Integritetsskyddsmyndigheten (IMY) har tagit emot två rapporter om personuppgiftsincidenter från Region Uppsala. Incidenterna omfattar känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige.
IMY har med anledning av incidentrapporterna inlett en granskning av regionen (regionstyrelsen och sjukhusstyrelsen) och konstaterar i sina två beslut att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.
– Det är frågan om uppgifter om hälsa och därmed känsliga personuppgifter. Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi som lett de två granskningarna.
Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.
Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna i denna granskning utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.
– Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver.
För mer information kontakta
Jurist Linda Hamidi, telefon 08-657 61 81
Presstjänsten, telefon 08-515 15 415
Fler nyheter inom ämnet
-
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024 -
IMY klar med granskning av larmbolags hantering av bildmaterial
28 november 2024 -
AI-kommissionens färdplan stärker integritetsvänlig innovation
27 november 2024 -
AI kan förenkla sekretessbedömningar av allmänna handlingar
7 november 2024
Fler nyheter inom ämnet
-
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024 -
IMY klar med granskning av larmbolags hantering av bildmaterial
28 november 2024 -
AI-kommissionens färdplan stärker integritetsvänlig innovation
27 november 2024 -
AI kan förenkla sekretessbedömningar av allmänna handlingar
7 november 2024