Datainspektionen har granskat åtkomsten till huvudjournalsystem hos åtta vårdgivare. I sin granskning har Datainspektionen funnit att sju av åtta vårdgivare brustit i sina skyldigheter enligt GDPR och dessa vårdgivare har ålagts att betala mellan 2,5 miljoner till 30 miljoner kronor i sanktionsavgifter. Den åttonde vårdgivaren föreläggs istället att vidta åtgärder för att säkerställa att bristerna vid genomförda behovs- och riskanalyser rättas till.
Datainspektionens granskning har främst fokuserat på om vårdgivarna har gjort den behovs- och riskanalys som krävs för att begränsa behörigheten i journalsystem till den personal som behöver ha åtkomst till personuppgifterna. Datainspektionens granskning har visat att det enbart är en av åtta vårdgivare som har genomfört en sådan analys och den analysen ansågs i sin tur vara bristfällig.
En behovs- och riskanalys är nödvändig för att säkerställa att vårdpersonalen enbart har åtkomst till de uppgifter som är nödvändiga för att utföra sina arbetsuppgifter. Vårdgivare måste noggrant analysera och bedöma vilka behov personalen har av tillgång till uppgifter i journalsystemen och vilka risker som följer av att bevilja tillgång. En avsaknad av analys kan leda till att patienterna inte garanteras det integritetsskydd de har rätt till.
I syfte att bringa klarhet i hur en behovs- och riskanalys ska genomföras har Datainspektionen utfärdat riktlinjer som ger stöd till vårdgivare vid genomförandet av sådana analyser, tillgängliga i PDF-format här.
Datainspektionens beslut mot vårdgivarna finns tillgängliga här.