Polisanmäla eller inte – förvirring i Gävleborg

Ska landstinget eller patienten själv polisanmäla dataintrång i patientjournaler? I Gävleborg hänger frågan i luften sedan landstinget upplevt att polisen lägger ner fallen.?

I Landstinget Gävleborg är det upp till drabbade patienter att anmäla eventuella dataintrång i sina patientjournaler.

Anledningen är att polisen annars lägger ner fallen med hänvisning till att det inte är landstinget, utan patienten, som utsatts för brott, hävdar Peter Bivesand, samordnare för informationssäkerheten vid landstinget i Gävleborg.?

— För några år sedan polisanmälde vi alltid misstänkta intrång. Men polisen anser att det är den drabbade patienten som ska polisanmäla, så nu gör vi inte det längre, säger han. ??

Det har snart gått tre år sedan den nya patientdatalagen trädde i kraft. Landstingen blev då tvungna att rutinmässigt kontrollera loggfiler över användarnas inloggningar i journalsystemen för att upptäcka eventuella olaga dataintrång. Personal som misstänks ha gått in i en journal olovligen polisanmäls — utom i Gävleborg. Men Peter Bivesands påstående, att polisen lägger ner fall när anmälningar kommer från landstinget, vill ingen på åklagarmyndigheten i Gävle kännas vid.?

— Det känner jag inte alls igen. Jag kan inte se att skälen att utreda är mindre när det är landstinget som gör en polisanmälan. Däremot kan det vara så att enskilda åklagare gjort bedömningen att man bör avstå från att gå vidare med individuella fall. Men det finns ingen policy som säger att det måste vara patienten som gör en polisanmälan, säger Lennart Guné, chef för åklagarkammaren i Gävle.??

Beskedet från Lennart Guné tas emot med försiktig optimism av Peter Bivesand. Men någon rätsida på vad som egentligen gäller är fortfarande svårt att få.?

— Det är intressant det du säger, fast vi har fått helt andra besked från polisen. Enligt dem är det patienten som ska göra anmälan, säger han.?

När Vårdfokus till slut får tag på en förundersöknings­ledare inom Gävleborgspolisen är även han oförstående inför uppgiften.?

— Jag har aldrig hört något sådant. Dataintrång faller ju under allmänt åtal så det är klart att vi måste utreda, säger Leif Berglund, kriminalkommissarie i Hudiksvall.

 FAKTA. Vad säger lagen?

  • Vem får läsa i en elektronisk pappersjournal?
    Den som deltar i vården av en patient eller av ett annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården får läsa de patientuppgifter som finns i journalen och är upprättade inom den egna vårdenheten.
    När man ska ta del av andras journaluppgifter kan uppgifter vara ospärrade eller spärrade, beroende på om patienten valt att göra dem tillgängliga för andra eller inte.
  • Vad gäller för ospärrade uppgifter?
    De får läsas om samtliga av följande villkor är uppfyllda. Användaren:
    1) har en aktuell vårdrelation med patienten
    2) kan anta att uppgifterna har betydelse för att förebygga, utreda och behandla sjukdomar och skador hos patienten
    3) har fått ett godkännande av patienten att ta del av uppgifterna.
  • Vad händer om patienten inte kan ge sitt godkännande?
    Då kan ospärrade uppgifter läsas om följande villkor också är uppfyllda:
    1) det föreligger fara, eller allvarlig risk, för patientens liv
    2) den som vill ta del av ospärrade uppgifter har gått igenom en lista över de vårdgivare som har lämnat uppgifter om patienten och sedan bedömt att uppgifterna kan ha betydelse för vården av patienten.
  • När får man läsa uppgifter som spärrats där man arbetar?
    Om patienten inte kan ge sitt samtycke och informationen ”kan antas ha betydelse för den vård som patienten oundgängligen behöver”.
  • När får man läsa uppgifter som spärrats av andra vårdgivare?
    Då patienten inte kan ge sitt samtycke kan vårdgivaren som lagt spärren häva den om:
    1) det föreligger fara, eller allvarlig risk, för patientens liv
    2) informationen ”kan antas ha betydelse för den vård som patienten oundgängligen behöver”.
    Spärren får bara hävas för den situation förfrågan handlar om och för de uppgifter som bedöms ha betydelse för vården.
  • Vad händer om man läser uppgifter utan att ha uppfyllt
    villkoren enligt ovan?
    Den som tagit del av patientuppgifter i olika fall enligt ovan men inte uppfyllt de ställda kraven kan polisanmälas och i förlängningen dömas till böter eller fängelse i högst två år.

Källor: Datainspektionen, Socialstyrelsen.

Läs mer: Patientdatalagen (2008:355) Offentlighets- och sekretesslag (2009:400) www.socialstyrelsen.se Sök: patientdatalagen

Hämtar fler artiklar
Till Vårdfokus startsida