Sjukhusstyrelsen har brustit i säkerhetsåtgärderna vid hanteringen av e-post

Publicerad: 25 april 2025

Integritetsskyddsmyndigheten (IMY) riktar kritik mot Sjukhusstyrelsen i Region Uppsala. Detta för att inte ha vidtagit tillräckliga säkerhetsåtgärder i samband med behandling av personuppgifter om bland annat hälsa i e-post.

I dataskyddsförordningen, GDPR, finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Myndigheten har tagit emot en sådan anmälan från Region Uppsala som indikerar att personuppgifter om bland annat hälsa under lång tid har behandlats i sjukhusstyrelsens e-posttjänst.

IMY har genomfört en granskning av det inträffade och konstaterar i sitt beslut att sjukhusstyrelsen bedriver vårdverksamhet vilket innebär att känsliga och särskilt skyddsvärda personuppgifter behandlas inom verksamheten i stor omfattning. IMY konstaterar även att majoriteten av sjukhusstyrelsens användare av e-posttjänsten utgörs av cirka 6 400 personer som arbetar med vård. ”Detta innebär en påtaglig risk för att personuppgifter, inklusive känsliga och särskilt skyddsvärda sådana, kan komma att hanteras i e-posttjänsten”, skriver IMY i sitt beslut.

IMY har i tidigare tillsyn mot sjukhusstyrelsen bedömt att e-postsystem generellt sett är en olämplig lagringsplats för känsliga personuppgifter.

Det framgår av sjukhusstyrelsens regler för hantering av e-post att integritetskänsliga uppgifter inte får förekomma i e-post såvida uppgifterna inte krypteras med den krypteringslösning som godkänts. Sjukhusstyrelsen har också rutiner för gallring av e-post. Trots detta har bland annat känsliga personuppgifter behandlats i e-post mellan medarbetare i strid med sjukhusstyrelsens riktlinjer.

Flera av de e-postmeddelanden som omfattades av incidenten hade lagrats i e-posttjänsten under lång tid, vilket talar för att sjukhusstyrelsen inte haft ett effektivt förfarande för att kunna följa upp och utvärdera effektiviteten av de åtgärder som vidtagits.

Sammantaget bedömer IMY att sjukhusstyrelsen inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra och upptäcka otillåten behandling i e-posttjänsten.

Sjukhusstyrelsen hade innan den aktuella personuppgiftsincidenten upptäcktes påbörjat ett arbete för att komma till rätta med risker kopplade till e-postanvändning. I tillsynsärendet har sjukhusstyrelsen redogjort för genomförda och planerade tekniska och organisatoriska åtgärder som bland annat syftar till att öka förmågan att förhindra och upptäcka otillåten behandling av personuppgifter.

IMY utfärdar en reprimand mot sjukhusstyrelsen.

Ta del av beslutet

Relaterade länkar

Läs beslutet mot Region Uppsala (pdf, 136 kB)

Senast uppdaterad: 25 april 2025

Dataskydd

Fler nyheter inom ämnet

Se fler nyheter

Fler nyheter inom ämnet

Se fler nyheter

Senast uppdaterad: 25 april 2025

Dataskydd

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

Sjukhusstyrelsen har brustit i säkerhetsåtgärderna vid hanteringen av e-post

Ta del av beslutet

Fler nyheter inom ämnet

Europeiska dataskyddsstyrelsen publicerar sin årsredovisning

Regeringen vill satsa på IMY:s regulatoriska sandlåda

IMY inleder tillsyn mot Sportadmin

IMY godkänner bindande företagsbestämmelser (BCR) för Alfa Laval

Fler nyheter inom ämnet

Europeiska dataskyddsstyrelsen publicerar sin årsredovisning

Regeringen vill satsa på IMY:s regulatoriska sandlåda

IMY inleder tillsyn mot Sportadmin

IMY godkänner bindande företagsbestämmelser (BCR) för Alfa Laval