Det är Datainspektionen som har gjort en tillsyn av Region Västerbotten enligt dataskyddsförordningen (GDPR) och patientdatalagen – där de tittat på vilken riskanalys som gjorts samt hur åtkomsten i journalsystem ser ut. Det uppger VK.
Granskningen handlar om hanteringen av det journalsystem, NCS Cross, som regionen använder sig av.
Datainspektionen skriver att hälso- och sjukvårdsnämnden, som är personaluppgiftsansvarig, inte har genomfört någon behovs- och riskanalys av personal innan tilldelning av behörighet till journalsystemet. Det menar Datainspektionen innebär att de inte har vidtagit de organisatoriska åtgärder som är nödvändiga för att kunna visa att behandlingen av personuppgifterna har en säkerhet som är lämplig i förhållande till riskerna. De har inte heller begränsat användarnas behörigheter för åtkomst till journalsystemet till enbart vad de behöver för att kunna fullgöra sina arbetsuppgifter. Man har alltså kunnat komma åt mer uppgifter om en patient än vad man behöver för sitt arbete.
– Det är fråga om uppgifter som omfattar direkt identifiering av den enskilde genom såväl namn, kontaktuppgifter som personnummer, uppgifter om hälsa, men det kan även röra sig om andra privata uppgifter om exempelvis familjeförhållanden, sexualliv och livsstil, skriver Datainspektionen.
Att användarnas åtkomst till patienternas personuppgifter inte begränsats har i sin tur inneburit att det funnits risk för obehörig åtkomst och spridning av personuppgifter.
– Det innebär att merparten av de anställda har haft faktiska åtkomstmöjligheter till vårddokumentationen om merparten av patienterna, skriver Datainspektionen.
Datainspektionen förelägger nu hälso- och sjukvårdsnämnden att göra en behovs- och riskanalys för journalsystemet samt att de ska tilldela varje användare en individuell behörighet, så att den anställde enbart kommer åt de personuppgifter som behövs för att denne ska kunna utföra sitt arbete.
De säger också att de brister som nu har konstaterats har varit kända för hälso- och sjukvårdsnämnden under flera års tid vilket innebär att agerandet skett uppsåtligt och därmed bedöms som än allvarligare.
Mot bakgrund av överträdelsernas allvar så har Datainspektionen beslutat att Region Västerbotten ska betala en sanktionsavgift på 2,5 miljoner kronor.
– Det är väldigt onödigt att behöva betala så mycket pengar. Det är inget man skämtar bort utan det här tar vi på allvar, säger Anna-Lena Danielsson (S), regionråd och ordförande i hälso- och sjukvårdsnämnden till VK.
Ni har vetat om bristerna i flera år, men inte gjort något åt dem, hur kan det komma sig?
– Vi väntar på det nya systemet som är på ingång, för vi kan inte rent tekniskt hantera det som det ser ut i dag.
Innebär det att ni ännu inte har åtgärdat bristerna?
– Vissa av dem finns kvar, så är det. Det går inte att åtgärda dem på grund av bristerna i tekniken, men vi håller på att jobba fram ett nytt system tillsammans med flera regioner och det är snart på ingång. Tyvärr blev det uppskjutet på grund av pandemin, men när det kommer så ska det här kunna åtgärdas.
Hon säger dock att de följer sekretessen när det gäller journaler och att de hela tiden tar ut loggar för att se om obehöriga varit inne i dem.
– Så det är inte utifrån det som vi får kritik, vi har en väldigt hög säkerhet när det gäller journalhanteringen. Utan det här handlar om att vi inte har gjort riskanalys på varje individ av de 10 000 anställda utan vi har gjort riskbedömningen i klump utifrån yrke. Är man exempelvis sjuksköterska så har vi en riskbedömning utifrån det. Det är ett jättearbete att göra det på varje individ, säger Danielsson och berättar att de kommer att bestrida Datainspektionens beslut, säger hon till VK.
– Vi bestrider beslutet och kommer alldeles snart att komma in med en skrivelse om detta. Vi bestrider helheten, att vi tycker att det är omöjligt för oss att leva upp till detta.