Få hela storyn
Starta din prenumeration

Prenumerera

Digitalisering

Skarp kritik mot Sahlgrenskas hantering av personuppgifter

Publicerad: 29 februari 2008, 12:24

Register raderas av misstag. Sekretessbelagda patientuppgifter förvaras öppet. Revisorernas granskning av Sahlgrenska universitetssjukhuset avslöjar allvarliga och omfattande brister.


Listan med felaktigheter är lång och Västra Götalandsregionens revisorer kräver nu att sjukhuset vidtar en mängd åtgärder.

Revisorerna har granskat hur sjukhuset skyddar patienternas integritet när det hanterar personuppgifter. Svaret är: på sina håll nästan inte alls. Exempelvis hade känsliga uppgifter kring borderlinepatienter inte avidentifierats och databasen förvarades okrypterad utan att säkerhetskopiering hade gjorts. Dessutom hade patienternas samtycke till att lagra uppgifterna inte hämtats in.

Samma sak upptäcktes kring ett register om urininkontinens – uppgifter som skulle lagras med hög säkerhet låg okrypterade i olika datorer hos olika personer. Säkerhetskopiering skötte de var för sig.

En särskilt iögonenfallande händelse är att granskningen av ett bildarkiv vid ögonkliniken fick ställas in eftersom det hade raderats av misstag när uppgifterna skulle flyttas från en äldre dator till en ny. Inte heller här hade säkerhetskopiering gjorts och forskningsmaterial som samlats under 20 år gick förlorat.

Sammanfattningsvis visade granskningen många brister:

■ Det finns många små register som är svåra att ha kontroll över.  
   ■ Onödigt många register har samma eller liknande funktion.  
   ■ Behörighetshanteringen brister.  
   ■ Det finns sekretessproblem i kommunikationen med primärvården.  
   ■ Sjukhuset har tekniska problem med spärrade journaler.  
   ■ Ett sjukhusgemensamt krypteringsverktyg för känslig information saknas.  
   ■ Hanteringen av personuppgifter i samarbetet med universitet och läkemedelsföretag är svår att kontrollera.  
   ■ Avståndet mellan informationssäkerhetschef och sjukhusdirektör är för stort.  
   ■ En vårdspecialiserad jurist efterlyses.

Regionen har visserligen utsett ett antal personuppgiftsombud som ska bevaka att personuppgifter hanteras på rätt sätt. Men eftersom det inte sker någon kontroll eller uppföljning, upptäcks inte missförhållanden. Därför anser revisorerna att samarbetet mellan personuppgiftsombuden borde formaliseras.

Revisorerna konstaterar att sjukhuset bryter mot de regler som finns för hantering av personuppgifter. Tänkbara förklaringar är att sjukhuset har infört ny teknik för snabbt och att en del av kontrollen försvann när datalagen ersattes med personuppgiftslagen och vårdregisterlagen. Det stora avståndet mellan personuppgiftsombuden och sjukhusdirektören har också bidragit till bristerna. Dessutom har sjukhuset dålig kunskap om de regler och lagar som finns om personuppgifter.

Revisorerna anser att sjukhuset måste inrätta löpande kontroller med avrapportering till sjukhusledningen. De områden där sjukhuset bryter mot lagen måste utredas och åtgärdas och personuppgiftsombudens roll utökas.

– Vi tar rapporten på starkt allvar och kommer systematiskt att gå igenom revisionens synpunkter, säger Jan Eriksson, sjukhusdirektör på Sahlgrenska universitetssjukhuset, i ett pressmeddelande.

Johnny Magnusson (m), vice ordförande i regionstyrelsen, säger i samma pressmeddelande att läget var sämre än han hade trott. I en självkritisk kommentar menar han att regionen inte haft tillräckligt politiskt fokus på frågan.

Bernt Sabel, förtroendevald revisor i Västra Götalandsregionen, konstaterar att de stickprov som har gjorts i några register visar att det kan finnas allvarliga brister i säkerheten när känsliga personuppgifter hanteras.

– Vi förväntar oss att SU tämligen omgående åtgärdar en del av bristerna, medan andra är av mer långsiktig karaktär, säger han i pressmeddelandet.

Dela artikeln:


Dagens Medicins nyhetsbrev

Välj nyhetsbrev