Apoteksdatalagen (SOU 2008:28)

Transkript

1 1 (5) Landstingsstyrelsens förvaltning Handläggare: Carina Landberg Landstingsstyrelsen Yttrande över delbetänkande av Apoteksmarknadsutredningen Apoteksdatalagen (SOU 2008:28) Ärendet Socialdepartementet har gett Stockholms läns landsting möjlighet att avge yttrande över delbetänkande av Apoteksmarknadsutredningen Apoteksdatalagen (SOU 2008:28). Yttrandet har utarbetas av LSF Läkemedelscentrum i samråd med Hälso-och sjukvårdsnämndens förvaltning och LSF Juridik. Förslag till beslut Landstingsstyrelsen föreslås besluta att som yttrande över delbetänkandet av Apoteksmarknadsutredningen Apoteksdatalagen överlämna detta tjänsteutlåtande till Socialdepartementet Bakgrund Utredarens uppdrag har varit att analysera vilka effekter ur ett integritetsperspektiv som kan bli följden av att flera apoteksaktörer får tillgång till register som för närvarande hanteras av det statliga monopolet Apoteket AB. Uppdraget har även varit att lämna förslag som säkerställer att den personliga integriteten skyddas samtidigt som en hög patientsäkerhet upprätthålls. Utredningen har också övervägt hur apotekens interna hantering av personuppgifter ska regleras. I delbetänkandet föreslås en ny lag, apoteksdatalagen. Lagen ska reglera hur personuppgifter ska behandlas så att enskilda och förskrivares integritet respekteras, samt att dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Bilaga Sammanfattning av SOU 2008:28

2 2 (5) Personuppgiftslagens (1998:204) bestämmelser gäller för apotekens behandling av personuppgifter, om inte frågan regleras av apoteksdatalagen. Apoteksdatalagen reglerar också hur sökning i registren får ske samt apotekens uppgiftsskyldighet till Apotekens Servicebolag AB, Socialstyrelsen, Jordbruksverket och länsstyrelserna avseende uppgifter de behöver för sin tillsynsverksamhet samt en uppgiftsskyldighet till förskrivare om utbyte av läkemedel. Förslaget medför enligt utredningen inte några förändringar av betydelse när det gäller omfattningen eller arten av behandlingar av personuppgifter mot vad som idag äger rum på apoteken. Utredningens bedömning är således att förslaget inte medför någon ökad kostnad. Lagen föreslås träda ikraft den 1 januari Förvaltningens synpunkter Förvaltningen instämmer med utredningens förslag gällande apotekens hantering av personuppgifter ska regleras i en särskild lag. Den föreslagna Apoteksdatalagen är att föredra framför personuppgiftslagens (1998:204) mer generella hanteringsregler. Vid en jämförelse med de registerlagar som idag tillämpas i Apoteket AB:s verksamhet; lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckningen, framstår apoteksdatalagen som särskilt tydlig och heltäckande. Här avses i synnerhet avsnitten om information till den enskilde, tystnadsplikt och inre sekretess. Apoteksdatalagen innehåller även bestämmelser om behörighetstilldelning och åtkomstkontroll, vilket hittills inte funnits med i de ovan nämnda lagarna (huvudbetänkandet Omreglering av apoteksmarknaden innehåller liknande förslag om behörighetstilldelning och åtkomstkontroll). Utredningens förslag är överlag väl genomtänkt och förvaltningen förordar lagstiftning enligt utredningens förslag med beaktande av nedanstående synpunkter. Enskilds åtkomst I förslaget till patientdatalag (prop. 2007/08:126) anges i 8 kap. 5 att en vårdgivare på begäran av en patient ska lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten. Motsvarande reglering återfinns inte i förslaget till apoteksdatalag. Utredningen diskuterar inte ens möjligheten för enskilda att få åtkomst till logglistor eller personliga registerinformationen.

3 3 (5) Förvaltningen anser att denna möjlighet bör övervägas i det fortsatta arbetet. Rapportering av förskrivarkod till Apotekens Servicebolag AB Ett av de godkända ändamålen för personuppgiftsbehandling enligt 6 första stycket andra punkten apoteksdatalagen är registrering och redovisning av uppgifter till Apotekens Servicebolag AB för fullgörande av apotekets skyldigheter enligt 2 kap. 6 punkt tre lag om handel med läkemedel m.m. (lagen finns som förslag i Apoteksmarknadsutredningens huvudbetänkande Omreglering av apoteksmarknaden). En av apotekens skyldigheter enligt nämnda lagrum är att lämna upplysningar till Apotekens Servicebolag AB om förskrivarkod i de fall läkarens eller tandläkarens förskrivning avser narkotiskt läkemedel. Denna begränsning i skyldigheten att lämna upplysningar om förskrivarkod stämmer inte överens med Patientdatautredningens förslag till lag om ändring i lagen (1996:1156) om receptregister som anger att receptregistret får tillföras uppgift om förskrivarkod, oavsett vilket läkemedel förskrivningen avser (lagförslaget finns i slutbetänkandet Patientdata och läkemedel m.m.). I Apoteksmarknadsutredningens senare tillkomna ändringsförslag avseende receptregisterlagen (återfinns i huvudbetänkandet) innehåller förvisso förslag till vissa ändringar i receptregisterlagen, men behåller den nu gällande formuleringen avseende vilka uppgifter receptregisterlagen får innehålla. Således ska förskrivarkod enligt Apoteksmarknadsutredningens mening endast få tillföras receptregistret vid förskrivning av narkotiska läkemedel. Förvaltningen konstaterar att det finns två lagförslag som reglerar i vilka fall det är möjligt att tillföra receptregistret uppgift om förskrivarkod, varvid förslagen har olika lydelser med olika konsekvenser till följd därav. Vad som sagts i denna del medför emellertid inte att förslaget till apoteksdatalag ska förändras på något sätt. Förvaltningen vill dock framhålla att det vore önskvärt att receptregisterlagen ändrades enligt Patientdatautredningens förslag. Dels skapas på så sätt bättre uppföljningsmöjligheter för både landstinget och verksamhetschefer, dels skapas lagligt stöd för den inrapportering av förskrivarkoder som idag sker i praktiken. Förskrivarkoder är också en kvarleva från pappershanteringstiden och med den dominans av elektronisk hantering som idag sker med bl.a. recept bör övervägande om att förskrivarkoder ska ersättas med förskrivaridentitet eventuellt kopplat till förskrivningsrätt ske.

4 4 (5) Behov av spårbarhet och delaktighet i felsökning Den allt mer elektroniska hantering av läkemedelsinformation som vi i Sverige arbetar med medför en annan typ av samspel för apoteken med andra organisationer än Apotekets servicebolag AB. Det gäller framför allt vårdgivare men även andra myndigheter. Det är av yttersta vikt att kraven på apoteken säkerställer möjligheten till bl.a. felsökning i kedjan förskrivare journalsystem - kommunikationsnoder Apotekets servicebolag AB apoteken. En uppgradering av något av de IT-system som hanterar denna kedja kan leda till ett tekniskt fel som i sin tur kan leda till att patientsäkerheten äventyras. I 6 punkt 4 och 11 regleras spårning av utlämnade läkemedel och fullgörande av skyldighet som följer av annan författning. Det finns behov att kunna spåra eller felsöka t.ex. ett e-recept innan utlämnade av läkemedel och i det läget behöver behörig personal på apoteket kunna hantera personuppgifter. Förvaltningen anser att detta behöver belysas och regleras på lämpligt sätt. Behov av föreskrifter om säkerhetsåtgärder I ett tillsynsärende (Dnr ) beslutat den 25 februari innevarande år konstaterar Datainspektionen att Apoteket AB saknar rutiner för systematiska och återkommande uppföljningar av behandlingshistoriken över åtkomsten till personuppgifterna i den nationella receptbrevlådan och receptregistret enligt lagen (1996:1156) om receptregister. Vidare konstaterades att Apoteket dessutom inhämtar känsliga personuppgifter i elektroniska recept som överförs oskyddade över öppna nät. Härutöver har Apoteket inte säkerställt att endast avsedda mottagare kan ta del av känsliga personuppgifter i e-dos (i e-dos hanteras ordinationer för ApoDos-mottagare mellan vården och dosapotek). Det står klart med beaktande av ovanstående att säkerheten kring Apotekets hantering av personuppgifter är otillfredsställande. Varför lämpliga säkerhetsåtgärder inte har vidtagits tidigare kan endast bli föremål för spekulation. Det torde emellertid vara oproblematiskt att hävda att tydliga krav i säkerhetsföreskrifter utfärdade av Datainspektionen eller annan av regeringen utsedd myndighet avseende bl.a. logguppföljning, kommunikationssäkerhet och autentisering skulle ha underlättat för Apoteket att utforma en godtagbar säkerhetsnivå för hanteringen av personuppgifter. Behovet av en gemensam standard i detta avseende blir ännu större på en avreglerad apoteksmarknad med ett stort antal privata aktörer. Förvaltningen vill med detta betona vikten av tydliga riktlinjer för

5 5 (5) vilka säkerhetsåtgärder som ska vidtas av apoteken för sin personuppgiftshantering. Huruvida sådana föreskrifter ska utfärdas enbart för hanteringen av personuppgifter enligt apoteksdatalagen med stöd av 14 tredje stycket samma lag eller i form av mer generella säkerhetsföreskrifter vill förvaltningen inte ta ställning till. Förvaltningen anser också att med den allt ökande användning av IT i tjänster rörande läkemedel bör annat regelverk som t.ex. receptkungörelsen ses över och anpassas till de nya behov och möjligheter gällande säkerhet och kommunikation som IT ger. Miljökonsekvenser av beslutet Beslutet medför inga konsekvenser för miljön. Mona Boström Landstingsdirektör Göran Stiernstedt Bitr landstingsdirektör