Sverige: Region Uppsala bötfälls med 1,9 miljoner kronor för otillräckliga säkerhetsåtgärder

Integritetsskyddsmyndigheten (IMY) meddelar på sin webbplats att myndigheten har utfärdat administrativa sanktionsavgifter på sammanlagt 1,9 miljoner kronor mot Region Uppsala efter att ha funnit att regionen inte har vidtagit lämpliga säkerhetsåtgärder vid sin hantering av känsliga personuppgifter.

IMY har tagit emot två rapporter om personuppgiftsincidenter från Region Uppsala. Incidenterna omfattar känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige. Med anledning av incidentrapporterna har IMY inlett en granskning av regionen (regionstyrelsen och sjukhusstyrelsen) och konstaterar i sina två beslut att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.

Enligt IMY är det frågan om uppgifter om hälsa och därmed känsliga personuppgifter. IMY:s granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna.

Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.

Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna i denna granskning utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.

Sammantaget visar de två granskningarna enligt IMY att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver.

Läs IMY:s pressmeddelande här.

Läs IMY:s beslut mot Regionstyrelsen i Region Uppsala här.

Läs IMY:s beslut mot Sjukhusstyrelsen i Region Uppsala här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.