Apoteket.se delade uppgifter med Facebook i flera år

Det var i slutet av april som SR Ekot genom att handla receptfria läkemedel som inkontinensskydd, paracetamol och klamydiatest via apoteket.se kunde visa att nätapoteket delade detaljerade uppgifter om köpen med Facebook. Apoteket anmälde omgående personuppgiftsincidenten till IMY. Apoteket har nu också i en intern utredning kommit fram till att det var fel att dela hälsorelaterade uppgifter om sina kunder med Facebook.

”Det var aldrig Apotekets avsikt att dela information i denna omfattning och vi tar nu lärdom av det här, skriver Anna Rogmark, chefsjurist på Apoteket AB, i ett mejlsvar till Svensk Farmaci.

Personuppgiftsincidenten är dock omfattande och uppskattas ha pågått i flera år

”Vi har efter vår interna utredning kunnat se att cirka en miljon kunder är berörda sedan 2017”, skriver Anna Rogmark.

Hon förklarar också att de nu stängt av analysverktyget som delat uppgifter från apoteket.se med Facebook

”Högsta prioritet nu är att se över våra rutiner så att det här inte händer igen och vi har tills vidare stängt av kopplingen till Facebook”, skriver hon.

Så här förklarar Anna Rogmark att delningen av uppgifter har gått till:

“Vi kopplade ihop apoteket.se med Facebook via en så kallad pixel för att hantera vår marknadsföring. Vi kan på så sätt följa upp och optimera vår annonsering. För de kunder som godkänt marknadsföringscookies på apoteket.se har vi genom kopplingen till Facebook skickat kontaktinformation, visat produkter som inte är receptbelagda i varukorgen och vilka produkter som kunden klickat runt på”, skriver Anna Rogmark. 

Vad hon beskriver är ett analysverktyg som samlar in data och spårar webbplatsbesökares beteendemönster i marknadsföringssyfte. Facebook kan koppla ihop uppgifterna med liknande information från andra webbplatser som har installerat analysverktyget samt uppgifter från Facebook och Instagram och därigenom skapa en profil som används för att sälja riktad reklam. Apoteket.se kan använda informationen för att se i hur hög utsträckning deras reklam leder till köp.

Apotekets anmälda personuppgiftsincident kan vara ett brott mot både patientsäkerhetslagen och dataskyddsförordningen, GDPR, framgår vid ett samtal med Maja Savic jurist på Integritetsskyddsmyndigheten.

– Apoteket som vårdgivare behandlar känsliga personuppgifter. Det kan till exempel vara om man handlar läkemedel. De uppgifterna kräver ett starkt skydd, säger hon och fortsätter:

– Uppgifter om hälsa är enligt dataskyddsförordningen också känsliga personuppgifter, som inom vården dessutom omfattas av tystnadsplikt.

Maja Savic kan dock inte föregå IMY:s utredning, bara uttala sig allmänt om lagstiftningen. Något beslut om tillsyn har inte fattats, men vid en allvarlighetsbedömning tittar IMY bland annat på mängden personuppgifter som spridits och vilka konsekvenser och skador dessa skulle kunna orsaka. Om IMY upptäcker allvarliga brister så kan det stå företaget dyrt.

– Skulle vi i en eventuell tillsyn se att det föreligger allvarliga brister så kan IMY, som en korrigerande åtgärd, påföra en administrativ sanktionsavgift, säger Maja Savic.

Maxbeloppet för en administrativ sanktionsavgift för företag är 20 miljoner euro, det vill säga över 200 miljoner kronor, eller 4 procent av årsomsättningen, beroende på vilket belopp som är högst. För Apoteket AB, som ifjol omsatte 19,8 miljarder kronor, blir 4 procent drygt 790 miljoner kronor.

Hur är det då med andra aktörers nätapotek, använder de samma analysverktyg som apoteket.se? Det vet de förstås bäst själva. Enligt Dataskyddsförordningen ska en personuppgiftsincident anmälas senast 72 timmar från det att den upptäckts. Svensk Farmaci har därför frågat övriga apoteksaktörer som har en e-handel av någon omfattning, Apotea, Hjärtat, Kronan, Meds och Apohem. Ingen av dem svarar att de har anmält någon personuppgiftsincident till IMY under våren.

Läs mer >> Apoteket.se läckte uppgifter om kunders webbköp till Facebook