Patientjournaler er fulde af fortrolige oplysninger. Heri kan man finde alt fra diagnoser og oplysninger om seksualitet til familiære udfordringer.
Derfor må sundhedspersonale ikke slå op i patientjournaler, medmindre det har relation til en behandling, som de er en del af.
Alligevel ses det, at sundhedsmedarbejdere snager i patientjournaler. Tidligere har ansatte slået kvinder op, som vedkommende ville date, ligesom tvSyd kunne fortælle, at en ansat på Odense Universitets Hospital er blevet politianmeldt for at snage i hele 174 journaler.
Det er sygehusenes opgave at holde øje med om dette sker. Det gør de gennem patientjournalens log, hvor et kontrolsystem slår ud, hvis et opslag overtræder en række kriterier.
- Det er en vigtig opgave. Der skal jo være tillid til, at de data, vi har, bliver behandlet med den omhyggelighed, man måtte forvente, fortæller Jane Kraglund, regionsdirektør i Region Syddanmark om kontrollen.
Til trods for vigtigheden af at beskytte patienter mod snageri, har man siden oktober 2021 og frem til juni 2025 ikke kontrolleret og dermed opdaget eventuelle uberettigede og ulovlige opslag i journaler på Sygehus Sønderjylland.
Det viser en aktindsigt fra Region Syddanmark, som tvSyd har fået.
I 2021 skiftede sygehuset journalsystem, og det medførte tekniske udfordringer, som ikke blev løst før juni. Undervejs har sygehuset kun foretaget stikprøver.
Betyder det så, at sundhedspersonale har kunnet snage i patientjournaler uden at blive opdaget og straffet?
- Teoretisk set, ja, svarer Jane Kraglund, regionsdirektør hos Region Syddanmark, og følger op:
- Jeg er jo dybt ærgerlig over, at det har taget så lang tid at løse. Det kunne godt have været bedre. Men jeg er heller ikke der, hvor jeg vil sige, at man så bare som medarbejder har haft viden om, at ”nu kan jeg bare kigge”. Men der er måske nogle, der ikke er blevet fanget i det, og det er dybt, dybt beklageligt, hvis det er tilfældet.
Ydermere viser det sig, at flere af regionens sygehuse periodisk ikke har kunnet trække logs og kontrollere.
I hele 2023 kunne Sygehus Lillebælt ikke, de første knap tre måneder i 2023 kunne Esbjerg og Grindsted Sygehus ikke, ligesom de ikke kunne i maj 2024. Hos Psykiatrien var det i 2023 ikke muligt i otte måneder samt fem måneder i 2024.
Har brudt loven gennem næsten fire årAt man på Sygehus Sønderjylland i flere år ikke har kontrolleret for ulovlige opslag i patientjournaler er, ifølge lektor i sundhedsret på Aalborg Universitet, Kent Kristensen, en alvorlig sag.
- I et tilfælde som det her, så er det rigtig alvorligt, for det er ikke et spørgsmål om, hvorvidt man har udført en kontrol, der har været mere eller mindre god. Det er et spørgsmål om, at man ikke har været i stand til at føre kontrol overhovedet.
- Det svarer til, at man har ladet hoveddøren stå åben, så alle kunne gå ind og se det, de havde lyst til, og så har man ikke kunnet føre kontrol med, hvem der har været inde, siger Kent Kristensen.Ifølge eksperten er det dog ikke bare en alvorlig pligt, som sygehuset og regionen ikke har efterkommet. Det er også et brud på loven.
- Det står dels i GDPR, at de har et ansvar for at sikre sig, at systemet bliver brugt i overensstemmelse med reglerne, og det kræver, at man fører kontrol.
- Når man ikke fører kontrol, så er det en klar tilsidesættelse af de pligter man har, som sygehusmyndighed. Pligten til at føre kontrol er klart reguleret i sundhedsloven. Der står, at man skal lave loglister og kunne se, hvem der har tilgået oplysninger, siger Kent Kristensen.
Vil det sige, at de dermed har brudt loven?
- Det er et lovbrud, når man ikke fører kontrol, fastslår Kent Kristensen.
Hos Region Syddanmark er man dog ikke helt enig med Kent Kristensen i, at den manglende kontrol er et lovbrud. De mener nemlig ikke, at loven er så klart formuleret, som Kent Kristensen gør.
- Vi mener ikke, at der er tale om lovbrud. For det er ikke en særlig klar lovgivning, som vi læner os op ad. Der står ikke noget specifikt om, hvor hyppigt man skal følge op og den slags ting.
- Der står, at vi skal have logs, det har vi, men der står ikke klart defineret, hvordan vi skal følge op systematisk i forhold til eventuelle uberettigede opslag, forklarer Jane Kraglund.
Regionsdirektøren erkender videre, at der på kontrolområdet omkring opslag i patientjournaler er forbedringspotentiale for Region Syddanmark.
Ingen konsekvenser for sygehusledelsen- I relation til håndtering af logopfølgning og uberettigede opslag er det sygehusledelsens ansvar at sikre, at der sker opfølgning på og registrering af opslag.
Sådan lyder det om ansvaret for at sikre kontrol af opslag i patientjournaler, i Region Syddanmarks retningslinjer.
Men har det haft eller får det en konsekvens for sygehusledelsen, at et afgørende system til beskytte patienter, har været ude af drift i over tre og et halvt år?
- Konsekvensen er jo, at nu arbejder vi på at få rettet op, og det har jeg tillid til, siger Jane Kraglund.
Men det er jo ikke en konsekvens, at man kigger på at få rettet op. Hvornår skal der så sanktioneres?
- Der bliver jo sanktioneret på den måde, at vi har sat alle sejl til for at få systemet til at virke. Og det er så heldigvis også det, det gør nu.
Når man har ansvaret for at få noget til at fungere, og man ikke får det til at fungere, hvordan kan det så siges, at det er noget man står til ansvar for?
- Det er sådan, at vi har rigtig mange drøftelser med sygehusene, og der er rigtig mange ting, som man skal have til at fungere. Vores ledelsesarbejde handler meget om at få tingene til at lykkes. Der er ingen tvivl om, at sygehusledelsen har ansvaret for at få det til at fungere, men vores fokus har været på at få rettet tingene op, svarer Jane Kraglund.