Sju av de totalt åtta granskade vårdgivarna har inte gjort nödvändiga riskanalyser kring personuppgifterna i journalsystemen, menar Datainspektionen. Kritik riktas bland annat mot privata aktörer som Aleris och Capio, men även regionstyrda Karolinska universitetssjukhuset.
”Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till”, säger Magnus Bergström som är samordnare för ärendet.
Nätläkaren Kry är den enda av de åtta granskade vårdgivarna som klarar sig undan böter. De har enligt granskningen genomfört en riskanalys, även om Datainspektionen anser att den ”har vissa brister” som ska åtgärdas.
De övriga sju vårdgivarna gjorde inte några analyser. De har heller inte begränsat personalens åtkomst till respektive journalsystem till den nivå som krävs, enligt myndigheterna. Bristerna är så pass allvarliga att de mynnar ut i sanktionsavgifter på mellan 2,5 miljoner och 30 miljoner kronor i varje enskilt fall.
Den privata aktören Capio får en bot på 30 Mkr för brister vid sitt sjukhus St Görans i Stockholm, medan två av Aleris-koncernens bolag tillsammans döms att betala 27 Mkr.
Bötesbeloppen varierar beroende på om det handlar om ett företag eller en myndighet. För företag kan avgiften som mest bli 20 miljoner euro, motsvarande 206 miljoner kronor eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För myndigheter kan avgiften som mest vara 10 miljoner kronor.
Därför hamnade Karolinska universitetssjukhuset, Sahlgrenska universitetssjukhuset och regionerna i Östergötland och Västerbotten på betydligt lägre bötesbelopp.
”Vår förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till”, säger Magnus Bergström på Datainspektionen.