En patient, vi kan kalla henne Eva, blev överraskad när hon besökte primärvården vid ett tillfälle i början av 2010. Där fick hon veta att det såg ut som om hon besökt Karolinska sjukhusets akutmottagning i Solna åtskilliga gånger det senaste året. Men Eva hade inte varit där.
Hon kontaktade personuppgiftsombudet på sjukhuset för att få mer information. Det visade sig att 32 olika personer vid 37 olika tillfällen från januari 2009 till och med mars 2010 öppnat hennes journal trots att hon inte varit deras patient.
Eva vände sig till vårdgivaren med en begäran om uppföljning. Den drog ut på tiden.
Först ett år senare fick hon via personuppgiftsombudet på KS veta att »många av inloggningarna var mycket korta och av datateknisk karaktär«. En verksamhetschef hade utrett saken, och han skrev så här:
»… Några personer återstod sedan för vidare utredning. För en av dessa (sjuksköterska KM) har frågan tidigare varit aktuell och vi har pratat med henne om att man inte får logga in i journaler utan anledning, vilket skett för ett antal patienter. Vi kan inte se att det finns ett specifikt intresse för [Eva] utan att det var mer slumpmässigt. Under våren har KM gått vidare till en annan arbetsgivare. För en annan medarbetare (JO) fanns det godtagbara skäl för inloggningarna, då han dels är ST-läkare under utbildning och ser många patienter av utbildningsskäl och dels är forskare med rekrytering av patienter till studier. JO arbetar inte längre på Akutkliniken utan på en annan klinik inom Karolinska Solna. Efter alla dessa omfattande och extremt tidsödande efterforskningar och utfrågningar kan jag inte hitta någon som otillbörligt tagit del av [Evas] journaler.«
Eva tog efter ett tag kontakt med Datainspektionen, DI. I kontakten med myndigheten skriver hon att hon är upprörd. Ingen av de personer som loggat in i hennes journal har haft anledning att göra det. Hur kan sjukhuset avfärda det hela utan att ens be om ursäkt?
»Det SKA inte vara OK att en sjuksköterska som vid upprepade tillfällen och med chefens kännedom öppnar journaler hon inte borde se, slipper undan med en tillsägelse«, skriver Eva till DI.
Och hon fortsätter:
»Jag är upprörd och arg över KS nonchalanta hantering av detta ärende. Uppföljningen tar ett helt år och hela frågan hanteras som om det inte fanns någon lagstiftning alls kring detta, som om journaler vore allmänt tillgängliga för alla som har ett användarkonto i TakeCare.«
Med anledning av fallet Eva vände sig DI i september till Karolinska för att få svar på ett antal frågor om vilka rutiner man har när det gäller hanteringen av patienters begäran av loggutdrag. Karolinska har också skickat ett svar till DI. I det står det bland annat att patienter inte ska behöva vänta i mer än en och en halv vecka på ett loggutdrag. De svarar också att fördjupade loggutdrag tidigare tagit cirka två månader. Sjukhuset skriver också att det ibland kan ta upp till fyra veckor att få en skriftlig förklaring från verksamhetschef till vissa åtkomster.
Nyligen berättade Läkartidningen om läkaren vid Karolinska universitetssjukhuset i Huddinge, som blev polisanmäld av både sin chef och en patient för att vid sju tillfällen olovligen ha gått in i journalen hos patienten, som han tidigare varit med och utrett.
Johan Bratt är chefläkare på Karolinska universitetssjukhuset, bland annat med ansvar för informationssäkerhet.
Varför polisanmäldes inte sjuksköterskan som var inne i journalerna 2009–2010 utan att det fanns någon patientrelation?
– Vid den tidpunkten gjordes en bedömning att det inte skulle göras någon polisanmälan.
Varför inte?
– Jag vill inte närmare gå in på det enskilda fallet. Jag har inte heller några detaljuppgifter. Det var det beslut som fattades då.
Lagen kom 2008. Har ni skärpt tolkningen av den sedan dess?
– Riktlinjerna har reviderats vid flera tillfällen under resans gång. En revidering gjordes till exempel i början av 2012, och just nu håller vi på med ytterligare en. Medvetenheten om att vi måste vara tydliga mot personalen har successivt ökat. Lagen finns där, men det är viktigt att hitta en lokal arbetsordning.
Är det okej att en ST-läkare går in i journaler av utbildningsskäl, så som skett i fallet med »Eva«?
– Att en enskild doktor vid upprepade tillfällen för sin egen utbildnings skull går in på en patient som han eller hon inte längre har kontakt med är inte okej. Men om det rör utbildning där verksamheten på ett systematiskt sätt behandlar patientuppgifter för att utveckla och säkra kvaliteten i sin verksamhet så är det i sin ordning.
Slutligen, varför tog det så lång tid för »Eva« att få veta vem som hade varit inne i hennes journaler?
– Det finns två typer av loggutdrag: de förenklade, som inte tar särskilt lång tid att få ut, och de fördjupade som är mer komplicerade och dröjer längre. Vår lokala IT-förvaltning tittar på det här just nu, och det är helt klart så att den hanteringen måste gå snabbare. Men jag har aldrig tidigare sett att det tagit så lång tid som ett år för patienten att få besked. Det ska det inte göra.
*
DI tar inte ställning till om något brott begåtts i samband med inloggningarna i Evas journal. För att få den saken prövad måste Eva polisanmäla, och hon måste göra en anmälan för varje person som öppnat hennes journaler.
Publicerad:
Läkartidningen 45/2012
Lakartidningen.se
