År 2013 inledde Datainspektionen, DI, en granskning av samtliga landsting och regioner för att kontrollera deras riktlinjer för vad som är obehörig åtkomst till patientuppgifter. Det visade sig att samtliga brast i arbetet med behovs- och riskanalyser och att många saknade riktlinjer som beskriver vad som är obehörig åtkomst.

Nu har ytterligare tre vårdgivare granskats varav två drivs privat i Stockholm: Feelgood Företagshälsovård och Praktikertjänst. Den tredje vårdgivaren är Södersjukhuset som drivs av Stockholms läns landsting.

Även dessa tre vårdgivare saknar nödvändiga analyser och riktlinjer för åtkomsten till patientuppgifter, enligt DI.

Enligt patientdatalagen ska vårdanställda bara kunna ta del av uppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter.

– För att personal inom vården inte ska få tillgång till fler uppgifter än vad de har behov av i sitt arbete, behöver vårdgivaren både identifiera vilken personal som ska ha tillgång till vilka uppgifter och se till att det också finns en effektiv kontroll. Vi ser att vårdgivarna inte gör detta på ett tillräckligt strukturerat sätt och därför inte har den kontroll som de som är personuppgiftsansvariga ska ha, säger Martina Lindkvist som lett granskningen.