2013 inledde Datainspektionen en bred granskning av samtliga landsting och regioner. Det som undersöktes var om det fanns en dokumenterad behovs- och riskanalys och skriftliga riktlinjer som beskriver vad som är obehörig åtkomst. Datainspektionen fann att samtliga regioner och landsting brast i arbetet med behovs- och riskanalyser och att många saknade riktlinjer som beskriver vad som är obehörig åtkomst.

Nu har ytterligare tre vårdgivare granskats, två privata vårdgivare och ett landstingsägt sjukhus. även dessa tre saknar nödvändiga analyser och riktlinjer. Vårdanställda ska, enligt patientdatalagen, enbart kunna ta del av de uppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter. Det måste också finnas fungerande och dokumenterade rutiner för att upptäcka om någon obehörigen tar del av patientuppgifter. Därför ska en loggning ske när någon exempelvis öppnar en patientjournal. Loggen ska sedan användas för att kontrollera om någon obehörig åtkomst skett. För att den kontrollen ska bli verkningsfull behövs riktlinjer som beskriver vad som är obehörig åtkomst.

– För att personal inom vården inte ska få tillgång till fler uppgifter än vad de har behov av i sitt arbete, behöver vårdgivaren både identifiera vilken personal som ska ha tillgång till vilka uppgifter och se till att det också finns en effektiv kontroll. Vi ser att vårdgivarna inte gör detta på ett tillräckligt strukturerat sätt och därför inte har den kontroll som de som personuppgiftsansvariga ska ha, säger Martina Lindkvist som lett granskningen.