Samhälle Hur kan det vara möjligt att över 300 personer går in i en journal om lårbensfraktur? Den nuvarande hanteringen av patientuppgifter är fullständigt ovärdig för både patienter och personal, skriver Fia Ewald.
SVTs Uppdrag granskning tog i början av året upp diagnosen shaken baby syndrome. Ett antal fall redovisades där förtvivlade föräldrar upplevde sig mycket illa behandlade av vården.
Ett av fallen gällde Gabriel, en liten kille med lårbensbrott som förs till ortopedkliniken i Jönköping för undersökning och behandling. Jag ska inte gå in på själva den medicinska frågan där jag saknar kompetens utan nöjer mig med att det är ett tillstånd hos spädbarn som är mycket omdiskuterat särskilt som det kan relateras till eventuell barnmisshandel.
Det är den kamp som föräldrarna fört angående att över 300 personer varit inne i Gabriels journal som intresserat mig. Hur kan det vara möjligt att så många i vårdpersonalen går in i en journal förd vid ett kort besök och därmed kränkt både patientens och anhörigas integritet? För att förstå hur det ser ut i den svenska vården idag krävs en kort historik.
De första sjukjournalerna började i Sverige föras i slutet av 1700-talet på de första lasaretten. Då var de ett räkenskapsunderlag främst för att kunna skicka räkningar för vården till patienternas hemförsamlingar. De utgjorde också ett stöd för de sammanställningar av dödsorsaker som SCB:s föregångare Tabellverket begärde in.
Ingen uppfattade att det på något sätt kunde vara kränkande uppgifter för den enskilde. Att gruvarbetare som råkat ut för sprängolyckor, drängar som blivit sparkade i huvudet av hästen, torparhustrur som led mot döden i smärtsam magkräfta eller bondesöner som blev förpassade till Vadstena på grund av svagt sinne skulle ha någon rätt till skydd för ett privatliv var en otänkbar tanke.
Inte förrän under 1900-talet började integriteten ses som en rättighet för patienten, t.om. för de fattiga och ”usla” patienterna. Efter att ha följt utvecklingen inom den svenska vården har jag börjat se efterkrigstiden fram till 1990-talets som guldåldern för den svenska patientens rätt till integritet. Nedåtkurvan därefter är som ett lerskred som få vill se och ännu färre diskutera.
Låt mig bara mycket kort beskriva hur journaler hanterades enligt patientjournallagen fram till 1990-talet. Varje klinik eller motsvarande hade sina egna journaler, ville en annan klinik ta del av information rörande ett aktuellt tillstånd hos patienten gjorde ansvarig läkare en menprövning huruvida det var till men eller gagn för patienten att informationen förmedlas vidare. Var den ansvarige läkaren osäker skulle samråd inhämtas från patienten. Observera att det inte handlade om att hela journalen lämnades ut utan endast relevant information. Ett notat gjordes i journalen att, och till vem, ett journalutdrag gjorts.
Kondenserat innebär det att integriteten reglerades främst av organisationens gränser, d.v.s. kliniken, samt att det fanns en inre sekretess inom kliniken där endast vårdpersonal som var i direkt kontakt med patienten samt läkarsekreterare hade åtkomst till journalen. Dessutom fanns ofta en uppdelning i olika yrkesgrupper där åtkomsten var begränsad mellan de olika yrkesgruppernas journaler. Exempelvis förde psykologer och kuratorer som regel sina journaler åtskilda.
Ett antal faktorer förändrades mycket snabbt under 1990-talet vilket även påverkade synen på integritet och integriteten i realiteten. Vården organiserades alltmer i flöden där patienter vandrade mellan kliniker och mottagningar, digitaliseringen möjliggjorde en dramatiskt ökad tillgänglighet till journalerna och att allt fler yrkesgrupper började föra journaler. Dessutom försvann de tidigare avgränsade enheterna och ersattes av allt större verksamhetsområden. Nya aktörer blev vårdgivare som kommuner och privata vårdföretag.
Ett nytt landskap av informationsutbyte växte successivt fram utan egentlig styrning eller medveten inriktning. Under 1990-talet saknades en nationell strategi och landstingen labbade sig fram var och en på sitt håll, även de utan egna strategier. De organisationsövergripande initiativ som förekom var på en renodlat teknisk nivå som t.ex. Sjunet, ett kommunikationsnät som inledningsvis togs fram av sju landsting tillsammans.
Denna utveckling skedde med ett massivt externt tryck från alla de it-leverantörer som ville prångla ut sina system. I och med att det helt saknades en gemensam infrastruktur ens i det enskilda landstinget och än mindre nationellt blev åtkomst och behörighet kopplat till varje system separat. I en parallell teknisk och organisatorisk process skiftade vård-it form från att vara en programvara installerad på en fristående dator på en klinik eller vårdcentral till att först flyttas över till gemensamma datorhallar på ett sjukhus för att i nästa steg ingå i en infrastruktur för ett helt landsting. Numera strömmar informationen allt mer i nationella kanaler. Resultatet har blivit att vårdpersonal och vårdenheter alienerats från informationshanteringen och förlorat kontrollen över de patientuppgifter som de i förtroende inhämtat och skapat.
Den, välvilligt uttryckt, organiskt framväxta situationen ackompanjerades av ett radikalt etiskt skifte där den tidigare givna förtroenderelationen mellan vårdpersonal och patient starkt ifrågasattes. Standardargumentet som repeterades var att patientsäkerheten riskerades av integriteten, om inte ALL information fanns tillgänglig så kunde behandlingen gå fel och patienten dö (alltid dramatisk utgång).
Argumentet var egentligen en täckmantel för att vårdbyråkrater och it-leverantörer misslyckats med att skapa stringenta lösningar för att ge rätt behandlare rätt information om rätt patient. Istället skruvades kranen på alltmer så att vi idag har den situation som på ett mycket skrämmande sätt redovisas i Integritetsskyddsmyndighetens (IMY) tillsynsärenden av åtta vårdgivare som beslutades 2021. Där avtäcks hur en läkare eller sköterska inte bara får tillgång till all information om en patient oavsett om den behövs eller inte. De får tillgång till patientjournaler för patienter som de överhuvudtaget inte har någon vårdrelation till, i Region Stockholm c.a. 3 miljoner patienter.
Det är öppna spjäll inte bara inom regioner utan även till viss del mellan regioner. Den som söker vård inom BUP i en region kan räkna med att den känsliga informationen som man berättar t.ex. om sina familjeförhållande även kan vara tillgänglig för geriatriker i en helt annan region.
Steg för steg har förflyttningen skett från att en läkare eller en sköterska måste ha tillgång till ALL information om varje patient hen behandlade till dagens läge där vi går mot att ALLA i den svenska vården ska ha tillgång till ALL information om ALLA patienter ALLTID. Det är som om att hålla alla dörrar i alla hus öppna om någon av händelse skulle behöva komma in någon gång.
I de mest utsatta livssituationerna ska vi alltså behöva oroa oss för hur känsliga uppgifter om oss och våra anhöriga sprids samt själva bevaka att våra journaler hanteras korrekt.
Havet av patientuppgifter tolereras inte bara idag av många vårdentreprenörer, byråkrater, it-leverantörer och multinationella företag som vill använda uppgifter i sin affär, de ses till och med som ett ideal. Ett organisatoriskt ansvar för informationen och integriteten uppfattas som ett hinder och starka krafter vill helt lösa upp det. De som har självbilden som visionära evangelister har använt uttryck som att informationen ska komma från ”någonstans i rummet”, det vill säga som vattnet ur en källa helt utan ägarskap, ansvar eller kontroll.
Detta går emot både dataskyddsförordningen och patientdatalagen. I stället för den uppgiftsminimering som dataskyddsförordningen ställer krav på har dess motsats införts trots upprepad kritik från bland annat IMY. Vården har fått som vana att betrakta lagstiftning som ett multiple choice; man väljer att anpassa verksamheten till den lagstiftning som man gillar. Den lagstiftning man ogillar kan man däremot strunta i eftersom den ändå borde ändras. I och med detta har vårdens makthavare bortrationaliserat insikten om att patienten har flera olika typer av rättigheter inklusive rätten till integritet. Detta slår sedan igenom i de tekniska lösningar som beslutas.
Det mycket luddiga begreppet ”vårdrelation” alternativt ”patientrelation” hämtat från vårdvetenskapen har i praktiken ersatt den organisatoriska avgränsningen för behörighet. Problemet är dock att begreppet saknar definition i lagstiftning och är mycket svårtolkat när det gäller att sätta behörigheter i de många olika it-lösningar som används.
En patientrelation kan ju vara högst tillfällig och kanske bara innebära behov av enstaka informationsmängder men har snarare tolkats som permanent och omfattande alla typer av information. Så skapades nuläget där patientinformationen ligger tillgänglig för allt fler. Som ersättning för teknisk åtkomststyrning där personalen kan känna sig trygg i att inte komma åt mer känslig information än man har rätt till har ansvaret tryckts ner till personalen.
Den enskilde läkaren, sköterskan eller dietisten ska alltså känna till och efterleva regler för vilka journaler man får ta del av trots att tusentals fler är tillgängliga. Gör man fel kan man bli åtalad för dataintrång även om arbetsgivaren inte tillhandahållit tydliga regler som till exempel förklarar vad patientrelation innebär.
Ytterligare ett exempel på ansvarsförskjutningen från vårdgivaren till den enskilde yrkesutövaren är att tystnadsplikten presenteras som aktiv istället för passiv säkerhetsåtgärd. Från att vara ett ansvar för att inte sprida information du har rätt att ta del av har det blivit en lösning för att legitimera en vid tillgång till all information oavsett om patientrelation finns. Arbetsgivaren anser sig inte behöva erbjuda säkra verktyg utan medarbetaren har ansvaret för att kompensera för systemens bristfälliga åtkomststyrning.
Denna alltmer uppochnedvända syn på integritet, där tillgång för alla är normaltillståndet och där patienten själv får allt större ansvar för att spärra och följa upp loggar för att skydda sitt privatliv, har också negativa konsekvenser för personalen. Den förtroenderelation som tidigare generationers läkare månat om utsätts för starka påfrestningar. Många i vården känner sig maktlösa och underordnade de arbetssätt och den teknik som arbetsgivaren erbjuder.
För patienten kan det bristande integritsskyddet leda till hot mot liv och hälsa som i fallet med den sjukvårdsanställde i Skåne som gjorde en kartläggning av 66 yazidiska kvinnliga patienter i syfte att skada deras heder. Även för anhöriga kan blottläggandet av privatlivet inför vårdpersonal som över huvud taget inte är involverade i patienten leda till mycket stress och ångest i en redan svår situation. I mindre samhällen kan bara misstanken om ryktesspridning från vården förstöra en människas liv.
Nedmonteringen av våra rättigheter har skett utanför den demokratiska processen.
Åter till Uppdrag granskning och Gabriel. Shaken baby syndrom väcker av naturliga skäl många känslor även hos vårdpersonal inklusive en nyfikenhet som kanske går utanför den professionella rollen. Vid det tillfälle då Gabriels föräldrar sökte upp sjukvården på grund av hans benbrott uppstår misstanke om shaken baby syndrom vilket senare avskrivs. För föräldrarna är detta en fruktansvärd period vilket sannolikt de flesta föräldrar kan leva sig in i. Både att misstänkas för att utsätta sitt barn för misshandel och den närvarande risken att barnet skulle omhändertas av samhället är djupt traumatiska.
Till detta läggs dock sten på bördan genom Region Jönköpings journalhantering. Misstanke uppstår hos föräldrarna att information ur journalen spridits utanför den krets som deltagit i vården. Föräldrarna begär ut ett loggutdrag och får då se att ett par hundra personer varit inne i journalen! Trots mängden är föräldrarna inte övertygade om att detta är komplett redovisning av alla som läst i Gabriels journal. De återkommer med ny begäran och då visar det sig att ytterligare ett hundratal personer i olika yrkesgrupper registrerats i loggen, bland annat ett antal dietister, logopeder och t.o.m. en optiker vid helt andra vårdställen än det Gabriel vårdats på. Svaret från Region Jönköping är att det kan vara intressant att ta in även andra kompetenser vid en lårbensfraktur.
Föräldrarna har styrkan att driva frågan vidare och kräver att regionen ska utreda hur det kan komma sig att horder av vårdpersonal loggats. De går också vidare till IMY och ber dem granska fallet.
Tyvärr får familjen inte rätt. Regionen utreder visserligen men anser att alla besök i journalen varit legitima utom i de fall där systemet Cambio loggat även personer som inte varit inne i journalen, ett fel som inte anmälts som incident till IMY.
Regionens dataskyddsombud som ska värna individernas intresse i regionens personuppgiftsbehandling finner ingen anledning att rapportera om dessa förhållanden till IMY. IMY själva svarar att de har gjort de granskningar av sjukvården som de mäktar med under 2020 och kan inte gå vidare med detta enskilda ärende. I journalen som fortfarande är lika tillgänglig finns benämningen ”våldsutsatt” kvar som ett stigma som återuppväcks varje gång familjen söker vård för Gabriel men även för eventuella nyfikna.
Familjen uppfattar att enda möjligheten till upprättelse är att vända sig till media.
Jag menar att den nuvarande hanteringen av patientuppgifter är fullständigt ovärdig för både patienter och personal. Vi har rätt till ett privatliv och rätt att ha förtroende för att sjukvården hanterar detta privatliv med den respekt det förtjänar. Dessutom är de patientuppgifter som hanteras inom vården klassade som känsliga personuppgifter, vilket innebär att det i realiteten krävs olika skyddsåtgärder för att uppgifterna ska kunna hanteras på ett korrekt sätt.
Nu planeras att även koppla på kommunernas omsorg så de får tillgång till patientuppgifterna på samma sätt som vården. I de mest utsatta livssituationerna ska vi alltså behöva oroa oss för hur känsliga uppgifter om oss och våra anhöriga sprids samt själva bevaka att våra journaler hanteras korrekt.
Det är ett lerskred som pågått sedan 1990-talet där patienterna blir fråntagna grundläggande rättigheter utan att det ens väckt en diskussion. Ett institutionaliserat lagtrots pågår där vårdens aktörer inte bara struntar i lagstiftningen utan aktivt motarbetar den. Samförstånd finns mellan vårdbyråkrater och it-leverantörer i denna hållning där man underlåter att vidta de åtgärder som skulle kunna värna patientens privatliv.
I utredningar om e-hälsa och digitalisering söker man förgäves efter förslag på hur patientens integritet ska förbättras trots att detta borde vara en central frågeställning om man vore intresserad av att skydda patientens rättigheter. Inte heller har integritetsfrågan varit aktuell i de många initiativ om innovation inom e-hälsoområdet trots att det här verkligen skulle finnas möjlighet att kunna leverera revolutionerande lösningar som både skulle gagna vården och patienten.
Nedmonteringen av våra rättigheter har skett utanför den demokratiska processen. Om det gällt andra rättigheter hade det varit självklart med en politisk diskussion där man som väljare har möjlighet att ta ställning till vilket parti som bäst representerar ens åsikt.
Det är nu mer än hög tid att de förtroendevalda tar ansvar för frågan och avslöjar sin linje: finns integritet bara på pappret och patientuppgifter i verkligheten ligger öppna för tiotusentals personer som inte är involverade i vår vård?
Eller ska vi återgå till en situation där vår rätt att känna förtroende för vården återställs och lagar är till för att följas?
***
Följ Dagens Arena på Facebook och Twitter, och prenumerera på vårt nyhetsbrev för att ta del av granskande journalistik, nyheter, opinion och fördjupning.
