Datainspektionen meddelar att man slutfört sin granskning av åtta vårdgivares journalsystem. Vid sin tillsyn har man funnit stora brister i behörighetshanteringen, men även i funktioner för loggning. Datainspektionen riktar också skarp kritik mot brister i den behovs- och riskanalys som krävs för hantering av känsliga personuppgifter.

– Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström som är samordnare för de åtta granskningarna.

I sju av de åtta fallen är bristerna så allvarliga att Datainspektionen utdelar viten om totalt 69,5 miljoner kronor.

Karolinska Universitetssjukhuset 4 000 000kr.

Sahlgrenska Universitetssjukhuset 3 500 000kr.

Region Västerbotten 2 500 000kr.

Region Östergötland 2 500 000kr.

Aleris Sjukvård 15 000 000kr.

Aleris Närsjukvård 12 000 000kr.

Capio St Göran 30 000 000kr.

Maximala vitet för offentlig sektor är i Sverige 10 miljoner kronor, medan privata företag kan drabbas av viten om maximalt 4% av sin årsomsättning eller 20 miljoner Euro.

De utdömda vitena ovan närmar sig de maximala beloppen, vilket motiveras med allvarligheten i de brister som uppdagats.

Vid sidan av detta tillkommer givetvis skadan på varumärkena för de drabbade företagen och organisationerna.

Ett journalsystem består av en stor mängd ostrukturerad data och utan tillräcklig dokumentation och informationskontroll över denna information omöjliggörs en korrekt behörighetsstyrning.

Datainspektionens beslut visar återigen att kontroll är en förutsättning för korrekt behörighetsstyrning och att alla som organisationer som behandlar personuppgifter omgående bör skaffa sig denna kontroll.

Vi upprepar vår rekommendation till organisationer att omgående inventera och dokumentera all behandling av personuppgifter, för att möjliggöra både relevant behörighetsstyrning och förvaltning.

Läs mer här:

https://www.datainspektionen.se/nyheter/brister-i-hur-vardgivare-styr-personalens-atkomst-till-journaluppgifter/