Integritetsskyddsmyndigheten (IMY) konstaterar att Sjukhusstyrelsen i Region Uppsala har behandlat personuppgifter i strid med dataskyddsförordningen (GDPR) genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen av patienters personuppgifter i verksamhetens e-posttjänst. IMY ger Sjukhusstyrelsen i Region Uppsala en reprimand för den konstaterade överträdelsen.
Av beslutet framgår att IMY tagit emot en anmälan om en personuppgiftsincident från Region Uppsala som indikerar att personuppgifter om bland annat hälsa under lång tid har behandlats i Sjukhusstyrelsens e-posttjänst. IMY har genomfört en granskning av det inträffade och konstaterar att Sjukhusstyrelsen bedriver vårdverksamhet vilket innebär att känsliga och särskilt skyddsvärda personuppgifter behandlas inom verksamheten i stor omfattning. IMY konstaterar även att majoriteten av Sjukhusstyrelsens användare av e-posttjänsten utgörs av cirka 6 400 personer som arbetar med vård IMY har i tidigare tillsyn mot sjukhusstyrelsen bedömt att e-postsystem generellt sett är en olämplig lagringsplats för känsliga personuppgifter.
Det framgår av Sjukhusstyrelsen regler för hantering av e-post att integritetskänsliga uppgifter inte får förekomma i e-post såvida uppgifterna inte krypteras med den krypteringslösning som godkänts. Sjukhusstyrelsen har också rutiner för gallring av e-post. Trots detta har bland annat känsliga personuppgifter behandlats i e-post mellan medarbetare i strid med Sjukhusstyrelsens riktlinjer.
Flera av de e-postmeddelanden som omfattades av incidenten hade lagrats i e-posttjänsten under lång tid, vilket IMY anser talar för att Sjukhusstyrelsen inte haft ett effektivt förfarande för att kunna följa upp och utvärdera effektiviteten av de åtgärder som vidtagits.
Sammantaget bedömer IMY att Sjukhusstyrelsen inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra och upptäcka otillåten behandling i e-posttjänsten, vilket innebär en överträdelse av artiklarna 5.1 (f), 32.1 och 32.2 GDPR. IMY utfärdar en reprimand mot Sjukhusstyrelsen för överträdelsen.
Sjukhusstyrelsen hade innan den aktuella personuppgiftsincidenten upptäcktes påbörjat ett arbete för att komma till rätta med risker kopplade till e-postanvändning. I tillsynsärendet har Sjukhusstyrelsen redogjort för genomförda och planerade tekniska och organisatoriska åtgärder som bland annat syftar till att öka förmågan att förhindra och upptäcka otillåten behandling av personuppgifter.