Apotekens registrering av kunduppgifter DATAINSPEKTIONENS RAPPORT 1999:1

Apotekens registrering av kunduppgifter DATAINSPEKTIONENS RAPPORT 1999:1

Innehållsförteckning Inledning 2 Sammanfattning 3 Receptregisterlagen i huvuddrag 5 Vad sker på apoteken 6 Allmänt 6 Apotekskortet 6 Dos-expediering 7 Personuppgiftshanteringen på huvudkontoret 9 Inhämtande av uppgifter till receptregistret från andra register 9 Fakturering till landsting 9 Statistik 9 Hur länge finns uppgifterna identifierbara hos Apoteket AB 10 Hanteringen av begäran om registerutdrag enligt 10 datalagen 10 Receptregisterlagen och Datainspektionens iakttagelser 11 Vad får registret användas till 11 Vilka uppgifter får registret innehålla 11 Hur får uppgifterna användas 12 Vilken information skall lämnas till de registrerade 13 Samtycke till registrering från kunden 14 Sambearbetning med andra personregister 15 Hur får man söka i registret 15 Hur länge får uppgifterna finnas i registret 16 Rätten till registerutdrag 16 IT-säkerhet 17 Kontroll av Datainspektionens IT-säkerhetsföreskrifter vid huvudkontoret och vid inspekterade apotek i Norrköping 17 1. Åtkomstskydd 17 2. Loggning 17 3. Datakommunikation 18 1

Inledning Den 1 januari 1997 trädde en ny lag om registrering av uppgifter från recept i kraft; lagen (1996:1156) om receptregister (receptregisterlagen). Den reglerar registrering av personuppgifter om kunder och om förskrivande läkare vid expediering av recept hos apoteken. För att kontrollera om personuppgifterna behandlas i enlighet med receptregisterlagen har Datainspektionen under våren 1999 genomfört fem inspektioner vid Apoteket AB (Apoteket AB:s huvudkontor och tre apotek varav ett i Stockholm och två i Norrköping). Denna rapport avser att belysa registreringen av uppgifter om enskilda kunder och hur dessa uppgifter behandlas. Rapporten omfattar inte registrering av läkare. Stockholm i juni 1999. 2

Sammanfattning Apoteket AB har ännu inte fullt ut anpassat behandlingen av personuppgifter från recept till reglerna i receptregisterlagen, utan tillämpar vissa av reglerna parallellt med bestämmelserna i tillstånd från Datainspektionen. Apoteket AB följer inte de bestämmelser som finns i receptregisterlagen om information och samtycke. Receptregistret innehåller fler uppgifter än det får göra enligt lagen. Uppgifter inhämtas från andra register än de som lagen anger att uppgifter får hämtas från. Apotekspersonalen har tillgång till uppgifter i receptregistret på ett sätt som inte är förenligt med vad registret skall användas till. Uppgifter från vissa recept finns kvar i registret under en längre tid än vad som är föreskrivet. De begränsningar som föreskrivits beträffande möjligheterna att söka i receptregistret iakttas inte fullt ut. Beträffande IT-säkerheten finns också anmärkningar. De skåp i vilka servrar är placerade står olåsta i apotekslokalen. Kopia av receptregistret förvaras inte under tillfredsställande skydd. Någon återskapning av säkerhetskopior har inte prövats på apoteken. Åtkomst till personuppgifter via läsning kan inte, p.g.a. datasystemets utformning, kontrolleras i erforderlig utsträckning. Uppringbara anslutningar via modem till apotekets centrala datasystem har inte tillräckligt skydd i form av engångslösen, kryptering eller dylikt. Datainspektionen har uppmanat Apoteket AB att se över sin hantering av personuppgifter så att den överensstämmer med receptregisterlagen och datalagen samt de föreskrifter som meddelats med stöd av datalagen. Vad som är av särskild vikt är att kunderna får fullgod information om hur uppgifterna behandlas. Av central betydelse för integritetsskyddet är att den enskilde vet om vilka register han förekommer i och vad uppgifterna används till. Att den enskilde verkligen ges rätt att välja om han vill att uppgifter registreras eller används när sådan valmöjlighet finns är av stor betydelse när det gäller att värna om den enskildes personliga integritet. Information måste lämnas på det sätt som föreskrivs i receptregisterlagen bl.a. för att den enskilde skall kunna ta ställning om samtycke skall lämnas till registrering som förutsätter samtycke. Information är också många gånger en förutsättning för att den enskilde skall kunna utnyttja rätten till registerutdrag. Datainspektionen vill understryka vikten av att de bestämmelser som syftar till att skydda den enskildes personliga integritet följs. Detta är särskilt viktigt i det fortsatta arbetet inom Apoteket AB med registrering av så känsliga uppgifter som uppgift om förskrivningsorsak. Den faktiska hanteringen av de personuppgifter som sker på apoteken överensstämmer inte fullt ut med receptregisterlagen. Den s.k. dosexpedieringen som innebär att kunden får medicin som skall intas vid viss tidpunkt färdigförpackad i särskilda påsar med rätt dos ilagd, omnämns inte i lagen och inte heller i förarbetena till lagstiftningen. 3

Några särskilda hänsyn till behovet av denna typ av receptexpedition har således inte tagits i lagstiftningen. Datainspektionen avser uppmärksamma regeringen på detta förhållande och att det kan finnas anledning att ändra lagen så att även dosexpedieringen tillåts. Datainspektionen har för avsikt att följa utvecklingen vad gäller behandlingen av personuppgifter från receptexpeditionen vid apoteken. 4

Receptregisterlagen i huvuddrag Sedan den 1 januari 1997 gäller nya bestämmelser om förmåner vid köp av receptförskrivna läkemedel. De nya bestämmelserna innebär ett skydd mot höga sammanlagda kostnader istället för att alla enstaka läkemedelsköp över en viss summa subventioneras (högkostnadsskyddet). Kostnadsansvaret för läkemedelsförmånen överfördes från staten till landstingen och de tre landstingsfria kommunerna. Landstingens och kommunernas ansvar omfattar de personer som bor inom landstinget respektive kommunen. I det följande används den samlade beteckningen landsting. För fakturering till landstingen får Apoteket AB (tidigare Apoteksbolaget AB), föra ett register över förskrivningar av läkemedel och andra varor, som omfattas av högkostnadsskyddet vid köp av läkemedel m.m. Registret skall samtidigt hos Apoteket AB användas för att samla in och vidarebefordra information från recepten till andra register för framställning av statistik, ekonomisk uppföljning och planering samt för medicinsk uppföljning och kvalitetssäkringsarbete. I receptregisterlagen regleras hur uppgifterna skall hanteras så länge de finns i receptregistret hos Apoteket AB och vad som är tillåtet ifråga om överföring av uppgifter till andra register. Apoteket AB är registeransvarigt för den personuppgiftshantering som sker enligt receptregisterlagen, både när det gäller uppgifter som registreras på apoteken och de uppgifter som finns centralt på huvudkontoret i Stockholm. Inom Apoteket AB finns 882 apotek. De är indelade i 23 apoteksgrupper. 93 apotek är s.k. sjukhusapotek. 5

Vad sker på apoteken Allmänt Det apotek som tar emot och expedierar ett recept registrerar de uppgifter som finns på receptblanketten. De olika typer av recept som kan förekomma på ett apotek är sådana som kunden kommer med själv, recept som läkaren (förskrivaren) ringer in, recept via telefax och elektroniska recept. Dessutom förekommer s.k. dos-expediering, som innebär att kunder som inte själva klarar av att dosera sina läkemedelsintag får läkemedlet dos-förpackat. Vilka typer av recept som expedieras varierar mellan apoteken. På receptet finns kundens namn och födelsetid eller personnummer. Apoteket expedierar recept även om personnumret inte finns med. Utöver namn och födelsetid/ personummer, som registreras i receptregistret, finns på blanketten utrymme för uppgifter om läkemedel, mängd, dosering, användning och ändamål. Uppgift om läkemedel, mängd, dosering och användning skrivs regelmässigt på receptblanketten och förs in i registret. Så sker däremot inte med uppgift om för vilket ändamål läkemedlet förskrivs. Förskrivarens namn skrivs regelmässigt på receptet och registreras i receptregistret. Uppgifter om förskrivarkod (läkarens identitet) och arbetsplatskod (den arbetsplats där läkaren arbetar) finns ibland förtryckta på receptblanketten som förskrivaren får av sin sjukvårdshuvudman. Det varierar mellan apoteken hur långt man har kommit när det gäller registrering av förskrivarkod och arbetsplatskod. Vanligast är att arbetsplatskoden finns med och registreras. Registrering av förskrivningsorsak hade inte påbörjats vid tidpunkten för inspektionstillfällena. Apotekskortet För att den enskilde inte själv skall behöva samla kvitton i syfte att kunna utnyttja högkostnadsskyddet har Apoteket AB infört ett system med registrering och automatisk sammanräkning av en kunds inköpssummor. Apoteket AB har tagit fram ett Apotekskort som gör det möjligt att registrera kundens receptinköp i kronor. Apotekskortet är ett plastkort som innehåller en pinkod med ett icke identifierbart nummer som avläses genom scanning varvid koppling sker till de identifierade uppgifterna i högkostnadsskyddsdelen i receptregistret. Genom att tillföra uppgifter om läkemedelsinköp i kronor fås automatiskt uppgift om hur stor egenavgift som kunden skall betala. Av kunderna har cirka 90 procent Apotekskort. På ett av apoteken som inspekterades uppskattades anslutningen till 98 procent. 6

I samband med att kunden erhåller kortet överlämnas en broschyr om hur högkostnadsskyddet fungerar. En kund som kan vänta någon timme på sin medicin kan välja om han vill ha ett Apotekskort eller inte genom att kryssa i en ruta på den påse vari receptet lämnas på apoteket för senare hämtning. Denna hantering förekommer dock i mindre utsträckning. På ett av de inspekterade apoteken ges även information muntligen om högkostnadskyddet och statistikframställning. Ett annat apotek uttalade att kunden samtycker till registrering i högkostnadsskyddsdelen genom att ta emot Apotekskortet efter att på muntlig förfrågan ställt sig positiv till anslutning och fått en informationsbroschyr. Om kunden inte vill lämna sitt personummer kan han inte få ett Apotekskort. Kunden får då själv hålla reda på sina läkemedelsinköp genom att spara sina receptkvitton och någon registrering i högkostnadsskyddsdelen i registret sker inte. Kunden har rätt till den rabatt högkostnadsskyddet ger på samma sätt som de kunder som har ett Apotekskort. Registreringen av uppgifter beträffande de kunder som inte har Apotekskort sker i receptregistret för fakturering till landsting samt för olika uppföljnings- och statistikändamål (se avsnittet om Personuppgiftshanteringen på huvudkontoret s. 6). På det apotek som har expedierat ett recept finns uppgifterna från receptet kvar i registret (i det lokala operativsystemet) upp till tre månader. Det lokala apoteket kan söka bland uppgifterna utifrån löpnummer på receptet, kundens personnummer, kundens födelsedatum samt kundens efternamn jämte datumintervall. Apoteket kan även söka på uppgifterna utifrån förskrivarens namn jämte datumintervall. Andra apotek, dvs. de apotek som inte har expedierat receptet, kan endast se var kunden befinner sig i kostnadstrappan. Apoteken kan alltså ta fram kundens identitet och dennes läkemedelsinköp i kronor i registrets högkostnadsskyddsdel. Detta gäller då enbart de kunder som har anslutit sig till högkostnadsskyddsdelen och har ett Apotekskort. Dos-expediering I stort sett alla sjukhusapotek och vissa andra apotek har en service för kunder som inte själva klarar av att dosera sina läkemedel. Kunden får de mediciner som skall intas vid vissa tidpunkter färdigförpackade i särskilda påsar och med rätt dos ilagd. Påsarna färdigställs på dos-apoteket med hjälp av en särskild maskin. Uppgift om vilken dosering som gäller för kunden anges på ett ordinationskort som är en recepthandling utfärdad av ansvarig läkare. Uppgifterna på ordinationskortet registreras hos apoteket. En ordination av läkemedel på ordinationskort är giltig under ett år från ordinationsdagen. Under den tid receptet är giltigt kan kunden expedieras avdelade doser för en till två veckor i taget. Under förutsättning att inga ändringar görs av ordinationen, levereras veckodoser till det är 7

dags att förnya ordinationerna. För att inte patienten skall bli utan läkemedel för det fall en förnyad ordination försenas har apoteket en viss säkerhetsmarginal inbyggd i systemet. Uppgifterna på ordinationskortet ligger mot bakgrund härav kvar i registret till det är dags att förnya ordinationen. Dos-kunderna omfattas av högkostnadsskyddet men transaktionerna beträffande kunden registreras inte i samma databas som övriga kunder utan i ett annat system beroende på att kunderna faktureras månadsvis för egenavgiften. Belopp som överstiger egenavgiften betalas, i likhet med vad som gäller för de andra kunderna, av landstinget. Andra apotek än det som har registrerat ordinationskortet kan se uppgifterna på kortet. De apoteken kan expediera dos-kunder färdigförpackade läkemedel. För att faktureringen av egenavgiften skall bli rätt har de flesta apoteken tillgång till uppgifterna på ordinationskortet. Doserade läkemedel kan endast expedieras av Dos-apoteket. 8

Personuppgiftshanteringen på huvudkontoret Uppgifterna från recepten som apoteken har registrerat går varje natt över via fil till Apoteket AB:s huvudkontor i Stockholm. Uppgifterna fördelas sedan på olika datasystem inom Apoteket AB. Inhämtande av uppgifter till receptregistret från andra register Från det statliga person- och adressregistret, SPAR, inhämtas uppgifter om kundens namn, personnummer, folkbokföringsort, postnumret i kundens bostadsadress, medborgarskap, uppgift om civilstånd samt uppgift om samhörigs personnummer (maka/ make, partner, vårdnadshavare för). Dessa uppgifter behövs enligt Apoteket AB för att kunna administrera högkostnadsskyddsdelen, så att egenavgiften blir rätt. Alla personer i ett hushåll får var sitt kort. Finns det barn under 18 år skrivna på samma adress får barnens läkemedelskostnader räknas samman i ett gemensamt högkostnadsskydd. Uppgifterna från SPAR behövs även enligt Apoteket AB för att kunna fakturera rätt landsting. Inom ramen för en försöksverksamhet inhämtas från Stockholms läns landstings befolkningsregister personnummer på personer bosatta inom landstinget till receptregistret. Apoteket AB hänför utifrån personnumren individerna till det betjäningsområde inom landstinget som de tillhör. Landstinget erhåller härefter avidentifierade uppgifter i form av läkemedelskonsumtion uppdelad på betjäningsområde. Fakturering till landsting Varje månad får respektive landsting en pappersfaktura på en klumpsumma som skall betalas av landstinget. Vid sidan av pappersfakturan får landstinget på datamedium ett underlag med personnummer, datum, förmånsbelopp och totalbelopp. Landstinget får också vid faktureringen två listor på papper; en lista över fördelningen av kostnaden för varje kommun i landstinget och en lista med fördelning utifrån förskrivarens arbetsplats. De kostnadsposter som inte kan hänföras till något landsting beroende på att kundens identitet inte är känd behandlas särskilt. Statistik Receptregistret används hos Apoteket AB för ekonomisk uppföljning, för framställning av försäljningsstatistik samt för utlämnande av uppgifter att användas som underlag för avhandlingar. De uppgifter som redovisas är avidentifierade. 9

Apoteket AB redovisar uppgifter från receptregistret till landstingen att användas för ekonomisk uppföljning och framställning av statistik samt, i en mindre omfattning, till läkemedelskommitteér för framställning av statistik för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården. De uppgifter som lämnas är avidentifierade. Vidare redovisas uppgifter till Socialstyrelsen för s.k. kvalitetssäkring. Det rör sig enbart om avidentifierade uppgifter. Uppgifter lämnas i liten omfattning till förskrivare på dennes begäran beträffande egen förskrivning. Några uppgifter hänförliga till den enskilde kunden framgår inte av denna redovisning. Till verksamhetschefer enligt hälso- och sjukvårdslagen lämnas statistikuppgifter hänförliga till arbetsplats. Några uppgifter hänförliga till den enskilde kunden (eller förskrivaren) framgår inte heller av denna redovisning. Vissa lokala apotek kan lämna ut statistik enligt receptregisterlagen. Dessa apotek har tillgång till den statistik som färdigställts på huvudkontoret. Tillgången avser enbart uppgifter hänförliga till det egna länet. På det sjukhusapotek som inspekterades skickas återrapportering av uppgifter hänförliga till arbetsplats till verksamhetschefen enligt hälso- och sjukvårdslagen kvartals- och helårsvis. Det rör sig då enbart om avidentifierade uppgifter. Hur länge finns uppgifterna identifierbara hos Apoteket AB I statistikdelen sker avidentifiering av uppgifter tre månader efter det att uppgiften registrerades. Dessförinnan har personumret ersatts med ett löpnummer. Landsting kan återkomma med frågor på personnivå inom tre månader för faktureringsändamål. Återkoppling till identifierbara uppgifter kan då ske via löpnumret. Det har inte hänt att ett landsting har återkommit till Apoteket AB med sådana förfrågningar. I redovisningssystemet krypteras personumret för att dekrypteras vid överföringen för faktureringsändamålet till landstinget. I högkostnadsskyddsdatabasen finns inte några uppgifter om preparat utan enbart uppgifter hänförliga till högkostnadskyddet. Korrigeringar i denna bas görs på huvudkontoret. Hanteringen av begäran om registerutdrag enligt 10 datalagen Det händer att enskilda begär registerutdrag enligt 10 datalagen. En sådan begäran tas emot av huvudkontoret som lämnar besked om uppgifter som finns tillgängliga hos huvudkontoret. När det gäller uppgifter som finns på de lokala apoteken hänvisas den enskilde att begära registerutdrag hos apoteket ifråga. I samband med att kunden får besked beträffande sin begäran om registerutdrag lämnar Apoteket AB även information om receptregisterlagen. 10

Receptregisterlagen och Datainspektionens iakttagelser Apoteket AB behandlar f.n. uppgifter från recept både enligt reglerna i receptregisterlagen och med stöd av tillstånd från Datainspektionen. Receptregisterlagen innehåller inte några övergångsbestämmelser. Det innebär att receptregisterlagen skall tillämpas fullt ut i fråga om registrering av uppgifter från recept av läkemedel och andra varor som omfattas av läkemedelsförmånen. Receptregistret får inte användas för några andra ändamål än de som anges i receptregisterlagen. Det innebär i sin tur att de tillstånd till registrering av uppgifter från recept som Datainspektionen meddelat numera har förfallit om ändamålen enligt tillstånden sammanfaller med ändamålen enligt receptregisterlagen. Datainspektionen har uppmanat Apoteket AB att skyndsamt anpassa behandlingen i enlighet med receptregisterlagens bestämmelser. Om ytterligare behandling av personuppgifter från recept behövs för verksamheten måste Apoteket AB skaffa sig rättsligt stöd därtill. Vad får registret användas till (1 och 3 andra stycket receptregisterlagen) Receptregistret är ett register över förskrivningar av läkemedel och andra varor som omfattas av lagen (1996:1150) om högkostnadsskydd vid köp av läkemedel m.m. Registret har flera ändamål. Registret får användas för registrering av underlag för tillämpning av bestämmelserna om högkostnadsskydd och för fakturering till landstinget. Registret får även användas för ekonomisk uppföljning och framställning av statistik hos Apoteket AB, registrering och redovisning till landstingen av uppgifter för ekonomisk uppföljning och framställning av statistik, registrering och redovisning till förskrivare, verksamhetschefer och läkemedelskommitteér för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården samt registrering och redovisning till Socialstyrelsen av uppgifter för medicinsk uppföljning, utvärdering, kvalitetssäkring, epidemiologiska undersökningar, forskning och framställning av statistik. Vilka uppgifter får registret innehålla (4 receptregisterlagen) I den utsträckning de behövs för registerändamålen får följande uppgifter registreras: inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering enligt lagen om högkostnadsskydd vid köp av läkemedel m.m., förskrivningsorsak i form av kod, kundens namn, personnummer, folkbokföringsort samt postnumret i kundens bostadsadress, förskrivarens namn, yrke, specialitet och arbetsplats och samtycke 11

Uppgift om kundens medborgarskap, civilstånd samt uppgift om samhörigs personnummer får inte registreras enligt lagen. Uppgifter om hur ett läkemedel skall användas får inte heller registreras i receptregistret. Hur får uppgifterna användas (3 andra stycket receptregisterlagen) Till landstinget får inte några andra uppgifter redovisas för faktureringen än inköpsdag, kostnad, kostnadsreducering och patientens personnummer. Användning av uppgifter för ekonomisk uppföljning och statistik hos Apoteket AB, registrering och redovisning av uppgifter till landstingen för ekonomisk uppföljning och framställning av statistik samt registrering och redovisning till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen och till läkemedelskommittéer för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården får inte omfatta några åtgärder som innebär att uppgifter om enskild person redovisas. Redovisning av uppgifter som kan hänföras till enskild person får göras till Socialstyrelsen beträffande den som har lämnat sitt samtycke till det. Förskrivningsorsak får redovisas endast för registrering och redovisning till landstingen av uppgifter för ekonomisk uppföljning och framställning av statistik, registrering och redovisning till förskrivare, till verksamhetschefer och till läkemedelskommittéer för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården samt registrering och redovisning till Socialstyrelsen av uppgifter för medicinsk uppföljning, utvärdering, kvalitetssäkring, epidemiologiska undersökningar, forskning och framställning av statistik. Uppgift om förskrivningsorsak får inte redovisas för bevakning av högkostnadsskyddet, för fakturering till landstinget eller för ekonomisk uppföljning eller statistik hos Apoteket AB. Regeringen eller efter regeringens bemyndigande Socialstyrelsen får meddela föreskrifter om koder för förskrivningsorsak. Vid tidpunkten för inspektionerna av Apoteket AB hade några sådana föreskrifter inte meddelats. Uppgifter ur receptregistret som får lämnas ut i enlighet med registerändamålen får lämnas ut på medium för automatisk databehandling (7 receptregisterlagen). I förarbetena till lagen uttalas följande beträffande de uppgifter som lämnas ut till landstingen: Uppgift om personnummer avses åtfölja debiteringarna till landstingen för att där under någon tid bevaras till möjliggörande av kontroll av debiteringarna. Personumret får inte sammanföras med de uppgifter som lämnas till landstingen för uppföljning och statistik. Den kontroll som möjliggörs med hjälp av receptregistret gäller endast att de patienter landstinget betalar för var bosatta inom landstinget när inköpet skedde. En fullständig kontroll av de enskilda debiteringarna, som skulle förutsätta ett utlämnande av samman- 12

kopplade eller sammankopplingsbara uppgifter om inköpt preparat och om patientens identitet, möjliggörs inte. Uppgifter till landstinget för uppföljning och statistik skall lämnas i avidentifierad och aggregerad form men med en sådan specificering att mottagaren kan använda dem för olika uppföljningsändamål med t.ex. geografiska jämförelser (prop. 1996/97:27 sid 125). Lagen reglerar inte vilka enheter och personer inom Apoteket AB som får ha tillgång till receptregistret. I förarbetena uttalas dock följande beträffande tillgång till uppgifter i receptregistret. Sådan tillgång bör vara strikt begränsad efter behov med avseende på arbetsuppgifter. Så skall det t.ex. på apoteken, där uppgifterna kommer att matas in i registret, inte gå att få tillgång till andra uppgifter i registret än vad som behövs för registerändamålet att beräkna den enskildes egenavgift, vilken användning dessutom är beroende av den enskildes samtycke. De uppgifter det här kan gälla är inköpsdag, kostnad, kostnadsreducering och patientens identitet (prop. 1996/97:27 sid 123 och 127). Det förhållandet att det lokala apotek där ett recept har expedierats har tillgång till alla uppgifter från recepten under en tid efter det att receptet har expedierats, att uppgifter från ordinationskort är tillgängliga på Dosapoteken och att andra apotek än expedierande apotek har tillgång till uppgifter om dos-expedierade läkemedel står inte i överensstämmelse med lagstiftarens intention med receptregistret och dess användning. Vilken information skall lämnas till de registrerade (9 receptregisterlagen) Apoteket AB skall på lämpligt sätt informera kunder och förskrivare om receptregistret. Informationen skall redovisa ändamålen med registret och vilka uppgifter registret får innehålla samt ge upplysning om de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret, rätten att få registerutdrag och rättelse enligt datalagen (1973:289), vad som gäller ifråga om samtycke och de begränsningar i fråga om sambearbetning, sökbegrepp och bevarande av uppgifter som gäller för registret. Den information som ges till kunderna är som regel den som återfinns i broschyren om Apotekskortet, dvs. den del av receptregistret som avser högkostnadsskyddsdelen. Informationsbestämmelsen i lagen är emellertid betydligt mer omfattande än så. Information skall ges om allt vad receptregistret är avsett att användas för och inte enbart högkostnadsskyddsdelen. 13

Dessutom skall informationen lämna upplysning om det som anges i lagen. Det räcker inte med att hänvisa till receptregisterlagen på sätt som görs i broschyren. Den information som ges i broschyren är således ofullständig. Den information som ges i broschyren kan även uppfattas som missvisande. Kunden kan få den felaktiga uppfattningen att apoteket överhuvudtaget inte registrerar några andra uppgifter från receptblanketten än uppgifter hänförliga till högkostnadsskyddet. I broschyren anges att några uppgifter om mediciner eller om vilken läkare som skrivit ut receptet inte registreras på apoteket. Registrering av dessa uppgifter sker dock, nämligen för de andra ändamål som receptregistret får användas för. Ett exempel är för framställning av statistik. Information om receptregisterlagen skall lämnas självmant av Apoteket AB utan att kunden frågar efter den eller framställer en begäran om registerutdrag (se avsnitt Rätten till registerutdrag s. 13). Samtycke till registrering från kunden (3 andra stycket receptregisterlagen) Registrering av uppgifter för bevakning av högkostnadsskyddet kräver att kunden har lämnat sitt samtycke. Anslutningen till Apotekskortet gäller endast för den som själv önskar det. Det innebär att kunden skall ges möjlighet att ta ställning till om han vill ansluta sig till högkostnadsskyddsdatabasen. För redovisning till Socialstyrelsen av uppgifter som kan hänföras till någon enskild person krävs också att den enskilde har lämnat sitt samtycke. Apoteket AB är skyldigt att lämna information om receptregistret. Information skall bl.a. lämnas om vad som gäller i fråga om samtycke. Om kunden efter det att han har fått information accepterat att uppgifterna används på visst sätt, t.ex. för ändamålet att bevaka så att han får del av högkostnadsskyddet, innebär det att kunden har samtyckt till behandlingen av uppgifterna. Har kunden inte fått information om att Apotekskortet inte är nödvändigt för att man skall kunna tillgodogöra sig högkostnadsskyddet och om att det faktiskt finns en valmöjlighet kan inte en anslutning till Apotekskortet anses ha skett med samtycke. Inte ens för det fall kunden faktiskt tar emot ett kort. 14

I broschyren Apotekskortet sägs följande Om du inte vill ha något apotekskort, måste du själv samla högkostnadsbevisen i god ordning, och ta med dig till apoteket varje gång för att få rätt rabatt. Detta återfinns som ett sista led i en text under rubriken Vad händer om jag glömmer kortet hemma?. Det kan ifrågasättas om denna information verkligen når den enskilde kunden som skall få ett apotekskort. Något annat som skulle vara att hänföra till information om valmöjligheten återfinns inte i broschyren om Apotekskortet. Att kunden har en valmöjlighet att ansluta sig till Apotekskortet och att kunden har rätt till högkostnadskyddet även om han inte har anslutit sig måste på ett tydligare sätt framgå av den information som lämnas. Redovisning till Socialstyrelsen av uppgifter på individnivå hade inte påbörjats vid inspektionstillfällena. Sambearbetning med andra personregister (5 receptregisterlagen) Uppgifter om kundens namn, personnummer, folkbokföringsort och postnummer får inhämtas från SPAR. Dessa uppgifter får enligt förarbetena i första hand inhämtas.för att fastställa landstingstillhörighet för debiteringen och i andra hand för att göra underlaget för landstingens och de andra avnämnarnas uppföljning och statistik användbart för geografiska jämförelser. Det står inte i överensstämmelser med lagstiftningen att inhämta personnummer från Stockholms läns landstings befolkningsregister. Hur får man söka i registret (6 receptregisterlagen) Beträffande kunden får dennes identitet användas som sökbegrepp endast för den frivilliga servicen till kunderna i fråga om högkostnadsskyddet. Förskrivningsorsaken får inte användas som sökbegrepp. Kundens identitet får inte vara sökbar för fakturering till landstingen. På de lokala apoteken som har expedierat ett recept kan apotekspersonalen söka på kunders identitet under tre månader efter att receptet har expedierats, även för annat ändamål än för högkostnadsskyddet. Det är inte förenligt med receptregisterlagen. 15

I lagen har man begränsat sökmöjligheten till att avse uppgifter i högkostnadsskyddsdelen, dvs. den del av registret som enbart skall innehålla uppgift om en kunds identitet samt beloppsuppgifter hänförliga till högkostnadsskyddet. Det står därför inte i överensstämmelse med lagen att söka på andra uppgifter än kundens identitet, t.ex. på ett recepts löpnummer. Hur länge får uppgifterna finnas i registret (8 receptregisterlagen) Uppgifter som kan hänföras till enskilda personer och som bevarats för högkostnadsskyddsändamålet skall gallras, eller med andra ord tas bort från registret, under den femtonde månaden efter den under vilken de registrerades. Uppgifter som kan hänföras till enskilda personer skall i övrigt tas bort från registret under den tredje månaden efter den under vilken de registrerades. Det står inte i överensstämmelse med gallringsbestämmelserna i receptregisterlagen att ordinationsuppgifter beträffande kunder som får sina läkemedel dosexpedierade finns kvar i registret Rätten till registerutdrag (10 datalagen) Apoteket AB är enligt datalagen skyldig att på begäran av enskild så snart det kan ske underrätta denne antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift inte förekommer i registret. Genom att hänvisa den enskilde till de lokala apoteken får denne begära registerutdrag på nytt för att få registeruppgifter som är tillgängliga endast lokalt. Datainspektionen har förståelse för denna ordning men anser att en begäran bör vidarebefordras till lokala apotek i fall där det framgår vilket eller vilka apotek som avses. Det lokala apoteket får sedan tillställa den enskilde underrättelse enligt bestämmelsen om registerutdrag. 16

IT-säkerhet Datainspektionen har med stöd av datalagen meddelat IT-säkerhetsföreskrifter avseende särskilt viktiga åtgärder som måste vidtas för att receptregistret skall ha ett fullgott skydd. Kontroll av Datainspektionens IT-säkerhetsföreskrifter vid huvudkontoret och vid inspekterade apotek i Norrköping Meddelade föreskrifter anges med kursiv text under p 1-3. I rutorna anges de brister som konstaterats. Säkerhetsföreskrifter har även meddelats beträffande behörighetskontroll, utplåning samt reparation och service. Beträffande dessa föreskrifter fanns inte några brister. 1. Åtkomstskydd När datorutrustning och löstagbara datamedier inte står under uppsikt skall utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras. Skydd för datorutrustning och datamedier skall ordnas så att personuppgifterna kan återskapas efter brand eller annan störning. På de inspekterade apoteken stod servrarna i olåsta skåp i apotekslokalen. Normalt uppehåller sig personal i samma rum där servern står. Kopia av personregistret förvaras inte under tillfredsställande skydd. Återskapning av säkerhetskopior har inte prövats på apoteken. 2. Loggning Åtkomst till personuppgifter skall kunna följas upp i efterhand genom en maskinell logg eller liknande maskinellt underlag. Av detta underlag skall framgå vem som har haft åtkomst till personuppgifter och tidpunkten för åtkomsten. Underlaget skall kontrolleras i erforderlig utsträckning. Åtkomst till personuppgifter via läsning kan, pga. datasystemets utformning, inte kontrolleras i erforderlig utsträckning. Ett antal systemloggar kan visserligen tas fram som visar åtkomsten till statistikdatabasen men dessa visar inte åtkomst på personnivå. 17

3. Datakommunikation Uppringbar anslutning för datakommunikation skall skyddas genom funktion för motringning eller motsvarande. Vid användning av allmänt datanät skall funktionen sluten användargrupp nyttjas. Det finns uppringbara anslutningar via modem till apotekets centrala datasystem som inte har fullgott skydd. Uppringd förbindelse skall ha ytterligare säkerhet i form av engångslösen, kryptering eller dylikt. 18

Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: registrator@datainspektionen.se Fax: 08-652 86 52 Tel: 08-657 61 00