Påföljdsavgift för Yliopiston Apteekki för dataskyddsbrister i nätapoteket

Påföljdsavgift för Yliopiston Apteekki för dataskyddsbrister i nätapoteket

Dataombudsmannens byrås påföljdskollegium har påfört apoteket Yliopiston Apteekki en påföljdsavgift på 1 100 000 euro för dataskyddsbrister i användningen av uppföljningstjänster i nätapoteket. Genom webbplatsens analytiktjänster och andra uppföljningstekniker har uppgifter om användningen av nätapoteket läckt till uppföljningsteknikföretag.

Dataombudsmannens byrå började utreda Yliopiston Apteekkis förfaranden efter att ha kontaktats av en doktorand vid Åbo universitet. De finländska nätapotekens dataskyddsproblem framgick av en avhandling där verksamheten hos nättjänster inom hälsobranschen undersöktes genom nättrafikanalys. För närvarande utreder dataombudsmannens byrå även motsvarande brister vid flera andra apotek.

I dataombudsmannens byrås utredning upptäcktes det att Yliopiston Apteekki i sitt nätapotek har använt kakor och andra uppföljningstekniker så att uppgifter om ärenden som skötts vid apoteket och gäller receptbelagda läkemedel och egenvårdsläkemedel har förmedlats direkt till exempelvis Google och Meta. Uppgifter om att man exempelvis lagt till ett visst läkemedel i kundvagnen och klickat på beställningsknappen har överförts till dessa leverantörer av uppföljningstjänster.

I fråga om besökarna på webbplatsen förmedlades även till exempel IP-adresser och andra identifikationsuppgifter, som kan användas för att identifiera en enskild användare. Om kunden skötte ärenden i nätapoteket och samtidigt var inloggad t.ex. på sitt Google- eller Facebook-konto, är det möjligt att Google eller Meta direkt har kunnat identifiera kunden.

"Personuppgifter som gäller skaffande av läkemedel är mycket personliga uppgifter som det är viktigt att skydda. Vid valet av tillbörliga skyddsåtgärder ska man beakta risken som behandlingen av personuppgifter medför. Genom att skydda personuppgifterna upprätthåller man även kundernas förtroende exempelvis för att sköta ärenden i nätapoteket", konstaterar biträdande dataombudsmannen Annina Hautala.

Yliopiston Apteekki påfördes en administrativ påföljdsavgift och anmärkning, eftersom apoteket inte i tillräcklig omfattning säkerställt skyddet av personuppgifter som uppstått vid användning av nätapoteket. Dataombudsmannens byrås utredning gällde apotekets förfaranden mellan maj 2018 och september 2022. Apoteket har meddelat att man tagit Googles och Metas uppföljningsteknik ur bruk i september 2022.

Därtill gav biträdande dataombudsmannen apoteket anvisningar om den uppföljningsteknik apoteket fortfarande använder. "Webbplatsens uppföljningslösningar kan genomföras så att man samtidigt skyddar personuppgifterna på tillbörligt sätt. Organisationen kan exempelvis välja tjänster där den genuint kan styra behandlingen av personuppgifter eller som inte förmedlar personuppgifterna vidare", säger Hautala.

Påföljdskollegiets och biträdande dataombudsmannens beslut är inte lagakraftvunna. Ändring i besluten kan sökas genom besvär till förvaltningsdomstolen.

Mer information:
Biträdande dataombudsmannens och påföljdskollegiets beslut i Finlex-tjänsten (på finska)

Biträdande dataombudsmannen Annina Hautala, annina.hautala(at)om.fi, tfn 029 566 6776

Åbo universitets pressmeddelande på universitetets webbplats (på finska): Doktorsavhandling upptäckte allvarliga brister i dataskyddet i nättjänster inom hälsobranschen (30.4.2025)