Tillsynen grundades på ett klagomål från en patient som begärt loggutdrag och upptäckte att det var väldigt många användare som varit inne i journalen.


– Syftet med tillsynen var att kontrollera hur Karolinska universitetssjukhuset (KS) begränsar elektroniska åtkomsten till patientuppgifter, alltså hur de tilldelar behörigheterna, säger Maria Bergdahl, Datainspektionen (DI).


Datainspektionen fann att KS har en alltför vidsträckt och grovmaskig behörighetstilldelning och beslöt förelägga sjukhuset att genomföra en behovs- och riskanalys för systemet TakeCare.


Vid tillsynen gick Datainspektionen för första gången in djupare i hur man arbetar med logguppföljningar vid misstanke om obehörig åtkomst. KS har en rutinbeskrivning för logganalys men enligt DI saknar dokumentet riktlinjer för att kunna göra en bedömning om en elektronisk åtkomst är obehörig eller inte. Risken är att den inre sekretessen åsidosätts och KS föreläggs att utarbeta riktlinjer för vad som utgör obehörig elektronisk åtkomst.


DI frågar sig hur det ser ut hos andra vårdgivare. Finns det riktlinjer? Vet personalen som gör logguppföljningarna hur de ska se att det skett en obehörig åtkomst och vilka bedömningar de ska göra?


– Ser det ut så här hos KS finns risken att det kan se ut så här hos andra vårdgivare också och då har vi ett stort problem. Om logguppföljningarna inte är verkningsfulla faller det mesta. Det är en jätteviktig fråga och jag håller inte för otroligt att vi kommer att göra en nationell tillsyn av frågan, säger Maria Bergdahl.


Det ska finnas en individuell behörighet för varje användare. DI har efter anmälningar upptäckt flera fall av obehörig åtkomst.


– Det finns uppenbarligen en liten del sjukvårdspersonal som går över gränsen och tar del av uppgifter som de inte har rätt till. Därför är behörighetsstyrningen jätteviktig.


I ett fall från Uppsala läns landsting kom en anmälan från en kvinna som opererat käken. Efter att ha begärt loggutdrag upptäckte hon att läkare varit inne i hennes gynjournal.


– Vi gjorde tillsyn och kollade på funktionen i Cosmic för läkaranteckningar. Då framkom att samtliga läkare hade behörighet till funktionen. Utöver läkarna var det 1467 personer, administratörer, sekreterare, undersköterskor, sköterskor och läkarstuderande som hade behörighet. Det speciella var att alla hade behörighet till allt.


Det gick dessutom inte att se i logginformationen vad som hänt och landstinget förelades att göra en åtgärdsplan och behovs- och riskanalys.


I ett av de märkligare fallen fattar DI beslut under hösten. Anmälare är återigen en kvinna som begärt loggutdrag, funnit konstigheter och begärt en förklaring. Det tog ett år innan hon fick förklaringen och efter att ha tagit del av den beslöt DI om en tillsyn.


Förklaringen kom från en verksamhetschef som inledde svaret med hur mycket tid han lagt ner på att ta fram utdraget.


– Sen skrev han ungefär: Ja, när det gäller sköterskan NN, har hon visserligen varit inne några gånger i andra journaler där hon inte skulle ha varit. Vi har pratat med henne nu och hon har bytt avdelning. AT-läkarna är också inne, men de är under utbildning så det är inga konstigheter. När det gäller resten antar vi att de har giltiga skäl, berättar Maria Bergdahl.