Det är kommunrevisorerna som granskat hur socialförvaltningen hanterat IT-säkerheten i systemet Treserva, där det bland annat finns känsliga patientuppgifter och uppgifter om socialtjänsten
En av slutsatserna är att förvaltningen i princip aldrig genomfört kontroller av vem som loggat in i systemet sedan systemet infördes 2009.
"Förvaltningen har i och med utebliven regelbunden kontroll under lång tid inte följt vare sig lag, förordningar eller interna policys" skriver revisorerna i rapporten, som är kritisk mot förvaltningen eftersom vårdgivare är skyldiga att kontrollera så att inte obehöriga personer kommer åt information om patienterna.
"Det är mycket otillfredsställande" skriver revisorerna.
Dessutom finns det stora brister i hur personer fått behörighet att logga in i Treserva.
Revisorerna har bland annat hittat flera användare som inte finns i anställningsregistret. Dessutom finns flera testidentiteter i systemet, och den som använder en sådan kan agera i systemet utan att någon vet vem det är.
– Det här är allvarliga brister som vi omgående måste åtgärda. De styrdokument som förvaltningen har beslutat om har inte varit tillräckliga och det måste vi ta till oss. Vi ska uppdatera styrdokumenten och se till att alla som måste känna till dem också vet att de finns och vad de innehåller, säger Mikael Lekfalk, socialchef i Luleå kommun, i ett pressmeddelande.