Datainspektionen är mycket kritisk mot hanteringen av patientuppgifter i journalsystemet i Region Gävleborg. Myndigheten har i en granskning hittat stora och allvarliga brister.

Bland annat saknas åtgärder för att hindra obefogad och okontrollerad spridning av patientuppgifter. Det betyder att all personal som har tillgång till systemet också har åtkomst till all information om alla patienter, vilket strider mot patientdatalagen.

– Man saknar helt behörighetsstyrning, alltså metoder för att begränsa åtkomsten till patientuppgifter så att personalen endast kan komma åt uppgifter som behövs för att lösa sina arbetsuppgifter. I praktiken innebär det att all personal kan komma åt all patientinformation om alla patienter, säger Maria Bergdahl som lett Datainspektionens granskning i ett pressmeddelande.

I patientdatalagen, som trädde i kraft redan 2008, finns krav på behörighetstilldelningar och åtkomstkontroll. Datainspektionen har även tidigare riktat kritik mot att Region Gävleborg inte uppfyllt kraven, men trots det har inga åtgärder vidtagits.

Därför kräver nu Datainspektionen att regionen upphör med så kallad sammanhållen journalföring, som innebär att flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar.

– Eftersom Region Gävleborg inte uppfyller lagens krav förelägger vi nu regionen att upphöra med sammanhållen journalföring till dess att åtgärder vidtagits. Det är första gången som vi tvingas vidta en sådan åtgärd, säger Maria Bergdahl.

Regionen ska senast 22 juni lämna in en plan för hur bristerna ska åtgärdas.

Ta del av Datainspektionens beslut här.