Datainspektionen har hittat filer med känsliga patientuppgifter på allmänna diskar på Karolinska universitetssjukhuset. Systemet som ska övervaka inloggningarna var avstängt. Arkivbild.
Datainspektionen har hittat filer med känsliga patientuppgifter på allmänna diskar på Karolinska universitetssjukhuset. Systemet som ska övervaka inloggningarna var avstängt. Arkivbild.

Karolinska universitetssjukhuset slarvar med patientsekretessen. Sjukhusets it-chef kan inte redogöra för vilka anställda som har haft tillgång till känsliga patientuppgifter på Karolinskas nätverk.Datainspektionen har inlett en granskning.

Den 20 oktober genomförde Datainspektionen en inspektion på thoraxdivisionen på Karolinska universitetssjukhuset i Solna. På en nätverksenhet som sannolikt samtliga anställda på kliniken har tillgång till påträffades Excel-dokument med känsliga person- och patientuppgifter, vilket är helt i strid mot reglerna.

– Det är enskilda personer som inte har följt säkerhetsriktlinjerna. Det handlar nog om bristande kunskaper och rutiner, säger Anders Jönebratt, it-direktör på Karolinska universitetssjukhuset, som ser mycket allvarligt på det inträffade.

Avstängd logg

Han kan i dag inte svara på hur många som haft tillgång till de känsliga uppgifterna, hur de hamnat där eller hur många som faktiskt tagit del av dem. En förklaring är att loggsystemet, som sparar uppgifter om vem som loggat in och vid vilken tidpunkt, har varit avstängt.

Datainspektionen fick vid sin kontroll svaret att det gjorts för att "det blev för mycket loggar att hantera rent tekniskt". Det är en uppgift som Anders Jönebratt säger att han inte kände till före TT:s samtal.

– Det låter som en dålig ursäkt, men det känner jag faktiskt inte till. Vi ska se till att den kontrollen inte är avstängd framöver.

Osäkert för patienterna?

TT: Ska patienter känna osäkerhet om Karolinskas datahantering?

– Nej, det tycker jag inte. Säkerheten är god på de här diskarna.

Advokat Rebecka Lewis var målsägandebiträde för 222 patienter vars journaler lästes av en läkare efter att han slutat på Karolinska. Intrången kunde fortsätta även sedan läkaren flyttat utomlands. Läkaren dömdes nyligen till villkorlig dom för dataintrång och 620 000 kronor i skadestånd.

– Jag är inte överraskad. Det verkar som om utvecklingen gått snabbare än medvetenheten. Jag tror inte att man lagt tillräckligt fokus på säkerhetsfrågorna utan istället försökt få ett system som är effektivt. Det är i och för sig bra, men det har funnits en naivitet när det gäller it-säkerhet, säger hon till TT.

Datainspektionen har ännu inte fattat beslut i ärendet, varför myndigheten inte kan svara på huruvida sjukhuset har brutit mot patientdatalagen. Men dess it- och säkerhetsspecialist Magnus Bergström bekräftar inspektionen och fyndet.

– Vi hittade känsliga personuppgifter på en katalogserver, det vill säga en nätverkskopplad hårddisk som flera har tillgång till, säger han.

Nästa artikel inom Metro Music:
Zara Larsson kan få musikexportpriset