Efter att myndigheten tagit emot anonyma klagomål  från anställda har Datainspektionen granskat användningen av journalsystemet i Region Gävleborg och sett stora och allvarliga brister. Det skriver myndigheten i ett pressmeddelande.

Okontrollerad spridning av patientuppgifter

– Man saknar helt behörighetsstyrning, alltså metoder för att begränsa åtkomsten till patientuppgifter så att personalen endast kan komma åt uppgifter som behövs för att lösa sina arbetsuppgifter , säger Maria Bergdahl som lett Datainspektionens granskning i ett pressmeddelande.

– I praktiken innebär det att all personal kan komma åt all patientinformation om alla patienter, fortsätter hon i samma meddelande.

I journalsystemet i Region Gävleborg saknas helt åtgärder för att hindra obefogad och okontrollerad spridning av patientuppgifter.

Inga åtgärder vidtagits

Trots upprepade krav på åtgärder från Datainspektionen har inga åtgärder vidtagits.

I patientdatalagen, som trädde i kraft 2008, ställs krav på behörighetstilldelning och åtkomstkontroll som ska säkerställa att bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av dem.

”Uppfyller inte lagens krav”

Nu vill Datainspektionen att Region Gävleborg bland annat ska införa behörighetsbegränsningar i huvudjournalsystemet samt att de ser över hur man tilldelar behörigheter till användarna.

– Eftersom Region Gävleborg inte uppfyller lagens krav förelägger vi nu regionen att upphöra med sammanhållen journalföring till dess att åtgärder vidtagits. Det är första gången som vi tvingas vidta en sådan åtgärd, säger Maria Bergdahl.