Karolinska sjukhusets journalsystem Take Care innehåller 1,8 miljoner patientjournaler och har 23 000 användare – förutom på Karolinskas alla enheter också bland annat på Södersjukhuset, Södertälje sjukhus och S:t Eriks ögonsjukhus. Systemet driftas från en central server på Karolinska.
I en granskning från landstingets revisorer framgår det nu att patientjournalerna skickas elektroniskt okrypterade, och därmed oskyddade, mellan Karolinska sjukhuset och de andra vårdgivarna. Säkerhetsbristen har återkommande påpekats av den överläkare som står som systemägare för Take Care.
Överläkaren, Bo Wikström, har krävt att landstingets nätverk SLLnet ska medge kryptering av informationen. Han har tagit upp frågan med både landstingets tidigare it-chef och med informationssäkerhetschefen.
– Jag har bett om råd och hjälp med insatser. Det är inte riktigt bra att det ser ut som det gör. Det mesta skickas okrypterat och det är samma i alla journalsystem, säger Bo Wikström till CS.
Men några centrala åtgärder har inte vidtagits. Informationssäkerhetschefen hänvisar till att det ändå inte räcker med att kryptera SLLnet. Krypteringen måste byggas in i applikationen.
– Systemägaren har bett om kryptering från nod till nod i nätverket, men vad hjälper det? Nodkryptering lämnade vi bakom oss redan på 1990-talet, säger Perry Göransson, informationssäkerhetschef på Stockholms läns landsting.
Han anser att ansvaret för att åtgärda bristerna inte ligger på landstingets it-funktion.
– Våra regler säger tydligt att känslig information ska krypteras. Det är systemägaren och, efter att revisorerna nu påpekat det, också landstingets styrelse som måste lösa det, säger Perry Göransson.
SLL-net må vara ett landstingsinternt nät som skyddas av brandväggar, men det är inte ett slutet nät. Det står i landstingets it-policy. SLL-net är kopplat till andra anslutna nät, som hos externa leverantörer, det finns kopplingar till internet och en stor del av användningen ligger utanför it-avdelningens kontroll.
Bo Wikström har nu tagit initiativ för att Take Care-systemet ska förses med krypteringsmöjligheter, men det kan ske först i nästa release av mjukvaran som kommer i början på 2009.
– Att ha kryptering i Take Care bidrar till att öka säkerheten, men det utesluter inte att man borde kryptera SLL-net. Det bästa vore om man gjorde både och, anser Bo Wikström.
Även om säkerhetshålet i Take Care tätas återstår stora frågetecken kring landstingets it-säkerhet.
Enligt uppgift har inte ett enda av de tyngre system som används i landstinget kryptering, trots att SLL-net alltså ska ses som ett öppet nät. Men att det skulle finnas fler system med samma brister förnekas av Perry Göransson:
– Inte vad jag vet, det förutsätter jag att det inte finns.
Take Care infördes på Karolinska sjukhuset vid årsskiftet 2003–2004. Systemet är utvecklat på Huddinge sjukhus mellan 1996 och 2002 och har fått stor spridning inom landstinget i Stockholm.
Mjukvaran ägs i dag av företaget Profdoc Care.
Driften av Take Care kostar omkring 15 miljoner kronor per år.
Landstinget utreder om Take Care kan kombineras med delar från det havererade GVD-projektet för att på så sätt skapa en sammanhållen patientjournal.
Länsrätten beslutade nyligen att journalsystemet måste upphandlas på nytt, eftersom någon upphandling inte skett sedan 1996.
