JOURNALSYSTEM

Efter granskning: Myndighet betonar vikten av riskanalyser

Det är av yttersta vikt att vårdgivare gör noggranna analyser av vilka risker som är förenade med att personal har för omfattande tillgång till patientuppgifter. Det betonar Magnus Bergström, samordnare på Datainspektionen, efter att myndigheten gett sju av åtta granskade vårdgivare miljonböter.

– En lärdom från våra senaste granskningar är att vi inte kan vara nog tydliga i vår information om behovet av korrekta analyser. Vi har granskat dessa frågor under lång tid – stora delar av regelverket är från 2008 – och det här är inte första gången som vi har haft anledning att komma med synpunkter, säger han.

Datainspektionen presenterade nyligen en granskning av hur åtta vårdgivare styr och begränsar personalens åtkomst till huvudjournalsystemen. Granskningen fokuserar inte minst på om vårdgivarna har gjort de behovs- och riskanalyser som krävs för att personalen i enlighet med patientdatalagen och Socialstyrelsens föreskrifter ska få rätt behörighet till personuppgifter i systemen.

Magnus Bergström understryker att vårdgivare måste göra fördjupade analyser av vilka behov personalen har till uppgifter i systemen, samt vilka risker som är förenade med att de anställda har för omfattande tillgång till patientuppgifter. Uteblir sådana kontroller kan vårdgivarna i förlängningen inte skydda patienterna tillräckligt.

– Otillåten åtkomst och obefogad spridning av patientuppgifter är mycket allvarligt. Det handlar ju om vikten av att skydda patienternas integritet, såväl inom verksamheten som gentemot omvärlden, säger Magnus Bergström.

Datainspektionen konstaterar att sju av de åtta vårdgivarna inte har gjort behovs- och riskanalyser. Vårdgivarna måste därför betala administrativa sanktionsavgifter på mellan 2,5 miljoner och 30 miljoner kronor till staten. En av de undersökta vårdgivarna har gått igenom behov och risker, men på ett bristfälligt sätt. I detta fall leder agerandet inte till några böter.

Magnus Bergström, samordnare på Datainspektionen, understryker betydelsen av återkommande riskanalyser kopplat till journalsystemen. Foto: Pixabay/pressbild

Utifrån granskningen har myndigheten nu tagit fram en vägledning för att lyfta fram hur centralt det är att vårdgivare säkerställer korrekta analyser. Vägledningen utgör också ett möjligt stöd som man kan använda när man gör kontrollerna. Förhoppningen är att alla vårdgivare i Sverige ska nyttja informationen och försäkra sig om att rätt behörighetstilldelning sker.

– Det här är ju otroligt viktiga frågor. Om tusentals vårdanställda har tillgång till information om en person som inte har varit i kontakt med vården på många år – vilka risker finns med det? Vilka ska ha behörighet till informationen och på vilket sätt? För att bara ta ett exempel…

Jag tror inte att medvetenheten hos vårdgivarna har ökat i samma takt som riskerna. Magnus Bergström, samordnare på Datainspektionen

– Vården är ju till stor del en regelstyrd verksamhet och när man behandlar personuppgifter tillkommer ytterligare ett regelverk som man måste ha koll på.

Är du förvånad över att så många vårdgivare får bakläxa?

– Både ja och nej.  Digitaliseringen har ju pågått oförtrutet över tid, och mer och mer information behandlas digitalt. Riskerna ökar ju i takt med att den digitala hanteringen ökar, säger Magnus Bergström.

– Jag tror inte att medvetenheten hos vårdgivarna har ökat i samma takt som riskerna, men samtidigt har man ju en förhoppning om att vårdgivare ska följa regelverket.

Analyser, reportage, debatt och nyheter från sjukhusvärlden Vi ser till att hålla dig i händelsernas centrum

GDPR

Ur Sjukhusläkaren 2021-03

TEMA: Sjukvårdens Framtid / Anders Anell om nationell styrning / Ordet är fritt – Louise Bringselius / TEMA: Sjukvården i Danmark / Sverige vs Danmark / Aktuell person: Björn Eriksson

Prenumerera