Integritet bortom de vackra orden
I somras skrev jag en essä om det upprörande bristen på integritet i den svenska sjukvården. Tyngdpunkten låg på att försöka skildra en historisk utveckling men dagens situation var beskriven utifrån ett fall av misstänkt shaken baby syndrom och avsaknaden av respekt för familjens integritet i samband med detta. I essän fanns det inte utrymme för en närmare genomgång av hur familjen blivit behandlad och vilka principiella invändningar man kan ha mot detta. I detta inlägg återkommer jag därför till detta eftersom min uppfattning är att integritetskränkande hanteringen av personuppgifter inte är unik för Region Jönköping utan snarare kan ses som standard i svensk vård idag.
Inlägget bygger på den information som jag fått av den drabbade familjen. Övervägande delen av källorna är korrespondens med regionen och utdrag ur regionens register. Jag har ingen anledning att ifrågasätta om denna information är korrekt. Utöver detta har jag försökt inhämta information direkt från regionen med upprörande dåligt resultat vilket gör att jag känner mig frestad att skriva att Region Jönköping är lika dåliga på offentlighet som på att bevara patienters integritet. Mer om detta längre fram.
Först en kort recap. G, då dryga året, förs i april 2020 till mottagningen X vid sjukhuset i Jönköping av sina föräldrar med misstänkt lårbensbrott. Orsaken till frakturen var inte känd (sedermera framkom benskörhet som förklaring) men på sjukhuset drogs snabbt slutsatsen att det kunde röra sig om "shaken baby syndrom", en skada som orsakats av ovarsam eller våldsam hantering. Sammantaget var G inlagd i drygt två dygn på kliniken Y varefter han skrivs ut.
Det är naturligtvis ett tillstånd som både väcker starka känslor och därmed starkt intresse. Sammantaget är det en situation som är ett stresstest för vilken förmåga en vårdverksamhet har att bevara den integritet som patienter och anhöriga har en legal rätt till. I det aktuella fallet visade sig förmågan vara mycket låg. Under den korta tid som G vårdades hinner c.a. 300 anställda i Region Jönköping att vara inne i journalen.
Att detta framkom berodde på att föräldrarnas misstanke väcktes då de började förstå att fler än de som varit inblandade i G:s vård hade kännedom om hans hälsa och den vård han fått. Svaren angående detta var från regionen svävande vilket ledde till att föräldrarna helt i enlighet med sina rättigheter begärde ut loggutdrag för att själva kontrollera vilka som varit inne i G:s journal. När de långt om länge fick ut logglistorna var det en tämligen chockerande upplevelse eftersom det visade sig att över 200 personer på 15 olika avdelningar/enheter som loggats. Dessutom var inloggningarna från enheter som G inte över huvud taget varit i kontakt med som t.ex. rehab-verksamheter i Värnamo och Eksjö. Till yttermera visso fanns även yrkeskategorier som logopeder och dietister med på listan vilket kanske inte kan ses som helt självklart när det gäller en fraktur. G:s föräldrar insåg att inte ens detta var den fullständiga bilden av vilka som faktiskt varit inne i journalen och efter vissa påtryckningar genomförde regionen vad de kallade en "fördjupad logganalys" där ytterligare närmare 100 olika personer förekom.
Regionen hävdar i ett skede att siffrorna kan vara missvisande på grund av en bugg:
Cambio – leverantören av journalsystem Cosmic – har bekräftat att det är ett fel (bugg) och användaren har inte tillgodogjort sig information såsom loggen visar. Cambio bekräftar också att det är ett fel som skall åtgärdas snarast.
Denna information återkommer inte senare trots att den är graverande sett till integritet och säkerhet även för regionens medarbetare. Buggen var avhjälpt först 8 (!) månader efter avslutad utredning enligt uppgifter till IVO. 8 månader med en känd risk som gör att det inte går att säkerställa vem som varit inne i vilka journaler.
När G:s föräldrar, mycket rimligt, ställer sig frågande till att denna mängd av inloggningar och antar att detta är att betrakta som dataintrång upptäcker de att regionens dataskyddsombud gör en helt annan tolkning. Denne kommer med stöd av regionens informationssäkerhetsansvarig fram till att det inte rör sig om en personuppgiftsincident som ska anmälas till IMY. Informationssäkerhetsansvariges yttrande är så märkligt och delvis insinuant att jag inte kan låta bli att citera det i sin helhet.
Yttrande journalåtkomst
Enligt 4 kap. 1 § patientdatalagen får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om patienter endast om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Åtkomst till patientuppgifter utan giltigt skäl kan utgöra dataintrång, vilket är brottsligt, se 4 kap. 9c § brottsbalken.
I aktuellt ärende har sökande framfört ett omfattande frågebatteri beträffande åtkomst i journal avseende dennes barn. Frågorna har ställts mot bakgrund av att berörda personer, enligt sökande, varken framkommer i journalanteckningar eller remisser.
Då åtkomst avser personal från flera olika verksamheter har respektive verksamhetschef ålagts att yttra sig över personal knuten till dennes verksamhetsområde.
Detta yttrande avser frågan om det finns en befogad misstanke om dataintrång.
Med en befogad misstanke avses att det ska finnas något i det enskilda fallet som talar för att ett dataintrång föreligger. Det bör alltså finnas konkreta omständigheter som talar för att åtkomsten till patientuppgifter varit olovlig, dvs- att åtkomst skett av någon som varken deltagit i patientens vård eller av annat skäl behövt uppgifter för sitt arbete inom hälso- och sjukvård. Huruvida vårdrelation eller annat skäl föreligger måste dock i det enskilda fallet bedömas av någon med verksamhetskännedom. Verksamhetschefs yttrande avseende åtkomst väger således tungt.
Initialt kan konstateras att det varit förhållandevis omfattande "trafik" i aktuell journal vilket kan anses som anmärkningsvärt. Det i sig utgör inte per automatik en befogad misstanke och får rimligen ses mot bakgrund av patientens vårdbehov. Gällande sökandes frågor har respektive verksamhetschef framfört en förklaring till varför åtkomst skett. Sökande har ej påtalat varför en misstanke i det enskilda fallet skulle föreligga utöver att det saknas journalanteckningar och remiss avseende den personal vars åtkomst denne ifrågasätter.
Den som bidrar med sin kompetens i patientens vård anses delta i vården av patienten. Begreppet får således anses ha en något vidare innebörd än direkt vårdrelation och innebär inte nödvändigtvis att det måste ha förekommit en personlig kontakt med patienten, se SOU 2014:23, bilaga 4 s. 46.
Av annat skäl avser bl a administrativa åtaganden såsom exempelvis vårdgivarens systematiska kvalitetsarbete eller uppgiftsskydlighet enligt lag, något som utifrån verksamhetschefs yttrande även tycks ha förekommit i detta ärende.
Vid en samlad bedömning utifrån omständigheterna i ärendet finns det i detta läge ingen befogad misstanke om dataintrång.
Låt oss titta på detta svar. Förutom att det antyds att föräldrarna har ställer orimliga frågor (exempelvis genom uttryck som "omfattande frågebatteri) så finns det en helt avgörande punkt i texten. Den utgör hela regionens försvar eller argument för att det inte föreligger dataintrång trots den omfattande "trafiken" i journalen. Denna punkt är "vårdrelation" plus "andra skäl". Den enda definition som finns i lagstiftning om vad som ska ses som en vårdrelation, d.v.s. den typ av relation som berättigar en att ta del av dokumenterade uppgifter om patienten, är att man deltar i patientens vård. Med tanke på hur hantering av journaler generellt sker idag i Sverige (se exempelvis här) så är detta en hämmande beskrivning. Om man vill köra med öppna spjäll vilket är den i praktiken vår nationellt rådande norm så är det ett mycket irriterande aber att att bara de som faktiskt behandlar patienten ska få läsa journalerna. Under många år har man därför i utredningar och system negligerat detta enda kvarvarande lås runt patientens integritet. Detta har underlättats av att det inte från myndighetshåll levererats klargörande beskrivningar av hur "vårdrelation" ska tolkas.
I svaret från Region Jönköping används en bilaga till utredning vars förslag aldrig gick vidare till lagstiftaren som stöd för den egna tolkningen. Personligen har jag väldigt svårt att uppfatta detta som ett rättsligt stöd men säkerligen används denna krumbukt även av andra vårdgivare.
En annan egendomlighet är att Region Jönköpings företrädare tycks hävda att det är omöjligt att avgöra om åtkomst varit befogad eller inte om man inte arbetar i just den verksamhet som är aktuell. Den patienten som reser frågan hamnar därmed i en återvändsgränd då den verksamhet som man ifrågasätter är den enda som kan avgöra om det varit ett felaktigt förfarande. Ett synsätt som ställer krav på en moralisk resning hos verksamhetschefer som kanske är svårt att för given. Dessutom skapas en maktrelation mellan vården och patienten som inte är den avsedda i hälso- och sjukvårdslagen där patienten är helt utlämnad åt de bedömningar som ansvarig verksamhetschef gör.
Hur definierar då Region Jönköping själva "vårdrelation", nyckeln till åtkomst? Definitionen är av central betydelse eftersom tekniska hinder saknas för att ta sig in i journalerna. Istället förutsätts varje medarbetare känna till och efterleva hur begreppet ska tolkas. Att det då finns en beskrivning som hålls levande är naturligtvis en förutsättning. Jag skrev därför till Region Jönköping den 17 maj 2021 för att klarhet i detta:
Ur dokumentationen angående loggar är det litet svårt att se en struktur för behörighet, särskilt rörande det svåra begreppet ”patientrelation” alt ”vårdrelation”. Har ni en riktlinje eller motsvarande för behörighetstilldelning som även beskriver vilka behörigheter som finns?
Efter 4 månader och några påstötningar har jag fortfarande inte fått något svar. Genom åren har mina förväntningar på fungerande säkerhet och integritet i vården blivit reducerade till mycket låg nivå men detta menar jag ändå är helt horribelt. Arbetsgivaren underlåter alltså att installera rimliga tekniska åtgärder för att förhindra obehörig åtkomst och trycker istället ner ansvaret till de enskilda medarbetarna som dessutom inte får någon vägledning för hur de ska agera. Patienter och andra utomstående ges heller ingen möjlighet att få kännedom om hur åtkomst till patientuppgifter sker. Medarbetare riskerar dessutom att bli felaktigt anklagade för dataintrång p.g.a. bristfälliga system.
Till detta kommer då alla tänkbara adminstrativa skäl som kan finnas för att läsa patientuppgifter av vilka några skildras i Maciej Zaremba här och här.
De loggar som jag tagit del av är slentrianmässigt utformade i de flesta fall. Verksamhetschefer på de olika verksamhetsområdena bockar slentrianmässigt av att all åtkomst varit legitim, även i de fall som rör dietister och logopeder på andra orter. Informationssäkerhetsansvarig vänder även på bevisbördan i sitt yttrande:
Sökande har ej påtalat varför en misstanke i det enskilda fallet skulle föreligga utöver att det saknas journalanteckningar och remiss avseende den personal vars åtkomst denne ifrågasätter.
Dataskyddsombudet, vars roll inte är att skydda den personuppgiftsansvarige utan snarare se till den enskildes intressen, väljer att inte göra en anmälan om en personuppgiftsincident trots "trafiken" och buggen. För mig framstår detta som ytterligare ett allvarligt systemfel: oförmågan att reagera adekvat vid uppenbara fel.
Att inte händelsen anmäls som en personuppgiftsincident gör också livet mycket svårare för föräldrarna eftersom IMY i dagsläget har svårt att hantera enskilda ärenden. I det aktuella fallet avvisades också föräldrarna från IMY med medskicket att myndigheten gjort de granskningar av vården som man rådde med för tillfället. Återstod media, IVO och polisen vilken som alla förstår är en mödosam väg när man samtidigt har ett sjukt barn att värna om.
Integriteten i vården är alltså i hög grad en illusion. Min bedömning är att det saknas struktur och tekniska lösningar ens på en basal nivå men framför allt saknas viljan hos de som styr över vårdens informationshantering. Lagstiftning, pjeu, vi har våra egna regler tycks inställningen vara. Balansen mellan IMY:s resurser och den gigantiska trotsiga vården är också så skev att det är svårt att se hur IMY ska hinna ifatt trots den nya möjligheten att utdöma sanktionsavgifter. Det som måste till, tror jag, är en digital och etisk mognad hos politiker och andra makthavare i vården som leder till en förståelse för att integritet är en absolut förutsättning för en fungerande digitalisering. Vi kan inte fortsätta ha en vårdsektor som mer liknar vilda västern än en välfärdssektor som förmår att balansera olika samhälleliga och individuella intressen. Om detta kunde bli åtminstone en liten men avgörande fråga i den stundande valrörelsen skulle jag bli mycket nöjd.
Slutligen: fallet med hur G och hans föräldrar behandlades av Region Jönköping har nu blivit ett ärende hos IVO. Äntligen!