Rekstraraðilar netapóteka bera mikla ábyrgð þegar kemur að persónuvernd og netöryggi. Viðskiptavinir deila viðkvæmum persónuupplýsingum þegar þeir panta lyf í gegnum netapótekin, sem krefst þess að til staðar séu traustar öryggisráðstafanir til að vernda þessi gögn. Þá þurfa netapótekin einnig að tryggja að allar upplýsingar séu meðhöndlaðar í samræmi við gildandi lög og reglur, sem felur meðal annars í sér að viðskiptavinir veiti upplýst samþykki fyrir vinnslu persónuupplýsinga og að þeir séu meðvitaðir um hvernig gögn þeirra eru notuð.
Skráning netverslunar með lyf
Aðeins lyfsöluleyfishöfum er heimilt að starfrækja netapótek hér á landi. Þessi apótek þurfa að uppfylla ströng skilyrði og tilkynna Lyfjastofnun um starfsemi sína áður en netverslun opnar.
Fylgni við persónuverndarlög
Eins og áður sagði vinna netapótek með viðkvæmar persónuupplýsingar, þar á meðal heilsufarsgögn og lyfjasögu viðskiptavina, sem njóta sérstakrar verndar samkvæmt persónuverndarlögum nr. 90/2018. Í þessu felst að ábyrgðaraðilum, þ.e. rekstraraðilum netapóteka, ber að tryggja að vinnsla persónuupplýsinga fari fram með lögmætum hætti og að viðeigandi tæknilegar og skipulagslegar ráðstafanir séu viðhafðar til að vernda gögnin gegn óleyfilegum aðgangi eða vinnslu.
Rannsókn á vefsíðum 12 netapóteka
Fyrr á árinu gerði ég rannsókn á vefsíðum 12 netapóteka sem skráð voru hjá Lyfjastofnun þann 22. mars 2024. Tilgangurinn var að skoða vefsíðurnar út frá meginreglum persónuverndarlaga í tengslum við meistararitgerð mína í lögfræði, sem fjallar um ábyrgð og skyldur lögaðila og stjórnenda við rekstur stofnana- og fyrirtækjavefja, með áherslu á netöryggi.
Greiningin leiddi í ljós að af þeim 12 vefsíðum sem hér voru til skoðunar, voru 8 sem virkjuðu ónauðsynlegar vafrakökur eða aðra rakningartækni við heimsókn á vefinn, án samþykkis notanda. Slíkt er óheimilt sbr. 1. tölul. 9. gr. persónuverndarlaga nr. 90/2018. Þá voru einnig 8 vefsíður sem uppfylltu ekki fræðsluskyldu, í flestum tilfellum vegna þess að uppsetning á köku- og samþykkisborða var ábótavant. Engin þeirra vefsíðna sem notaði vafrakökur var með öll atriði í lagi af þeim sem hér voru til skoðunar, varðandi meðferð og vinnslu persónuupplýsinga í samræmi við meginreglur persónuverndarlaga.
Óásættanlegt að eftirlitsskyld starfsemi uppfylli ekki persónuverndarkröfur
Þessi niðurstaða kemur mjög á óvart, sérstaklega í ljósi þess að um eftirlitsskylda starfsemi er að ræða, sem heyrir undir tvær eftirlitsstofnanir – Lyfjastofnun og Persónuvernd. Það er óásættanlegt að netapótek, sem vinna með viðkvæmar persónuupplýsingar, skuli ekki uppfylla grunnskilyrði persónuverndarlaga. Ef starfsemi þeirra á að byggja á trausti neytenda, verður ábyrgðin að vera skýr – bæði hjá fyrirtækjunum sjálfum og þeim eftirlitsstofnunum sem eiga að tryggja að reglurnar séu virtar.
Þar til næst…
