I augusti blev Datainspektionen, DI, klar med en granskning av Karolinska universitetssjukhuset i Stockholm. Granskningen visade att personalen hade för vid behörighet att komma åt patientuppgifter. Sjukhuset saknade också skriftliga riktlinjer som beskriver vad som är obehörig åtkomst av patientuppgifter.
– Patientdatalagen är tydlig, vårdpersonalen ska enbart ha tillgång till de patientuppgifter som behövs för att fullgöra sina arbetsuppgifter. Det måste också finnas fungerande och dokumenterade rutiner för att upptäcka obehörig åtkomst, säger Suzanne Isberg, som ledde DI:s granskning av Karolinska sjukhuset, i ett pressmeddelande.
Resultaten från den granskningen gör att myndigheten nu genomför en motsvarande kontroll av landets samtliga övriga landsting och regioner.
De frågor som DI kommer att ställa är om det finns en dokumenterad behovs- och riskanalys och om det finns skriftliga riktlinjer som beskriver vad som är obehörig åtkomst.
En behovs- och riskanalys ska enligt DI innehålla uppgifter om vilken åtkomst till patientuppgifter som olika personalkategorier behöver ha och vilka riskerna är om personalen kan komma åt fler eller för få patientuppgifter än vad som behövs för att utföra sina arbetsuppgifter.
”När någon exempelvis öppnar en patientjournal ska det loggas. Loggen kan sedan kontrolleras för att se om åtkomsten var obehörig. I det kontrollarbetet behövs skriftliga riktlinjer som beskriver vad som är obehörig åtkomst”, skriver myndigheten i ett pressmeddelande.
Foto: TT
