Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer

En utskrift från Dagens Nyheter, 2019-04-26 16:08

Artikelns ursprungsadress: https://www.dn.se/sthlm/datainspektionen-granskar-karolinskas-patientdatahantering/

STHLM

Datainspektionen granskar Karolinskas patientdatahantering

Datainspektionen gjorde i veckan en tillsyn av Karolinskas rutiner för hantering av patientuppgifter i journalsystemen. Foto: Magnus Hallgren

Datainspektionen gjorde i veckan en tillsyn av Karolinskas rutiner för hantering av patientuppgifter i journalsystemen. Samtidigt har styrelsen efter DN:s granskning av sjukhusets nya databas inlett en omfattande utredning av sjukhusets hantering av patientdata och efterlevnad av GDPR. 

– Det är en grannlaga uppgift, säger Kjell Asplund, ledamot i styrelsens vårdutskott. 

Rätta artikel

Datainspektionen genomförde i onsdags tillsyn gällande behörighetskraven och åtkomsten i journalsystemet på Karolinska. Myndigheten har inlett en större granskning av hur åtta vårdgivare reglerar användarnas åtkomst till uppgifter i huvudjournalsystemen varav Karolinska är en. 

– Vi inspekterar åtkomst och dokumentation i loggarna. Det är två av de viktigaste byggstenarna i journalsystemet som rör integritetsskyddet. Det handlar om vem som kan se vad och varför, liksom vad som dokumenteras i loggarna, säger Maria Bergdahl på Datainspektionen, som leder granskningen. 

Uppgifter i patientjournaler skyddas av så kallad inre sekretess. Det innebär att personal, enligt patientdatalagen, bara ska komma åt de patientuppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter. Men enligt Datainspektionen visar de senaste årens granskningar att vårdpersonal ofta har tillgång till en majoritet av patienternas uppgifter utan att det finns behov, och att patienternas integritet därför inte kan garanteras. 

Karolinska är ett av tre universitetssjukhus som ingår i granskningen.

– Stora vårdgivare som Karolinska hanterar ju väldigt många patientuppgifter. För att se om hanteringen är korrekt och om patientuppgifter skyddas tillräckligt ska vårdgivaren göra en avvägning av behov och riskanalys innan personalen tilldelas åtkomst. 

Datainspektionen är tillsynsmyndighet över dataskyddsförordningen, GDPR, och patientdatalagen, och ska bland annat kontrollera att vårdgivare gjort tillräckligt för att skydda känsliga personuppgifter. 

Karolinskas styrelse har samtidigt inlett en omfattande granskning av sjukhusets hantering av patientdata, för att säkerställa att sjukhuset lever upp till GDPR. Detta efter att DN avslöjat att sjukhuset bygger upp en ny diagnosbaserad databas med så kallade digitala styrkort, där uppgifter från patientjournaler sammanförs med patientuppgifter från andra system som operationsdatabasen, folkbokföringsregister, och sjukhusets ekonomisystem. Styrkortsarbetet utförs separat från vården på sjukhusets strategiska stab SSVP, som ett led i sjukhusets arbete med värdebaserad vård. Styrkorten är mätverktyg för att kunna göra jämförelser i realtid och mäta kvaliteten i vården kopplat till kostnader, och utvecklingsarbetet har inledningsvis gjorts med konsulthjälp från Boston Consulting Group som sålt in och implementerat vårdmodellen på Karolinska. Karolinska har 1,6 miljoner patientbesök per år, och alla patienter registreras i styrkorten utan att patienterna informeras. Enligt experter står det i strid med dataskyddsförordningens krav på information och transparens till de registrerade om hur uppgifterna används och behandlas. 

Advokat Caroline Olstedt Carlström, expert på GDPR har även uppgett att för DN att det bör utredas om styrkorten, där patientdata redovisas diagnosvis på gruppnivå, utgör ett regionalt kvalitetsregister. Sjukhuset har först uppgett att det inte handlar om personuppgifter, men sedan bytt fot, och meddelat att uppgifterna är psedonymiserade, och att patienterna därför inte behöver informeras. 

Professor emeritus Kjell Asplund, ledamot i styrelsens vårdutskott, säger att genomlysningen är en ”grannlaga uppgift”, och att arbetet som inleddes i januari är mer omfattande än beräknat. Asplund understryker att genomlysningen handlar om all hantering av personuppgifter på sjukhuset. 

– Bland annat tack vare media så har arbetet nu satt fart, verksamhet för verksamhet gås igenom, styrkort för styrkort. Juristerna går igenom det här punkt för punkt och jag antar att de hittar en del som kan behöva åtgärdas, säger Kjell Asplund och berättar att styrelsen har kopplat in sjukhusets jurister i arbetet. 

Tidigare har sjukhusets dataskyddsombud uppgett för DN att upplägget i styrkorten redan stämts av med sjukhusets jurister, och att en fördjupad utredning eller dokumentation inte var nödvändig. Någon dokumentation om juridiska övervägningar har inte kunnat presenteras. 

– Om det inte redovisats någon dokumentation, så beror det på att det inte finns, har dataskyddsombudet Lisa Gellerhed van Duin tidigare sagt till DN. 

Styrelsen har gjort en annan bedömning. 

– Vi har gjort bedömningen att det behövs en fördjupad och mer detaljerad analys. Det började med uppmärksamheten i media om styrkorten, men nu har vi satt sjukhusets jurister på att gå igenom alla verksamheter. Det handlar också om patienters rätt att få ut information. Det är verkligen oerhört viktigt att vi håller oss till lagar och bestämmelser om GDPR, säger Kjell Asplund. 

Sjukhuset har tillbakavisat att det skulle röra sig om ett kvalitetsregister. Kjell Asplund, som själv är registerhållare för kvalitetsregistret riks-stroke, vill låta det vara osagt. 

– Jag har min uppfattning, men den håller jag för mig själv. Jag vill inte förekomma juristerna, säger Asplund. 

Anställda på sjukhuset har samtidigt rest frågor om att patientuppgifter nu samlas centralt i sjukhuset och hanteras av tjänstemän och konsulter separat från själva vården. Enligt sjukhuset har behörig personal på staben tillgång till patientjournaler och andra relevanta system. 

Hanteringen av patientdata på Karolinska har också påverkats av att sjukhusets kliniker avskaffats och av att sjukhusets it-system och masterdata inte speglar den nya organisationen. 

Maria Bergdahl säger att Datainspektionen under sin tillsyn på Karolinska i förra veckan informerats om att sjukhuset övergått till en tematisk organisation. 

– Vi fick information om att man övergått till en tematisk organisation, men att det för hanteringen betydde ungefär detsamma som innan, säger Maria Bergdahl. 

Datainspektionen sammanställer nu ett protokoll från tillsynen som sjukhuset har möjlighet att komma med synpunkter på innan myndigheten fattar beslut. 

Kjell Asplund säger att han välkomnar Datainspektionens granskning. 

– Det är jättebra för då kommer det in ytterligare juridisk kompetens som vi kan få hjälp av. 

Utöver Karolinska granskas Norrlands Universitetssjukhus, Sahlgrenska, Linköpings Universitetssjukhus, Aleris Sjukvård AB, Capio St Görans sjukhus, Praktikertjänst N.Ä.R.A. AB och nätläkaren Kry av Datainspektionen. 

Läs mer: Experter: Karolinskas hantering av patientdata kan bryta mot lagen