Datainspektionen pekar ut åtta landsting och ett privat företag för att dessa skickar e-recept till Apoteket över öppna nät utan kryptering. Det kan vara ett brott mot personuppgiftslagen, pul, slår Datainspektionen fast. Den osäkra behandlingen kan också strida mot tystnadsplikten.

– Det här är samma sak som vid bankaffärer på nätet. Man kräver viss säkerhet för att känna sig trygg och vi pratar om väldigt känsliga personuppgifter som kan komma på villovägar, säger Göran Gräslund, generaldirektör på Datainspektionen.

Nu kräver Datainspektionen att Apoteket och de utpekade landstingen snarast ändrar sina rutiner. Förutom att krypterade e-recept, som redan används av flera andra vårdgivare, ska införas måste inloggningssäkerhet bli starkare och loggar granskas regelbundet för att intrång och felaktiga leveranser ska upptäckas.

Enligt Göran Gräslund sker sådan granskning i ytterst begränsad omfattning i dag.

– Det sker nog när man misstänker någonting, men det finns ingen systematisk genomgång.

Mycket av den känsliga informationen går över Sjunet, ett nätverk byggt speciellt för vården. Från början byggdes det för att skapa ett säkert alternativ till att skicka informationen över internet. Men i dag är antalet anslutna landsting och kommuner så stort att det i Datainspektionens ögon är att betrakta som ett öppet nät på samma sätt som internet. Därmed måste också större krav ställas på säkerheten.

Granskningen genomfördes i november. Apoteket kände då inte till bristerna men har sedan dess på påbörjat arbetet med att kräva kryptering av företag och landsting som skickar e-recept.

– E-recepten har vuxit fram successivt och vi måste koppla ihop oss med vårdens system. Det kan ha varit så att man har fått göra avkall på säkerheten, säger Eva Fernvall, varumärkesdirektör på Apoteket, som välkomnar granskningen.

– Vi har varit två om de här bristerna, men vi tar på oss den del som ligger på oss.

Kan man vara säker på att sådan här information inte redan har läckt?

– Man kan ju inte veta det, men det har i alla fall inte gjort så stor skada att det har kommit någon anmälan, så jag har svårt att tro det.

Senast den 5 maj ska Apoteket redovisa vilka åtgärder man har vidtagit eller kommer att vidta.

Fakta

Här finns bristerna

Följande landsting, regioner och företag hanterar enligt Datainspektioner e-recept utan kryptering.

  • Västra Götalandsregionen
  • Region Skåne
  • Landstinget i Jönköpings län
  • Landstinget i Kalmar Län
  • Landstinget Sörmland
  • Västerbottens läns landsting
  • Landstinget i Värmland
  • Landstinget Västernorrland
  • Alfa Kommun & Landsting AB