Lyfjagagnagrunnur Íslands, sem flestir þekkja undir nafninu „lyfjagáttin“, er álitið eitt af þessum heilögu grölum þegar kemur að persónuvernd. Stofnunin sjálf, það er að segja Persónuvernd, er sammála því enda sé í gagnagrunninum að finna, að hennar mati, einhverjar viðkvæmustu persónuupplýsingar sem hægt er að komast í. Þar af leiðandi mátti búast við að einhverjar hausar myndu fjúka þegar „lyfjagáttamálið“ svokallaða kom upp. Í því máli hafði fyrrum starfsmaður Lyfju flett upp ýmsu fólki, meðal annars þónokkrum nafntoguðum viðskiptamönnum og embættismönnum, þar sem allt benti til ætlaðrar hagnýtingar upplýsinganna í ólögmætum tilgangi, en viðkomandi starfsmaður var einmitt til rannsóknar vegna meintrar fjárkúgunar, gegn nokkrum þeirra manna sem hann fletti upp í lyfjagáttinni.
Sá starfsmaður var Vítalía Lazareva. Hún harðneitaði þó fyrir það að hafa misnotað aðstöðu sína sem starfsmaður Lyfju og sagði meðal annars í viðtali við Vísi að hún kannaðist ekkert við að hafa flett upp fólki að tilefnislausu í gagnagrunninum.
Það fékkst þó síðar staðfest. Vítalía hafði á ólögmætan hátt flett upp að tilefnislausu fjölmörgum þjóðþekktum einstaklingum og var á endanum kærð fyrir það en lögreglan upplýsti Nútímann um að rannsókninni hefði verið hætt í ágúst síðastliðnum.
Engir eftirmálar, sektir eða brottrekstrar
Þannig að enginn haus fékk að fjúka. Ekki einu sinni nálægt því og það þótti blaðamanni Nútímans frekar sérstakt í ljósi þess að Persónuvernd hefur óhikað sektað fyrirtæki, stofnanir og jafnvel íþróttafélög fyrir brot á lögum um persónuvernd. Þá þótti „aðgerðarleysi“ Persónuverndar sérstaklega áhugavert í ljósi þess að um var að ræða, eins og hefur komið fram, einhverjar viðkvæmustu persónuupplýsingar einstaklinga sem geymdar eru í gagnagrunni sem flestir töldu frekar „öruggan“. En nei. Bæði Lyfja og Landlæknir sluppu við sektir sem þykir ótrúlegt miðað við önnur sambærileg mál sem hafa komið inn á borð stofnunarinnar og hafa endað með tugmilljóna sektum.
Eitt þessara mála, sem Nútímanum taldi vel samanburðarhæft við „lyfjagáttamálið“, snýr að upplýsingavefnum Heilsuveru sem embætti landlæknis ber ábyrgð á, rétt eins og hann ber ábyrgð á lyfjagáttinni. Þar lagði Persónuvernd 12 milljóna króna stjórnvaldssekt á embætti landlæknis vegna „öryggisveikleika“ – en tilkynningin um umræddan veikleika í kerfinu kom frá sjálfu embættinu þ.e.a.s. embætti landlæknis tilkynnti sig sjálft til Persónuverndar. Upp komst um veikleikann þegar tveir einstaklingar náðu að sjá gögn sér óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast sér óviðkomandi skilaboð sem gátu verið persónugreinanleg.
„Við mátum það það alvarlegt að við tókum upp heilt frumkvæðismál á öllu þessu kerfi á Íslandi og báðum um að því yrði breytt og viðbrögð Landlæknis voru það góð að það var snarlega öllu snúið við og gjörbreytt“
Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð. Framangreint var talið brjóta gegn upplýsingaöryggiskröfum og í kjölfarið ákvað Persónuvernd að beita stjórnsýsluviðurlögum og sekta embætti landlæknis.
Ekki sambærilegt mál segir forstjórinn
Í ljósi þessa máls, og annarra sambærilegra sekta, vildi Nútíminn fá upplýsingar um hvað hafi legið til grundvallar þeirri ákvörðun Persónuverndar að sekta hvorki Lyfju eða Landlækni fyrir brot gegn upplýsingaöryggiskröfum. Þá sérstaklega í ljósi þess að það var ekki Lyfja sem greindi frá þessum ólöglegu uppflettingum. Ástæða þess að Persónuvernd fékk veður af málinu var vegna nafnlausrar ábendingar sem send var á Lyfju með afriti á Persónuvernd með tölvupósti. Það tók Lyfju hvorki meira né minna en 289 daga að ljúka sinni eigin rannsókn á málinu eða frá 3. júlí 2022 (þegar nafnlausa ábendingin barst bæði Lyfju og Persónuvernd) og þar til 18. apríl 2023 en þá, samkvæmt upplýsingum frá Persónuvernd, barst stofnuninni afrit af bréfi Lyfju til Lyfjastofnunnar þar sem fyrirtækið sagði loks rökstuddan grun fyrir þeim uppflettingum sem nafnlausa ábendingin laut að – auk annarra uppflettinga – og að þau hafi verið framkvæmd „af hálfu umrædds starfsmanns félagsins“ sem var Vítalía.
Helga Þórisdóttir, forstjóri Persónuverndar, sagðist í samtali við Nútímann ekki vera sammála því að mál Heilsuveru væri sambærilegt ólöglegum uppflettingum Vítalíu.
„Ástæðan fyrir því að þetta er ekki sambærilegt er sú að þarna var einn einstaklingur í einu apóteki sem fletti upp einhverjum tveimur eða þremur aðilum. Í Heilsuveru voru þetta tugir ef ekki hundruðir einstaklinga undir,“ sagði Helga þegar hún var spurð út í meint „aðgerðarleysi“ stofnunarinnar þrátt fyrir að hafa sannanir fyrir umræddum flettingum.
En Lyfjagáttin? Þar eru ekki hundruðir einstaklinga undir heldur tugir þúsunda einstaklinga og þeirra viðkvæmustu persónuupplýsingar. Þá hafi það líka verið staðfest að einstaklingarnir voru miklu fleiri en tveir eða þrír sem var flett upp ólöglega. Þegar Helgu var bent á það sagði hún að þær upplýsingar hafi ekki legið fyrir í málinu þegar stofnunin hafi tekið ákvörðun um að beita engum sérstökum viðurlögum á Lyfju.
„Hvert mál er sérstakt. Auðvitað reynir stjórnvaldið að vera eins samkvæmt sjálfu sér og mögulega er unnt í hverju einasta dæmi en það er ekki algjörlega hægt að bera saman mál af því það eru svo ofboðslega mörg og mismunandi atriði í þeim sem þarf að vega og meta“
„Þarna byrjum við á að fara til fyrirtækisins og þessu er neitað þar. Svo kemur annað í ljós og fyrirtækið dregur í land með fullyrðingar sínar því það tók eftir því að þarna hafi einstaklingur gerst brotlegur. Það var svo takmarkaður rekjanleiki til staðar – við vorum með haldbær gögn í þeim málum sem við höfum brugðist við og lagt er á sektir. Í þeim málum erum við með haldbærar upplýsingar – gögn sem sýna svart á hvítu hver staðan er. En í hinu málinu var þetta einhvers konar myndavélaeftirlit í búðinni sem kom upp um starfsmanninn. Sönnunarstaðan fyrir okkur til að leggja á sektir var bara miklu takmarkaðri.“
Gjörbreytt kerfi eftir athugasemdir
„En hvað með Heilsuverumálið þar sem þið sektið embætti landlæknis vegna öryggisveikleika í upplýsingavefnum. Þarna er öryggisveikeiki í lyfjagáttinni sem er á ábyrgð landlæknis þannig að ég skil ekki af hverju það er ekki sambærilegt?“
„Hvert mál er sérstakt. Auðvitað reynir stjórnvaldið að vera eins samkvæmt sjálfu sér og mögulega er unnt í hverju einasta dæmi en það er ekki algjörlega hægt að bera saman mál af því það eru svo ofboðslega mörg og mismunandi atriði í þeim sem þarf að vega og meta,“ sagði Helga og bætti við að Persónuvernd hafi samt sem áður litið málið alvarlegum augum.
„Við mátum það það alvarlegt að við tókum upp heilt frumkvæðismál á öllu þessu kerfi á Íslandi og báðum um að því yrði breytt og viðbrögð Landlæknis voru það góð að það var snarlega öllu snúið við og gjörbreytt. Eftir það var allt orðið rekjanlegt í kerfinu hvað varðar afgreiðslu starfsmanna í öllum lyfjaverslunum,“ sagði Helga og undirstrikaði að það hefði verið alvarleikinn í því máli að mati Persónuverndar þ.e.a.s. að ekki hafi verið hægt að rekja upplýsingaöflun úr gáttinni til ákveðinna starfsmanna.
Upplýsingar ekki aðgengilegar almenningi
Eftir samtal blaðamanns Nútímans við Helgu barst miðlinum tölvupóstur fá forstjóranum þar sem hún áréttaði afstöðu Persónuverndar til málsins og þeirri ákvörðun að beita ekki viðurlögum. Þar kemur fram eftirfarandi:
„Við mat á alvarleika brots í tengslum við ákvörðun sektar er horft heildstætt á málavexti. Í þessu sambandi þarf stofnunin, þegar um er að ræða brot gegn reglum persónuverndarlöggjafarinnar um upplýsingaöryggi, að skoða allar þær öryggisráðstafanir sem viðhafðar eru, meðal annars út frá áhættu fyrir upplýsingaöryggi. Árétta verður að embætti landlæknis viðhafði ýmsar öryggisráðstafanir til að tryggja upplýsingaöryggi í gáttinni þó þær hafi ekki gengið nægilega langt, líkt og rakið er í ákvörðun Persónuverndar. Var því ekki um það að tefla í málinu að skortur á upplýsingaöryggi hefði verið algjör, heldur skorti einvörðungu upp á afmarkaðan hluta þess. Í þessu tilliti er áréttað að uppflettingar í gáttinni voru framkvæmdar af starfsfólki lyfjabúða sem bundið var trúnaði. Upplýsingarnar voru þannig ekki aðgengilegar almenningi, öfugt við það sem t.a.m. átti við í máli varðandi öryggisveikleika í Heilsuveru.“
Brotin metin mjög alvarleg í persónuverndarlögum
Þess má geta að tilefni athugunar á ólögmætum uppflettingum í Lyfjagátt var einmitt að umræddur starfsmaður hafði dreift upplýsingum sem þannig var aflað með ólögmætum hætti og brotið lögbundinn trúnað. Engin leið var að sjá heildarumfang ólögmætra uppflettinga, sem voru marg ítrekaðar yfir heilt ár, heldur varð að athuga hvert nafn fyrir sig, sem ástæða þótti til að kanna. Þannig fengnar niðurstöður um ólögmætar upplýsingar voru miklu fleiri en Persónuvernd virðist hafa talið. Samkvæmt 48. gr. laga um Persónuvernd getur allt að þriggja ára fangelsi legið við brotum sem framin eru af ásetningi og í hagnaðarskyni. Við brotum gegn þagnarskyldu skv. 36. og 44. gr. er fangelsi allt að einu ári, eða allt að þremur árum ef brotið er framið til að afla sér eða öðrum ávinnings.