Regionkansliet varnade redan i maj för riskerna med systemet och rekommenderade att åtgärder skulle vidtas innan personuppgifter behandlades. Också den risk- och konsekvensanalys som Region Örebro län gjorde innan införandet visade på en lång rad risker.
Trots varningarna valde regionen att gå vidare med införandet.
– I förhållande till risken att arbeta vidare med de system vi hade bedömde vi att de riskerna var större, säger Martin Gunnarsson, ansvarig för Cosmic-införandet i Region Örebro län.
Post it-lapp på journal
Att skyddade uppgifter visas på ett annat sätt än i det tidigare journalsystemet har fått konsekvenser. I flera rapporterade fall har vårdpersonal i Örebro ropat upp namn på personer med skyddad identitet. I ett fall fästes en post-it-lapp på journalen om att patienten i fråga hade skyddade uppgifter. Lappen missades och patientens namn ropades upp.
Anmält till integritetsskyddsmyndigheten
Martin Gunnarsson säger att han känner till ett fall som regionen anmält till Integritetsskyddsmyndigheten, IMY. Det framgick inte i journalsystemet att patienten hade skyddad identitet, enligt anmälan som SVT tagit del av.
Efter händelsen har regionen sett över arbetssätt och rutiner, enligt Gunnarsson. Han anser inte att utbildningen av personal innan införandet har varit bristfällig.
– Den var upplagd utifrån vilken roll man skulle ha i systemet.
Leverantören: systemet följer lagstiftningen
Leverantören Cambio skriver till SVT Örebro att journalsystemet är utformat för att uppfylla patientdatalagstiftningen i Sverige och Europa.
Att patienternas uppgifter är säkra och hanteras enligt lagen säkerställs dels genom systemet, dels genom rutiner hos vårdgivaren, skriver Jenny Styren, pressansvarig på Cambio.
Enligt Cambio kan vårdgivare själva styra vilka uppgifter varje användare ska kunna se, utifrån verksamhetsbehov och lagkrav.
Både Cambio och Sussa-samverkan anser att det är varje regions ansvar att följa gällande lagar och regler.
Javascript är avstängt
Cosmic i Region Örebro län
Några av de risker regionen identifierat:
- Risk att patientuppgifter sprids över vårdgränser, vilket kan leda till dataintrång och sekretessbrott. Förväntas vara åtgärdat 2026.
- Risk att medarbetare tar del av för mycket information, vilket kan leda till obefogat intrång i den personliga integriteten. Kan leda till lagbrott. Förväntas vara åtgärdat 2026.
- Risk att tjänstens funktionalitet inte är förenlig med rådande lagstiftning, vilket leder till intrång i den personliga integriteten. Brister i spärrhantering och samtyckeshantering har upptäckts. Sussa har beställt utvecklingsarbete men bristerna kommer att bestå ”en längre tid”.
Från september till november 2024 rapporterades fem incidenter in som handlade om patienter med skyddad identitet.
- I en av incidentrapporterna från region Örebro län står det att en vårdavdelning på USÖ försökt lösa Cosmics brister med att sätta på en post-it-lapp på journalen, med information om att patienten i fråga var skyddad. Men lappen missades och personens namn ropades upp.
- I ett annat fall i oktober förra året journalfördes uppgifter från ett rådgivningssamtal i Cosmic, trots rutiner att inte skriva in uppgifter i Cosmic, om personen i fråga har skyddad identitet.
Kostnaden för det nya journalsystemet är drygt en halv miljard kronor för Region Örebro län.