Ákvörðun stjórnar Persónuverndar byggð á úttekt stofnunarinnar á öryggi vinnslu persónuupplýsinga á vegum Lyfju hf.
I.
Almennt um verkefnið
Með bréfi, dags. 15. maí 2001, tilkynnti Persónuvernd Lyfju hf. að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga á vegum félagsins. Var þess óskað að Persónuvernd bærust gögn um öryggismál lyfjaupplýsinga sem m.a. lýstu öryggiskerfi félagsins með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis og 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Markmið úttektarinnar var að fá glögga yfirlitsmynd af öryggi þeirrar vinnslu lyfjaupplýsinga sem fram fer hjá félaginu og í lyfjaverslunum þess. Umbeðin lýsing barst frá Lyfju hf. með bréfi, dags. 15. mars 2002. Með bréfi, dags. 26. júní s.á., tilkynnti Persónuvernd Lyfju hf. að Svönu Helen Björnsdóttur, verkfræðingi og framkvæmdastjóra Stika ehf., hefði verið falið að fara yfir framangreinda lýsingu og vinna skýrslu um ástand öryggismála í lyfjabúðum félagsins og hjá því sjálfu. Svana Helen aflaði ýmissa frekari gagna, m.a. um öryggisstefnu félagsins, áhættumat og öryggisráðstafanir, þ. á m. um öryggi gagna í flutningi og sendingum; öryggi gagna í gagnagrunnum, t.d. notkun dulkóðunar; aðgang að afgreiðslukerfi félagsins; ytra öryggi, t.d. viðvörunarkerfi, vöktun húsnæðis og lyklamál; förgun gagna, gagnamiðla og búnaðar; og áætlanir um samfelldan rekstur, þ.e. um viðbrögð við áföllum, s.s. bruna. Afhenti Lyfja hf. ýmis umbeðin gögn þessu að lútandi, m.a. á fundum, sem haldnir voru 13. og 23. ágúst 2002, og með greinargerð, dags. 12. september s.á. Þá fór Svana Helen, ásamt öðrum starfsmanni Stika ehf., í vettvangsheimsóknir í þrjár lyfjabúðir félagsins, þ.e. á Smáratorgi, í Lágmúla og í Grindavík, hinn 20. september 2002. Sama dag heimsóttu þau einnig starfsstöðvar Þekkingar-Tristan hf. í Kópavogi. Hinn 23. september 2002 voru heimsóttar starfsstöðvar Þekkingar-Tristan hf. á Akureyri.
Svana Helen skilaði skýrslu til Persónuverndar með bréfi, dags. 6. nóvember 2002. Með bréfi, dags. 5. desember s.á., bauð Persónuvernd Lyfju hf. að tjá sig um skýrsluna. Hinn 16. janúar 2003 var og haldinn fundur í húsnæði Persónuverndar um þá vinnu sem þegar hafði farið fram vegna úttektarinnar. Með bréfi, dags. 25. apríl 2003, tjáði félagið sig efnislega um skýrslu Svönu Helenar og gerði ýmsar athugasemdir við hana.
II.
Vinnsla persónuupplýsinga
hjá Lyfju hf.
Fyrir liggja gögn um vinnslu lyfjaupplýsinga hjá Lyfju hf., einkum í skýrslu Svönu Helenar Björnsdóttur, sem barst Persónuvernd með bréfi, dags. 6. nóvember 2002, en þar er að finna lýsingu á vinnslunni; og í athugasemdum Lyfju hf., dags. 25. apríl 2003, við efni skýrslunnar.
1.
Skýrsla Svönu Helenar Björnsdóttur
um vinnslu lyfjaupplýsinga hjá Lyfju hf.
Í lýsingu Svönu Helenar Björnsdóttur á vinnslu lyfjaupplýsinga hjá Lyfju hf., eins og hún á að fara fram samkvæmt þeim gögnum sem hún hefur aflað, kemur fram að:
Þegar lyfseðill berst lyfjabúð eru upplýsingar af honum skráðar inn í lyfsölukerfi Lyfju hf. og varðveittar þar. Geta má þess að í tilkynningu, sem Lyfja hf. sendi Persónuvernd (nr. S787), segir að persónuauðkennum sé eytt eftir sjö ár. Auk varðveislu á tölvutæku formi eru afrit allra lyfseðla geymd tímabundið í viðkomandi lyfjabúð, en frumrit "núll-lyfseðla" (afrit v. eftirritunarskyldra lyfja) eru send í miðlæga geymslu. Stjórnendur og sendlar hafa aðgang að henni. Þar eru þeir varðveittir í samræmi við 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja, þar sem segir að lyfsalar og aðrir sem hafa leyfi til lyfsölu skuli halda eftir þeim lyfseðlum sem ekki eru sendir Tryggingastofnun. Skuli þeir geymdir í minnst sjö ár og afrit þeirra afhent Lyfjastofnun sé eftir því óskað.
Lyfja hf. sendir Lyfjastofnun frumrit lyfseðla vegna eftirritunarskyldra lyfja, þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar. Lyfseðlarnir eru sendir á mánaðarfresti með ábyrgðarpósti eða boðsendir, en stundum óháð þessum fresti þegar Lyfjastofnun hefur frumkvæði að eftirlitskönnun. Hefur þá komið fyrir að þeir hafi verið sendir með símbréfi eða tölvupósti, en nú mun það hafa verið aflagt. Þá sendir Lyfja hf. Tryggingastofnun ríkisins upplýsingar um alla afgreidda lyfseðla rafrænt á dulkóðuðu formi. Auk þess eru stofnuninni, á tveggja til þriggja mánaða fresti, send frumrit allra lyfseðla (afrit v. eftirritunarskyldra lyfja) sem hún tekur þátt í að greiða. Eru lyfseðlarnir sendir með ábyrgðarpósti eða boðsendir.
Áðurnefnt lyfsölukerfi Lyfju hf. er þróað af Landsteinum hf. sem einnig sér um viðhald þess. Í því eru skrár sem tengja má saman á ýmsa vegu. Tólf skrár eru með persónuupplýsingum. Meðal þeirra er viðskiptamannaskrá, en þar eru m.a. upplýsingar um viðskiptamannanúmer, nöfn, kennitölur, heimilisföng og símanúmer. Sérstök skrá er til yfir viðskiptamenn sem haft er sérstakt eftirlit með. Þar má m.a. sjá upphafsdag eftirlits og ástæður þess. Þarna er einnig skrá með upplýsingum um ofnæmi viðskiptamanna; skrár yfir lyfjapantanir, þar sem sjá má hverjir hafa pantað hvaða lyf, tegund lyfseðla, hvaða læknar og lyfjafræðingar voru ábyrgir o.fl.; og skrár yfir reikninga fyrir afgreidd lyf, þar sem m.a. má sjá verð, afslætti og hvaða læknar og lyfjafræðingar voru ábyrgir. Með tengingu þessara skráa má fá fram ýmsar persónuupplýsingar, t.d. um allar lyfjaávísanir sem tilteknir læknar hafa gefið út og hverjir fengu umrædd lyf.
Lyfsölukerfið og önnur upplýsingakerfi Lyfju hf. eru hýst hjá Þekkingu-Tristan hf. Það fyrirtæki er, ásamt Landsteinum hf., hluti af samsteypunni GoPro – Landsteinar. Þekking-Tristan hf. hefur tvær starfsstöðvar, aðra á Akureyri en hina í Kópavogi. Yfirstjórn félagsins er á Akureyri. Þar er kerfisstjóri þess, en hann er einnig kerfisstjóri Lyfju hf. Upplýsingakerfi Lyfju hf., þ. á m. lyfsölukerfið, eru hýst í Kópavogi á netþjónum í eigu Lyfju hf. Netþjónarnir eru ekki algjörlega aðskildir frá öðrum búnaði hjá Þekkingu-Tristan hf. Er m.a. notuð sama stöð til að taka afrit bæði af gögnum Lyfju hf. og af gögnum annarra viðskiptavina félagsins. Liggja gögn þeirra allra á sömu segulbandsspólunum, en aðgangsstýringar eiga að tryggja að gögn haldist aðgreind.
Aðgangur starfsmanna Lyfju hf. að persónuupplýsingum er mismikill og fer eftir skilgreiningum á hópum notenda. Þessum skilgreiningum hefur kerfisstjóri komið á. Eitt af því sem ræður aðgangi starfsmanna er hvort þeir starfa í höfuðstöðvum félagsins eða hjá einstökum lyfjaverslunum. Stjórnendur Lyfju hf. eiga aðeins að hafa aðgang að ópersónugreinanlegum gögnum (þetta kemur fram í töflu frá Lyfju hf. yfir aðgangsstýringar), en einungis starfsmenn hverrar lyfjabúðar eiga að hafa aðgang að persónugreinanlegum upplýsingum varðandi sölu lyfja í viðkomandi búð. Lyfsölukerfi Lyfju hf. er hýst sem einn gagnagrunnur, en upplýsingar frá hverri lyfjabúð mynda sér deild í gagnagrunninum.
Frá Akureyri og Kópavogi veitir Þekking Tristan hf. Lyfju hf. ýmsa þjónustu, t.d. keyrslu fyrirspurna, en kerfisþjónusta vegna lyfsölukerfisins er hins vegar veitt af Landsteinum hf. Kerfisstjóri Þekkingar-Tristan hf. ákveður hvort þjónusta fer fram frá Akureyri eða Kópavogi. Á útstöðvum, bæði í einstökum lyfjabúðum og í höfuðstöðvum Lyfju hf., er hins vegar yfirtökuhugbúnaður, sem merkir að starfsmenn Þekkingar-Tristan hf. geta yfirtekið vélar og þar með skoðað allar upplýsingar sem vistaðar eru á þeim vélum. Þá geta þeir uppfært hugbúnað og haft með höndum eftirlit. Kerfisstjóri stýrir aðgangi starfsmanna Þekkingar-Tristan hf. Sé þörf fyrir kerfisþjónustu í lyfsölukerfinu hafa stjórnendur Lyfju hf. hins vegar samband við Landsteina hf. sem þá ákveða hvaða starfsmenn Landsteina hf. vinna verkið. Fá þeir þá aðgang að innra neti og upplýsingakerfum Lyfju hf. í gegnum tengingar við Þekkingu-Tristan hf. í Kópavogi.
Í skýrslu Svönu Helenar Björnsdóttur eru ýmsar athugasemdir gerðar við þá vinnslu persónuupplýsinga sem hér hefur verið lýst, m.a. að öryggishandbók vanti og að Lyfja hf. hafi ekki fengið rekstrarleyfi, sbr. 2. mgr. 21. gr. lyfjalaga nr. 93/1994. Þá gerir hún athugasemdir við:
1. Að Lyfja hf. hafi ekki sett sér öryggisstefnu, eins og skylt er samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. tölul. 1. mgr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.
2. Að ekki sé til eignaskrá í samræmi við staðalinn ÍST BS 7799 um stjórnun upplýsingaöryggis, en í gr. 4.3.1.1 er gert ráð fyrir slíkri skrá. Hins vegar sé til listi yfir gögn sem varðveitt eru í gagnagrunnum í lyfsölukerfi Lyfju og á pappír.
3. Að ekki hafi verið gert áhættumat í samræmi við 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.
4. Að framsal ábyrgðar vanti frá einstökum lyfsöluleyfishöfum til stjórnenda Lyfju hf., en samkvæmt 20. gr. lyfjalaga nr. 93/1994 megi þeir einir selja lyf sem til þess hafi hlotið leyfi ráðherra og verði þeir að vera lyfjafræðingar. Svana Helen telur því að yfirstjórnandi hverrar lyfjabúðar, þ.e. lyfsöluleyfishafi, sé ábyrgðaraðili vinnslu persónuupplýsinga í lyfjabúðinni í skilningi laga nr. 77/2000. Lyfsöluleyfishafarnir og stjórnendur Lyfju hf. þurfi að semja um aðgang þeirra síðarnefndu að upplýsingum og um að þeim sé óheimill aðgangur að persónugreinanlegum upplýsingum. Stjórnendur Lyfju hf. hafi ekki samið við Þekkingu-Tristan hf. um vinnslu persónuupplýsinga og aðgang að þeim, en óljóst sé hvort þeir hafi heimild til þess meðan ekki hafi verið samið um framsal ábyrgðar frá lyfsöluleyfishöfunum til þeirra.
5. Að öryggi í gagnaflutningi sé óvíst. Komið hafi í ljós að lyfjagögn og persónuupplýsingar séu fluttar eftir almennu gagnaflutningsneti frá einstökum lyfjabúðum til Þekkingar-Tristan hf. í Kópavogi. Fjartengingar hafi ekki verið teknar út og hvergi sé beitt dulkóðun, hvorki í flutningi gagnanna né við vörslu þeirra. Þá fari gögn ódulkóðuð um innra net Þekkingar-Tristan hf. milli starfsstöðva félagsins í Kópavogi og á Akureyri. Þar sem samskipti sem þessi megi hlera með ýmsu móti sé öryggi við flutning gagnanna ekki tryggt.
6. Að gögn hafi ekki alltaf verið send Lyfjastofnun með öruggum hætti. Þau hafi m.a. verið send með símbréfi, en nú hafi verið bætt úr þessu (nú boðsend eða send með ábyrgðarpósti).
7. Að stjórnendur Lyfju hf. og sendlar hafi aðgang að pappírsgögnum frá lyfjabúðum sem geymd séu í sameiginlegri geymslu, en lögum samkvæmt eigi einungis lyfsöluleyfishafar og starfsmenn þeirra að hafa aðgang að gögnunum, enda innihaldi þau persónuupplýsingar.
8. Að enn séu varðveitt í gömlu Fjölniskerfi í höfuðstöðvum Lyfju hf. í Bæjarlind 14 persónugreinanleg lyfjagögn allt frá upphafi reksturs félagsins. Þar séu þau aðgengileg starfsmönnum sem ekki eigi að hafa aðgang að slíkum gögnum og séu þau utan alls skipulags varðandi gagnaöryggi. Ónauðsynlegt sé að varðveita þessar persónugreinanlegu lyfjaupplýsingar á rafrænu formi vegna eftirlits landlæknis, enda hafi hann aðeins heimild til að krefjast slíkra gagna eitt ár aftur í tímann, sbr. 4. mgr. 24. gr. lyfjalaga nr. 93/1994. Sú regla í 19. gr. reglugerðar nr. 91/2001 að í minnst sjö ár skuli halda eftir þeim lyfseðlum, sem ekki eru sendir Tryggingastofnun ríkisins, eigi og aðeins við um pappírsgögn. Þá nægi ópersónugreinanlegar upplýsingar til að fullnægja bókhaldsskyldum og í markaðsstarfi.
9. Að öryggi persónuupplýsinga við förgun lyfja sé óljóst. Í lyfjabúðum Lyfju hf. sé tekið á móti lyfjum til förgunar, en merkingar á umbúðum, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfsins, séu ekki alltaf fjarlægðar áður en þau séu send til förgunar. Óljóst sé hvað verði um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra.
10. Að nethögun Lyfju hf. sé ekki nægilega skýr. Tölvunet félagsins sé í raun hluti af tölvuneti Þekkingar-Tristan hf., og svo virðist sem upplýsingar um nethögun hafi ekki verið skráðar á fullnægjandi hátt hjá félögunum tveimur. Huga verði betur að aðskilnaði kerfis Lyfju hf. frá öðrum kerfum sem hýst séu hjá Þekkingu-Tristan hf., m.a. í gagnaflutningi.
11. Að aðgangsstýringar séu óljósar. Einungis þeir starfsmenn lyfjabúða, sem þess þurfi, eigi að hafa aðgang að persónugreinanlegum gögnum, en ekki sé tryggt að stjórnendur Lyfju hf. hafi hann ekki. Vitað sé að þeir geri viðskiptaáætlanir sem byggist á öflun upplýsinga um aldur viðskiptavina, lyfjakaup þeirra og hvar þeir kaupi lyf.
12. Að aðskilnaður afrita hjá Þekkingu-Tristan hf. sé ekki nægilegur. Þar séu hýst gögn frá mörgum óskyldum aðilum. Gögn frá Lyfju hf. séu tekin á sömu afritunarspólur og gögn annarra fyrirtækja og þau séu ekki dulkóðuð. Þar sem þau innihalda viðkvæmar persónuupplýsingar mælir Svana Helen eindregið með því að þau verði aðskilin öðrum gögnum og auk þess dulkóðuð.
13. Að ekki sé tryggt að fylgt sé lýsingu í greinargerð Lyfju hf. um vinnslu lyfjaupplýsinga, dags. 12. september 2002, á yfirtöku starfsmanna Þekkingar-Tristan hf. á útstöðvum í tölvukerfi félagsins. Í greinargerðinni segi að yfirtaka útstöðva skuli ekki fara fram nema starfsmaður Lyfju hf. hafi samband við starfsmann Þekkingar-Tristan hf., ræsi síðan yfirtökuhugbúnaðinn með lykilorði og opni þannig tenginguna frá sér, fylgist með aðgerðum starfsmanns Þekkingar-Tristans hf. og loki fyrir aðgang hans að verki loknu (með því að loka yfirtökuforritinu). Eftir þessu sé ekki farið þar sem starfsmenn Þekkingar-Tristan hf. hafi sett tölvur Lyfju hf. upp þannig að yfirtökuforrit ræsist um leið og tölva sé ræst og sé því sívirkt. Ekkert komi nú í veg fyrir að starfsmenn Þekkingar-Tristan hf. yfirtaki tölvur án leyfis.
14. Að starfsmenn Landsteina hf. hafi beinan aðgang inn til Þekkingar Tristan hf. og þar með að upplýsingakerfi Lyfju hf. Þetta séu starfsmenn sem sjái um forritun og þróun upplýsingakerfa. Beiðnir um þjónustu vegna lyfsölukerfis Lyfju hf. berist frá stjórnendum félagsins en ekki frá lyfsöluleyfishöfum, en óljóst sé hvernig þessum aðgangi sé stýrt, s.s. hvaða aðgang starfsmenn Landsteina hf. hafi eða hvernig hann sé tryggður. Einnig sé óljóst hvort lyfsöluleyfishafar hafi leyft þennan aðgang starfsmanna Landsteina hf.
15. Að prófunarumhverfi fyrir lyfsölukerfi vanti, bæði hjá Lyfju hf. og Þekkingu-Tristan hf. Við kerfisprófanir vinni kerfishönnuðir og forritarar með raungögn allra lyfjabúða, en slíkan aðgang ætti ekki að heimila öðrum en starfsmönnum lyfjabúðanna sjálfra. Að öðru leyti sé óljóst hvernig kerfisprófanir fari fram. Þótt netþjónar Lyfju hf. séu hýstir hjá Þekkingu-Tristan hf. hafi starfsmenn Þekkingar-Tristan hf. ekki eftirlit með aðgangi og vinnu starfsmanna Landsteina hf. Óljóst sé hver það geri.
16. Að Þekking-Tristan hf. og Landsteinar hf. séu systurfyrirtæki (í skýrslunni kemur ekki fram hvaða þýðingu Svana Helen telur að það hafi).
17. Að bæta þurfi vitund stjórnenda og starfsmanna Lyfju hf. um hvaða lögum og stjórnvaldsfyrirmælum fylgja skuli við lyfsölu og í rekstri lyfjabúða.
18. Að öryggisráðstafanir hafi aðeins verið skráðar að takmörkuðu leyti, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 7. gr. reglna nr. 299/2001. Ekki hafi komið fram að innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, sé fullnægjandi. Þá komi ekki fram hvort og þá hvernig Lyfja hf. hafi sannreynt að vinnsluaðilar, þ. á m. Þekking Tristan hf. og Landsteinar hf., geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Auk þess hafi ekki verið gerður vinnslusamningur við Landsteina hf., sbr. 1. mgr. 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.
19. Að í samningum Lyfju hf. og Þekkingar-Tristan hf. vanti að tilgreina kröfur til upplýsingaöryggis, s.s. um fjartengingar. Koma þurfi þar fram að óheimilt sé að tengja gögn Lyfju hf. og einstakra lyfjabúða við önnur gögn. Hvorki sé þar getið um aðskilnað gagna einstakra lyfjabúða né aðskilnað gagna Lyfju hf. frá gögnum annarra aðila sem hýsi gögn hjá Þekkingu-Tristan hf. Mikilvægt sé að hafa slík ákvæði í samningum, m.a. vegna þess að kerfistjóri Þekkingar-Tristan hf. sé ekki aðeins að auki kerfistjóri Lyfju hf. heldur einnig, svo að dæmi sé tekið, Lyfja og heilsu hf. Loks vanti samninga við aðra þjónustuaðila, t.d. Landsteina hf. og ræstingafyrirtækið Ræsti. Þó hafi verið lögð fram drög að samningi við Ræsti, en í þau vanti ákvæði um aðgang og umgengni ræstingafólks, t.d. varðandi afhendingu lykla og notkun lykilorða í þjófavarnarkerfi.
2.
Athugasemdir Lyfju hf. við skýrslu
Svönu Helenar Björnsdóttur
Lyfja hf. hefur, með bréfi, dags. 25. apríl 2003, gert eftirfarandi athugasemdir við skýrslu Svönu Helenar Björnsdóttur:
1. Að í skýrslunni segi að Lyfja hf. hafi ekki fengið rekstrarleyfi eins og skylt er, sbr. 2. mgr. 21. gr. lyfjalaga, en nú hafi félagið hins vegar fengið slíkt leyfi.
2. Að í skýrslunni segi að samninga vanti við tiltekna þjónustuaðila sem hafa aðgang að persónuupplýsingum hjá Lyfju hf. (sjá liði 18 og 19 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú hafi félagið hins vegar gert slíka samninga, þ.e. við aðra en Landsteina hf., en gerð samnings við þá standi yfir. Gerðir samningar komi til endurskoðunar á næstunni þar sem tekið verði tillit til athugasemda varðandi trúnað og upplýsingaöryggi.
3. Að í skýrslunni segi að laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hafi ekki verið getið í lista frá Lyfju hf. yfir þau lög, sem félagið telur sig verða að fara eftir í starfsemi sinni, og að bæta þurfi vitund stjórnenda og starfsmanna félagsins hvað það varðar (sjá lið 18 hér að ofan í lýsingu á niðurstöðum skýrslunnar). Nú hafi Lyfja hins vegar uppfært framangreindan lista og verði hann kynntur starfsfólki á næstunni. Þá muni lyfsalar kynna lög nr. 77/2000 sérstaklega fyrir sínum starfsmönnum með það að markmiði að skerpa vitund um upplýsingaöryggi og persónuverndarsjónarmið, auk þess sem svonefnd gæðahandbók verði uppfærð með tilliti til öryggisþátta og persónuverndarsjónarmiða.
4. Að í skýrslunni segi að verklagsreglur um förgun lyfja og umbúða vanti (sjá lið 9 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en Lyfja hf. muni hins vegar brátt útbúa slíkar verklagsreglur. Þessi mál séu í athugun og verði unnin í samstarfi við Efnamóttökuna hf., en hún hafi með höndum förgun lyfja og umbúða fyrir Lyfju hf.
5. Að í skýrslunni segi að öryggisstefna hafi ekki verið sett (sjá lið 1 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú hafi Lyfja hf. hins vegar sett sér öryggisstefnu og sé hana að finna á heimasíðu félagsins.
6. Að í skýrslunni segi að ekki hafi verið gerð eignaskrá í samræmi við staðalinn ÍST BS 7799 um stjórnun upplýsingaöryggis (sjá lið 2 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú sé þetta hins vegar í skoðun hjá Lyfju hf. og sé stefnt að allviðamikilli endurskipulagningu á þessu hjá félaginu. Núverandi eignaskrá sé ekki talin fullnægja meginmarkmiðum félagsins um skilvirka yfirsýn yfir eignir eins og þær séu skilgreindar í framangreindum staðli.
7. Að í skýrslunni segi að ekki hafi verið gert áhættumat (sjá lið 3 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú hafi undirverktaki Lyfju hf., Þekking-Tristan hf., hins vegar unnið fullt áhættumat þar sem m.a. séu skilgreindar tæknilegar og skipulagslegar ráðstafanir sem snerti Þekkingu-Tristan hf. Áhættumat fyrir Lyfju hf. verði unnið sem framhald af þeirri gæðavinnu sem þar standi yfir.
8. Að í skýrslunni segi að ekki sé til öryggishandbók, en nú sé hins vegar unnið að gerð öryggishandbókar þar sem skráð sé öryggisstefna, verklagsreglur o.fl. Öryggishandbókin verði kafli í áðurnefndri gæðahandbók félagsins.
9. Að í skýrslunni segi að ekki hafi komið fram hvort innra eftirlit fari fram hjá Lyfju hf. (sjá lið 18 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en í öryggishandbók Lyfju hf. verði hins vegar kveðið á um að fram skuli fara reglulegt eftirlit með fyrirfram ákveðnum hætti og þannig verði fullnægt skilyrðum laga um innra eftirlit.
10. Að í skýrslunni segi að verklagsreglu vanti um yfirtöku starfsmanna Þekkingar-Tristan hf. á útstöðvum (sjá lið 13 hér að ofan í lýsingu á niðurstöðum skýrslunnar). Félagið telur rétt að misræmi hafi verið á milli upplýsinga frá félaginu um þetta verklag og raunverulegrar framkvæmdar, en ákveðið hafi verið að gera engar breytingar á verklagi við yfirtöku. Ekki sé talin ástæða til þess þar sem allar persónuupplýsingar séu varðveittar á netþjónum en ekki útstöðvum.
11. Að í skýrslunni segi að öryggi gagnaflutninga sé óvíst (sjá lið 5 hér að ofan í lýsingu á niðurstöðum skýrslunnar). Fjartengingar fyrir flutningana séu hins vegar þrautreyndar og gagnaflutningar fari eftir almennt viðurkenndum leiðum, í þessu tilviki frá Landssímanum hf., og séu eins og best gerist. Ekki hafi komið fram neinar vísbendingar um að ekki megi treysta núverandi fyrirkomulagi. Vinnu við innleiðingu staðalsins ÍST BS 7799 hjá Þekkingu-Tristan hf. miði vel og stefnt sé að vottun á árinu. Með vottun staðalsins muni þriðji aðili taka út öryggi fjartenginga og annarra öryggisþátta sem stjórnun upplýsingaöryggis tilheyrir.
12. Að í skýrslunni segi að samninga vanti um framsal ábyrgðar vegna vinnslu persónuupplýsinga frá lyfsöluleyfishöfum til stjórnenda Lyfju hf. (sjá lið 4 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú sé hafin samningagerð við lyfsöluleyfishafa þar sem sérstaklega sé tekið á ábyrgðarframsali og verkaskiptingu milli stjórnenda félagsins og leyfishafa.
13. Að í skýrslunni segi að læsa verði gömlu Fjölniskerfi í höfuðstöðvum Lyfju hf. í Bæjarlind 14 þar sem persónuupplýsingar séu varðveittar (sjá lið 8 hér að ofan í lýsingu á niðurstöðum skýrslunnar). Þar séu hins vegar eingöngu varðveittar fjárhagslegar upplýsingar en ekki persónuupplýsingar. Því sé ekki þörf á sérstökum ráðstöfunum hvað það varðar, en útbúa þurfi verklagsreglur um eyðingu gagna sem ekki sé að lögum skylt að varðveita.
14. Að í skýrslunni segi að taka verði gögn frá Lyfju hf., sem varðveitt eru hjá Þekkingu-Tristan hf., á aðrar afritunarspólur en gögn annarra fyrirtækja sem þar láta hýsa gögn (sjá lið 12 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en nú hafi nýlega verið tekin í notkun viðbótarafritunarstöð hjá Þekkingu-Tristan hf. Hafi þar með verið gert mögulegt að taka sérstök afrit fyrir Lyfju hf. og sé nú hafin innleiðing á því ferli.
15. Að í skýrslunni segi að öryggi í gagnaflutningum frá einstökum lyfjabúðum til Þekkingar-Tristan hf. geti ekki talist tryggt nema beitt verði dulkóðun og að hið sama gildi um gagnaflutninga á innra neti Þekkingar-Tristan hf. milli starfsstöðva félagsins í Kópavogi og á Akureyri (sjá lið 5 hér að ofan í lýsingu á niðurstöðum skýrslunnar). Lyfja hf. meti hins vegar stöðugt ávinning og kosti þess að taka upp dulkóðun í öllum gagnaflutningum á móti kostnaði og göllum. Enn sem komið er hafi ekki verið talið forsvaranlegt að leggja það á kerfin með tilheyrandi hægagangi og kostnaði. Ennfremur megi taka fram að net Lyfju hf. sé aflokað og ekki samnýtt með neinum öðrum.
III.
Ákvörðun Persónuverndar
Forsendur
1.
Í máli þessu er til úrlausnar öryggi vinnslu persónuupplýsinga á vegum Lyfju hf. í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis.
Upplýsingar um lyfjanotkun teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Er heimild til vinnslu slíkra upplýsinga háð því að hún fullnægi einhverju af almennum skilyrðum 8. gr. laganna og einhverju af sérstökum skilyrðum 9. gr. laganna. Þá leiðir af ákvæðum laganna að enda þótt fullnægt sé skilyrðum 8. og 9. gr. telst vinnsla ekki vera heimil nema hún fullnægi ennfremur meðalhófsreglum 7. gr. laganna.
Þar sem þessari ákvörðun Persónuverndar er einungis ætlað að taka á öryggismálum vinnslunnar mun hún ekki taka til álitaefna er varða lögmæti vinnslunnar. Verður því ekki, að svo stöddu, fjallað um lögmæti einstakra skráa sem eru í lyfsölukerfi Lyfju hf. (s.s. skráar yfir viðskiptamenn sem haft er sérstakt eftirlit með) eða annarra þátta vinnslunnar (t.d. varðveislutíma upplýsinga í lyfsölukerfinu). Þá lýtur ákvörðun þessi aðeins að öryggi vinnslu hjá Lyfju hf. (þ.m.t. vinnsluaðilum) en ekki öðrum þáttum s.s. öryggi miðlunar upplýsinga frá félaginu til landlæknis, Tryggingastofnunar ríkisins eða Lyfjastofnunar.
2.
Í 31. og 32. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, er kveðið á um skyldu ábyrgðaraðila til að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Vinnsla lyfjaupplýsinga hjá Lyfju hf. er tilkynningarskyld samkvæmt þessum reglum, sbr. 31. gr. laga nr. 77/2000, sbr. 6. gr. reglna nr. 90/2001. Hún hefur og verið tilkynnt Persónuvernd (tilkynning nr. S787). Í tilkynningunni koma fram þau atriði, sem fram eiga að koma í tilkynningu, sbr. 1. mgr. 32. gr. laga nr. 77/2000, að því undanskildu að ekki er tekið fram að upplýsingar séu sendar landlækni og Lyfjastofnun eða að vinnsluaðilinn Landsteinar hf. hafi aðgang að upplýsingum, sbr. hins vegar 7. tölul. 1. mgr. 32. gr. þar sem kveðið er á um að í tilkynningu eigi að koma fram hverjum upplýsingar verði afhentar. Af þessu tilefni bendir Persónuvernd hér á mikilvægi þess að tilkynningar um vinnslu persónuupplýsinga séu uppfærðar reglulega svo að þær gefi rétta mynd af vinnslu hverju sinni.
3.
Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar. Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir.
Í 4. tölul. 2. gr. laga nr. 77/2000 er hugtakið ábyrgðaraðili skilgreint sem sá "aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna." Af því sem fram kemur í gögnum málsins telst Lyfja hf. vera ábyrgðaraðili í þessum skilningi, en ekki einstakir lyfsöluleyfishafar, enda tekur félagið ákvarðanir um val á búnaði og vinnsluaðferðir og annast gerð samninga við vinnsluaðila. Ber Lyfja hf. þar með ábyrgð á því að fullnægt sé framangreindum ákvæðum 11. gr. laga nr. 77/2000 og öðrum ákvæðum varðandi öryggi við vinnslu persónuupplýsinga. Breytir þar engu sú faglega ábyrgð sem hvílir á lyfsöluleyfishafa samkvæmt lyfjalögum nr. 93/1994, sbr. einkum 1. mgr. 20. gr. og 1. mgr. 21. gr., þar sem segir að þeir einir megi hafa með höndum lyfsölu sem til þess hafa hlotið leyfi ráðherra og að þeir beri faglega ábyrgð á rekstri lyfjabúðar, enda er í 2. mgr. 21. gr. laga nr. 93/1994 gert ráð fyrir að lyfjabúð geti verið rekin af öðrum en lyfsöluleyfishafa og þurfi sá aðili þá sjálfstætt leyfi ráðherra til rekstursins.
4.
Í 11. gr. laga nr. 77/2000 er fjallað um kröfur til öryggis persónuupplýsinga, í 12. gr. sömu laga er fjallað um innra eftirlit og í 13. gr. sömu laga um samninga við vinnsluaðila. Samkvæmt 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, skal ábyrgðaraðili skrá öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir.
Hjá Lyfju hf. var ekki til öryggisstefna þegar Svana Helen Björnsdóttir skilaði skýrslu sinni hinn 6. nóvember 2002, en nú hefur hún verið samin. Áhættumat er enn ekki til, en samkvæmt athugasemdum Lyfju hf. er fyrirhugað að gera það í framhaldi af gæðavinnu sem mun vera framundan hjá Þekkingu-Tristan hf. Öryggisráðstafanir hafa aðeins verið skráðar að takmörkuðu leyti. Telur Persónuvernd æskilegt, vegna hinnar viðamiklu vinnslu félagsins á viðkvæmum persónuupplýsingum, að áhættumat og öryggisráðstafanir fullnægi þeim kröfum sem fram koma í staðlinum ÍST BS 7799. Þá telur Persónuvernd æskilegt að skráning öryggisráðstafananna geri það einnig.
a) Þar sem öryggisráðstafanir hafa ekki verið fyllilega skráðar liggur ekki fyrir hvort eða hvernig tryggt sé að einungis þeir hafi aðgang að persónugreinanlegum upplýsingum sem þess þurfa. Á það m.a. við um persónugreinanleg pappírsgögn frá lyfjabúðum sem eru í sameiginlegri geymslu Lyfju hf. Persónuvernd telur hins vegar að svo að fullnægt verði kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði að tryggja að einungis þeir hafi þennan aðgang sem þurfa á honum að halda, starfs síns vegna. Þetta má t.d. gera með því að setja upp aðgangskortakerfi þannig að öll umgengni um geymsluna verði rekjanleg.
b) Samkvæmt skýrslu Svönu Helenar eru varðveitt á rafrænu formi persónugreinanleg lyfjagögn allt frá upphafi reksturs Lyfju hf. í gömlu Fjölniskerfi í höfuðstöðvum félagsins í Bæjarlind 14 og séu þau aðgengileg ýmsum starfsmönnum. Af hálfu Lyfju hf. hefur hins vegar verið fullyrt að í Fjölniskerfinu séu aðeins varðveittar fjárhagslegar upplýsingar en ekki persónuupplýsingar um lyfjaneyslu. Þá hefur Lyfja hf. greint frá fyrirhugaðri gerð verklagsreglna um eyðingu gagna sem ekki er skylt að varðveita. Persónuvernd telur nauðsynlegt að Lyfja hf. yfirfari öll kerfi félagsins, kanni hvort þau hafi að geyma persónuupplýsingar, og sé svo, að þá verði þeim persónuupplýsingum eytt sem ekki er lögmætt og málefnalegt að varðveita, sbr. 7. gr. laga nr. 77/2000. Bent er á að samkvæmt 4. mgr. 24. gr. lyfjalaga nr. 93/1994 getur landlæknir krafist rafrænna upplýsinga af lyfseðlum – en aðeins fyrir ár aftur í tímann. Einnig er bent á að af 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, afhendingu og áritun lyfja leiðir að aðeins þarf að geyma (í sjö ár) þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins.
c) Lyfjaupplýsingar, sem fara frá einstökum lyfjabúðum til Þekkingar-Tristan hf. í Kópavogi, eru ódulkóðaðar í flutningi, sem og við vörsluna þar. Þá segir í skýrslu Svönu Helenar að öryggi fjartenginga hafi ekki verið tekið út og að nethögun Lyfju hf. sé ekki nægilega skýr. Í athugasemdum Lyfju hf. segir að fjartengingar séu þrautreyndar. Þá segir að vegna fyrirhugaðrar vottunar á innleiðingu stjórnunarstaðalsins ÍST BS 7799 hjá Þekkingu-Tristan hf. verði öryggi í gagnaflutningum tekið út og að hægagangur og kostnaður, sem fylgi dulkóðun, mæli á móti því að henni sé beitt alls staðar, en dulkóðun sé beitt í gagnasendingum til Tryggingastofnunar ríkisins, enda sé þá verið að flytja fullbúin, persónugreinanleg gögn til og frá gagnagrunni ólíkt því sem gildi um aðra gagnaflutninga. Svo að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 til upplýsingaöryggis sé fullnægt telur Persónuvernd hins vegar nauðsynlegt, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að tryggja verði öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.
d) Tekið er á móti lyfjum til förgunar, en merkingar á umbúðum lyfjanna, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfs, eru ekki alltaf fjarlægðar áður en þeim er fargað. Óljóst er hvað verður um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra. Í athugasemdum Lyfju hf. kemur fram, að þessi mál séu nú í athugun og að verklagsreglur um förgun lyfja muni verða útbúnar. Þegar litið er til þess hversu viðkvæmar þessar upplýsingar eru telur Persónuvernd að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði ekki fullnægt nema merkingarnar verði teknar af umbúðunum.
e) Starfsmenn Þekkingar-Tristan hf. geta yfirtekið útstöðvar í lyfjabúðum Lyfju hf. Þótt ætlast sé til að starfsmaður Lyfju hf. stýri aðgangi starfsmanna Þekkingar-Tristan hf. og að þeir fái ekki yfirtökuaðgang nema nauðsyn krefji eru yfirtökuforrit í raun og veru stöðugt í gangi og ekkert hindrar að starfsmenn Þekkingar-Tristan hf. yfirtaki tölvugögn án leyfis. Persónuvernd telur þetta verklag ekki fullnægja kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.
f) Prófunarumhverfi fyrir lyfsölukerfi vantar, bæði hjá Lyfju hf. og Þekkingu-Tristan hf. Ekki er skilið á milli prófana kerfa og reksturs þeirra. Kerfishönnuðir og forritarar vinna því með raungögn við prófanir í stað þess að láta gervigögn nægja. Starfsmenn Landsteina hf., sem sjá um forritun og þróun upplýsingakerfa Lyfju hf., hafa beinan aðgang inn til Þekkingar-Tristan hf. og að upplýsingakerfi Lyfju hf. Persónuvernd telur, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að slíkur aðgangur að raungögnum og slík notkun þeirra samrýmist ekki kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.
g) Ekki liggur fyrir að tryggður sé fullnægjandi aðskilnaður afrita hjá Þekkingu-Tristan hf. Þar eru hýst gögn frá mörgum óskyldum aðilum og hafa gögn frá Lyfju hf. verið tekin á sömu afritunarspólur og gögn annarra fyrirtækja. Í athugasemdum Lyfju hf. hefur verið upplýst að nú sé unnið að úrbótum á þessu, m.a. hafi nýlega verið tekin í notkun viðbótarafritunarstöð hjá Þekkingu-Tristan hf. og þar með verið gert mögulegt að taka sérstök afrit fyrir Lyfju hf. Persónuvernd telur rétt að tekin séu sérstök afrit af gögnum Lyfju hf. og raunar skylt, með hliðsjón af 1. og 2. mgr. 11. gr. laga nr. 77/2000, að það sé gert.
h) Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Gerður hefur verið vinnslusamningur við Þekkingu-Tristan hf., en í hann vantar ákvæði um þær öryggiskröfur sem fullnægja verður. Ekki hefur verið samið við Landsteina hf., en í athugasemdum Lyfju hf. kemur fram að nú standi yfir samningsgerð við það fyrirtæki. Meðan hvorki hefur verið samið við Landsteina hf., né samningi við Þekkingu-Tristan hf. verið breytt, telst kröfum 13. gr. laga nr. 77/2000 ekki vera fullnægt hjá Lyfju hf. Auk þess telur Persónuvernd nauðsynlegt að í samskiptum sínum við undirverka eða þjónustuaðila, s.s. þá sem sjá um ræstingar, sé þess gætt að þeir starfsmenn, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar. Varðandi undirverktaka þarf að huga sérstaklega að því að samkvæmt 3. mgr. 13. gr. laga nr. 77/2000 er hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.
i) Einn þáttur í öryggi persónuupplýsinga er innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001. Fyrir liggur að Lyfja hf. viðhefur ekki innra eftirlit nema að takmörkuðu leyti, en í athugasemdum Lyfju hf. segir að nú sé unnið að gerð öryggishandbókar þar sem gert verði ráð fyrir að reglulegt eftirlit fari fram með fyrirfram ákveðnum hætti og að þannig verði fullnægt skilyrðum laga nr. 77/2000 um innra eftirlit. Meðan Lyfja hf. hefur hvorki unnið áhættumat né skráð öryggisráðstafanir nema að takmörkuðu leyti verður þó ekki talið að kröfum 12. gr. laga nr. 77/2000 um innra eftirlit hafi verið fullnægt. Framkvæma skal innra eftirlit með því að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 8. gr. reglna nr. 299/2001. Innra eftirlit skal viðhaft með reglubundnum hætti, ekki sjaldnar en árlega, og skal ákveða tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd þess, sbr. 2. mgr. Þá skal ábyrgðaraðili sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti þar sem lýst skal niðurstöðu hvers þáttar eftirlitsins, sbr. 3. mgr., þar sem segir einnig að skýrslur um innra eftirlit skuli varðveita tryggilega.
Með vísan til alls ofangreinds og 1. mgr. 40. gr. laga nr. 77/2000 hefur Persónuvernd ákveðið að beina fyrirmælum til Lyfju hf. um að viðhafa þær ráðstafanir sem taldar eru upp í ákvörðunarorði hér fyrir neðan. Samkvæmt athugasemdum félagsins er vinna nú þegar hafin eða að hefjast við að bæta úr sumum þessara atriða. Persónuvernd leggur hins vegar áherslu á að þessari vinnu verði lokið fyrir þann frest sem að neðan er tilgreindur. Að honum liðnum mun Persónuvernd fara í vettvangsheimsóknir til starfsstöðva félagsins, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanna hvort eftir fyrirmælunum hafi verið farið. Mun félaginu verða tilkynnt um nánari tímasetningu þeirra heimsókna síðar. Hafi ekki verið farið eftir fyrirmælunum mun Persónuvernd grípa til nauðsynlegra ráðstafana.
Ekki verður að svo stöddu tekin ákvörðun um dulkóðun persónuupplýsinga í gagnagrunni hjá vinnsluaðilum eða undirverktökum þeirra, en þess má vænta að á því máli verði tekið að framangreindum fresti liðnum.
Á k v ö r ð u n a r o r ð:
Fyrir 1. janúar 2004 skal Lyfja hf. hafa lokið við að:
1. Gera skriflegt áhættumat, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og skapa þannig forsendur fyrir vali á skriflegum öryggisráðstöfunum.
2. Fullnægja kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.
3. Taka upp innra eftirlit í samræmi við 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001.
4. Gera skriflegan samning við Landsteina hf. og aðra vinnsluaðila, séu þeir fyrir hendi, sem og nýjan samning við Þekkingu-Tristan hf., í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.
5. Tryggja að þeir starfsmenn undirverktaka eða þjónustuaðila, s.s. aðila sem sjá um ræstingar, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar.
6. Tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.
7. Stöðva töku afrita af upplýsingum frá Lyfju hf. á sömu spólur og upplýsingar annarra aðila.
8. Koma á sérstöku kerfi er tryggi rekjanleika allrar umgengni um persónugreinanleg gögn frá lyfjabúðum sem geymd eru í sameiginlegri geymslu.
9. Eyða öllum persónugreinanlegum lyfjagögnum sem ekki er lögskylt að varðveita, þ. á m. eftir atvikum úr Fjölniskerfi. Þetta á við um öll gögn, þ. á m. upplýsingar sem hafa verið skráðar í lyfsölukerfið og á pappír.
10. Hindra að starfsmenn Þekkingar-Tristan hf. geti yfirtekið útstöðvar þar sem unnið er með persónugreinanlegar upplýsingar.
11. Tryggja að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar eru afhentar förgunaraðila.
12. Koma á sérstöku prófunarumhverfi og tryggja að starfsmenn Landsteina hf. hafi einungis aðgang að ópersónugreinanlegum upplýsingum við prófanir í lyfsölukerfi.