Obehöriga kunde läsa patientjournaler

Datainspektionen kommer att granska vilka anställda som har möjligheten att läsa patienternas digitala journaler. Detta i alla landsting utom Stockholms läns landsting som redan är under lupp.

Det är följden av en inspektion av förhållandena på Karolinska sjukhuset, KS, som Datainspektionen gjorde sommaren 2012.

Den visade att alltför många KS-anställda hade möjlighet att logga in i patientdatasystemet Take Care.

Vis inspektionen, som skedde i juni i fjol, framkom det att två av tre anställda på sjukhuset - omkring 10 000 personer av sjukhusets 15 250 anställda - hade åtkomst till Take Care. Därigenom kunde de ta del av alla patienters vårdjournaler.

Men inte bara det - 9 000 personer på andra vårdmottagningar i Stockholms landsting kunde också logga in och läsa journalerna.

Datainspektionens granskning av KS blev klar i augusti i år. Den visade att sjukhuset inte hade gjort någon behovs- och riskanalys över vilka som borde ha behörighet att logga in i datasystemet.

Det fanns heller inga riktlinjer för när personalens användning av Take Care var obehörig.

”Personalen hade för vid behörighet att komma åt patientuppgifter”, skriver Datainspektionen i granskningsbeslutet. Men exakt hur många som felaktigt haft tillgång till uppgifter om patienterna som varit på KS vet inte Datainspektionen. Det håller man nu på sjukhuset själva på att undersöka på uppmaning av Datainspektionen. Senast den 20 december vill Datainspektionen ha svar.

- Deras nät är för grovmaskigt, det ska vara finmaskigt, kommenterar Suzanne Isberg, jurist på Datainspektionen.

Enligt patientdatalagen får vårdpersonalen enbart ha tillgång till patientuppgifter som behövs för att de ska kunna fullgöra sina arbetsuppgifter. Inloggningarna måste också dokumenteras.

Patienter har rätt att få veta vilka vårdmottagningar som har läst eller arbetat med deras journaler. Landstingen brukar också med stöd av offentlighetsprincipen berätta vilka anställda personer som tagit del av journaler.