Datainspektionen har granskat hur åtta vårdgivare, däribland Region Östergötland, styr och begränsar personalens åtkomst till huvudjournalsystemen. Region Östergötland har redan tidigare fått kritik av Datainspektionen för säkerhetsbrister i journalsystemet Cosmic, men trots det kvarstår bristerna. Det har vi berättat om vid ett flertal tillfällen.
Den här gången gjordes granskningen på US i Linköping. Det som framför allt har granskats är om vårdgivarna har gjort den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i journalsystemet. Det har inte Region Östergötland gjort.
– De saknar den grundläggande analys som krävs för att kunna tilldela personalen korrekt behörighet, säger Magnus Bergström som är samordnare för de åtta granskningarna. Det innebär i sin tur att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till.
Datainspektionen har även granskat användares åtkomstmöjligheter, det vill säga vilken vårddokumentation användaren faktiskt kan ta del av och läsa. Begränsningen ska göras så att användaren bara kommer åt uppgifter som behövs för respektive vårdsituation. Men regionstyrelsen som är den formellt ansvariga parten i ärendet begränsar inte vårdpersonalens behörigheter i Cosmic. Enligt Datainspektionen anses en för grovmaskig behörighetstilldelning som en obefogad spridning av journaluppgifter, vilket inte bör accepteras.
Bristerna är så allvarliga att Region Östergötland måste betala 2,5 miljon kronor i sanktionsavgift. Säkerhetsbristerna i journalsystemet har blivit något av en följetong i Östergötland men det är första gången regionen får böta för bristerna.
– Det var i samband med att GDPR trädde i kraft som vi fick befogenheter till sanktionsavgift, säger Magnus Bergström.
I beslutet uppger Datainspektionen att sanktionsavgiften bland annat har bestämts efter överträdelsernas allvar. Den ska vara "effektiv, proportionerlig och avskräckande."
Även Region Västerbotten ska betala 2,5 miljoner kronor. Högst avgift på 30 miljoner kronor ska Capio S:t Göran betala. Aleris Närsjukvård AB ska betala 12 miljoner, Karolinska universitetssjukhuset ska betala 4 miljoner och avgiften för Sahlgrenska universitetssjukhuset är 3,5 miljoner kronor.