meny

Brister i hur vårdgivare styr personalens åtkomst till journaluppgifter

Integritetsskyddsmyndigheten har granskat hur åtta vårdgivare styr och begränsar personalens åtkomst till huvudjournalsystemen. Myndigheten har upptäckt brister som i sju av de åtta fallen leder till administrativa sanktionsavgifter på upp till 30 miljoner kronor.

Integritetsskyddsmyndigheten är nu klar med en granskning av åtta vårdgivare. Det som framför allt har granskats är om vårdgivarna har gjort den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i huvudjournalsystemen.

– Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström som är samordnare för de åtta granskningarna.

Integritetsskyddsmyndigheten konstaterar att sju av vårdgivarna inte har genomfört en behovs- och riskanalys medan en vårdgivare har genomfört en analys som dock har vissa brister.

Myndigheten konstaterar även att sju av vårdgivarna inte begränsar användarnas behörigheter för åtkomst till respektive journalsystem till vad som enbart behövs för att användaren ska kunna fullgöra sina arbetsuppgifter.

– Det innebär att de sju vårdgivarna inte har vidtagit tillräckliga åtgärder för att kunna säkerställa och påvisa en lämplig säkerhet för personuppgifterna i journalsystemen.

Bristerna hos sju vårdgivare är så pass allvarliga att de mynnar ut i administrativa sanktionsavgifter på mellan 2,5 miljoner och 30 miljoner kronor. Beräkningen av sanktionsavgiftens storlek skiljer sig väsentligt åt beroende på om det handlar om ett företag eller en myndighet. För företag kan avgiften som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För myndigheter kan avgiften som mest vara 10 miljoner kronor.

Integritetsskyddsmyndigheten har tagit fram en vägledning som sammanfattar slutsatserna från granskningarna vad gäller kraven på att genomföra behovs- och riskanalyser.

– Den här vägledningen pekar på vikten av att vårdgivare säkerställer att behovs- och riskanalyser sker och ger stöd till vårdgivare vid genomförandet av sådana analyser som behöver göras innan behörighet ska tilldelas i journalsystem. Vår förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström.

Läs vägledningen om behovs- och riskanalyser som pdf-dokument

Läs Integritetsskyddsmyndighetens beslut mot Aleris Sjukvård AB

Läs Integritetsskyddsmyndighetens beslut mot Aleris Närsjukvård AB

Läs Integritetsskyddsmyndighetens beslut mot Capio S:t Görans Sjukhus AB

Läs Integritetsskyddsmyndighetens beslut mot Digital Medical Supply Sweden AB (Kry)

Läs Integritetsskyddsmyndighetens beslut mot Karolinska Universitetssjukhuset

Läs Integritetsskyddsmyndighetens beslut mot Sahlgrenska Universitetssjukhuset

Läs Integritetsskyddsmyndighetens beslut mot Region Västerbotten

Läs Integritetsskyddsmyndighetens beslut mot Region Östergötland

För mer information kontakta

Samordnare Magnus Bergström, telefon 08-657 61 30

Presstjänst, telefon 08-515 15 415