– Domen klargör att vårdgivaren måste ha rutiner som säkerställer att behörigheter begränsas så att varje anställd bara ges åtkomst till de uppgifter som denne behöver för sitt arbete, äger Martina Lindkvist, jurist på Datainspektion
– Vårdgivaren måste också ha instrument för att kontrollera att de instruktioner som vårdgivaren ger följs.
Gransingen från Datainspektionen visade att alla landsting och regioner har brister när det gäller de anställdas tillgång till journaluppgifter.
Datainspektionenen undersökte bland annat hur vårdgivarna arbetar med behovs- och riskanalyser för att bedöma dels vilken information som olika personalkategorier behöver få ta del av, dels vilka riskerna är med för vida behörigheter.
Granskningen slutade med att Datainspektionen krävde att vårdgivarna tar fram dokumenterade behovs- och riskanalyser – någonting som Region Östergötland har överklagat till förvaltningsrätten.
Regionen ansåg att de uppfyller kravet på behovs- och riskanalys då de i sina riktlinjer skrivit att det är respektive verksamhetschef som ansvarar för tilldelningen av rätt behörighet till användare och att det är verksamhetschefen som i det arbetet får göra en behovs- och riskanalys.
Förvaltningsrätten har nu avslagit regionens överklagande och fastställt Datainspektionens beslut
Domstolen skriver:
”Att varje verksamhetschef som ansvarar för tilldelningen av behörigheterna gör en behovs- och riskanalys kan inte anses vara tillräckligt för att de föreskrivna kraven ska anses uppfyllda”.
