Yliopiston Apteekille seuraamusmaksu verkkoapteekin tietosuojapuutteista
Seurantateknologiayrityksille on vuotanut tietoja verkkoapteekkiasioinnista.
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Yliopiston Apteekille 1 100 000 euron seuraamusmaksun tietosuojapuutteista seurantapalveluiden käytössä verkkoapteekissa. Sille annettiin myös huomautus.
Verkkosivuston analytiikkapalvelujen ja muiden seurantateknologioiden kautta seurantateknologiayrityksille on vuotanut tietoja verkkoapteekkiasioinnista.
Tietosuojavaltuutetun toimiston selvityksessä havaittiin, että Yliopiston Apteekki on käyttänyt verkkoapteekissaan evästeitä ja muita seurantateknologioita niin, että reseptilääkkeisiin ja itsehoitolääkkeisiin liittyvästä apteekkiasioinnista on välittynyt tietoa suoraan esimerkiksi Googlelle ja Metalle. Näille seurantapalveluntarjoajille on siirtynyt tietoja esimerkiksi tietyn lääkkeen lisäämisestä ostoskoriin ja tilauspainikkeen painamisesta.
Verkkosivuvierailijoista välittyi myös esimerkiksi IP-osoitteita ja muita tunnistetietoja, joita voidaan käyttää yksittäisen käyttäjän tunnistamisessa. Jos asiakas asioi verkkoapteekissa ollessaan kirjautuneena esimerkiksi Google- tai Facebook-tililleen, hän on voinut olla suoraan Googlen tai Metan tunnistettavissa.
– Lääkkeiden hankkimiseen liittyvät henkilötiedot ovat erittäin henkilökohtaisia tietoja, joiden suojaaminen on tärkeää. Asianmukaisia suojatoimenpiteitä valittaessa on kiinnitettävä huomiota henkilötietojen käsittelystä aiheutuvaan riskiin. Henkilötietoja suojaamalla ylläpidetään myös asiakkaiden luottamusta esimerkiksi verkkoapteekkiasiointiin, apulaistietosuojavaltuutettu Annina Hautala kertoo tiedotteessa .
Monien apteekkien vastaavia puutteita selvitetään
Tietosuojavaltuutetun toimisto alkoi selvittää Yliopiston Apteekin käytäntöjä Turun yliopiston väitöstutkijan yhteydenoton perusteella.
Suomalaisten verkkoapteekkien tietosuojaongelmat kävivät ilmi väitöstutkimuksessa, jossa terveysalan verkkopalvelujen toimintaa tutkittiin verkkoliikenneanalyysilla.
Tietosuojavaltuutetun toimisto selvittää parhaillaan myös useiden muiden apteekkien vastaavia puutteita.
Päätökset eivät ole lainvoimaisia
Tietosuojavaltuutetun toimisto selvitti apteekin käytäntöjä toukokuusta 2018 syyskuuhun 2022. Apteekki on ilmoittanut poistaneensa Googlen ja Metan seurantateknologiat käytöstä syyskuussa 2022.
Apulaistietosuojavaltuutettu antoi apteekille ohjausta sen edelleen käyttämistä seurantateknologioista.
– Verkkosivuston seurantaratkaisut on mahdollista toteuttaa niin, että henkilötiedot suojataan samalla asianmukaisesti. Organisaatio voi esimerkiksi valita palveluja, joissa se pystyy aidosti hallitsemaan henkilötietojen käsittelyä tai jotka eivät välitä henkilötietoja eteenpäin, Hautala sanoo.
Seuraamuskollegion ja apulaistietosuojavaltuutetun päätökset eivät ole lainvoimaisia. Niihin voi hakea muutosta valittamalla hallinto-oikeuteen.