Datainspektionen har undersökt om de åtta vårdgivarna gjort en behovs- och riskanalys som ska ligga till grund för vilken behörighet personalen ska ha i journalsystemen.

– Vårdgivare måste göra en noggrann analys och bedömning av vilka behov personalen har till uppgifter i journalsystemen och vilka risker som finns om personal har för vid tillgång till patientuppgifter. Utan en sådan analys kan vårdgivarna inte tilldela personalen rätt behörighet vilket i sin tur innebär att verksamheterna inte kan garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström, Datainspektionens samordnare för granskningarna.

Sju av vårdgivarna har inte gjort någon analys. De begränsar heller inte användarnas behörigheter i tillräcklig utsträckning.

– Det innebär att de sju vårdgivarna inte har vidtagit tillräckliga åtgärder för att kunna säkerställa och påvisa en lämplig säkerhet för personuppgifterna i journalsystemen.

Alla sju beläggs med administrativa sanktionsavgifter. Den administrativa sanktionsavgiften ska vara »effektiv, proportionerlig och avskräckande«, det vill säga så hög att den leder till rättelse. Avgiftens storlek bestäms utifrån om det är ett företag eller en myndighet. Avgiften för ett företag kan vara högst 20 miljoner euro eller 4 procent av omsättningen. För Capio S:t Görans sjukhus AB blev avgiften 30 miljoner kronor, men den övre gränsen var 136 miljoner euro baserat på hela koncernens omsättning, enligt Datainspektionen. Avgiften för en myndighet (region) kan vara högst 10 miljoner kronor.

Endast en vårdgivare undgår sanktionsavgift, men inte kritik. Det är företaget Digital Medical Supply Sweden AB (Kry), som visserligen har genomfört en analys, men den bedöms av Datainspektionen som bristfällig. Datainspektionen förelägger Kry att åtgärda bristerna och se över behörigheterna.

Datainspektionen har tagit fram en vägledning för vårdgivarna.

– Vår förhoppning är nu att landets alla vårdgivare tar till sig informationen i den här vägledningen i sitt arbete med att säkerställa att rätt behörighetstilldelning sker, i syfte att garantera patienterna det integritetsskydd de har rätt till, säger Magnus Bergström.

Läs mer i varje beslut här.

Sju av åtta får betala miljoner

Aleris Sjukvård AB: 15 miljoner kronor

Aleris Närsjukvård AB: 12 miljoner kronor

Capio S:t Görans Sjukhus AB: 30 miljoner kronor

Karolinska universitetssjukhuset: 4 miljoner kronor

Sahlgrenska universitetssjukhuset: 3,5 miljoner kronor

Region Västerbotten: 2,5 miljoner kronor

Region Östergötland: 2,5 miljoner kronor