Sju av åtta granskade vårdgivare har brister i journalhanteringssystemen – vilket innebär att personal som inte behöver det har tillgång till patienters journaler.
Nu ska vårdgivarna betala sanktionsavgifter på upp till 20 miljoner kronor.
Sammanlagt är det åtta vårdgivare som granskats av Datainspektionen. Det som granskats är främst om vårdgivarna har genomfört den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i huvudjournalsystemen.
– Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström som är samordnare för de åtta granskningarna.
Återkallelse av verksamhetstillstånd på grund av olämplighet enligt SoL och LSS
I lagen om stöd och service till vissa funktionshindrade och socialtjänstlagen har det införts krav på tillståndsprövning för enskilt bedriven verksamhet. Carl Lebeck behandlar frågor som rör olämplighet respektive proportionalitet som grund för återkallelse av tillstånd – med fokus på verksamheter inom olika typer av vård, utbildning och omsorg – utifrån aktuell rättspraxis.
Stora brister hos sju av åtta
Och resultatet visar att sju av de åtta vårdgivarna inte genomfört en behovs- och riskanalys. Den sista vårdgivaren har genomfört en analys som dock har vissa brister.
Sju av vårdgivarnas journalsystem saknar begränsningar för användarna vad gäller åtkomst till respektive journalsystem till vad som enbart behövs för att användaren ska kunna fullgöra sina arbetsuppgifter.
– Det innebär att de sju vårdgivarna inte har vidtagit tillräckliga åtgärder för att kunna säkerställa och påvisa en lämplig säkerhet för personuppgifterna i journalsystemen.
30 miljoner
Det rör sig enligt Datainspektionen om så allvarliga brister att de ska betala sanktionsavgifter på mellan 2,5 miljoner och 30 miljoner kronor,
Beräkningen av sanktionsavgiftens storlek skiljer sig väsentligt åt beroende på om det handlar om ett företag eller en myndighet.
Enligt reglerna kan avgiften för företag uppgå till som mest 20 miljoner euro, eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För myndigheter kan avgiften som mest vara 10 miljoner kronor.
Datainspektionen har nu tagit fram en vägledning som sammanfattar slutsatserna från granskningarna vad gäller kraven på att genomföra behovs- och riskanalyser.
– Den här vägledningen pekar på vikten av att vårdgivare säkerställer att behovs- och riskanalyser sker och ger stöd till vårdgivare vid genomförandet av sådana analyser som behöver göras innan behörighet ska tilldelas i journalsystem. Vår förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström.
