Sverige: Vårdgivare bötfälls för brister i hur de styr personalens åtkomst till journaluppgifter

Datainspektionen meddelar på sin webbplats att myndigheten är klar med en granskning av åtta vårdgivare. Det som framför allt har granskats är om vårdgivarna har gjort den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i huvudjournalsystemen. Datainspektionen har upptäckt brister som i sju av de åtta fallen leder till administrativa sanktionsavgifter på upp till 30 miljoner kronor. De granskade företagen är Aleris Sjukvård AB, Aleris Närsjukvård AB, Capio S:t Görans Sjukhus AB, Digital Medical Supply Sweden AB (Kry), Karolinska Universitetssjukhuset, Sahlgrenska Universitetssjukhuset, Region Västerbotten och Region Östergötland.

Enligt Datainspektionen måste vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna enligt myndigheten inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till.

Datainspektionen konstaterar att sju av vårdgivarna inte har genomfört en behovs- och riskanalys medan en vårdgivare har genomfört en analys som dock har vissa brister. Myndigheten konstaterar även att sju av vårdgivarna inte begränsar användarnas behörigheter för åtkomst till respektive journalsystem till vad som enbart behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta innebär enligt Datainspektionen att de sju vårdgivarna inte har vidtagit tillräckliga åtgärder för att kunna säkerställa och påvisa en lämplig säkerhet för personuppgifterna i journalsystemen.

Datainspektionen anser att bristerna hos sju vårdgivare varit så pass allvarliga att de mynnat ut i administrativa sanktionsavgifter på mellan 2,5 miljoner och 30 miljoner kronor. Beräkningen av sanktionsavgiftens storlek skiljer sig enligt myndigheten väsentligt åt beroende på om det handlar om ett företag eller en myndighet. Vårdföretagen har fått följande sanktionsavgifter:

  • Aleris Sjukvård AB, 15 miljoner kronor
  • Aleris Närsjukvård AB, 12 miljoner kronor
  • Capio S:t Görans Sjukhus AB, 30 miljoner kronor
  • Karolinska Universitetssjukhuset, 4 miljoner kronor
  • Sahlgrenska Universitetssjukhuset, 3,5 miljoner kronor
  • Region Västerbotten, 2,5 miljoner kronor
  • Region Östergötland, 2,5 miljoner kronor

Digital Medical Supply Sweden AB (Kry) har inte ålagts några administrativa sanktionsavgifter.

Datainspektionen meddelar även att myndigheten även tagit fram en vägledning som sammanfattar slutsatserna från granskningarna vad gäller kraven på att genomföra behovs- och riskanalyser.

Enligt Datainspektionen pekar vägledningen på vikten av att vårdgivare säkerställer att behovs- och riskanalyser sker och ger stöd till vårdgivare vid genomförandet av sådana analyser som behöver göras innan behörighet ska tilldelas i journalsystem. Datainspektionen förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till.

Ta del av Datainspektionens vägledningen om behovs- och riskanalyser här.

Läs Datainspektionens beslut mot Aleris Sjukvård AB här.

Läs Datainspektionens beslut mot Aleris Närsjukvård AB här.

Läs Datainspektionens beslut mot Capio S:t Görans Sjukhus AB här.

Läs Datainspektionens beslut mot Digital Medical Supply Sweden AB (Kry) här.

Läs Datainspektionens beslut mot Karolinska Universitetssjukhuset här.

Läs Datainspektionens beslut mot Sahlgrenska Universitetssjukhuset här.

Läs Datainspektionens beslut mot Region Västerbotten här.

Läs Datainspektionens beslut mot Region Östergötland här.

Läs Datainspektionens pressmeddelande här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.