Vi sparar data i cookies, genom att använda våra tjänster godkänner du det. ⇒ läs mer om cookies

Fel personer kan läsa din patientjournal

Personer som inte har rätt till det, har förmodligen fått tillgång till patientjournaler.

Efter en inspektion kritiserar Datainspektionen landstinget.

Annons

Peter Bivesand, ansvarig för informationssäkerhet på landstinget, påpekar att ett system kan fungera bra även om det inte finns tydliga nerskrivna regler för vad som gäller.

– Man har inte bara kunnat ringa till oss och sagt att man behöver en behörighet. Vi har haft en blankett som man ska fylla i, men den har inte varit fullständig. Det kan säkert vara så att en del personer fått en för bred eller fel behörighet.

Nu har landstinget skapat profiler där behörighetens omfattning är knuten till vilken tjänst man har; läkare, sjuksköterska, och var man arbetar. De ska vara införda i höst.

Dessutom ska det göras en bättre uppföljning av personal som slutar eller byter jobb inom landstinget.

Peter Bivesand började arbeta inom landstinget förra året och vet inte hur informationssäkerheten fungerade innan vården omorganiserades till länsövergripande divisioner, när varje sjukhus var en egen förvaltning.
– Som jag uppfattat det har den här otydligheten i rutinerna funnits så länge vi använt elektroniska patientjournaler. Men risken finns ju att sådana här frågor hamnar mellan stolarna vid en sådan här omorganisation.
Nu löser man inte alla säkerhetsproblem genom tydliga regler för vilka behörigheter olika personer ska ha. Datainspektionen kräver att landstinget inför stickkontroller av vem som läst journaler.
– Vi håller på att köra ut loggar nu för att kunna följa trafiken, men det är ett rätt komplicerat arbete.
Vårdpersonal har bara rätt att läsa patientjournaler för att få den information de behöver i sin yrkesutövning, även om de också har behörighet att läsa andra journaler.
Det går inte att automatiskt att se om personal läst journaler på ett felaktigt sätt.
– Jag som sitter centralt kan inte veta om patienten varit i kontakt med mottagningen eller legat på avdelningen. Den kontrollen måste verksamhetschefen ansvara för.
Säkerheten i ett informationssystem är inte starkare än den svagaste punkten, säger Peter Bivesand.
– Det räcker med att en person har ett dåligt lösenord, som kanske går att gissa sig till, så kan obehöriga komma in den vägen. Jag vet aldrig vem som egentligen sitter bakom skärmen. Om en läkare lånar ut sitt lösenord till en sjuksköterska så innebär det att sjuksköterskan får en behörighet hon inte ska ha.

Mer läsning

Annons