlevelse av ansvarsprinsippet, jamfør personvernforordningen artikkel 5 nummer 2 og manglende databehandleravtaler, jamfør personvernforordningen artikkel 28 og 29.

LES OGSÅ: Apotek 1 mener Stavanger kommune sprer usannheter

Regelbrudd alvorlig nok til å gi bot

Datatilsynet mener at det kunne være rimelig å pålegge både kommunene og Apotek 1 overtredelsesgebyr fordi saken er så alvorlig og begge partene er store, profesjonelle organisasjoner som burde være kjent med de rettslige kravene for slike avtaler.

«Vi har imidlertid vektlagt at de alvorlige konsekvensene har blitt avverget, og at partene kom til en enighet. I tillegg har vi lagt vekt på at det har tatt lang tid å ferdigstille saken, og at det kunne blitt et urimelig resultat om vi fattet vedtak om overtredelsesgebyr», skriver de i vedtaket.

LES OGSÅ: Apotek 1 vil melde kommunene til KOFA

Uklar ansvarsfordeling

Uenigheten mellom Apotek 1 og kommunene oppsto da Apotek 1 tapte anbudet i 2018, og det skulle overføres til Norsk Medisinaldepot (NMD). Kommunene fikk ikke utlevert fullstendige ordinasjonskort med pasientinformasjon fra Apotek 1 slik de mente de skulle ha.

Sentralt i uenigheten mellom partene er diskusjonen om hvem som er dataansvarlig for pasientinformasjonen i ordinasjonskortene. En databehandler behandler personopplysninger på vegne av den behandlingsansvarlige (dataansvarlige). Både kommunene og Apotek 1 hevder de er behandlingsansvarlige, og Apotek 1 nektet derfor å underskrive databehandleravtale med kommunene.

Datatilsynet opplyser at de ikke har hatt grunnlag til å vurdere hvem som har dataansvar for den totale behandlingen av opplysninger i forbindelse med multidose. Imidlertid mener de at Apotek 1 må regnes som databehandler for enkelte deler av behandlingen, knyttet til ordinasjonskortene. De støtter dog Apotek 1s vurdering om at de er dataansvarlig for opplysningen som er underlagt dokumentasjonsplikt etter apoteklovgivningen.

«Vår vurdering er at deler av behandlingen av pasientopplysninger som skjer hos Apotek 1 gjøres med direkte grunnlag i avtalen om multidosepakking som er inngått med kommunen. De opplysningene som utveksles og behandles som ledd i denne avtalen og ikke direkte som ledd i apotekenes dokumentasjonsplikt, er det etter Datatilsynets mening kommunen som er dataansvarlig for og Apotek 1 er følgelig å regne som databehandler.»

Uansett hvem som var ansvarlig for hva, så har ikke partene hatt et klart definert ansvar som ansvarlig, som databehandler eller som tjenesteleverandør, slik personvernforordningen krever.

LES OGSÅ: Legemiddelverket fant omfattende svikt i NMDs håndtering av multidosene

Viktig og påkrevd å ha databehandleravtale

Stridsspørsmålet om utlevering av ordinasjonskortene med pasientinformasjon ligger utenfor Datatilsynets oppgaver å ta stilling til, men de slår fast at det skulle vært avklart i en databehandleravtale.

Dersom personopplysninger behandles av andre på vegne av en dataansvarlig, skal behandlingen ifølge personvernforordningen alltid reguleres gjennom en databehandleravtale som sikrer at ansvaret ivaretas gjennom klare instrukser fra den ansvarlige.

Siden Apotek 1 og kommunene har vært uenig om hvem som er dataansvarlig, så har de heller ikke kunnet inngå en databehandleravtale.

«Manglende avtale anses som et avvik fra kravene i personvernforordningen [...]», slår Datatilsynet fast.

Selv om pasientsikkerheten har vært truet og at personvernproblematikken dermed blir subsidiær, mener Datatilsynet at denne saken viser viktigheten av å ha tilstrekkelige databehandleravtaler.

«[...] regulering gjennom databehandleravtaler er et helt grunnleggende premiss for å kunne sette ut databehandling og fortsatt sikre at kommunens primære oppgaver blir ivaretatt.»

LES OGSÅ: NMD beholder Norges største multidosekontrakt 

Partene tar irettesettelsen til etterretning

Stavanger kommune tar irettesettelsen til etterretning.

— Kommunene gjorde åpenbart en feil i 2014 da det ikke ble inngått databehandleravtale med Apotek 1. Etter gjentatte forsøk på å få på plass en databehandleravtale med leverandøren, henvendte Stavanger kommune seg til Datatilsynet for å få saken vurdert.  Saken har gitt oss verdifull innsikt. Den erfaringen vil vi bruke aktivt i det videre arbeidet med å sikre kommunens interesser på dette området, sier leder for anskaffelser i Stavanger kommune, Elvur Hrønn Thorsteinsdottir, i en e-post.

Apotek 1 svarer også i en e-post at de tar vedtaket til etterretning.

LES OGSÅ: Kampen om multidosene

(Publisert i NFT nr. 4/2023 s. 7.)