Känsliga patientuppgifter läcker till obehöriga: »Allvarliga brister«
Bild: TT
Patienter vill gärna tro att vårdgivare på ett säkert sätt skyddar deras journaluppgifter. Tyvärr är det långt ifrån alltid fallet, enligt Maria Bergdahl, jurist vid Datainspektionen. Som patient ska du till exempel få veta vad sammanhållen journalföring innebär – det vill säga att flera vårdgivare kan ges åtkomst till din journal – och att du som patient kan säga nej till att ingå i detta. Men många patienter har aldrig fått frågan om samtycke.
– Det har också hänt att patienter som har velat använda sin lagstadgade rätt att spärra journalen fått svaret att hen i så fall inte kan få någon behandling, säger Maria Bergdahl.
Olika vårdgivare måste naturligtvis ha tillgång till en patients journal för att kunna ge rätt vård. Men bara den som har en vårdrelation till patienten har rätt att ta del av journalen. I sin tillsyn upptäcker Datainspektionen dock att känsliga patientuppgifter i journaler ofta sprids även till vårdgivare utan vårdrelation till patienten.
Ett tydligt exempel är när Datainspektionen efter ett anonymt klagomål från vårdpersonal undersökte behörighet och journalspärrar vid Region Gävleborg för ett par år sedan. Där visade det sig att alla vårdgivare som hade åtkomst till journalsystemet Melior även hade obegränsad åtkomst till patientuppgifter, oavsett om de hade behov av patientens journal eller inte. Dessutom saknades en teknisk spärrfunktion för att patienter skulle kunna motsätta sig att ingå i sammanhållen journalföring.
Från Region Skåne kom i sin tur i fjol en anmälan från vårdpersonal, som även varit patient, och som upptäckt att många obehöriga haft åtkomst till journalen. Regionen visade sig ha en spärrblankett för patienter, men det framgick inte för vilka system; en patient som spärrat sin journal för ett system kunde tro sig ha spärrat den för samtliga, vilket inte var fallet.
De flesta anmälningarna till Datainspektionen görs av patienter som sedan de begärt ut journallogg har märkt att obehörig personal tittat i journalen.
– Vid våra tillsyner av vårdgivare har vi hittills alltid hittat brister, många av dem dessutom allvarliga, säger Maria Bergdahl.
Skälet är sällan okunskap, menar hon. I stället hänvisar man till patientsäkerhet. Ett nog så viktigt skäl, kan man tycka.
– Men den aspekten är redan invägd i patientdatalagen.
Hittills har vårdgivare i Sverige bara fått föreläggande för brott mot patientdatalagen. Med EU:s dataskyddsförordning GDPR, som trädde i kraft i fjol, kan integritetsbrott även leda till sanktioner.
– Nu kan det komma att kosta att inte ta hänsyn till patientens integritet, säger Maria Bergdahl.
En integritet som enligt Fia Ewald, säkerhetskonsult och tidigare säkerhetsexpert vid Myndigheten för samhällsskydd och beredskap, äventyras genom det centrum för hälsodata som just nu öppnar i Region Stockholm.
Tanken med centret, som planeras ha sitt säte vid Bioclinicum, Karolinska universitetssjukhuset, är att göra data från stockholmarnas vårdbesök mer tillgängliga för forskning och utveckling av vården. Men via centret kan uppgifter lättare lämnas ut utan kontroll över var de hamnar, varnar Fia Ewald.
– När de väl har släppt data till någon annan är det svårt att kontrollera vad som sker. Om ett läkemedelsbolag eller Life science-bolag har affärsmässiga relationer till andra företag, finns en risk att uppgifterna blir tillgängliga även för dessa, säger hon.
Men Daniel Forslund (L), biträdande regionråd i Stockholms län, ser centret som en möjlighet att förbättra vården. Om ett forskarteam från Karolinska institutet exempelvis vill studera diabetiker i en viss åldersgrupp och den effekt som en medicin har på dem, ska teamet kunna begära ut hälsodata från centret, som i sin tur frågar patienternas vårdgivare om uppgifterna kan lämnas ut.
– I dag tappar forskning tempo när det är svårt att få fram data. Centret ger forskarna en, i stället för hundra spridda instanser, att vända sig till, säger han.
I uppbyggnaden av centret har Datainspektionen ännu inte rådfrågats; det kommer att ske så snart man har en färdig modell för hur datautlämningen ska gå till, lovar Daniel Forslund.
Hur ska ni undvika risken att patientdata sprids vidare?
– Vi ska försöka göra det svårt att missbruka data och få säkra rutiner för att avidentifiera den.
Hur ska man avidentifiera, när forskning ska kunna följa patienter genom vårdförlopp?
– Ibland vill man följa vårdförlopp, men då krävs samtycke från patienter som vill ingå i forskningsstudier. Och de flesta läckage av data har varit av misstag, inte illvilja, säger Daniel Forslund, som även ser centret som ett sätt att ge Sverige global konkurrensfördel.
– Vi kan attrahera läkemedelsbolag som bedriver forskning som faktiskt kan rädda liv. Regionerna är beroende av läkemedelsbolagen, och för att exempelvis få fram nya cancerläkemedel måste man jobba i partnerskap med industrin. Det är stora globala företag som har de forskningsmiljarder som krävs för detta, inte vi, säger han.
FAKTA: Vad är GDPR?
EU:s dataskyddsförordning GDPR (General Data Protection Regulation) började gälla den 25 maj 2018 i alla EU:s medlemsländer och ersätter nationella regler, som personuppgiftslagen i Sverige.
GDPR gör det lättare för privatpersoner att få kontroll över vilka personuppgifter som företag sparat om dig. Du kan få personuppgifter borttagna från exempelvis kundregister och sökmotorer om sökresultatet är oriktigt, irrelevant eller överflödigt.
Privatpersoner kan också säga nej till att personuppgifterna används.
GDPR skärper kraven på företag och organisationer på hur de ska hantera personuppgifter. Om ett företag brister i denna hantering kan det tvingas att betala en sanktionsavgift på upp till 20 miljoner euro, eller 4 procent av sin omsättning.
Bedömningen gör varje lands tillsynsmyndighet, i Sveriges fall Datainspektionen.
Journallogg
Just nu pågår 14 tillsynsärenden vid Datainspektionen som rör hälso- och sjukvård.
Vårdgivare ska ge de patienter som önskar direktåtkomst till loggar, det vill säga möjlighet att se vilka som varit inne och tittat i patientens journal.