– Under de senaste åren har vi granskat flera vårdgivare där personalen har haft åtkomst till en majoritet av patienternas uppgifter, utan att ha behov av detta. Det innebär att verksamheterna inte garanterar patienterna det integritetsskydd de har rätt till, säger Maria Bergdahl som leder granskningen.
Datainspektionen är tillsynsmyndighet för dataskyddsförordningen och patientdatalagen och kontrollerar bland annat att vårdgivarna har vidtagit tillräckliga åtgärder för att skydda känsliga patientuppgifter.
Fyra stora sjukhus granskas
Granskningen innefattar fyra universitetssjukhus, tre stora privata vårdgivare och en nätläkare.
De vårdgivare som granskas är Karolinska Universitetssjukhuset, Norrlands Universitetssjukhus, Sahlgrenska Universitetssjukhuset, Linköpings Universitetssjukhus, Aleris Sjukvård AB, Capio St Görans sjukhus, Praktikertjänst AB och nätläkaren Kry.
Undersöka personalens åtkomst till journalsystem
Syftet med granskningen är att undersöka hur personalens åtkomst till huvudjournalsystemen styrs, och om journalsystemens loggar innehåller tillräcklig information för att det ska gå att upptäcka om någon obehörig tar del av patientuppgifterna.
I granskningen undersöks bland annat hur vårdgivarna styr tilldelningen av behörigheter till journalsystemen, vem som kan se vad och varför, och om uppgifterna som finns i journalsystemets åtkomstlogg kan svara på vem som gjorde vad, med vilka uppgifter och när.
Känsliga personuppgifter i sjukvården
Enligt patientdatalagen ska personal endast kunna komma åt de patientuppgifter som de behöver för att kunna utföra sina arbetsuppgifter.
– Hälso- och sjukvården hanterar stora mängder känsliga personuppgifter. Ett fungerande system för att reglera åtkomsten till patientuppgifter är nödvändigt för att upprätthålla ett gott integritetsskydd för patienterna. Det måste också vara möjligt att utreda otillåten åtkomst, vilket innebär att loggarna måste innehålla den information som krävs, säger Maria Bergdahl.
