Journalsystemet räknar fram fel dos medicin. Personalen kan inte läsa eller skriva in uppgifter i journalen på grund av driftstopp. Journalsystemet klarar inte av att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka patienter. Operationer måste ställas in. Det är exempel på allvarliga risker som patienter utsätts för när systemen för informationssäkerhet inte fungerar.

Socialstyrelsen har undersökt informationssäkerheten vid Norrlands Universitetssjukhus, Akademiska sjukhuset i Uppsala, Karolinska Universitetssjukhuset, Linköpings Universitetssjukhus, Sahlgrenska Universitetssjukhuset och Skånes Universitetssjukhus. Ett grundproblem är att vårdgivarna ofta lägger ansvaret för att kravställa och styra informationssäkerheten på IT-avdelningarna.

– Man missar då att informationssäkerheten är en patientsäkerhetsfråga, som är ledningens ansvar. En IT-avdelning eller en IT-leverantör ska leverera det kravställaren begär, de kan inte ta över ansvaret för risker som rör patientsäkerheten, säger inspektör Hans Rudstam, Socialstyrelsen.

Inspektionerna har fokuserat på patientjournalers tillgänglighet, spårbarhet, integritet och riktighet. Brister finns inom alla områden. De tester och kvalitetskontroller som görs innan ett nytt system eller en systemuppdatering sätts i drift är ofta otillräckliga. Risken finns till exempel att journaluppgifter förvanskas vid en systemuppdatering.

– IT-problemen inom vården är antagligen mycket mer omfattande än vad vi känner till. Det är först när det leder till att någon blir skadad eller avlider som vi får en anmälan, säger Hans Rudstam.

Socialstyrelsen fortsätter att undersöka informationssäkerheten inom vården genom att granska primärvården i höst.