Magnus Bergström är IT-säkerhetsspecialist på Datainspektionen och har arbetat med ett otal fall kopplade till patientjournalsystem.

– IT ger ju möjligheten att göra saker bättre och billigare men man får inte tappa andra värden på vägen. Till exempel patientens rätt till självbestämmande och integritet.

Mycket av kritiken mot journalsystemen har handlat om fall där vårdpersonal har fått tillgång till information som varit irrelevant för den sjukdom som ska behandlas.

– Patientdatalagen säger att vårdpersonal bara får ta del av de uppgifter som de behöver för sitt arbete, säger Magnus Bergström.

Patientjournalsystemen har olika sätt att filtrera information. I Stockholm och på Gotland används systemet Take care. Detta system har till exempel inga hinder för vad olika sjukvårdsspecialister kan se utan bara ett filter som lätt kan tas bort. Detta gör det lätt för läkarna att komma över information de inte behöver – något som både läkare och patienter haft invändningar mot. Datainspektionen fattade i tisdags beslut om att denna funktion bör ses som otillräcklig.

Enligt patientdatalagen har alla vårdtagare rätt att spärra sin journal. Då får endast vårdinrättningen använda sig av informationen internt men får inte ge direktåtkomst till andra vårdgivare. Flera vårdgivare har brustit i att informera sina patienter om hur systemen fungerar och att de har rätt att spärra sin journal. En patient har också rätt att få ut information om hur många som läst dennes journal och från vilken vårdenhet de kommer. Vårdgivaren är då skyldig att ge ut uppgifterna på ett så pedagogiskt sätt att det tydligt framgår om åtkomsten har varit olovlig.

Det finns många regler för vad som krävs för att vårdgivare ska få ta del av, eller lämna ut uppgifter från journalsystem. Karolinska sjukhuset kritiserades år 2009 för att inte ha informerat sina kunder tillräckligt klart.

– Har du inte informerats så kan du inte göra dina rättigheter gällande, säger Magnus Bergström.