Datainspektionen har kommit fram till att Region Västerbotten inte gjort en behovs- och riskanalys innan de tilldelade behörigheter i journalsystemet NCS Cross. De har därför inte kunnat säkerställa att ”personuppgifterna har en säkerhet som är lämplig i förhållande till riskerna”.
Myndigheten trycker också på att användarnas behörighet för åtkomst till journalsystemet inte har begränsats till ”vad som enbart krävs för att för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården”. Det innebär att användare i teorin kunnat komma åt fler journaler än vad de egentligen borde ha rätt till.
– Vi har tagit del av Datainspektionens underlag och ska nu titta närmare på beslutet och vilka åtgärder vi behöver göra för att uppfylla deras krav. Vi måste bland annat titta på hur vi kan förbättra tilldelningen av behörigheter men också hur behovs- och riskanalyser dokumenteras, säger Brita Winsa, hälso- och sjukvårdsdirektör, i ett pressmeddelande.
Vissa brister i behörighetstilldelningen påtalades av Datainspektionen redan 2015.
– Sedan dess har vi utvecklat och sett över behörigheterna och tagit fram en mall kring risker och behov. Behörigheterna görs på rollnivå och inte individnivå i Västerbotten. Vi har gjort en mer detaljerad tilldelning sedan 2015 men det har enligt Datainspektionen inte räckt, säger Ragnberth Helleday, objektägare vårdsystem, i pressmeddelandet.