Apótek og heilbrigðisfyrirtæki í Svíþjóð deildu mjög persónulegum upplýsingum um viðskiptavini sína með Facebook, án samþykkis eða vitneskju fólks. Upplýsingarnar voru nýttar í markaðsskyni en forsvarsmenn fyrirtækjanna segjast ekki hafa gert sér grein fyrir hvað þeir voru að gera.
Allt frá verkjalyfjum til klamidíuprófa
Í vefverslunum apóteka, hér í Svíþjóð líkt og víðar, er hægt að kaupa margskonar vörur og lyf, sem ekki eru lyfseðilsskyld. Eins og paracetamól, klamidíupróf, lyf við minnkaðri kynhvöt, ófrjósemispróf og óléttupróf.
Það sem viðskiptavinir sænska lyfsölurisans Apoteket vissu sennilega ekki, er að þar til nýlega, voru ítarlegar upplýsingar um þessi kaup sendar sjálfkrafa til tæknirisans Facebook. Upplýsingar eins og hvaða vörur voru keyptar, ítarlega innihaldslýsingar og svo upplýsingar um netfang viðskiptavinarins, símanúmer og í sumum tilvikum kennitölu fólks. Öllu var þessu deilt með tæknifyrirtækinu Facebook án þess að upplýsts samþykkis væri aflað.
Ströng trúnaðarskylda brotin
Fréttamenn sænska ríkisútvarpsins greindu frá málinu nýlega en segjast ekki vita hvað nákvæmlega Facebook gerir við upplýsingarnar. En gagnavinnslan hjálpaði þó Apoteket við að fylgja eftir auglýsingaherferðum og gera þær markvissari.
Málið hefur vakið hörð viðbrögð eftir að það komst í hámæli. Enda gilda alla jafna strangar reglur um trúnað lyfsala við viðskiptavini. Starfsmönnum í apótekum er nefnilega óheimilt að veita upplýsingar um fólk sem þangað leita, sagði Mariann Rinse, sem vinnur hjá Lyfjastofnun hér í Svíþjóð, í samtali við sænska ríkisútvarpið.
Apótekarar mega ekki einu sinni segja frá því hvort fólk hafi komið inn í apótek, sagði Rinse.
Gæti hafa staðið yfir í fimm ár
Í vefverslun Apoteket var hægt að komast hjá því að Facebook fengi upplýsingarnar. En þá þurfti fólk að breyta friðhelgisstillingum á vefsíðunni.
Yfirlögfræðingur Apoteket, Anna Rogmark, telur að upplýsingum hafi verið deilt um um það bil eina milljón einstaklinga sem versluðu í vefverslun fyrirtækisins. Málið kunni að ná allt aftur til ársins 2017.
Segjast ekki vita hvernig ákvörðunin var tekin
Hvernig sú ákvörðun var tekin að deila þessum oft viðkvæmu upplýsingum með Facebook, sagðist yfirlögfræðingurinn ekki vita. Það hafi ekki endilega legið ljóst fyrir innan fyrirtækisins að verið væri að senda upplýsingarnar.
Eftir að fréttamenn sænska ríkisútvarpsins höfðu samband við Apoteket, hætti fyrirtækið að senda upplýsingarnar til Facebook. Og forsvarsmenn þess tilkynntu málið til Integritetsskyddsmyndigheten - systurstofnunar Persónuverndar hér í Svíþjóð.
Fjarfundir með heilbrigiðsstarfsfólki ótraustir
Apoteket er þó ekki eitt um að fara óvarlega með viðkvæmar upplýsingar um heilsufar og persónulegar aðstæður fólks. Annað fyrirtæki í heilbrigðisgeiranum – Kry – kynnti nýjung í upphafi Covid-faraldursins: Hugbúnað til að halda fjarfundi með heilbrigðisstarfsfólki á netinu. Búnað sem fyrirtækið sagði öruggan.
Þrátt fyrir þau fyrirheit, voru upplýsingar um netfang og símanúmer fólks sendar til Facebook. Upplýsingar sem læknar segja að geti verið viðkvæmar.
„Bara sú staðreynd að þú hafir leitað til læknis, geta talist viðkvæmar persónuupplýsingar.“ Segir Torsten Mossberg, stjórnarmaður í Läkarförbundet, samtökum lækna í Svíþjóð. Það megi aldrei deila upplýsingum um sjúklinga, á nokkurn hátt.
Þjónusta Kry hefur ekki bara verið notuð í Svíþjóð, heldur í alls þrjátíu löndum. Hún var notuð af um 190 þúsund sjúklingum í Evrópu fyrsta árið.
Forsvarsmenn Kry harma málið og hafa, rétt eins og forsvarsmenn Apoteket, stöðvað gagnasendingarnar til Facebook og tilkynnt málið til sænsku Persónuverndarstofnunnarinnar. Þar hefur það verið tekið til skoðunar, meðal annars hvort viðkvæmum heilsufarsupplýsingum hafi verið deilt með óviðkomandi. Að sögn talsmanna snertir málið aðallega sjúklinga og heilbrigðisstarfsfólk í Svíþjóð, en einnig notendur þjónustunnar í Bretlandi, Frakklandi, á Ítalíu og í Þýskalandi.