Region Skåne lever inte upp till patientdatalagen med det huvudjournalsystem som används i dag. Det visar Datainspektionens granskning. 

Det handlar exempelvis om brister i behörighetstilldelningen som gör att majoriteten av vårdpersonalen kan ta del av alla patientuppgifter om de inte är spärrade.

Även dokumentationen i loggarna för att se om obehöriga tagit del av en patients uppgifter är bristfälliga – exempelvis går det inte att se vad den som gått in i journalen har gjort där eller från vilken enhet personalen har varit inne.

Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR

Maria Bergdahl som lett Datainspektionens granskning säger i en kommentar att bristerna innebär att patienterna hos regionen inte får det integritetsskydd som de har rätt till.

Region Skåne har nu fått en kravlista med åtta punkter som måste åtgärdas så snart som möjligt.

Generellt sett är bristerna i Region Skåne inte unika konstaterar Maria Bergdahl.

– Dessvärre är det så att bland de vårdgivare vi granskat så är det i praktiken alltid brister i behörighetstilldelning, logguppföljning och spärrfunktioner i journalsystemen.

Läs också: Datainspektionen slår ner på vården i Gävle – får inte längre utbyta journaluppgifter

Även om de flesta nu infört spärrfunktioner i sina huvudjournalsystem så finns det fortfarande en mängd mindre system där det inte finns alls. I granskningen av Region Skåne identifieras exempelvis ett röntgensystem där det inte finns någon möjlighet för patienter att spärra sina uppgifter.

– Det finns ju en enorm mängd journalsystem så det är en intressant fråga hur många system som patienter verkligen kan spärra sina uppgifter i, säger Maria Bergdahl.

Hon konstaterar att andra landsting och regioner borde använda sig av granskningen av Region Skåne för att åtgärda sina egna brister.

– Med handledning av beslutet kan de ta tillfället i akt att trygga patienternas integritet och leva upp till lagkraven.

Att Region Skåne fick nedslag på så många punkter beror på att det klagomål som kom in pekade ut många företeelser som misstänktes bryta mot lagen.

– Av de nio vi granskade så hittade vi brister i åtta och det är ju ett väldigt nedslående resultat. Patientdatalagen kom på plats för tio år sedan så det borde ju ha gått lite snabbare kan man tycka.

Läs också: Domstol slår fast: anhöriga får inte logga in i patientjournal

Datainspektionen avslutade granskningen alldeles innan GDPR trädde i kraft i fredags och i beslutet skriver man att beslutet kan komma att följas upp i enlighet med den nya dataskyddslagen.

– Skillnaden framöver är ju att vi också har möjligheten till sanktionsavgifter. Det handlar om maximalt tio miljoner för myndigheter, säger Maria Bergdahl.