GDPR-böter i vården

Gdpr Vård

Datainspektionen har upptäckt brister i hur åtta vårdgivare styr och begränsar personalens åtkomst till huvudjournalsystemen. I sju av de åtta fallen kommer det leda till sanktionsavgifter på upp till 30 miljoner kronor.

– Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström på Datainspektionen.

Myndighetens granskning har framförallt gått ut på att se om vårdgivarna har gjort den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i huvudjournalsystemen. Sju av vårdgivarna har inte gjort analysen som krävs, medan en har gjort analysen som dock varit bristfällig.

Det konstateras även att sju av vårdgivarna inte har begränsat användarnas åtkomstbehörigheter till respektive journalsystem. Användarna har haft mer behörigheter än vad som behövts för att kunna utföra sina arbetsuppgifter.

– Det innebär att de sju vårdgivarna inte har vidtagit tillräckliga åtgärder för att kunna säkerställa och påvisa en lämplig säkerhet för personuppgifterna i journalsystemen.

Varierande sanktionsavgifter

Felaktigheterna anses vara så stora att de leder till administrativa sanktionsavgiter på mellan 2,5 miljoner och 30 miljoner kronor. Avgiften varierar till stor del beroende på om vårdgivaren är ett företag eller inte.

För att motarbeta liknande problematik framöver har Datainspektionen tagit fram en vägledning som sammanfattar vad man kommit fram till under granskningarna.

– Den här vägledningen pekar på vikten av att vårdgivare säkerställer att behovs- och riskanalyser sker och ger stöd till vårdgivare vid genomförandet av sådana analyser som behöver göras innan behörighet ska tilldelas i journalsystem. Vår förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström.

4 december 2020Uppdaterad 2 oktober 2023Reporter Fredrik AdolfssonsäkerhetFoto Adobestock

Voisters nyhetsbrev

SENASTE NYTT