Enligt patientdatalagen får vårdgivare använda sammanhållen journalföring, vilket innebär att de har tillgång till varandras journaler. Men en förutsättning är att patienterna informeras ordentligt om att det sker och vad det innebär.

Där har Karolinska universitetssjukhuset tidigare uppvisat brister, men fick efter förbättrad information till patienterna klartecken från Datainspektionen att lämna ut uppgifter till andra vårdgivare.

Men myndigheten har på nytt granskat hur Karolinska sjukhuset använder journalsystemet Take Care och konstaterar att det finns ett antal brister som strider mot reglerna i patientdatalagen.

En sådan brist är att användaren redan i utgångsläget får se för mycket information om patienten. I stället för att systemet enbart indikerar att det finns journaluppgifter om patienten på annat håll, så listas direkt vilka dessa vårdgivare är. Dessutom visas uppgifterna innan man fått patientens medgivande.

Datainspektionen är även kritisk till hur patienten ges möjlighet att samtycka. Om patienten gör det blir alla uppgifter hos alla vårdgivare tillgängliga, oavsett om det är nödvändigt för den aktuella vårdprocessen. Detta gäller alla uppgifter som patienten inte själv aktivt spärrat.

– Det har nu gått nästan fyra år sedan vårdgivarna fick laglig möjlighet att utbyta journaluppgifter. Ändå kvarstår brister i hur det utbytet går till, säger Datainspektionens generaldirektör Göran Gräslund.

Myndigheten förelägger Karolinska att senast sista april återkomma med en skriftlig plan för hur bristerna ska åtgärdas.