Sverige: Umeå universitet bötfälls med 550 000 kronor för brister i hantering av känsliga personuppgifter

Datainspektionen meddelar på sin webbplats att Umeå universitet bötfällts med 550 000 kronor för överträdelse av artiklarna 5.1 (f), 32.1-32.2, 33.1 och 33.5 i dataskyddsförordningen (“GDPR”) då universitetet hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

Av beslutet framgår att en forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.

Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till den amerikanska molntjänsten Box, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten. Enligt Datainspektionen ger molntjänsten och sättet som universitetet använder den på inte ett tillräckligt skydd för den här typen av personuppgifter.

När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över okrypterad e-post och via öppet nät. Enligt Datainspektionen visar dessa händelser att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident. Enligt Datainspektionen är den personuppgiftsansvarige skyldig att anmäla incidenter till myndigheten och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.

Sammantaget gör de konstaterade bristerna att Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: Art. 5 GDPR, art. 32 GDPR, art. 33 GDPR, 6 kap. 2 § dataskyddslagen

Sanktionsavgift: 550 000 kronor

Mottagare: Umeå universitet

Beslutsnummer: DI-2019-9432

Beslutdatum: 2020-12-10

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.