Landstingens IT-slarv hotar patienternas integritet

Under våren har riskerna med journalsystemen i vården diskuterats. Det som mest verkar uppröra är att vårdpersonal kan se en patients hela vårdhistorik vare sig de behöver eller inte. Det har också diskuterats hur man som patient ska kunna skydda sig genom att låsa sin journal.

Men ingenstans i debatten uppmärksammas att hela journaler och känsliga uppgifter helt okontrollerat läcker på grund av bristfälligt konstruerade system och okunskap om säkerhetsrisker. Mest förvånande av allt är hur landstingen kan fortsätta med flagranta lagbrott utan några som helst följder. Vid kontakter med olika landsting framträder en mycket tydlig bild. I interna rapporter framkommer bland annat att:

• Känslig information transporteras via olika media och kanaler utanför den egna IT-miljön, som till exempel via Hotmail och Gmail.
• Spårbarheten är otillräcklig vilket gör att det i efterhand inte går att se vem som tagit reda på vad om vem.
• Funktioner för grundläggande IT‐skydd saknas.

Patienternas uppgifter skyddas av patientdatalagen. Säkerhet och integritet måste skyddas under alla omständigheter. Men i dessa säkerhetsrapporter återkommer ständiga noteringar om stora brister. Ett av skälen är att undermåliga system tvingar personalen att ta genvägar. När det saknas funktioner att flytta information eller göra den tillgänglig från olika platser bryter man mot regler för att kunna göra sitt arbete.

Okunskap om regler och risker gör också att många omedvetet skapar situationer där informationen kan komma i orätta händer. Det finns exempel på hur känsliga uppgifter skickats från säkra system till privata e-postkonton för att på så sätt enkelt kunna göras tillgängliga i andra system. Dessutom finns det rent tekniska svagheter som mellanlagringsminnen, hårddiskar i skrivare och kopiatorer och skanners där informationen kan ligga kvar under en lång tid och data som av olika anledningar passerar genom bärbara datorer, surfplattor och smarta telefoner.

Det är lätt att inse att det handlar om en komplex verksamhet med både tekniska och etiska överväganden. Men när sjukhus och vårdinstitutioner tillåts driva verksamheten på ett osäkert sätt som uppenbarligen bryter mot lagen; när straffet för flagranta lagbrott är en kort anmärkning i en rapport – vilken drivkraft finns det då att vidta de åtgärder som krävs för att komma till rätta med läckorna och skydda patienternas integritet?