Den här sajten är bara till för dig som arbetar i hälso- och sjukvården.

  • Annonsera
  • Prenumerera
  • Kontakt
  • Tipsa oss!
  • Lediga jobb
  • Logga in

Blogg


Karin Engströms blogg Publicerad 2019-08-02

Personalens smygläsande av patientjournaler – både brottsligt och dyrt

Detta är opinionsmaterial. Åsikterna som förs fram här är upphovsmannens egna.

Den nederländska motsvarigheten till Datainspektionen, Autoriteit Persoonsgegevens, utfärdade i början av sommaren en sanktionsavgift om 460 000 euro mot ett sjukhus i Haag. Anställda vid sjukhuset hade obehörigen tittat i en kändis patientjournal, vilket föranlett en anmälan av en personuppgiftsincident från sjukhuset.

Vid sin granskning konstaterade tillsynsmyndigheten att sjukhuset bröt mot artikel 32 i GDPR, som reglerar säkerhet i samband med personuppgiftsbehandling. Granskningen, som särskilt hade tagit sikte på sjukhusets tilldelning av behörigheter till och kontroll av åtkomst till patientjournaler, hade bl.a. visat att sjukhuset inte ovillkorligen tillämpade tvåfaktorsautentisering vid inloggning och inte tillräckligt regelbundet och systematiskt följde upp och kontrollerade personalens journalåtkomst för att upptäcka obehöriga slagningar.

Tillsynsmyndigheten underströk i sitt beslut att känsligheten i de personuppgifter som sjukhuset behandlar och risken för de registrerades rättigheter, ställer höga krav på säkerhet vid behandlingen. Utöver sanktionsavgiften förelades sjukhuset vid vite om maximalt 300 000 euro att komma tillrätta med bristerna och uppnå lämplig säkerhetsnivå.

Ett liknande beslut meddelades av den svenska Datainspektionen den 23 maj 2018 (dnr 2248-2017), alltså två dagar innan GDPR trädde ikraft. I sin granskning av integritetsskyddande åtgärder i Region Skånes huvudsystem för patientjournaler fann Datainspektionen att regionen i flera avseenden hade hanterat personuppgifter i strid med framför allt patientdatalagen.

Särskilt kritiserades att personalen tilldelats alltför vida behörigheter i journalsystemet, till äventyrande av patienternas integritetsskydd. Granskningen avslutades med förelägganden att åtgärda bristerna. I beslutet upplyste Datainspektionen också om att en eventuell uppföljning av beslutet kommer att ske enligt EU:s dataskyddsförordning, GDPR. Upplysningen tjänade som en varning för att Datainspektionen vid en sådan uppföljning kommer att ha möjlighet att utfärda sanktionsavgifter, vilket alltså är vad dess holländska motsvarighet nu gjort.

Att en vårdanställd som olovligen bereder sig tillgång till en patientjournal kan dömas till böter eller fängelse för dataintrång är förhoppningsvis väl känt. Att vårdgivare sedan ikraftträdandet av GDPR också riskerar kännbara konsekvenser i form av sanktionsavgifter, om tillräckliga åtgärder inte vidtagits för att minska risken för olovlig journalåtkomst, är det säkerligen inte lika många som känner till.

I Sverige kompletteras GDPR av patientdatalagen och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. De innehåller bland annat bestämmelser om vårdgivares tilldelning, begränsning och kontroll av elektronisk åtkomst och skydd mot obehörig åtkomst. Skyldigheterna gäller alla vårdgivare, dvs. inte bara regioner och kommuner utan även alla privata aktörer som bedriver hälso- och sjukvård.

Vårdgivare är enligt patientdatalagen personuppgiftsansvariga och står därför under Datainspektionens tillsyn. Den som inte uppfyller sina skyldigheter kan åläggas att betala sanktionsavgift enligt GDPR. Därför kan det vara angeläget för vårdgivare att nu se över sina system och sin personals journalåtkomst, för att säkerställa att kraven är uppfyllda.

Kommentarer

Nyheter från startsidan

Senaste numret av Dagens Medicin – här finns det digitalt

TIPSA REDAKTIONEN!

Har du nyhetstips? Mejla oss:

redaktionen@dagensmedicin.se

Eller ring tel: 08-409 320 40

Vill du publicera ett debattinlägg? Mejla debattredaktören på debatt@dagensmedicin.se

Nyhets- och redaktionschef:
Katarina Ekspong 072-252 14 80

Teamledare nyheter:
Jens Krey 070-735 16 61
Sara Heyman 073-558 66 71

Vill du tipsa oss krypterat och säkert? Klicka här! (Obs! Använd endast om nödvändigt. Pressmeddelanden och annat hänvisas till vanliga redaktionsmailen, se ovan.)

Nyhetsbrev

Vill du ta del av våra nyhetsbrev?

Klicka här!

Sök i vår databas!

Våra seminarier