Land­læknir tryggði ekki öryggi upp­lýsinga í lyfja­gátt

Í úrlausn Persónuverndar kemur fram að stofnunin hafi farið í frumkvæðisathugun á því hvort landlæknir hafi tryggt viðeigandi upplýsingaöryggi. Í lyfjaávísanagátt er rafrænum lyfjaávísunum miðlað milli útgefenda þeirra og lyfjabúða og er hún starfrækt af embætti landlæknis.

Fjallað hefur verið um dæmi þess að starfsfólk apóteka hafi flett upp þjóðþekktu fólki í lyfjagáttinni. Þá hefur apótekið Lyfja kært fyrrverandi starfsmann til lögreglu vegna tilefnislausrar uppflettingar í gáttinni.

Landlæknir ber lögum samkvæmt að gera ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í gáttinni. Í ákvörðun Persónuverndar segir að aðgerðarskráning sé nauðsynleg ráðstöfun til að tryggja eftirlit með notkun upplýsinganna. Þannig væri tryggður rekjanleiki uppflettinga og vinnsluaðgerða.

Í ljósi þess að engin aðgerðarskráning var til staðar í gáttinni, skorti, að mati Persónuverndar, ráðstafanir sem varna gegn óheimilum aðgangi að upplýsingum. Aðgangsstýring að upplýsingum er einnig ábótavant og ámælisvert að landlæknir hafi ekki bundið aðgang að upplýsingum neinum skilyrðum sem lúta að upplýsingaöryggi.

Segir að hvað sem ábyrgð lyfjabúðanna sjálfra líði, hvíli á landlækni sjálfstæð skylda til að tryggja margnefnt upplýsingaöryggi.

„Það breytir ekki framangreindri niðurstöðu að lyfjabúðir hafa aðgang að upplýsingum í lyfjaávísanagátt í gegnum lyfjaafgreiðslukerfi, enda leiðir það allt að einu til þess að upplýsingar í gáttinni eru gerðar tiltækar af hálfu embættisins,“ segir í ákvörðuninni.

Var því lagt fyrir embætti landlæknis að gera viðeigandi ráðstafanir til að varna gegn óheimilum aðgangi að upplýsingu í lyfjaávísangátt. 

„Svo sem með því að binda aðgang lyfjabúða að lyfjaávísanagátt því skilyrði að þær takmarki aðgang við þá starfsmenn sem á honum þurfa að halda starfs síns vegna og skrái jafnframt upplýsingar um uppflettingar einstakra starfsmanna.“