Regionstyrelsen i Region Skåne

IMY inledde tillsyn mot Region Skåne efter att ha tagit emot en inrapporterad personuppgiftsincident och klagomål från registrerade. Av incidentanmälan framgår att en medarbetare tappat bort ett okrypterat usb-minne som innehåller personnummer och känsliga personuppgifter om närmare 2 000 personer. Under granskningen har framkommit att usb-minnet inte har återfunnits.

IMY:s slutsats är att de tekniska och organisatoriska åtgärder som regionen vidtagit inte var tillräckliga för att försäkra sig om en lämplig säkerhetsnivå i förhållande till risken med behandlingen. Detta eftersom regionen har lagrat känsliga personuppgifter på ett okrypterat usb−minne som sedan tappats bort. Innehållet på usb-minnet kopplar ihop uppgifter om hälsa med ett stort antal patienter genom deras personnummer, vilket innebär en hög risk för de registrerades fri- och rättigheter.

Att regionen inte har uppfyllt säkerhetskraven enligt dataskyddsförordningen i det här fallet är allvarligt eftersom det är frågan om en sådan typ av personuppgifter som kräver ett starkt skydd. Det är regionen i egenskap av personuppgiftsansvarig som har det yttersta ansvaret för hur personuppgifterna hanteras i verksamheten. I det ansvaret ingår bland annat att vidta både tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, till exempel genom att tillhandahålla krypterade usb-minnen. 

IMY konstaterar i sitt beslut att överträdelsen rör ett stort antal registrerade vars personuppgifter skyddas av sekretess. Det är dessutom en försvårande omständighet att usb-minnet inte återfunnits och att det är oklart vilken spridning personuppgifterna kan ha fått. IMY bestämmer utifrån en samlad bedömning att regionen ska betala en administrativ sanktionsavgift på 200 000 kronor.