Foto: Bertil Ericson/Scanpix
Östergötland

Obehöriga kan läsa patientjournaler

Uppdaterad: 14.00
Landstinget gör inga rutinkontroller för att upptäcka dataintrång från de vårdanställda. Sedan vårdjournalerna datoriserats så är det lätt för obehörig personal att läsa patienternas journaler.

Nu medger landstingets informationssäkerhetschef Lars-Åke Pettersson att kontrollerna har brustit.

– Ja, det tycker jag ju. Det hade ju varit önskvärt att det kommit igång betydligt tidigare, säger han.

Det är inte bara den vårdcentral och den läkare som du har kontakt med som har tillgång till din patientjouornal. Utan alla vårdanställda inom landstinget kan med några knapptryckningar läsa allt som står om dig. Men för att minska missbruket av systemet och hindra anställda utan någon vårdkontakt läsa grannens eller släktingens datajournal kräver lagen att landstingen gör rutinmässiga kontroller, för att upptäcka eventuella dataintrång.

Men i Östergötland lever inte landstinget upp till de ställda kraven.

– Det är bara att beklaga, men loggarna finns ju kvar så vi kommer ju systematiskt att gå igenom det här, säger Lars-Åke Pettersson.

Hittills i år har landstinget bara gjort 64 kontroller av anställda för att se vilka journaler de har varit inne i. Majoriteten har gjorts efter förfrågan från patienterna. Bland dessa upptäckte man tre fall av dataintrång.

– Då har det lett till muntlig varning och i ett fall en skriftlig varning, en har blivit omplacerad, säger Pettersson.

Men nu efter Sveriges Radio Östergötlands granskning kommer landstinget att ändra sina rutiner säger Lars-Åke Pettersson.

– Vi kommer att varje dag ta två användare som vi granskar. Sedan uppmanar vi allmänheten att begära sin logg. Patienterna är de bästa till att se ett felaktigt mönster, säger han.

Kontrollen av vilka som läser journalerna ska inte bara göras om det finns anledning att misstänka något, utan det ska göras på regelbunden basis, säger Magnus Bergström, som är it-säkerhetsexpert på Datainspektionen.

– Det ska göras systematiskt och återkommande också utan att det föreligger någon misstanke om oegentligheter, säger Magnus Bergström.

Att sådana kontroller inte har genomförts vad innebär det för patientens integritet och säkerhet?

– Ja, alltså det regelverk som finns handlar om att skydda patientens integritet och rent patientsäkerhetsmässigt, säger Magnus Bergström.

Är det svårt att genomföra kontrollerna?

Det kan det vara. Det beror lite på systemets tekniska utformning, det är därför både rutin och metod måste anpassas utifrån de förutsättningar som finns lokalt.

De här kontrollerna, både rutinmässigt och återkommande det är något som bara ska göras helt enkelt?

– Ja, det finns inga som helst utrymmen, jag blir lite fundersam eftersom vi har haft tillsynsärenden på det här tidigare mot Östergötlands län. Då har de uppgivit att de har kontroller och gör återkommande loggkontroller, säger Magnus Bergström.

Tahir Yousef
tahir.yousef@sr.se
Petter Ahnoff
petter.ahnoff@sr.se

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade avsnitt i menyn under "Min lista".