Enligt patientdatalagen måste Karolinska Universitetssjukhuset, i syfte att avhålla anställda från att olovligen läsa patientuppgifter, göra logguppföljningar. Uppföljningen syftar också till att upptäcka om någon anställd har åsidosatt den inre sekretessen och läst en patientjournal utan att behöva det i sitt arbete.
Datainspektionen fann i en granskning som presenterades i april i år att KI:s kontroll av om någon olovligen läst patientjournaler måste förbättras.
Vid tiden för granskningen kontrollerades tio slumpmässigt utvalda användare som öppnat någon eller några av tio slumpmässigt utvalda patientjournaler under den senaste månaden. Denna kontroll var enligt Datainspektionens generaldirektör ”helt otillräcklig”:
– Uppgifter om patienters hälsa är ytterst känsliga vilket också ställer stora krav på åtkomstkontrollen, sade Göran Gräslund då.
Enligt den åtgärdsplan Karolinska sjukhuset nu lämnat utökas i ett första steg antalet stickprover från 10 till 100 journalöppningar per månad. Under perioden den i juni till och med september 2009 införs sedan en helt ny stickprovsrutin och fortsatt utökning av slumpmässiga stickprov. Stickprov kommer då att tas ut en gång i månaden för varje klinik inom Karolinska; vilket innebär att totalt 1 400 journalöppningar slumpmässigt väljs ut för granskning.
Datainspektionen anser att en granskning av fler journalöppningar än idag är ett steg i rätt riktning. ”Att det slumpmässiga urvalet kommer att omfatta användare på varje klinik ser vi som en förbättring av åtkomstkontrollen. Vi bedömer att den nya urvalsmodellen kan öka möjligheterna att konstatera och beivra dataintrång”, skriver Datainspektionen bland annat i sitt beslut.
– Den nya urvalsmodellen kan även avhålla användare från att läsa patientjournaler som de inte behöver i sitt arbete, under förutsättning att sjukhuset tydligt informerar sina anställda om att kontrollen skärps, säger generaldirektör Göran Gräslund.
Under 2010 kommer ytterligare åtgärder att införas genom så kallad intelligent logganalys. Via systemägaren har Universitetssjukhuset uppmanat leverantören av journalsystemet att ta fram lösningsförslag för uttag av riktade stickprov på vissa potentiellt oegentliga beteendemönster att införas i rutin på samtliga klinker varje månad. Beteendemönster som övervägs för granskning är till exempel öppning av egen och kollegas journal, slagningar inom extra känsliga verksamheter och på personer med skyddad identitet.
Karolinska Universitetssjukhusets förbättrade rutiner uppges vara en avvägning mellan behovet att snabbt och enkelt kunna nå rätt journal, och behovet att upprätthålla ett hinder för obehörig journalöppning.
Senast den 1 februari 2010 ska KI redovisa för Datainspektionen hur åtgärdsplanen hittills genomförts.
Johanna Haddäng
johanna.haddang@dagensjuridik.se
