Slik redegjør Apotek 1 for behandling av personopplysninger

Stavanger kommune sendte i slutten av oktober i fjor inn et varsel til ­Datatilsynet om Apotek 1s mulige brudd på ­personopplysningsloven og GDPR ­(General Data Protection Regulation). ­Varslingen ­gjelder avtalen Stavanger kommune og 71 andre norske kommuner har hatt med Apotek 1 om levering av multidose­pakkede legemidler.

Etter henvendelse fra Datatilsynet har Apotek 1, etter å ha fått utsatt frist, gitt sine kommentarer og redegjørelse for hvordan de behandler personopplysninger.

– Er ikke databehandler
«Apotek 1s rolle ved behandling av personopplysninger i denne sammenhengen har vært som behandlingsansvarlig. Apotek 1 er ikke databebehandler for Kommunen», skriver juridisk direktør i Apotek 1 Gruppen AS, Øystein Askim, i svaret.

Videre skriver han at Apotek 1 i det såkalte «storbyanbudet» har mottatt pasientoversikter og legemiddelister fra kommunene/pasientenes leger, og behandlet disse dataene som grunnlagsdata for ordinasjonskort som opprettes for hver enkelt pasient i Apotek 1s reseptekspedisjonssystem, som heter Nagara.

«Behandlingen gjøres for å oppfylle overnenvte krav som påhviler Apotek 1 etter apoteloven. Denne plikten påhviler ikke kommunenen eller pasientens leger. Bruk av Nagara som middel for behandlingen er gjort av Apotek 1 og er heller ikke bestemt av andre enn Apotek 1» skriver Apotek 1.

Stavanger kommune har tidligere argumentert med at det er de som har vært behandlingsansvarlige, og at Apotek 1 i deres rolle har vært databehandler for kommunene i «storbyanbudet». Dette mener Apotek 1 de kan tilbakebevise.

«Med bakgrunn i ovenstående er det etter vår oppfatning at Apotek 1 helt opplagt er behandlingsansvarlig for de pasientdata som generes og lagres i vårt reseptekspedisjonssystem Nagara».

– Ikke avtalemessig grunnlag
I overgangsfasen til ny multidoseleverandør oppstod det uenigheter mellom Apotek 1 og Stavanger kommune, som har vært ansvarlig for anbudskonkurransen for alle de 72 involverte kommunene, om hvordan overføringen av pasientdata skulle foregå. I svaret til Datatilsynet skriver Apotek 1 at de advarte kommunen om at en slik implementering ville kreve mye tid og ressurser fra leverandøren som skulle overta kontrakten.

«Kommunen og NMD utformet imidlertid ikke en slik realistisk implementeringsplan, men belaget seg i stedet på overlevering av bearbeidet data i elektronisk format fra gammel leverandør til ny leverandør. Ved å overlevere slike data til NDM ville Apotek 1 for alle praktiske formål levere deler av leveransen som NMD var pålagt etter den nye avtalen. Dette var det ikke avtalemessig grunnlag for å kreve etter avtalen mellom Apotek 1 og Kommunene. Apotek motsatte seg selvfølgelig kravet», skriver Askim.

– Skjøvet personvernbestemmelser foran seg

Videre mener Apotek 1 at kommunen på sin side har forsøkt å gjøre saken om til et spørsmål om rett til innsyn i og overføring av pasientdata etter personvernforordningen.

«Slik Kommunens henvendelse til datatilsynet fremstår, synes det for oss at Kommunen har skjøvet personvernbestemmelser foran seg for å forsøke å presse frem en overlevering av data fra gammel leverandør til ny leverandør, i et omfang og format Kommunen ikke har kontraktshjemmel til å kreve og heller ikke har anledning til å kreve med bakgrunn i personvernlovgivningen.

I brevet der Datatilsynet ber om redegjørelse fra Apotek 1, mener sistnevnte at flere av spørsmålene legger til grunn av at Apotek 1 er databehandler for kommunene. I brevet har Datatilsynet bedt om redegjørelse for hvordan sletting eller tilbakelevering av informasjon skal foregå. I tillegg ber de om Apotek 1s grunnlag for at databehandleren skal oppbevare personopplysninger etter opphør av databehandleravtalen.

«All den tid Apotek 1 ikke er databehandler, men behandlingsansvarlig, er det ikke mulig å gi noe meningsfyllt svar på de konkrete spørsmålene fra Datatilsynet - ettersom disse forutsetter en situasjon der Apotek 1 er databehandler».

Allikevel svarer Apotek 1 at formålet med å oppbevare enkeltpersoners helseopplysninger (reseptopplysninger) etter avtalen om multidoseleveranser har opphørt, er å ivareta deres dokumentasjonsplikt for reseptekspedisjoner etter apotekloven § 5-5a.