Datainspektionen ska granska huvudjournalsystemen vid fyra universitetssjukhus, tre stora privata vårdgivare och en nätläkare. De vill se hur vårdgivarna reglerar användarnas åtkomst till uppgifterna i journalerna.

Enligt patientdatalagen ska personal bara kunna komma åt patientuppgifter som de behöver för att kunna utföra sina arbetsuppgifter.

– Under de senaste åren har vi granskat flera vårdgivare där personalen har haft åtkomst till en majoritet av patienternas uppgifter, utan att ha behov av detta. Det innebär att verksamheterna inte garanterar patienterna det integritetsskydd de har rätt till, säger Datainspektionens jurist Maria Bergdahl som leder granskningen.

Vem kan se vad?

Det som ska undersökas är hur vårdgivarna styr vem som kan se vad och varför. Dessutom granskas vad som loggas så att det går att se vem som gjort vad, med vilka uppgifter och när.

Vårdgivarna som ska granskas är Karolinska universitetssjukhuset i Stockholm, Norrlands universitetssjukhus i Umeå, Sahlgrenska universitetssjukhuset i Göteborg, Linköpings universitetssjukhus, Aleris Sjukvård, Capio St Görans sjukhus, Praktikertjänst och nätläkaren Kry.

Känsliga uppgifter

– Hälso- och sjukvården hanterar stora mängder känsliga personuppgifter. Ett fungerande system för att reglera åtkomsten till patientuppgifter är nödvändigt för att upprätthålla ett gott integritetsskydd för patienterna. Det måste också vara möjligt att utreda otillåten åtkomst, vilket innebär att loggarna måste innehålla den information som krävs, säger Maria Bergdahl.

Datainspektionen är tillsynsmyndighet och kontrollerar bland annat att vårdgivarna har vidtagit tillräckliga åtgärder för att skydda känsliga patientuppgifter.