Öryggi persónuupplýsinga í lyfjagátt ófullnægjandi

Lagt er fyrir embætti landlæknis að gera viðeigandi ráðstafanir sem …
Lagt er fyrir embætti landlæknis að gera viðeigandi ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í lyfjaávísanagátt. Eigi síðar en 1. september 2023 skal embætti landlæknis senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á þeim ráðstöfunum sem gripið hefur verið til í því skyni. Ljósmynd/Colourbox

Persónuvernd hefur komist að þeirri niðurstöðu að embætti landlæknis hafi ekki viðhaft viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga í lyfjavísanagátt, sem landlæknisembættið rekur. 

Byggðist niðurstaðan á því að ekki var fyrir hendi atburðaskrá sem tryggði persónubundinn rekjanleika uppflettinga í lyfjaávísanagátt. Í gáttinni er rafrænum lyfjaávísunum miðlað milli útgefenda þeirra og lyfjabúða og er hún starfrækt af embætti landlæknis.

Þetta kemur fram í ákvörðun Persónuverndar í kjölfar frumkvæðisathugunar á því hvort embættiið tryggi viðeigandi upplýsingaöryggi við vinnslu persónuupplýsinga í gáttinni. 

Geri viðeigandi ráðstafanir

Með ákvörðun Persónuverndar voru þau fyrirmæli lögð fyrir embætti landlæknis að það gerði viðeigandi ráðstafanir sem myndu miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum í gáttinni, einkum þannig að persónubundinn rekjanleiki uppflettinga yrði tryggður.

Í ákvörðunni segir frá því að 3. febrúar hafi farið fram fundur embættis landlæknis, Lyfjastofnunar og Persónuverndar um eftirlit með aðgengi að lyfjaávísanagátt. 

Örðugt að hafa eftirlit með uppflettingum

Á fundinum var því lýst af hálfu embættis landlæknis og Lyfjastofnunar að örðugt væri að hafa eftirlit með uppflettingum í gáttinni í lyfjabúðum þar sem þar væru ekki skráðar aðgerðir starfsmanna í því viðmóti sem væri notað til að nálgast lyfjaávísanagátt. Á hinn bóginn væru aðgerðirnar skráðar í aðgerðaskrá fyrir gáttina hjá embætti landlæknis.

Hvað þetta snerti nefndu embætti landlæknis og Lyfjastofnun að aðgangur starfsmanna að viðmóti lyfjabúða og lyfjaávísanagátt væri ekki persónubundinn. Því gæti verið mjög erfitt að sjá hver hefði flett hverjum upp og þyrfti að notast við viðveruskráningu lyfjabúða til að fá úr slíku skorið.

Á fundinum kom fram af hálfu Persónuverndar að stofnunin myndi fara yfir hvort þörf væri á athugun af hennar hálfu vegna vinnslu persónuupplýsinga í lyfjaávísanagátt. 

Ófullnægjandi öryggisráðstafanir

Í ákvörðuninni segir m.a. að ljóst sé af gögnum málsins að embætti landlæknis hafi gripið til ýmissa ráðstafana í því skyni að stuðla að upplýsingaöryggi í gáttinni. Til að mynda sé embættinu kleift að rekja uppflettingar í gáttinni til einstakra lyfjabúða og tímasetningar þeirra, auk þess sem tengingar utanaðkomandi aðila við gáttina eru takmarkaðar. Þá séu fyrir hendi tilteknar lögbundnar öryggisráðstafanir, svo sem þagnarskylda starfsmanna lyfjabúða.

„Að mati Persónuverndar skortir þó á að viðhafðar séu fullnægjandi öryggisráðstafanir sem miða sérstaklega að því að varna gegn óheimilum aðgangi að upplýsingum í lyfjaávísanagáttinni. Er í því sambandi óhjákvæmilegt að líta til þess að í lyfjaávísanagáttinni er ekki aðgerðaskráning sem felur í sér persónubundinn rekjanleiki uppflettinga, hvorki í sjálfri gáttinni né í þeim lyfjaafgreiðslukerfum sem hafa verið tengd við hana. Í því felst að aðgangsstýringu að upplýsingum í gáttinni er ábótavant. Þá verður ekki ráðið af gögnum málsins að embætti landlæknis bindi aðgang lyfjabúða að upplýsingum úr lyfjaávísanagátt sérstökum skilyrðum sem lúta að upplýsingaöryggi.“

mbl.is
Fleira áhugavert
Fleira áhugavert