– I alla verksamheter är det viktigt att ha ordentlig kontroll över de personuppgifter som hanteras i organisationen, säger Disa Rehn som ska leda granskningen på IMY.
Att dela detaljerade personuppgifter om apotekskunders hälsa med Facebook kan vara ett brott mot både dataskyddsförordningen, GDPR, och patientsäkerhetslagen. Det kan skada berörda personerna på flera olika sätt, menar Disa Rehn.
– Det kan leda till psykologisk skada, att integriteten kränks, att man inte har kontroll över sina personuppgifter. Det kan också skada en persons anseende om vissa känsliga uppgifter kommer ut, säger hon.
Apoteksaktörerna hävdar i sina anmälningar till IMY att de endast delat personuppgifter om kunders köp av icke receptbelagda varor.
– Receptbelagda läkemedel är ännu mer känsligt. De omfattas av ytterligare regler och skulle kunna avslöja till exempel diagnoser, säger Disa Rehn.
Men även icke receptbelagda varor kan innehålla känsliga personuppgifter.
– Det finns receptfria varor som för många människor också anses som känsliga, till exempel klamydiatest eller graviditetstest, säger Disa Rehn.
IMY inleder granskningen genom att ställa frågor till Apoteket AB, Apotea och Apohem om vilka personuppgifter som delats Facebook, vad som är syftet med överföringen och hur de bedömt riskerna med hanteringen.
– Vi skickar ut samma frågor till alla för att få klarhet i vad som hänt, säger Disa Rehn.
Utifrån apoteksaktörernas svar går IMY sedan vidare, lägger samman omständigheterna och gör en bedömning om vilka åtgärder som eventuellt behöver vidtas.
När IMY:s granskning kan vara färdig är för tidigt att säga, men det lär dröja minst ett halvår. IMY driver sedan i juni förra året två liknande tillsynsärenden mot bank och försäkringsbolagen Avanza och Länsförsäkringar som också delat personuppgifter, främst ekonomiska, med Facebook. De utredningarna är fortfarande inte avslutade.
När IMY:s granskning är klar kan den dock resultera i miljonböter för apoteksaktörerna. Sanktionsavgiften för brott mot EU:s dataskyddsförordning, GDPR, kan bli så mycket som som 4 procent av företagets globala årsomsättning eller upp till 20 miljoner euro, det vill säga över 200 miljoner kronor, beroende på vilket belopp som är högst. Hittills har IMY dock bara dömt ut sanktionsavgifter på några miljoner kronor, som ifjol då IMY beslutade att företaget Medhelp skulle betala 12 miljoner kronor i sanktionsavgift för att ha läckt personuppgifter från samtal med telefontjänsten 1177 Vårdguiden.
– Det kan bli fråga om sanktionsavgifter här, men det får utredningen visa, säger hon.
IMY kommer än så länge bara att inleda en granskning av apoteksaktörerna Apoteket AB, Apotea och Apohem som alla anmält personuppgiftsincidenter under april-maj. Myndigheten har ännu inte tagit ställning till om Kronans apotek, som också uppgett för Svensk Farmaci att de använt en så kallad Facebook-pixel, men efter samråd med jurister beslutat att inte anmäla saken, ska granskas, förklarar Disa Rehn.
– Det är svårt att svara på vad de kommit fram till. Det beror också på hur Facebook-pixeln fungerar. Att använda den kanske inte alltid innebär att de delar personuppgifter, säger Disa Rehn.
Hon tillägger dock att IMY kan inleda en granskning även om Kronan inte anmält sig själva. Det skulle räcka med att IMY får in klagomål från någon annan. Om apoteksaktören anmält sig själva eller inte, kan också påverka IMY:s bedömning, oavsett om de slutat använda Facebook-pixeln och uppdaterat sina cookie-policys.
– Det kan vara av intresse vilken åtgärd de vidtagit, men det fråntar dem inte ansvaret från att hantera personuppgifter på ett säkert sätt, säger Disa Rehn.
Läs mer >>
Flera nätapotek har delat uppgifter om kunder med Facebook
Apoteket.se delade uppgifter med Facebook i flera år
Apoteket läckte uppgifter om kunders webbköp till Facebook