Bättre skydd för patientuppgifter
Vårdgivare måste förhindra att anställda får för vid åtkomst till journaluppgifter. Det konstaterar Datainspektionen som även tagit fram en vägledning för hur man förhindrar obefogad spridning av patientuppgifter med hjälp av bland annat behovs- och riskanalys.
Datainspektionen har funnit brister hos samtliga regioner och landsting. Dessa har nu fått föreläggande om att ta fram dokumenterade behovs- och riskanalyser. Myndigheten genomförde en omfattande granskning av landsting och regioner. Bland annat tittade man på hur vårdgivare arbetar med behovs- och riskanalyser för att bedöma dels vilken information som olika personalkategorier behöver få ta del av, dels vilka riskerna är med för vida behörigheter.
En dom från förvaltningsrätten har nu fastställt att Region Östergötland måste ta fram en dokumenterad behovs- och riskanalys som ska användas då behörigheter tilldelas till användare av det centrala journalsystemet inom hälso- och sjukvården.
Region Östergötland hade överklagat Datainspektionens beslut till Förvaltningsrätten i Stockholm. Regionen ansåg att de uppfyllde kravet på behovs- och riskanalys då de i sina riktlinjer angett att det är respektive verksamhetschef som ansvarar för tilldelningen av rätt behörighet till användare och att det är verksamhetschefen som i det arbetet får göra en behovs- och riskanalys.
Förvaltningsrätten har nu avslagit regionens överklagande och fastställt Datainspektionens beslut (Förvaltningsrätten i Stockholms dom den 14 april 2016, mål nummer 8059-15). ”Att varje verksamhetschef som ansvarar för tilldelningen av behörigheterna gör en behovs- och riskanalys kan inte anses vara tillräckligt för att de föreskrivna kraven ska anses uppfyllda”, skriver rätten i sin dom.