På NHHC, neuro-huvud-halscentrum på Norrlands universitetssjukhus, utreddes intrånget i journalen. I utredningen sägs att händelsen inte ska anmälas till Datainspektionen, och patienten ska inte informeras. Foto: Linda Eliasson/VK.
Om att Elofsson inte blev informerad säger Winsa:
– Man diskuterade detta, och man tog det beslutet. Men det är inte det vi rekommenderar, säger hon.
Vem ska anmäla en personuppgiftsincident och vem har ansvar för att berätta för patienten att någon har snokat i journalen? Svaren har varit svåra att få när det gäller intrånget i Per Elofssons patientjournal.
Sedan i början av oktober, när personuppgiftsincidenten på NHHC, neuro-huvud-halscentrum, diariefördes har VK försökt få svar på vem som är ansvarig, varför incidenten inte anmäldes till Datainspektionen och varför Per Elofsson inte informerades.
Obehörig läste Elofssons journal efter strokenI händelseanalysen, som diariefördes ett år efter händelsen, anges tre personer på NHHC som ansvariga för utredningen. I utredningen sägs att man beslutat att inte informera patienten som drabbats av intrånget. Där anges också att det är ”för sent” att anmäla till Datainspektionen.
Det är anmärkningsvärt att de i analysen skriver att det är för sent.
Maria Bergdahl är jurist på Datainspektionen. Hon säger att det inte finns någon bortre tidsgräns för att anmäla en personuppgiftsincident till Datainspektionen. Det blir inte ”för sent” att anmäla för att 72 timmar har passerat.
- Nej, det är inte så bestämmelsen i dataskyddsförordningen GDPR ser ut. Det är anmärkningsvärt att de i analysen skriver att det är för sent. Som huvudregel ska anmälan skickas till oss inom 72 timmar efter att de har fått vetskap om incidenten. Om man skickar in den senare ska man ange varför, säger Maria Bergdahl.
Bergdahl säger vidare att patienten ska informeras om man bedömer att det innebär en hög risk för den enskildes rättigheter och friheter, så att den enskilde kan vidta nödvändiga försiktighetsåtgärder.
- Jag skulle ställa frågan till de ansvariga – varför anser de inte att detta innebär en hög risk?, undrar Maria Bergdahl.
När VK har kontaktat ansvariga så hänvisas vi till regionjuristen Henrik Sandberg. Han har hört talas om ärendet, men är inte inblandad i besluten.
- När det gäller dataskyddet så tror jag att vi har skyldighet att informera. Om det inte har gjorts så finns det anledning för oss att självkritiskt granska hur vi har hanterat det, säger Henrik Sandberg.
Har du någon uppfattning om varför dokumentet om händelsen diariefördes först ett år efteråt? Har det att göra med personen som är drabbad?
- Vi ska inte särbehandla offentliga personer. I så fall har det gjorts överväganden som jag inte känner till.
Henrik Sandberg mejlar över dokument som beskriver rutinerna vid dataintrång i journalsystem samt vid personuppgiftsincidenter. Han hänvisar sedan åter till de ansvariga på NHHC.
Mona Jakobsson, biträdande avdelningschef på NHHC, säger till VK att hon tror att de har agerat rätt. Sedan ber hon oss vända oss till verksamhetschefen Hans Lindsten.
Hans Lindsten svarar på mejl att han ”primärt inte har varit inblandad”. Han ska tala med regionjuristen och återkomma. Hans Lindsten mejlar på nytt och uppger då att ansvaret, enligt regionjuristen, ligger hos verksamhetschefen för den klinik där intrånget gjordes. Ansvaret för att informera patienten ska också ligga på samme chef. VK tar återigen kontakt med regionjuristen.
Är det där intrånget har gjorts som ansvaret ligger för att utreda personuppgiftsincidenten och för att informera patienten?
- Ja. Med det system vi har så loggar vi alla förehavanden. Om vi får en signal att någon har varit inne i ett register där man inte har behörighet att vara, då har verksamhetschefen det övergripande ansvaret att utreda det här, säger Henrik Sandberg.
Men utredningen har gjorts på NHHC, det är där man fattat beslut att inte anmäla och att inte informera patienten?
- Jag har inga andra uppgifter, jag är inte insatt, säger Henrik Sandberg.
Brita Winsa, hälso- och sjukvårdsdirektör, beklagar det som har inträffat.
VK har slutligen vänt sig till hälso- och sjukvårdsdirektör Brita Winsa med frågorna kring hanteringen av Per Elofssons journal. Hon vet inte varför intrånget inte anmäldes till Datainspektionen.
– I utredningen av det här, det var ju ett år sedan, så skriver man att det "är för sent att anmäla till Datainspektionen". Jag har inte gjort en utredning av utredningen, men någon har för ett år sedan konstaterat att det var för sent. Men man kan anmäla ändå, och det kan vara en bra rutin att ha, säger Brita Winsa.
– Det är samma sak där. Man diskuterade detta, den som utredde det hela och en av cheferna, och man tog det beslutet. Det är inte det vi rekommenderar. Jag vet inte heller varför man inte frågade någon ytterligare. Vår lärdom är att vi bör förtydliga våra rutiner om att patienterna ska informeras i sådana här fall, säger Brita Winsa.
Vem har ansvar att informera patienten?
– Egentligen är det inte viktigt om informationen kommer från verksamhetschefen där patienten vårdas, eller där intrånget gjordes. Det viktiga är att någon i ansvarsställning gör det.
Brita Winsa säger vidare att det finns en ökad risk för att offentliga personer drabbas av intrång i journaler.
– Så är det, och nu talar jag inte om Västerbotten, utan nationellt. Det är därför vi gör loggningar av kända personers journaler.
Var det så intrånget i Elofssons journal upptäcktes, i en speciell loggning för att han är en offentlig person?
– Jag är ganska säker på att det var en extra loggning, och inte en rutinmässig sådan, säger Brita Winsa.
– Det viktiga för alla patienter, oavsett om de är kända personer eller okända, är att de ska vara säkra på att vi inte obehörigen går in i deras journaler. Alla ska känna sig trygga i det. Det är något som vi upplyser våra anställda om, och det finns skäl att påtala det igen och igen. Det här är något som vi ständigt pratar om och påminner om. Jag vill påstå att i 99,9 procent av fallen så fungerar det, men det är beklagansvärt när det händer.
Catarina Saha/ Västerbottens-Kuriren