Ekot kunde i går rapportera att 49 vårdanställda inom Uppsala läns landsting har loggat in i ”Noras” journal. Nora, som egentligen heter något annat, var huvudperson i radiodokumentären ”Den fastspända flickan” som sändes tidigare i år. Och inloggningarna har skett efter de två programmen.
Sammantaget rör det sig om 49 personer som varit inne och läst, varav 27 – enligt Ekot – inte tycks ha något med vården av Nora att göra. Det är exempelvis personal från ögonkliniken som läst gynjournaler. Och rent administrativ personal som också varit inne och gluttat.
Polisen har inlett en förundersökning som förhoppningsvis kommer att visa vilka som läst av ren nyfikenhet och vilka som faktiskt haft legitima skäl. Men det skulle förvåna stort om inte åtskilliga huvuden kommer att rulla, även om det i nuläget inte går att slå fast vilka.
Frågan om varför landstingsanställda smygläser journaler är lätt att besvara. Det är för att de kan. Olagligt, javisst. Men risken för upptäckt är minimal. Att vi nu vet någonting om dessa till synes otillåtna inloggningar är för att Nora begärde ut uppgifterna. Vårdgivaren är enligt lag skyldig att bedriva någon form av systematisk kontrollverksamhet för att säkra att inte obehöriga personer läser journaler. Det sker vanligtvis genom stickprovskontroller som är så få i förhållande till antalet inloggningar att risken att åka fast är försumbar.
I Uppsala, berättar landstingsjuristen Mats Holmberg, har man till exempel inte fått en enda träff. Fredrik Rosenberg, informationssäkerhetsansvarig i samma landsting, kan inte ge någon siffra på hur många inloggningar som kontrolleras i förhållande till hur många som görs. Den enda siffra landstinget har att bjuda på är att 400 slumpvis utvalda anställda, av Akademiska sjukhusets 8 000, kontrolleras per år. Intervallet, om det är en dags inloggningar eller en månads som kontrolleras, vet inte Fredrik Rosenberg.
400 av 8 000 är fem procent. Om dessa fem procent kontrolleras under mindre än en femtedel av sin årsarbetstid, vilket sannolikt är en alldeles för hög siffra, är vi ändå nere på promillenivå. Och då har jag inte ens räknat med alla anställda inom öppenvården, som också är anslutna till samma vidöppna journalsystem.
Grundproblemet är det som kallas sammanhållna journalsystem, som numera finns i varenda landsting, och som dessutom kopplas ihop mer och mer. I sitt första tal som IT-minister hösten 2010 sa Anna Karin Hatt att hon var beredd att lagstifta för att binda ihop hela Sverige i ett gemensamt journalsystem. Man får vara tacksam över att vissa politiker emellanåt lovar mer än de kan hålla. Annars hade kanske tjuvslagningar i Noras journal kunnat spåras också till andra landsting.
Det finns i praktiken två sätt att begränsa läsningen. Det ena är att se till att så få som möjligt kan läsa. Det andra är att öka upptäcktsrisken och se till att konsekvenserna för den som tjuvläst blir kännbara. Allra bäst är att kombinera de två. I nuläget är det för slappt i båda leden. Behörighetsstyrningen, som reglererar vilka som kan läsa vad, är generellt sett för vid. Och kontrollen som sagt bristfällig.
Den enda kontroll som tycks fungera någorlunda är den som rör ”kändisar” och den som patienterna själva tvingar fram genom att, som Nora, begära ut inloggningsuppgifter. Sjukvårdsanställda som vill kontrollera sina grannars eller en tänkbar partners eventuella könssjukdomar, aborter, relationsstörningar eller missbruksproblematik kan i de flesta fall göra det utan några större risker.
Det finns mycket mer att säga om den informationsplikt, de spärrar och det samtyckeskrav som landstingen slarvar med. Men det finns också mer att säga om behörighetskriteriet. Inom vården sägs ofta att man ska se ”hela människan”.
Samtidigt har vi en lagstiftning som säger att de operationsteam som kanske arbetat som galärslavar för att rädda en människans liv, inte har någon rätt att följa upp om patienten överlevde eller inte. Det är att reducera vårdanställda till industrirobotar. Och vården till en löpande band-verksamhet som vilken som helst.
Det är sannerligen inget att eftersträva.