Datainspektionens har gjort en utredning som visar brister i behörighetstilldelningen i journalsystemet NCS Cross. Som en konsekvens krävs hälso- och sjukvårdsnämnden nu på en administrativ sanktionsavgift på 2 500 000 kronor. Utredningen visar att:
• Region Västerbotten inte har genomfört behovs- och riskanalys innan tilldelning av behörigheter i journalsystemet NCS Cross. Lämpliga organisatoriska åtgärder har därmed inte vidtagits för att kunna säkerställa och kunna visa att behandlingen av personuppgifterna har en säkerhet som är lämplig i förhållande till riskerna.
• Region Västerbotten inte har begränsat användarnas behörigheter för åtkomst till journalsystemet NCS Cross till vad som enbart behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Åtgärder har inte vidtagits för att kunna säkerställa och kunna visa en lämplig säkerhet för personuppgifterna.
– Vi har tagit del av Datainspektionens underlag och ska nu titta närmare på beslutet och vilka åtgärder vi behöver göra för att uppfylla deras krav. Vi måste bland annat titta på hur vi kan förbättra tilldelningen av behörigheter men också hur behovs- och riskanalyser dokumenteras, berättar Brita Winsa, hälso- och sjukvårdsdirektör.
