Jurist på Datainspektionen: Vårdgivarens ansvar att ta fram tydliga riktlinjer
Det ska finnas tydliga riktlinjer hos vårdgivaren om hur personalen ska agera för att inte göra sig skyldiga till eventuellt dataintrång i situationer som den i Skaraborg. Det menar Maria Bergdahl, jurist på Datainspektionen.
Eftersom förarbetena inte utreder vad som egentligen räknas in under den omdiskuterade formuleringen ”… eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvård” i Patientdatalagen, så är det desto viktigare att vårdgivaren tar sitt ansvar och tar fram tydliga riktlinjer för sin personal, anser Maria Bergdahl.
– Det framgår av förarbetena att det generellt ligger ett ansvar på vårdgivarna att utveckla goda rutiner och adekvata metoder för uppfyllande av de mål och krav som följer av författningarna. Vet personalen inte vad de ska göra, gör de sannolikt efter bästa förmåga, säger hon.
Det finns dock inte någon direkt utpekande bestämmelse om instruktioner i Patientdatalagen, berättar Maria Bergdahl. I detta fall får man därför söka vägledning i Personuppgiftslagen, PUL, om vad som gäller, menar hon.
– Där hamnar vi i 30:e paragrafen, krav på instruktioner, och av förarbetena framgår det att utgångspunkten måste vara att det är den personuppgiftsansvarige som i princip har ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras. Av det torde man kunna dra slutsatsen att vårdgivaren ska ge tydliga instruktioner till sin personal, så att de vet vad som gäller när de behandlar patientuppgifter. Annars kan det bli en väldigt godtycklig tillämpning, säger Maria Bergdahl.
När PDL trädde i kraft år 2008 kom det många frågor till Datainspektionen om vad som egentligen gäller när det kommer till bland annat tilldelning av behörigheter i journalsystemen, berättar hon. Men nu har många beslut fattats av Datainspektionen och det finns praxis. Det framgår också direkt av lagtexten att behörigheterna ska begränsas.
– Men det är viktigt att poängtera att det inte ligger i vårt uppdrag att utreda misstankar om dataintrång. Är det så att man som patient har den typen av misstankar får man vända sig till polisen. Datainspektionens uppdrag är att ta reda på hur behörigheterna begränsas och i övrigt granska hur integritetsskyddet i journalsystemen ser ut.
Ett problem hos många vårdgivare är att åtkomsten till journalen är väldigt vid, anser Maria Bergdahl.
– Om den hade varit mer åtskruvad så hade kanske inte möjligheten för personalen att obehörigen kunna läsa journaler funnits. Säg att du jobbar som läkare enbart med barn – då behöver du inte åtkomst till uppgifter om patienter inom geriatriken. Du kommer aldrig att behandla de patienterna. Och då ska du enligt bestämmelserna i patientdatalagen inte heller kunna gå in i de journalerna.
Den uppmärksamme läkaren kanske påpekar att vissa barnläkare eventuellt jobbar på akuten var tredje helg, berättar Maria Bergdahl.
– Men då får de läkarna tilldelas två olika behörigheter. En som du loggar in på akuten med och en som du har till vardags. Bara för att man eventuellt behöver en vid åtkomst var tredje helg, innebär inte detta att man ska ha en vid åtkomst 100 procent av sin arbetstid. Utifrån de tillsynsärenden vi har haft är problemet med för vida behörigheter mycket omfattande.
Maria Bergdahl tar Stockholms län som exempel där journalsystemet Take Care används inom ramen för sammanhållen journalföring.
– Förr hade man pappersjournaler. Då loggades å ena sidan ingenting, men å andra sidan så sprang inte folk in och ut på avdelningarna hur som helst, utan då var det ganska begränsat. Betänk att systemen idag är digitaliserade och att när det gäller till exempel stora system för sammanhållen journalföring, så är det väldigt många användare som kan komma åt patienternas uppgifter. Med ett enda ”klick”.
Vad är det som får patienterna att fatta misstankar?
– Utan att överhuvudtaget ha gjort någon statistisk undersökning så kan man säga att det beror på väldigt många olika saker. Det kan vara att man bor på en mindre ort där både bekanta och släkt jobbar inom vården. Det kan göra personen orolig för att obehöriga i form av vänner och grannar ska gå in och läsa. Det kan också röra sig om t.ex. kommunpolitiker eller andra ”lokalkändisar” som upplever sig lätta att hitta.