FAKTA: Karolinska universitetssjukhuset

På sjukhuset, som har 16 000 anställda, finns cirka 12 000 så kallade arbetsstationer där de anställda som har bärbara datorer kan koppla upp sig mot journalsystemen.

Efter Datainspektionens besök har Karolinska universitetssjukhuset startat ett övergripande åtgärdsprogram. Informationen om regelverket ska bli bättre, utbildningen om informationssäkerhet ska ökas och det ska införas ett varningssystem som larmar när någon försöker lägga dokument med känsliga uppgifter på fel plats. Sjukhuset ska också införa en egen internrevision av datahanteringen.

Karolinska universitetssjukhuset har nu fram till den 18 november på sig att förklara fyndet. Först därefter kommer Datainspektionen att fatta beslut i ärendet.

Källa: Datainspektionen, Karolinska universitetssjukhuset

Den 20 oktober genomförde Datainspektionen en inspektion på thoraxdivisionen på Karolinska universitetssjukhuset i Solna. På en nätverksenhet som sannolikt samtliga anställda på kliniken har tillgång till påträffades Excel-dokument med känsliga person- och patientuppgifter, vilket är helt i strid mot reglerna.

– Det är enskilda personer som inte har följt säkerhetsriktlinjerna. Det handlar nog om bristande kunskaper och rutiner, säger Anders Jönebratt, it-direktör på Karolinska universitetssjukhuset, som ser mycket allvarligt på det inträffade.

Avstängd logg

Han kan i dag inte svara på hur många som haft tillgång till de känsliga uppgifterna, hur de hamnat där eller hur många som faktiskt tagit del av dem. En förklaring är att loggsystemet, som sparar uppgifter om vem som loggat in och vid vilken tidpunkt, har varit avstängt.

Datainspektionen fick vid sin kontroll svaret att det gjorts för att "det blev för mycket loggar att hantera rent tekniskt". Det är en uppgift som Anders Jönebratt säger att han inte kände till före TT:s samtal.

– Det låter som en dålig ursäkt, men det känner jag faktiskt inte till. Vi ska se till att den kontrollen inte är avstängd framöver.

Osäkert för patienterna?

TT: Ska patienter känna osäkerhet om Karolinskas datahantering?

– Nej, det tycker jag inte. Säkerheten är god på de här diskarna.

Advokat Rebecka Lewis var målsägandebiträde för 222 patienter vars journaler lästes av en läkare efter att han slutat på Karolinska. Intrången kunde fortsätta även sedan läkaren flyttat utomlands. Läkaren dömdes nyligen till villkorlig dom för dataintrång och 620 000 kronor i skadestånd.

– Jag är inte överraskad. Det verkar som om utvecklingen gått snabbare än medvetenheten. Jag tror inte att man lagt tillräckligt fokus på säkerhetsfrågorna utan istället försökt få ett system som är effektivt. Det är i och för sig bra, men det har funnits en naivitet när det gäller it-säkerhet, säger hon till TT.

Datainspektionen har ännu inte fattat beslut i ärendet, varför myndigheten inte kan svara på huruvida sjukhuset har brutit mot patientdatalagen. Men dess it- och säkerhetsspecialist Magnus Bergström bekräftar inspektionen och fyndet.

– Vi hittade känsliga personuppgifter på en katalogserver, det vill säga en nätverkskopplad hårddisk som flera har tillgång till, säger han.