Att Region Halland upptäcker olovliga intrång i patientjournaler är inte helt ovanligt och enligt lag (GDPR) anmäls de till Datainspektionen. Den senaste anmälan gäller en anställd på sjukhuset som flera gånger varit inne och läst i en anhörigs journal.
Det intrång som uppdagades förra sommaren stack dock ut rejält. En undersköterska visade sig under flera månader ha varit inne i 483 olika patienters journaler, utan att hon varit inblandad i deras vård.
Läs även: Anställd läste om 300 patienters sjukhustid
Undersköterskan polisanmäldes och avskedades och nyligen fick hon sitt straff för dataintrånget – villkorlig dom och 40 dagsböter à 50 kronor.
– Bötesbeloppet skulle normalt sett blivit högre, men eftersom hon blev avskedad så har det jämkats, förklarar åklagare Sonja Seligmann.
Enligt sjukhusets anmälan till Datainspektionen hade Region Halland först inte tänkt informera de drabbade patienterna om vad som hänt, men en månad senare ändrade man sig och skickade ut ett brev.
Drabbade patienter illa berörda
Ett stort antal patienter hörde då av sig till regionen och beskrev hur illa berörda de var av det som hänt. ”Otäckt att ens mest personliga uppgifter så enkelt kan hamna i fel händer”, skriver en av dem, medan en annan förklarar det olustiga i att ha blivit ”utvald” av undersköterskan; ”jag undrar förstås varför”. Ytterligare några undrar hur det över huvud taget är möjligt för personal att komma in i patientjournaler som de inte är behöriga att läsa.
13 av de 483 patienterna uttryckte att de ville ha skadestånd, i vissa fall preciserat i en summa. På Åklagarkammaren i Halmstad bestämde man sig dock för att inte ta upp skadeståndsanspråken i åtalet mot undersköterskan.
I ett brev till berörda patienter förklarar man att ”det skulle kräva en mycket omfattande skadeståndsutredning att utreda vart och ett av de skadelidandes eventuella rätt till skadestånd”.
– Men var och en kan själv väcka talan om skadestånd. Det blir då ett tvistemål i tingsrätten, säger Sonja Seligmann.
Läs mer: Patienter kräver skadestånd för intrång i journaler
Ingen ersättning betalas ut
Enligt Marianne Kondrup, kommunikationschef på Hallands sjukhus, har det diskuterats om Region Halland självmant borda kompensera de patienter som drabbats av journalintrånget.
– Men på regionnivå har man kommit fram till att ingen ersättning ska betalas ut, säger hon.
Dataintrånget kommer inte heller att leda till någon åtgärd från Datainspektionens sida. Myndigheten meddelar att ärendet har avslutats. 2019 fick man in 4 757 anmälningar om personuppgiftsincidenter, varav 90 procent inte ledde till någon ytterligare granskning.
I en rapport förklarar Datainspektionen att ärenden avslutas ”om incidenten har hanterats på ett tillfredsställande sätt och risken för den enskildas fri- och rättigheter bedöms som låg”.
Arbetar för att öka säkerheten
Marianne Kondrup berättar att Hallands sjukhus ständigt arbetar för att förhindra journalintrång. Bland annat utvecklar man nu ett mer effektivt system för att kontrollera loggar, det vill säga de spår som varje användare lämnar efter sig i olika datasystem.
– Det pågår också och ett arbete med att få ännu bättre kontroll över vem som har vilka behörigheter och all nyanställd personal får en introduktion i informationssäkerhet, säger hon.
