I en 17 sidor lång revisionsrapport riktar regionens revisorer bister kritik mot SU. Bland annat visar den att:
Stickprovsgranskningar av ett så kallat borderline-register, som gäller psykiatripatienter har för låg säkerhetsklass, samtycke från patienterna har saknats, och personuppgifter är varken krypterade eller avidentifierade.
SU har många små svårkontrollerade register vid sjukhusets enheter, samt onödigt många register med likartad funktion.
Hanteringen av personuppgifter mellan SU och universitetet och i samarbetet med läkemedelsföretag är svårhanterlig. Vid kliniska studier hanteras uppgifterna av universitetet, men ansvaret ligger hos SU. Det finns ett antal personer med dubbla anställningar.
Svårigheter att följa upp om någon obehörigt haft tillträde till register med personuppgifter.
Registren om urininkontinens visade sig ha stora brister då uppgifter lagrats okrypterade i två persondatorer där innehavarna själva skötte säkerhetskopieringen.
Ett bildarkiv vid ögonkliniken som skulle stickprovskontrolleras av revisorerna visade sig inte längre existera. Det raderades av misstag sommaren 2006. Forskningsmaterial som samlats in under 20 år gick förlorat när en säkerhetskopiering inte gjordes vid ett datorbyte.
- Helt oacceptabelt, säger revisionens ordförande Ulrik Nilsson (m). Här kan viktiga patientuppgifter ha gått förlorade.
Revisorerna slår fast att reglerna för hantering av personuppgifter inte följs vid SU. En förklaring kan vara att ny teknik införts för snabbt och att tidigare hårda krav på tillstånd från Datainspektionen ersatts med personuppgifts- och vårdregisterlagen. Dessutom anser granskarna att kunskapen om regler och lagar om personuppgifter är för dåliga.
Revisorerna kräver nu att återkommande kontroller sätts i system och rapporteras till ledningen och att sjukhusets ansvar för andra aktörers hantering av uppgifter måste utredas.
Sjukhusdirektör Jan Eriksson säger i en kommentar att personalen får utbildning i hanteringen av personuppgifter men det krävs mer vaksamhet när ny teknik införs:
-Vi tar detta på allvar och skall systematiskt gå igenom revisionens uppgifter.
-Det här visar på de informationssäkerhetsbrister som råder, menar Lars Hansson chef för regionens it-enhet.
-Regionen måste ta frågorna om it-säkerhet på större allvar. Regelverk finns men de måste framför allt efterlevas bättre, säger revisorn Bernt Sabel.
