Region Gävleborg har ingen ordning på hanteringen av patientuppgifter visar Datainspektionens granskning.

– Man saknar helt behörighetsstyrning, alltså metoder för att begränsa åtkomsten till patientuppgifter så att personalen endast kan komma åt uppgifter som behövs för att lösa sina arbetsuppgifter. I praktiken innebär det att all personal kan komma åt all patientinformation om alla patienter, säger Maria Bergdahl som lett granskningen som drogs igång efter ett anonymt klagomål från vårdanställda.

Krav på behörighetstilldelning och åtkomstkontroll har funnits ända sedan patientdatalagen trädde i kraft 2008 och Region Gävleborg har tidigare fått kritik för att inte uppfylla kraven 2012 och 2013 men hade då en plan för att få en lösning på plats.

Av granskningen framgår att Gävle använder sig av Melior som huvudjournalsystem. Tidigare har systemet varit uppbyggt av 15 olika databaser, ett för varje verksamhetsområde, och där har personalens åtkomst till patientuppgifterna hängt ihop med vilken behörighet de haft. Men sedan något år tillbaka har de 15 databaserna ersatts av en enda databas där alla verksamhetsområden lägger sina patientuppgifter.

Läs också: Datainspektionen sågar lagförslag om samlad läkemedelslista

I den databasen finns inga behörighetsbegränsningar alls eftersom det enligt granskningen inte bedömts vara viktigt ur patientsäkerhetsperspektiv att ge alla tillgång till allt. De enda olika roller som används i den databasen är för anställda i regionen eller anställda i Aleris, det privata vårdföretag som driver Bollnäs sjukhus,

Datainspektionen förelägger nu Region Gävleborg att införa begränsningar i behörigheterna i huvudjournalsystement och att göra en behovs- och riskanalys för hur behörigheterna tilldelas.

I väntan på att regionen åtgärdar bristerna och uppfyller Patientdatalagens krav förelägger Datainspektionen att de upphör med sammanhållen journalföring, det vill säga att dina journaluppgifter blir tillgängliga för de olika vårdgivare du besöker.

– Det är första gången som vi tvingas vidta en sådan åtgärd, säger Maria Bergdahl.

Region Gävleborg åläggs att lämna in en åtgärdsplan senast den 22 juni.