Vilken åtkomst behöver olika personalkategorier till journaler och vad innebär det för risker om personal kan komma åt fler – eller för få – uppgifter än vad som behövs för att de ska kunna utföra sitt arbete? Det är frågor som Datainspektionen vill ha svar på från landets samtliga landsting och regioner.

Myndigheten vill också veta om det finns skriftliga riktlinjer som beskriver vad som är obehörig åtkomst.

Granskade först Karolinska

Det är efter en granskning av rutinerna på Karolinska universitetssjukhuset som Datainspektionen nu granskar alla landsting. Myndigheten fann att personalen på Karolinska hade för vid behörighet att komma åt patientuppgifter, samt att sjukhuset saknade riktlinjer om vad som är obehörig åtkomst (se länk).

– Patientdatalagen är tydlig, vårdpersonal ska enbart ha tillgång till de patientuppgifter som behövs för att fullgöra sina arbetsuppgifter. Det måste finnas fungerande och dokumenterade rutiner för att upptäcka obehörig åtkomst, säger Suzanne Isberg, jurist på Datainspektionen.

Kräver skrifliga loggrutiner

Myndigheten kräver att sjukhusen har logguppföljningar som kontrollerar när obehörig personal har öppnat en patientjournal. Sådant kräver skriftliga rutiner, konstaterar Datainspektionen.